JeecgBoot 权限绕过致AviatorScript表达式注入漏洞
JeecgBoot 权限绕过致AviatorScript表达式注入漏洞 Superhero Nday Poc 2024-10-10 21:51 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即
继续阅读月度归档: 2024 年 10 月
微信公众号小说漫画系统 fileupload.php 任意文件上传漏洞复现
微信公众号小说漫画系统 fileupload.php 任意文件上传漏洞复现 原创 fgz AI与网安 2024-10-10 21:08 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 微信公众号小说漫画系统 fileupload.php 任意文件上
继续阅读CVE-2024-46627
CVE-2024-46627 原创 fgz AI与网安 2024-10-10 21:08 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 DATAGERRY REST API 身份验证绕过漏洞 02 — 漏洞影响 DATAGERRY 2.2版本 0
继续阅读【漏洞通告】Windows 路由和远程访问服务 (RRAS) 远程代码执行漏洞
【漏洞通告】Windows 路由和远程访问服务 (RRAS) 远程代码执行漏洞 安迈信科应急响应中心 2024-10-10 20:05 01 漏洞概况微软披露最新的远程代码执行超高危漏洞CVE-2024-38077, CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server 2000到Windows Server 2025所有版本,
继续阅读【漏洞通告】Linux 版 Visual Studio Code 远程代码执行漏洞
【漏洞通告】Linux 版 Visual Studio Code 远程代码执行漏洞 安迈信科应急响应中心 2024-10-10 20:05 01 漏洞概况Visual Studio Code(VS Code)的远程开发功能中被发现存在一个代码执行漏洞。这个漏洞是由于远程开发功能处理远程机器上的文件时未能正确地进行安全限制,允许攻击者在远程服务器上执行恶意代码。 02 漏洞处置综合处置优先级:高漏
继续阅读Mozilla 修复已遭利用的 Firefox 0day漏洞
Mozilla 修复已遭利用的 Firefox 0day漏洞 Bill Toulas 代码卫士 2024-10-10 18:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 发布紧急安全更新,修复了 Firefox 浏览器中的一个严重的释放后使用漏洞 (CVE-2024-9680),目前该漏洞已遭利用。 该漏洞由 ESET 公司的研究员 Damien Schaeffer发
继续阅读微软2024年10月补丁日重点漏洞安全预警
微软2024年10月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-10-10 16:02 补丁概述 2024 年 10 月 8 日,微软官方发布了 10 月安全更新,针对 117 个 Microsoft CVE 和 4 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 3 个严重漏洞(Critical)、113 个重要漏洞(
继续阅读「推安早报」1010 | 近期漏洞、红蓝工具
「推安早报」1010 | 近期漏洞、红蓝工具 red4blue 甲方安全建设 2024-10-10 11:28 # 2024-10-10 「红蓝热点」每天快人一步 > 1. 推送「新、热、赞」,帮部分人阅读提效 2. 学有精读浅读深读,艺有会熟精绝化,觉知此事重躬行。推送只在浅读预览 3. 机读为主,人工辅助,每日数万网站,10w推特速读 4. 推送可能大众或小众,不代表本人偏好或认可 5.
继续阅读MediaTek MT7622/MT7915 芯片组驱动程序RCE 利用 CVE-2024-20017 4 种不同的方式
MediaTek MT7622/MT7915 芯片组驱动程序RCE 利用 CVE-2024-20017 4 种不同的方式 合规渗透 2024-10-09 20:45 原文:https://blog.coffinsec.com/0day/2024/08/30/exploiting-CVE-2024-20017-four-different-ways.html – 介绍 背景 漏洞 1:通
继续阅读【漏洞预警】微软2024年10月补丁日多个安全漏洞
【漏洞预警】微软2024年10月补丁日多个安全漏洞 cexlife 飓风网络安全 2024-10-09 20:16 漏洞描述: 近日,微软官方发布了10月安全更新,修复了合计117个安全漏洞,其中,包含2个严重漏洞(Critical)、75 个高危漏洞(Important)和 40 个中危漏洞(Moderate),其中2个漏洞(CVE-2024-43572,CVE-2024-43573)在攻击中被
继续阅读【漏洞预警】Ivanti CSA 需授权 命令注入漏洞
【漏洞预警】Ivanti CSA 需授权 命令注入漏洞 cexlife 飓风网络安全 2024-10-09 20:16 漏洞描述:Ivanti发布安全公告,修复了3个安全漏洞,其中包括一个影响Ivanti CSA 5.0.2之前版本的命令注入漏洞,该漏洞是由于Ivanti CSA的管理Web 控制台中对用户数据过滤不当,远程经过身份验证的攻击者如果具有管理员权限则可以利用该漏洞执行远程代码,该漏洞
继续阅读【漏洞预警】Google Chrome类型混淆漏洞CVE-2024-9602
【漏洞预警】Google Chrome类型混淆漏洞CVE-2024-9602 cexlife 飓风网络安全 2024-10-09 20:16 漏洞描述: Google Chrome发布新版本,新版本修复了多个安全漏洞,其中包括一个Javascript中的类型混淆漏洞,允许远程攻击者通过特制的HTML页面潜在地利用堆损坏,此类漏洞通常会在成功破坏堆内存后,导致浏览器崩溃或执行任意代码。修复建议:正式
继续阅读微软 2024 年 10 月补丁星期二:已修补零日漏洞和严重漏洞
微软 2024 年 10 月补丁星期二:已修补零日漏洞和严重漏洞 原创 星空浪子 星空网络安全 2024-10-09 19:48 微软于 2024 年 10 月的补丁星期二发布了一组重要的安全更新,解决了其生态系统中总共 121 个漏洞。其中包括三个严重漏洞和 114 个标记为重要的漏洞,涵盖了微软的广泛服务和软件。 零日漏洞受到攻击 本月的补丁修复了两个已被广泛利用的零日漏洞。其中最令人担忧的是
继续阅读Microsoft 10 月 CVE 漏洞预警
Microsoft 10 月 CVE 漏洞预警 网新安服 2024-10-09 18:31 点击上方蓝字关注我们,获取最新消息 1 基本情况 10 月份,Microsoft 发布了 117 个漏洞补丁,解决了 Microsoft Windows 和 Windows 组件、Office 和 Office 组件、 Azure、.NET 框架 和 Visual Studio、适用于 Windows 的
继续阅读2024-10微软漏洞通告
2024-10微软漏洞通告 火绒安全 火绒安全 2024-10-09 18:27 微软官方发布了2024年10月的安全更新。本月更新公布了165个漏洞,包含43个远程执行代码漏洞、28个特权提升漏洞、26个拒绝服务漏洞、7个身份假冒漏洞、7个安全功能绕过漏洞、6个信息泄露漏洞、1个篡改漏洞,其中3个漏洞级别为“Critical”(高危),114个为“Important”(严重)。建议用户及时使用火
继续阅读最新Ruoyi漏洞复现
最新Ruoyi漏洞复现 原创 LULU 红队蓝军 2024-10-09 18:00 漏洞影响:若依4.7.8版本 漏洞成因 在 ruoyi 4.7.5 版本之前,后台接口/tool/gen/createTable处存在 sql 注入(CVE-2022-4566) 找到genTableService的实现类:GenTableServiceImpl,该类同样满足黑白名单条件 对应的 Mapper 语句
继续阅读微软10月 Win10 / Win11 更新修复118个漏洞:5个零日,3个“关键”
微软10月 Win10 / Win11 更新修复118个漏洞:5个零日,3个“关键” 看雪学苑 看雪学苑 2024-10-09 17:59 在10月的补丁星期二活动日中,微软公司发布了针对 Windows 10、Windows 11系统的安全更新,此次更新共修复了118个安全漏洞,其中包括5个零日漏洞,3 个“关键”(critical)级别的高危漏洞。 据悉,有证据表明黑客已经利用其中的2个零日漏
继续阅读【漏洞通告】Redis 缓冲区溢出漏洞(CVE-2024-31449)
【漏洞通告】Redis 缓冲区溢出漏洞(CVE-2024-31449) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-09 17:37 漏洞名称: Redis 缓冲区溢出漏洞(CVE-2024-31449) 组件名称: Redis 影响范围: 2.6 ≤ Redis < 6.2.167.0.0 ≤ Redis < 7.2.67.4.0 ≤ Redis < 7.4.1
继续阅读微软十月补丁星期二值得关注的漏洞
微软十月补丁星期二值得关注的漏洞 Lawrence Abrams 代码卫士 2024-10-09 17:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本月,微软共修复117个漏洞,其中5个是0day漏洞。其中包括28个提权漏洞、7个安全特性绕过漏洞、43个远程代码执行漏洞、6个信息泄露漏洞、26个拒绝服务漏洞和7个欺骗漏洞。 本次微软共修复5个0day漏洞,其中2个已遭活跃利用,而所
继续阅读Ivanti 中的3个0day已遭活跃利用
Ivanti 中的3个0day已遭活跃利用 Sergiu Gatlan 代码卫士 2024-10-09 17:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司提醒称影响其云服务设备 (CSA) 的三个新漏洞已遭在野活跃利用。 这些0day漏洞与CSA中上个月修复的另外一个漏洞组合利用。这些漏洞遭成功利用可导致具有管理员权限的认证攻击者绕过限制、运行任意SQL语句或获得
继续阅读涉及121个漏洞!微软发布10月补丁日安全通告
涉及121个漏洞!微软发布10月补丁日安全通告 你信任的 亚信安全 2024-10-09 17:20 近日,亚信安全CERT监测到微软10月补丁日发布了针对121个漏洞的修复补丁。其中,3个漏洞被评为紧急,3个漏洞被评为高危,113个漏洞被评为重要,2个漏洞被评为中等,其中共包括28个特权提升漏洞,46个远程代码执行漏洞,26个拒绝服务漏洞,6个信息泄漏漏洞,7个欺骗漏洞,1个恶意篡改漏洞,7个安
继续阅读漏洞推送|用友U8CRM_fillbacksettingedit_存在SQL注入漏洞
漏洞推送|用友U8CRM_fillbacksettingedit_存在SQL注入漏洞 小白菜安全 2024-10-09 16:59 漏洞描述 用友U8-CRM是企业利用信息技术,是一项商业策略,它通过依据市场细分组织企业资源、培养以客户为中心的经营行为、执行以客户为中心的业务流程等手段来优化企业的客户满意度和获利能力。用友U8-CRM fillbacksettingedit 存在SQL注入漏洞。
继续阅读信息安全漏洞周报(2024年第40期 )
信息安全漏洞周报(2024年第40期 ) CNNVD CNNVD安全动态 2024-10-09 15:51 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年9月23日至2024年9月29日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞556个。 接报漏洞情况 本周CNNVD接报漏洞20204个,其中信息技术产品漏洞(通用型漏洞)239
继续阅读雷神众测漏洞周报2024.09.30-2024.10.07
雷神众测漏洞周报2024.09.30-2024.10.07 原创 雷神众测 雷神众测 2024-10-09 15:05 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读威胁行为者利用GeoServer漏洞CVE-2024-36401
威胁行为者利用GeoServer漏洞CVE-2024-36401 船山信安 2024-10-09 15:00 受影响的平台: GeoServer 2.23.6、2.24.4和2.25.2之前的版本 受影响的用户: 任何组织 影响: 远程攻击者可以控制易受攻击的系统 严重性等级: 严重 GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。它是开放地理空间联盟(OG
继续阅读【漏洞通告】微软10月多个安全漏洞
【漏洞通告】微软10月多个安全漏洞 启明星辰安全简讯 2024-10-09 14:52 一、漏洞概述 2024年10月9日,启明星辰集团VSRC监测到微软发布了10月安全更新,本次更新共修复了118个漏洞(不包括之前修复的3个Edge漏洞),漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。 本次安全更新中包括5个已经公开披露的0 day漏洞,其
继续阅读第四期 | 补天校园GROW计划漏洞挖掘挑战赛,赢白帽大会门票!
第四期 | 补天校园GROW计划漏洞挖掘挑战赛,赢白帽大会门票! 补天平台 补天平台 2024-10-09 10:47 补天校园GROW计划 – 团队 – 第四期 · 漏洞挖掘实战 2024补天校园GROW计划截止目前已举办过2次线上白帽导师技术分享+3期漏洞挖掘实战,新的一期冒险又双叒叕来啦。网络安全领域需要多学科、多角色的合作。 期待你们通过团队集体的力量 ,突破每一个
继续阅读微软10月补丁日多个产品安全漏洞风险通告:2个在野利用、3个紧急漏洞
微软10月补丁日多个产品安全漏洞风险通告:2个在野利用、3个紧急漏洞 奇安信 CERT 2024-10-09 09:12 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年10月补丁日多个产品安全漏洞 影响产品 Microsoft Management Console、 Windows MSHTML Platform、Microsoft Configuration
继续阅读「0day」通过 iTunes 入侵 Windows – 本地权限提升
「0day」通过 iTunes 入侵 Windows – 本地权限提升 原创 7coinSec 7coinSec 2024-10-08 23:54 免责声明 本文章仅用于信息安全防御技术分享, 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关 ,请严格遵循法律法规。
继续阅读【漏洞预警】Redis缓冲区溢出漏洞可致远程代码执行
【漏洞预警】Redis缓冲区溢出漏洞可致远程代码执行 cexlife 飓风网络安全 2024-10-08 22:41 漏洞描述: Redis发布安全公告,修复了多个安全漏洞,其中包括一个缓冲区溢出漏洞,可致远程代码执行,经过身份验证的用户可能通过精心制作的Lua脚本在位库中触发堆栈缓冲区溢出,该问题存在于具有Lua脚本功能的Redis中,已在Redis版本6.2.16、7.2.6和7.4.1中修复
继续阅读