Spring Framework 路径遍历漏洞(CVE-2024-38819)安全风险通告 奇安信 CERT 2024-10-18 11:42 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Spring Framework 路径遍历漏洞 漏洞编号 QVD-2024-42860,CVE-2024-38819 公开时间 2024-10-17 影响量级 十万级 奇安信评级 高危 C
继续阅读疑似有国家背景的APT组织利用0Day漏洞针对Ivanti CSA展开攻击—每周威胁情报动态第196期(10.11-10.17) 原创 BaizeSec 白泽安全实验室 2024-10-18 09:00 APT攻击 – 疑似有国家背景的 APT组织利用0Day漏洞针对Ivanti CSA展开攻击 APT34组织针对阿联酋和海湾地区展开网络攻击 Water Makara组织利用Astar
继续阅读DataEase存在数据库配置信息暴露漏洞(CVE-2024-30269) 附POC 2024-10-17更新 南风漏洞复现文库 2024-10-17 23:33 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. DataEase简介 微
继续阅读Adobe ColdFusion 文件读取漏洞 Zovt 巢安实验室 2024-10-17 23:23 一、实验所需环境 1、Ubuntu 2、vulhub 3、coldfusion/CVE-2010-2861 二、漏洞介绍 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种
继续阅读Adobe ColdFusion 反序列化漏洞 F_carey 巢安实验室 2024-10-17 23:23 Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。以下版本受到影响:Adobe ColdFusion (2016 release) Update 3及之前的版本,ColdFusion 11 Update 11
继续阅读【高危漏洞预警】Apache CloudStack 模板验证绕过漏洞CVE-2024-45219 cexlife 飓风网络安全 2024-10-17 21:06 漏洞描述:Apache CloudStack是开源的基础设施即服务云计算软件,支持包括 KVM在内的多种虚拟化技术,受影响版本中,由于缺少对上传和注册的 KVM 兼容模板和存储卷的验证,在启用配额功能的情况下,攻击者可以通过上传或注册恶意
继续阅读【漏洞预警】Kubernetes Image Builder凭证管理不当漏洞CVE-2024-9486 cexlife 飓风网络安全 2024-10-17 21:06 漏洞描述:Kubernetes官方发布安全公告,修复了Kubernetes Kubernetes Image Builder中存在的一处凭证管理不当漏洞,该漏洞是由于在镜像构建过程中启用了默认凭据,使用Proxmox提供程序构建的虚
继续阅读【漏洞预警】Apache CloudStack请求来源验证绕过漏洞 CVE-2024-45693 cexlife 飓风网络安全 2024-10-17 21:06 漏洞描述:Apache CloudStack是一个开源的云计算管理平台,允许用户创建、管理和部署大规模虚拟化基础设施。在受影响的版本中,系统未能有效验证请求的来源,导致攻击者能够诱导已认证用户提交恶意的CSRF请求,这种攻击方式可能导致用
继续阅读「漏洞复现」英飞达医学影像存档与通信系统 WebUserLogin.asmx 信息泄露漏洞 冷漠安全 冷漠安全 2024-10-17 19:30 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读谷歌:2023年被利用的漏洞70%是0 Day Zicheng FreeBuf 2024-10-17 19:14 谷歌Mandiant安全分析师警告称,攻击者发现和利用软件零日漏洞的能力增长已成为一个令人担忧的新趋势。 在2023年披露的138个被积极利用的漏洞中,有97个(70.3%)是0 Day漏洞,意味着大量漏洞在被供应商知道或修补之前就被攻击者用来实施攻击。 从2020年到2022年,N
继续阅读【安全圈】谷歌:2023年被利用的漏洞70%是0Day 安全圈 2024-10-17 19:00 关键词 安全漏洞 谷歌Mandiant安全分析师警告称,攻击者发现和利用软件零日漏洞的能力增长已成为一个令人担忧的新趋势。在2023年披露的138个被积极利用的漏洞中,有97个(70.3%)是0 Day漏洞,意味着大量漏洞在被供应商知道或修补之前就被攻击者用来实施攻击。 从2020年到2022年,N
继续阅读【安全圈】SolarWinds Web Help Desk曝出严重漏洞,已遭攻击者利用 安全圈 2024-10-17 19:00 关键词 安全漏洞 近日,CISA 在其 “已知漏洞”(KEV)目录中增加了三个漏洞,其中一个是 SolarWinds Web Help Desk (WHD) 中的关键硬编码凭据漏洞,供应商已于 2024 年 8 月底修复了该漏洞。 SolarWinds Web Help
继续阅读谷歌:2023年70%的已遭利用漏洞是0day Bill Toulas 代码卫士 2024-10-17 18:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌 Mandiant 安全分析师提醒称,威胁行动者在发现和利用软件0day漏洞方面的能力变得更强,这一趋势令人担忧。 具体而言,在2023年遭活跃利用的138个漏洞中,97个(70.3%)遭利用时是0day漏洞。这意味着在受影响
继续阅读VMware 修复HCX 平台上可导致RCE的高危SQLi 漏洞 Ryan Naraine 代码卫士 2024-10-17 18:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 周三,VMware 督促面向企业的 HCX 应用移动平台用户修复一个严重的远程代码执行漏洞 (CVE-2024-38814)。 该漏洞的CVSS评分为8.8,可导致具有非管理员权限的攻击者在 HCX 管理器上执
继续阅读漏洞频发、故障率高:应系统排查英特尔产品网络安全风险 中国网络空间安全 数世咨询 2024-10-17 16:00 随着数字时代的到来,网络安全已成为全球关注的焦点。近期,英特尔公司的产品频繁爆出安全漏洞和故障问题,引发了业界的广泛关注和用户的深度担忧。从CPU的瞬态执行侧信道漏洞到处理器稳定性问题,再到远程管理技术的安全风险,英特尔面临的挑战不断。 01 安全漏洞问题频发 2023年8月 ,英特
继续阅读安全漏洞曝光:AMD 和 Intel面临新型攻击威胁 数世咨询 2024-10-17 16:00 安全研究人员继续寻找攻击英特尔和 AMD 处理器的方法,这两家芯片巨头在过去一周针对其产品的单独研究发布了回应。该研究项目针对英特尔和 AMD 可信执行环境 (TEE),旨在通过将受保护的应用程序或虚拟机 (VM) 与操作系统和在同一物理系统上运行的其他软件隔离来保护代码和数据。 01 Counter
继续阅读面对英特尔CPU触目惊心的安全漏洞, 除了排查,更要加速信创发展 安全牛 2024-10-17 12:11 10月16日,中国网络空间安全协会发布题为《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》 公众号文章,明确指出了英特尔的四项安全问题:一是安全漏洞问题频发;二是可靠性差,漠视用户投诉;三是假借远程管理之名,行监控用户之实;四是暗设后门,危害网络和信息安全。 这篇文章再一次警醒了我国
继续阅读手把手玩转路由器漏洞挖掘系列-ZigBee协议 原创 nil 山石网科安全技术研究院 2024-10-17 10:39 1. 基本介绍 ZigBee是一种低复杂度、低功耗、低速率、低成本的近距离无线通信技术。它基于IEEE 802.15.4标准,主要用于短距离数据传输和监控应用。 ZigBee网络由协调器、路由器和终端设备组成,支持星型、树型和网状等多种拓扑结构。该技术广泛应用于智能家居、工业自动
继续阅读【漏洞预警】Oracle 2024年10月补丁日多个安全漏洞 cexlife 飓风网络安全 2024-10-16 23:37 漏洞描述:Oracle发布2024年10月关键安全补丁集合更新,修复了包含Oracle WebLogic Server、MySQL Server等多产品的高危漏洞,值得关注的漏洞有 Oracle WebLogic Server T3/IIOP 远程命令执行漏洞和未授权数据访
继续阅读【漏洞预警】Apache Solr 认证绕过漏洞CVE-2024-45216 cexlife 飓风网络安全 2024-10-16 23:37 漏洞描述:2024年10月,Apache Solr官方披露CVE-2024-45216 Apache Solr认证绕过漏洞,攻击者可构造恶意请求利用PKIAuthenticationPlugin 造成权限绕过,从而可在未认证的情况下调用,官方已发布安全更新,
继续阅读漏洞预警 | Oracle WebLogic Server 存在反序列化漏洞 777 Eonian Sharp 2024-10-16 22:44 漏洞描述 漏洞危害等级:严重 漏洞类型:反序列化 影响范围” 影响版本: 12.2.1.4.0,14.1.1.0.0 CVSS向量 访问途径(AV):网络 攻击复杂度(AC):低 所需权限(PR):无需任何权限 用户交互(UI):不需要用户交互 影响范
继续阅读万户ezOFFICE协同管理平台 GeneralWeb XXE to RCE Bmth666 Z2O安全攻防 2024-10-16 21:10 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利
继续阅读用友 NC saveXmlToFIleServlet 任意文件上传漏洞(XVE-2024-6507) Superhero Nday Poc 2024-10-16 20:42 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章
继续阅读零日漏洞风险加剧 NDR或是一大可行之解 原创 栗栗 安全419 2024-10-16 18:16 在数字化时代,随着网络攻击手段的不断演进,零日漏洞已成为网络安全的主要威胁之一。那些未被软件厂商知晓的漏洞,一旦被攻击者发现并利用,就能在未打补丁前对系统发起攻击。而攻击者发现并利用漏洞的速度也越来越快,使得零日漏洞成为网络攻击的有力工具。它们不仅影响操作系统和应用软件,还扩展到了物联网和云服务平台
继续阅读GitHub Enterprise Server中存在严重漏洞,可越权访问实例 THN 代码卫士 2024-10-16 18:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitHub 发布Enterprise Server (GHES) 安全更新,修复了多个问题,其中一个严重漏洞CVE-2024-9487(CVSS评分9.5)可导致越权访问实例。 GitHub 提到,“攻击者可利用
继续阅读美国州政府利用漏洞奖励强化防护体系,安全众测成为联合防御最佳实践 安全内参编译 安全内参 2024-10-16 15:36 关注我们 带你读懂网络安全 据安全内参统计,截至目前,美国联邦和州政府已发布至少十余个漏洞奖励计划和近百个漏洞披露计划。 前情回顾·美国政府漏洞消减工程 – 美国拟立法推动联邦政府网络安全漏洞全面消减工程 美国国防工业企业有了统一漏洞奖励计划 美国政府通过漏洞披露
继续阅读24年9月必修安全漏洞清单|腾讯安全威胁情报中心 腾讯威胁情报中心 腾讯安全威胁情报中心 2024-10-16 15:25 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合
继续阅读Linux系统安全告急:新技术绕过“noexec”,任意代码执行风险激增 安全客 2024-10-16 15:01 安全研究人员近日披露了一种全新的技术,攻击者可以利用该技术绕过Linux系统中的“noexec”标志,甚至在配置了此标志以防止执行恶意代码的分区上,也能执行恶意代码。 “noexec”标志是Linux中的一个关键安全措施,旨在防止在特定分区上执行二进制文件,如/tmp或/dev/sh
继续阅读腾讯安全威胁情报中心推出2024年9月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2024-10-16 14:44 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞
继续阅读捕获在野利用!Weblogic RCE 数月前已支持检测 原创 微步情报局 微步在线研究响应中心 2024-10-16 12:53 漏洞概况 WebLogic Server 是由 Oracle 公司开发的一款领先的 Java EE(现为 Jakarta EE)应用服务器。它提供了一个可靠、安全、可扩展的平台,用于开发、部署和管理企业级 Java 应用程序,包括 Web 应用程序、企业 JavaBe
继续阅读