月度归档： 2024 年 11 月

【漏洞预警】Spring Security大小写敏感校验鉴权绕过风险CVE-2024-38827 cexlife 飓风网络安全 2024-11-22 13:51 漏洞描述: SpringSecurity是开源的身份验证和访问控制框架,由于java语言中String.toLowerCase()、String.toUpperCase()方法与语言地区(Locale)相关,在Spring Securit

麻省理工发布2024年最危险的漏洞TOP 25 老布 FreeBuf 2024-11-22 11:30 麻省理工学院（MITRE）收集、分析了2023年6月至2024年6月之间披露3.1万个漏洞，并发布了2024年最危险的软件漏洞TOP 25名单。 该名单可以帮助企业评估企业基础设施的安全情况，MITRE表示：“如果企业的基础设施涉及相关的漏洞弱点，就可能受到未知黑客的攻击，包括全完接管系统、窃取

AI自动挖洞不是梦，谷歌AI工具OSS-FASZ发现26个开源漏洞 bug胤 FreeBuf 2024-11-22 11:30 谷歌透露，基于人工智能的模糊工具OSS-Fuzz 已被用于帮助识别各种开源代码库中的26个漏洞，包括 OpenSSL 加密库中的一个中度漏洞。这一事件代表了自动化漏洞发现的一个里程碑：每个漏洞都是使用AI发现的，利用AI生成和增强的模糊测试目标。 提到的OpenSSL漏洞

【安全圈】AI自动挖洞不是梦，谷歌AI工具OSS-FASZ又发现26个开源漏洞 安全圈 2024-11-22 11:04 关键词 安全漏洞 谷歌透露，其基于人工智能的模糊工具OSS-Fuzz 已被用于帮助识别各种开源代码库中的26个漏洞，包括 OpenSSL 加密库中的一个中度漏洞。这一事件代表了自动化漏洞发现的一个里程碑：每个漏洞都是使用AI发现的，利用AI生成和增强的模糊测试目标。 提到的Op

Src漏洞挖掘-拼出来的严重漏洞 Z2O安全攻防 2024-11-22 09:42 No.0 前言 挖洞就是要多思考，我是爱思考的张三，给大家分享一个严重漏洞的挖掘思路。 ，我是 No.2 实战过程 1、A站点重置密码处需要提供账号即学号，以及姓名，接下来需要信息收集到姓名，学号，以及后面会用到的手机号。 2、主站SSO重置密码输入工号即学号，通过信息收集到证书站学号 语法，site:xxx.ed

7zip 远程代码执行漏洞预警，需手动更新 二道情报贩子 2024-11-22 07:10 7-zip zstandard 解压缩整数下溢远程代码执行漏洞 CVE 编号 CVE-2024-11477漏洞 CVSS 评分 7.8 漏洞详情 此漏洞允许远程攻击者在受影响的 7-Zip 安装上执行任意代码。要利用此漏洞，需要与此库交互，但攻击媒介可能因实施而异。 具体缺陷存在于 Zstandard 解压

苹果修复了在英特尔 Mac 攻击中使用的两个零日漏洞 胡金鱼 嘶吼专业版 2024-11-22 06:01 本周，苹果发布了紧急安全更新提示，用于修复两个零日漏洞，这些漏洞针对英特尔的 Mac 系统攻击。据了解，这些是在 macOS 的 macOS Sequoia JavaScriptCore (CVE-2024-44308) 和 WebKit (CVE-2024-44309) 组件中发现的。 J