Apache Subversion Windows 平台命令行参数注入漏洞 (CVE-2024-45720) 安迈信科应急响应中心 2024-10-13 23:05 01 漏洞概况 在Windows平台上,将命令行参数转换为SubVersion的可执行文件(例如,svn.Exec等)如果处理特制的命令行参数字符串,可能会导致意外的命令行参数解释,包括参数注入和其他程序的执行。SubVer
继续阅读EDUSRC漏洞挖掘思路整理 十二 秘地安全实验室 2024-10-13 15:01 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同
继续阅读「漏洞复现」锐明技术Mangrove系统 任意用户创建漏洞 冷漠安全 冷漠安全 2024-10-12 21:15 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需
继续阅读某赛通-数据泄露防护(DLP)多个接口代码执行漏洞 原创 SXdysq 南街老友 2024-10-12 21:14 漏洞描述 亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据
继续阅读FreeBuf周报 | Apache Avro SDK曝关键漏洞;Word神奇Bug会直接删除文件 Zicheng FreeBuf 2024-10-12 20:41 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 项目地址 1. 入侵物理隔离的系统,这家APT组织怎么做到的? 将机要系统与任
继续阅读【漏洞预警】Mitel MiCollab SQL注入漏洞 cexlife 飓风网络安全 2024-10-12 19:39 漏洞描述: Mitel发布关于MiCollab软件中高严重性SQL注入漏洞的安全公告,此漏洞源于用户输入未充过滤,攻击者可通过特制请求进行SQL注入攻击。若被利用,攻击者可能获取非敏感用户配置数据,还能执行任意SQL数据库查询使系统无法正常运行,建议受影响客户及时升级到最新版本
继续阅读致远oa表单导入任意文件写入漏洞分析 原创 莫大130 安全逐梦人 2024-10-12 19:34 环境搭建 1 2 链接:https://pan.baidu.com/s/1d9BgbCkV82WG1TCwXvmMDA?pwd=h7kz 提取码:h7kz (1)安装mysql数据库(针对A8版本)。创建一个新的数据库,字符集设置为UTF-8。如果是A6版本,如 A6v6.1、A6v6.1sp1、
继续阅读【安全圈】GitLab 曝出严重漏洞,可能导致任意 CI/CD 管道执行 安全圈 2024-10-12 19:00 关键词 安全漏洞 近日,GitLab 发布了社区版(CE)和企业版(EE)的安全更新,以解决八个安全漏洞,其中包括一个可能允许在任意分支上运行持续集成和持续交付(CI/CD)管道的关键漏洞。该漏洞被跟踪为 CVE-2024-9164,CVSS 得分为 9.6(满分 10 分),攻击者
继续阅读BlueCMS 1.6漏洞复现CVE-2024-45894任意删除文件漏洞+SQL注入 原创 TEST安全 TEST安全 2024-10-12 17:42 BlueCMS 1.6漏洞复现 CVE-2024-45894任意删除文件漏洞+SQL注入 BlueCMS 1.6 安装包下载: http://www.xsssql.com/wp-content/uploads/2024/10/bluecms-m
继续阅读Hoverfly 任意文件读取漏洞(CVE-2024-45388) 原创 标准云 蚁景网络安全 2024-10-12 17:36 漏洞简介 Hoverfly 是一个为开发人员和测试人员提供的轻量级服务虚拟化/API模拟/API模拟工具。其 /api/v2/simulation 的 POST 处理程序允许用户从用户指定的文件内容中创建新的模拟视图。然而,这一功能可能被攻击者利用来读取 Hoverfl
继续阅读CVE-2024-38816 Spring路径穿越漏洞分析复现 原创 xaitx 天启实验室 2024-10-12 17:28 漏洞介绍 Spring Framework 是一个功能强大的 Java 应用程序框架,旨在提供高效且可扩展的开发环境。 2024年9月13日,监测到Spring Framework中修复了一个路径遍历漏洞(CVE-2024-38816),该漏洞的CVSS评分为7.5。 S
继续阅读【在野利用】Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险通告 奇安信 CERT 2024-10-12 17:02 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Mozilla Firefox Animation timelines 释放后重用漏洞 漏洞编号 QVD-2024-42093,CVE-2024-9680 公开时间 2024-1
继续阅读个人数据资产可以变现了?国家数据局已官方辟谣;Palo Alto紧急修复多个严重的防火墙劫持漏洞 | 牛览 安全牛 2024-10-12 12:01 点击蓝字·关注我们 / aqniu 新闻速览 • 个人数据资产可以变现了?国家数据局已官方辟谣 •中央网信办部署开展“清朗·规范网络语言文字使用”专项行动 •欧盟通过《网络韧性法案》,全面提升数字产品安全标准 •微软将在新版Windows系统中
继续阅读漏洞案例:提升Self-XSS危害 原创 玲珑安全 芳华绝代安全团队 2024-10-11 22:47 Self-XSS利用1 目标应用程序为某在线商店,在其注册页面的First Name字段中注入XSS Payload: 注册成功,但当我尝试登录我的帐户时,界面显示403 Forbidden,即无法登录我的帐户。 我很好奇为什么我无法登录我的帐户,所以我打开了 Burp 并拦截了登录请求,以查看
继续阅读漏洞推送|某户协同办公平台GeneralWeb_XXE漏洞 小白菜安全 2024-10-11 21:08 漏洞描述 万户ezOFFICE协同管理平台是一个综合信息基础应用平台。 万户协同办公平台ezoffice GeneralWeb存在xxe漏洞。 资产信息 hunter:app.name=”万户 Ezoffice OA” 漏洞复现 dnslog POC POST /def
继续阅读同望OA tooneAssistantAttachement.jsp 任意文件读取漏洞 Superhero Nday Poc 2024-10-11 20:04 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时
继续阅读研究人员在Windows版的SVN中发现代码执行漏洞 流苏 FreeBuf 2024-10-11 19:47 Apache Subversion(SVN)是一款广受开发者欢迎的版本控制系统,用于维护源代码、网页和文档。最近,Apache Subversion中发现了一个关键的安全漏洞,CVE-2024-45720(CVSS评分8.2)。该漏洞主要影响Windows平台,可能导致命令行参数注入,从而
继续阅读Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业 小薯条 FreeBuf 2024-10-11 19:47 勒索软件团伙现在利用一个关键的安全漏洞,让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现,该安全漏洞(现在被追踪为CVE-202
继续阅读【安全圈】Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业 安全圈 2024-10-11 19:01 关键词 勒索软件 勒索软件团伙现在利用一个关键的安全漏洞,让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现,该安全漏洞(现在被追踪为C
继续阅读Ruby-SAML Bypass && GitLab SAML Bypass(CVE-2024-45409) 原创 L0ne1y 安全之道 2024-10-11 18:26 注:由于本地源码启动死活有问题故后续分析全为静态分析,故可能存在部分错误之处。 漏洞复现 漏洞分析 漏洞流程 在Gitlab中引入了omniauth这个三方库实现SAML认证功能(关于该库详细信息: https
继续阅读GitLab:注意严重的任意分支管道执行漏洞 Bill Toulas 代码卫士 2024-10-11 17:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab 发布安全更新,修复了位于社区版 (CE) 和企业版 (EE) 中的多个漏洞,其中一个是严重的任意分支管道执行漏洞 (CVE-2024-9164)。 该漏洞可导致未授权用户在仓库的任何分支上触发持续集成/持续交付 (CI
继续阅读【漏洞通告】Mozilla Firefox Animation timelines远程代码执行漏洞(CVE-2024-9680) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-11 17:24 漏洞名称: Mozilla Firefox Animation timelines 远程代码执行漏洞(CVE-2024-9680) 组件名称: Mozilla-firefox 影响范围: Fir
继续阅读【漏洞通告】GitLab EE 权限绕过漏洞(CVE-2024-9164) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-11 17:24 漏洞名称: GitLab EE 权限绕过漏洞(CVE-2024-9164) 组件名称: GitLab 影响范围: 12.5 ≤ GitLab EE < 17.2.917.3 ≤ GitLab EE < 17.3.517.4 ≤ GitL
继续阅读.NET 一款事件查看器反序列化漏洞绕过UAC的工具 原创 专攻.NET安全的 dotNet安全矩阵 2024-10-11 08:20 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用
继续阅读【工具】Poc扫描图形化工具-脚本小子必备神器 原创 lemonlove7 鹏组安全 2024-10-10 23:58 由于微信公众号 推送机制改变了,快来 星标不再迷路,谢谢大家! 在攻防演练中,红队通常需要快速打点,尽快发现系统中的漏洞,并利用它们获取权 限。 工具支持检测多款重点系统(如:用友、海康威视、大华、宏景…)多种常见漏洞.工具提供直观友好的图像化界面,用户能够轻松
继续阅读【漏洞预警】Laravel Livewire 文件上传限制不当漏洞可致远程代码执行 cexlife 飓风网络安全 2024-10-10 22:45 漏洞描述:Laravel Livewire发布新版本,修复了一处文件上传限制不当漏洞,可致远程代码执行,该漏洞是由于Laravel Livewire文传文件时根据MIME 类型猜测文件扩展名,而不验证文件名中的实际文件扩展名,攻击者可上传具有有效M
继续阅读【漏洞预警】GitLab CE/EE关键更新修复多个高危漏洞 cexlife 飓风网络安全 2024-10-10 22:45 漏洞描述:GitLab官方发布了GitLab Community Edition(CE)和Enterprise Edition(EE)17.4.2、17.3.5 和 17.2.9更新版本,这些版本包含重要的漏洞修复和安全补丁,共修复8个安全漏洞,其中包括1个严重漏洞,4个高
继续阅读【漏洞预警】Apache Subversion命令注入漏洞CVE-2024-45720 cexlife 飓风网络安全 2024-10-10 22:45 漏洞描述: ApacheSubversion发布了关于CVE-2024-45720的安全通告,在Windows平台上Subversion的可执行文件(如 svn.exe 等)进行 “最佳匹配” 字符编码转换命令行参数时可能导致意外的命令行参数解释,
继续阅读NodeJS 0day!代码安全为何重要 —突破强化的环境 一个不正经的黑客 一个不正经的黑客 2024-10-10 22:11 基础设施强化能够使应用程序在面对攻击时更具韧性。 这些安全措施提高了攻击者的入侵难度,给他们设置了更多的障碍。然而,这并非万能之策,因为决心坚定的攻击者依然可以通过源代码中的漏洞发起攻击。 在本篇博文中,我们将通过展示一种攻击技术,强调基础代码安全的重要性。 该技术展示
继续阅读福利 | 超低价三日SRC漏洞挖掘课重磅上线 Timeline Sec 2024-10-10 22:01 重磅福利!超低价SRC课程! 原价 199 ,限量1折,前20名19.9元即可上车 连续三天10月14至10月16,每晚20:00-21:00 带你学会三类高赏金漏洞,实现高危严重的突破! 学习流程👇 扫码报名 – 领取资料 – 进群听课 相关讲师介绍
继续阅读