漏洞预警 | 用友YonBIP R5旗舰版任意文件读取漏洞
漏洞预警 | 用友YonBIP R5旗舰版任意文件读取漏洞 浅安 浅安安全 2024-11-21 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友YonBIP R5旗舰版是用友网络科技股份有限公司推出的一款企业级管理软件,广泛应用于大中型企业的资源管理、数据分析和业务流程自动化等领域。 0x03 漏洞详情 漏洞类型: 任意
继续阅读月度归档: 2024 年 11 月
漏洞预警 | JeecgBoot表达式注入漏洞
漏洞预警 | JeecgBoot表达式注入漏洞 浅安 浅安安全 2024-11-21 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 JeecgBoot是一款基于代码生成器的低代码开发平台。前后端分离架构 SpringBoot2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shi
继续阅读漏洞预警 | GitLab未授权访问漏洞
漏洞预警 | GitLab未授权访问漏洞 浅安 浅安安全 2024-11-21 00:01 0x00 漏洞编号 – CVE-2024-9693 0x01 危险等级 – 高危 0x02 漏洞概述 GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 0x03 漏洞详情 CVE-2024-9693 漏洞类型: 未授权访
继续阅读Palo Alto 防火墙0day漏洞 CVE-2024-0012 和 CVE-2024-9474 检测POC&EXP
Palo Alto 防火墙0day漏洞 CVE-2024-0012 和 CVE-2024-9474 检测POC&EXP 李白你好 2024-11-21 00:00 免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1►
继续阅读事关个人,5G基带存在重大安全漏洞!黑客可直接监控手机。
事关个人,5G基带存在重大安全漏洞!黑客可直接监控手机。 原创 山西哥谭小丑 明暗安全 2024-11-20 16:03 5G基带安全漏洞曝光,黑客可轻松监控手机,华为能否规避? 2024年初,全球网络安全会议上,宾夕法尼亚大学的研究团队发布了一项惊人的报告:全球5G基带存在重大安全漏洞,黑客可通过这一漏洞悄无声息地监控用户手机。这一发现不仅震惊了全球通信行业,也让普通用户对手机的安全性产生了巨大
继续阅读最新Invicti-Professional-V24.11 WEB漏洞扫描器更新|近期漏洞合集更新
最新Invicti-Professional-V24.11 WEB漏洞扫描器更新|近期漏洞合集更新 原创 城北 渗透安全HackTwo 2024-11-20 16:00 前言 内部星球近期漏洞验真合集更新|漏洞威胁情报更新 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 In
继续阅读oss存储桶遍历漏洞利用脚本(11月18日更新)
oss存储桶遍历漏洞利用脚本(11月18日更新) 网络安全者 2024-11-20 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。 0x01 工具介绍 存储桶
继续阅读【漏洞预警】Wget服务器端请求伪造漏洞(CVE-2024-10524)
【漏洞预警】Wget服务器端请求伪造漏洞(CVE-2024-10524) cexlife 飓风网络安全 2024-11-20 13:55 漏洞描述: GNU Wget是一个广泛使用的开源命令行工具,主要用于从网络上下载文件,它由GNU项目开发,支持 HTTP、HTTPS和FTP协议,因此可以用于从各种类型的网络服务器获取文件,Wget中存在一个解析不当导致的服务器端请求伪造漏洞(CVE-2024-
继续阅读【漏洞预警】Oracle Agile PLM框架未授权 可致敏感信息泄露CVE-2024-21287
【漏洞预警】Oracle Agile PLM框架未授权 可致敏感信息泄露CVE-2024-21287 cexlife 飓风网络安全 2024-11-20 13:55 漏洞描述: Oracle Agile PLM (Product Lifecycle Management) Framework是Oracle提供的一种产品生命周期管理解决方案,旨在帮助企业有效地管理产品的整个生命周期,包括从概念设计到
继续阅读网安瞭望台第 2期:零日漏洞密集爆发、2024年常见网络安全漏洞类型及分析
网安瞭望台第 2期:零日漏洞密集爆发、2024年常见网络安全漏洞类型及分析 原创 扬名堂 东方隐侠安全团队 2024-11-20 12:20 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 Ubuntu 服务器 Needrestart 软件包惊现严重安全漏洞 近日,Ubuntu 服务器(自 21.04 版本起默认安装)
继续阅读美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露;ChatGPT沙箱环境存多个严重安全隐患,仅20%漏洞被修复 | 牛览
美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露;ChatGPT沙箱环境存多个严重安全隐患,仅20%漏洞被修复 | 牛览 安全牛 2024-11-20 12:16 点击蓝字·关注我们 / aqniu 新闻速览 •2024年世界互联网大会“互联网之光”博览会在浙江乌镇开幕 •《工业和信息化领域数据安全合规指引》联合发布 •美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露 •ClickFi
继续阅读Apple 发布紧急更新以修补被积极利用的零日漏洞
Apple 发布紧急更新以修补被积极利用的零日漏洞 信息安全大事件 2024-11-20 11:55 Apple 发布了适用于 iOS 、 iPadOS 、 macOS 、 visionOS 及其 Safari Web 浏览器的安全更新,以解决在野外被积极利用的两个零日漏洞。 缺陷如下所列 : – CVE-2024-44308- JavaScriptCore 中的一个漏洞,在处理恶意
继续阅读苹果确认针对 macOS 系统的零日漏洞攻击
苹果确认针对 macOS 系统的零日漏洞攻击 原创 hackerson 黑客联盟l 2024-11-20 11:32 苹果已紧急推出重大的 macOS 和 iOS 安全更新,以修复两个已被利用的漏洞。 苹果在周二发布的一份公告中证实,这些漏洞由谷歌的威胁分析小组(TAG)发现,正在基于英特尔处理器的 macOS 系统上被积极利用。 按照惯例,苹果的安全响应团队并未提供所报告攻击的任何细节或失陷指标
继续阅读vulnhuntr:基于大语言模型和静态代码分析的漏洞扫描与分析工具
vulnhuntr:基于大语言模型和静态代码分析的漏洞扫描与分析工具 Alpha_h4ck FreeBuf 2024-11-20 11:27 关于vulnhuntr vulnhuntr是一款基于大语言模型和静态代码分析的安全漏洞扫描与分析工具,该工具可以算得上是世界上首款具备自主AI能力的安全漏洞扫描工具。 Vulnhuntr 利用 LLM 的强大功能自动创建和分析整个代码调用链,从远程用户输入开
继续阅读紫光档案管理系统 mergeFile SQL注入漏洞
紫光档案管理系统 mergeFile SQL注入漏洞 原创 CatalyzeSec CatalyzeSec 2024-11-20 11:24 FOFA app="紫光-档案管理系统" POC POST /Archive/ErecordManage/mergeFile HTTP/1.1 Host: Cache-Control: max-age=0 Accept-Language:
继续阅读周鸿祎世界互联网大会谈中国大模型发展:应扬长避短 选择自己的道路
周鸿祎世界互联网大会谈中国大模型发展:应扬长避短 选择自己的道路 360数字安全 2024-11-20 11:19 NEWS TODAY 11月20日,2024年世界互联网大会乌镇峰会在浙江乌镇举行,360集团创始人周鸿祎在全体会议上发表以“拥抱专业大模型,引领新工业革命发展”为题的主旨演讲时表示,大模型的出现将引领人类进入智能化时代,并成为新一轮工业革命的驱动引擎。他同时提出,中国的大模型产业发
继续阅读【安全圈】苹果发布紧急安全更新修复WebKit引擎中的漏洞 黑客已经利用漏洞展开攻击
【安全圈】苹果发布紧急安全更新修复WebKit引擎中的漏洞 黑客已经利用漏洞展开攻击 安全圈 2024-11-20 11:00 关键词 安全漏洞 苹果本周发布安全公告宣布对 WebKit 引擎的两处高危安全漏洞进行修复,值得注意的是这些漏洞在修复前已经遭到黑客的积极利用,因此属于零日漏洞的范畴。 CVE-2024-44308: 黑客可以通过特制的 Web 内容导致任意代码执行,苹果获得的报告称该漏
继续阅读一文读懂SSRF漏洞
一文读懂SSRF漏洞 simple学安全 simple学安全 2024-11-20 10:56 目录 简介 SSRF全称服务器端请求伪造,是一种由攻击者构造请求,由服务器端发起请求的漏洞,正由于这一点,SSRF攻击的目标是外网无法访问的内网系统。 漏洞出现的原因是web应用程序提供了从其他服务器应用获取数据的功能,却没有对目标地址做过滤和限制。导致存在漏洞的应用成为攻击者的跳板机。 漏洞利用 1、
继续阅读DataCon晚自习 | 浅谈大模型辅助漏洞挖掘
DataCon晚自习 | 浅谈大模型辅助漏洞挖掘 eeuk DataCon大数据安全分析竞赛 2024-11-20 10:43 本文转载自“奇安信天工实验室” DataCon2024 正在如火如荼地进行,本次竞赛漏洞分析赛道题目融入了大模型的背景,以探索大模型在漏洞挖掘工作中的利用,本篇文章将为大家讲述大模型辅助漏洞挖掘相关内容,参赛者必看哦。 目 录 一、前 言 二、函数级别漏洞检测 三、代码
继续阅读CVE-2024-20767 和 CVE-2024-21216 的补救措施:保护自己免受最近两个可在野外利用的严重漏洞的侵害
CVE-2024-20767 和 CVE-2024-21216 的补救措施:保护自己免受最近两个可在野外利用的严重漏洞的侵害 Ots安全 2024-11-20 10:39 CVE-2024-20767- ColdFusion 路径遍历可能导致读取重要数据 CVE-2024-20767是 ColdFusion 版本 2023.6、2021.12 及更早版本中的一个漏洞。这些版本受到不当访问控制漏洞的
继续阅读【成功复现】D-Link NAS远程命令执行漏洞(Cookie)
【成功复现】D-Link NAS远程命令执行漏洞(Cookie) 原创 弥天安全实验室 弥天安全实验室 2024-11-20 10:30 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍D-Link DNS-320等都是中国友讯(D-Link)公司的一款NAS(网络附属存储)设备。D-Link NAS设备的
继续阅读「漏洞复现」ArcGIS 地理信息系统 任意文件读取漏洞
「漏洞复现」ArcGIS 地理信息系统 任意文件读取漏洞 冷漠安全 冷漠安全 2024-11-20 10:18 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自
继续阅读CNNVD | 关于Apache OFBiz安全漏洞的通报
CNNVD | 关于Apache OFBiz安全漏洞的通报 中国信息安全 2024-11-20 10:12 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于Apache OFBiz安全漏洞(CNNVD-202411-2279、CVE-2024-47208)情况的报送。攻击者可以利用漏洞向目标发送恶意请求,通
继续阅读苹果紧急发布安全更新,修复影响英特尔Mac的两个零日漏洞
苹果紧急发布安全更新,修复影响英特尔Mac的两个零日漏洞 看雪学苑 看雪学苑 2024-11-20 10:06 苹果公司针对基于英特尔处理器的Mac系统发布了紧急安全更新,修复了两个被积极利用的零日漏洞。这些漏洞涉及macOS的JavaScriptCore和WebKit组件,可能允许攻击者通过恶意网页内容执行任意代码或发起跨站脚本攻击。 苹果公司在11月19日发布了紧急安全更新,以修复两个零日漏洞
继续阅读第十三期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示
第十三期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示 原创 安钥 方桥安全漏洞防治中心 2024-11-20 10:00 锤炼安全金钥,共筑安全防线 安钥®「漏洞处置标准作业程序(SOP)」征文启示 第13期 11月20日 – 11月30日 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补
继续阅读苹果紧急修复已遭利用的两个0day
苹果紧急修复已遭利用的两个0day 代码卫士 2024-11-20 09:30 聚焦源代码安全,网罗国内外最新资讯! 作者:Lawrence Abrams 编译:代码卫士 苹果紧急修复了两个0day 漏洞,它们被用于针对基于 Intel 的 Mac 系统攻击活动中。 这两个0day漏洞位于 macOS Sequoia JavaScriptCore (CVE-2024-44308) 和 macOS
继续阅读【已复现】宝兰德BES应用服务器反序列化致远程代码执行漏洞
【已复现】宝兰德BES应用服务器反序列化致远程代码执行漏洞 长亭安全应急响应中心 2024-11-20 09:12 宝兰德BES应用服务器(BESAppServer)是一款遵循JavaEE和JakartaEE规范的企业级中间件,提供Web容器、EJB容器、JMS容器、事务服务、JNDI服务等关键组件,为企业级应用提供稳定、安全、高效的运行平台。2024年11月,宝兰德官方发布安全补丁修复了一个反序
继续阅读信息安全漏洞周报(2024年第47期)
信息安全漏洞周报(2024年第47期) 原创 CNNVD CNNVD安全动态 2024-11-20 09:05 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周2024年11月11日至2024年11月17日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1056个。 接报漏洞情况 本周CNNVD接报漏洞27335个,其中信息技术产品漏洞(通用型漏洞)244
继续阅读CNNVD关于Apache OFBiz安全漏洞的通报
CNNVD关于Apache OFBiz安全漏洞的通报 原创 CNNVD CNNVD安全动态 2024-11-20 09:05 点击蓝字 关注我们 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于Apache OFBiz安全漏洞(CNNVD-202411-2279、CVE-2024-47208)情况的报送。攻击者可以利用漏洞向目标发送恶意请求,通过服务端请求伪造的方式远程执行任意代码。Apa
继续阅读