速修复!Advantech 工业WiFi 访问点中存在20个漏洞
速修复!Advantech 工业WiFi 访问点中存在20个漏洞 Ravie Lakshmanan 代码卫士 2024-11-29 10:27 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Advantech EKI 工业级无线访问点设备中存在20个漏洞,可被攻击者通过提升后的权限绕过认证并执行代码。 上周三,网络安全公司 Nozomi Networks 在一篇文章分析中提到,“这些漏洞带
继续阅读月度归档: 2024 年 11 月
【漏洞复现】安科瑞环保用电监管云平台 HomenewLogin SQL注入漏洞复现
【漏洞复现】安科瑞环保用电监管云平台 HomenewLogin SQL注入漏洞复现 河北镌远 河北镌远网络科技有限公司 2024-11-29 10:23 点击箭头处 “蓝色字” ,关注我们哦!! 产品简介 AcrelCloud-3000环保用电监管云平台依托创新的物联网电力传感技术,实时采集企业总用电、生产设备及环保治理设备用电数据,通过关联分析、超限分析、停电分析、停限产分析,结合及时发现环保治
继续阅读网络安全动态 一周速览 2024.11.23 – 2024.11.29
网络安全动态 一周速览 2024.11.23 – 2024.11.29 Sugar Delta Insights 2024-11-29 09:30 网络安全动态 一周速览 2024.11.23 – 2024.11.29 政策更新及合规动态 1.四部门联合印发《电信网络诈骗及其关联违法犯罪联合惩戒办法》 Source:https://www.secrss.com/articl
继续阅读懂微百择唯·供应链 RankingGoodsList2 SQL注入致RCE漏洞
懂微百择唯·供应链 RankingGoodsList2 SQL注入致RCE漏洞 Superhero nday POC 2024-11-29 09:29 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读VPN漏洞和弱凭证助长勒索软件攻击
VPN漏洞和弱凭证助长勒索软件攻击 原创 D1net编译 信息安全D1net 2024-11-29 08:58 点击上方“蓝色字体”,选择 “设为星标” 关键讯息,D1时间送达! 据Corvus Insurance报告,第三季度勒索软件攻击激增,近30%的攻击源于攻击者利用VPN漏洞和弱密码进行初步访问。许多事件追溯到过时的软件或保护不足的VPN账户,常见用户名和缺乏多因素身份验证使账户易受攻击。
继续阅读记一次逻辑漏洞(3)
记一次逻辑漏洞(3) 原创 青春计协 青春计协 2024-11-29 08:53 GRADUATION 点击蓝字 关注我们 免责申明: 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。 思路: 一些可以尝试一些特殊的支付方式,比如:XX电商系统支持的支付方式有哪些?微信、支付宝、、货到付款、银联等,但是其
继续阅读记一次20000美元的漏洞挖掘报告(HackOne)
记一次20000美元的漏洞挖掘报告(HackOne) 原创 Trangs 跃迁安全 2024-11-29 08:52 点击上方蓝字加入我们,感谢!!! 01 记一次20000美元的漏洞挖掘报告 Enjoy life A HAPPY LIFE AFTER RAIN 01 漏洞点1: “com.sony.gemstack.org.dvb.user.UserPreferenceManagerImpl”类
继续阅读【漏洞通告】Zyxel ZLD防火墙路径遍历漏洞(CVE-2024-11667)
【漏洞通告】Zyxel ZLD防火墙路径遍历漏洞(CVE-2024-11667) 启明星辰安全简讯 2024-11-29 08:44 一、漏洞概述 漏洞名称 Zyxel ZLD防火墙路径遍历漏洞 CVE ID CVE-2024-11667 漏洞类型 目录遍历 发现时间 2024-11-29 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EX
继续阅读【漏洞通告】Apache Arrow R package反序列化漏洞(CVE-2024-52338)
【漏洞通告】Apache Arrow R package反序列化漏洞(CVE-2024-52338) 启明星辰安全简讯 2024-11-29 08:44 一、漏洞概述 漏洞名称 Apache Arrow R package反序列化漏洞 CVE ID CVE-2024-52338 漏洞类型 反序列化 发现时间 2024-11-29 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需
继续阅读【0day漏洞复现】广州和晖科技有限公司本草纲目首营资料审核中台系统存在认证绕过
【0day漏洞复现】广州和晖科技有限公司本草纲目首营资料审核中台系统存在认证绕过 什么安全 什么安全 2024-11-29 08:43 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 产品介绍 广州和晖科技有限公司综合多年来众
继续阅读Android Native内存型漏洞实例
Android Native内存型漏洞实例 原创 OPPO安珀实验室 OPPO安珀实验室 2024-11-29 08:30 前言 本文将结合5例Android安全公告公开的Native历史漏洞实例,分析C/C++内存型漏洞的产生场景,尤其是由C++面向对象特性导致的漏洞场景。 1.缺乏长度校验导致的堆溢出 漏洞信息 编号:CVE-2023-21118 来源:2023年5月安全公告披露 漏洞类型:I
继续阅读D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞
D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞 Superhero nday POC 2024-11-29 08:27 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除
继续阅读【漏洞通告】Zabbix SQL注入漏洞安全风险通告
【漏洞通告】Zabbix SQL注入漏洞安全风险通告 嘉诚安全 2024-11-29 07:50 漏洞背景 近日,嘉诚安全监测到Zabbix中修复了一个SQL注入漏洞,漏洞编号为: CVE-2024-42327。 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等。 鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本
继续阅读【漏洞通告】ProjectSend身份验证绕过漏洞安全风险通告
【漏洞通告】ProjectSend身份验证绕过漏洞安全风险通告 嘉诚安全 2024-11-29 07:50 漏洞背景 近日,嘉诚安全监测到ProjectSend修复了一个身份验证绕过漏洞,漏洞编号为: CVE-2024-11680。 ProjectSend是一个开源文件共享Web应用程序,旨在促进服务器管理员和客户端之间的安全、私密文件传输。 鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版
继续阅读【已复现】Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险通告第二次更新
【已复现】Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险通告第二次更新 奇安信 CERT 2024-11-29 06:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Mozilla Firefox Animation timelines 释放后重用漏洞 漏洞编号 QVD-2024-42093,CVE-2024-9680 公开时间 20
继续阅读Shiro漏洞利用工具
Shiro漏洞利用工具 黑白之道 2024-11-29 06:18 1► 工具介绍 2► 工具使用 C:\Tools\Red_Tools\ShiroEXP>java -jar ShiroEXP.jar -h _____ __ _ ______ _ __ ____ / ___/ / /_ (_) _____ ____ / ____/ | |/ / / __ \ \__ \ / __ \ / /
继续阅读WPS最新0day漏洞?电脑被控仅仅是一个PDF(含视频)
WPS最新0day漏洞?电脑被控仅仅是一个PDF(含视频) 原创 余老师 白帽子安全笔记 2024-11-29 05:18 继上篇文章,我们发现使用Adobe 打开PDF 可导致电脑被远程控制《无法被拦截的PDF钓鱼》 ,而现在使用WPS 的用户也面临同样的问题,赶紧一起来看下。 WPS-PDF注入 此方式由于无需利用漏洞,无需伪装,正常PDF 弹出一个对话框要求重定向到外部网站,引导用户下载所谓
继续阅读0day速修 | H3C SecCenter SMP 安全管理平台远程代码执行漏洞
0day速修 | H3C SecCenter SMP 安全管理平台远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-11-29 05:00 漏洞概况 H 3C SecCenter SMP(Security Manager Platform,安全业务管理平台)是一个负责网络安全业务的独立平台。 SMP 能够对网络中的防火墙、入侵防御安全设备进行统一管理,并适应各种网络规模需求,为部
继续阅读edusrc 某中学Swagger接口泄露未授权漏洞挖掘
edusrc 某中学Swagger接口泄露未授权漏洞挖掘 星悦安全 2024-11-29 04:52 一、对目标资产进行信息收集 打开目标网站发现只有一个智慧校园扫码登入、不能直接从登入界面下手,换个思路,先对其指纹和目录扫描均未发现任何有用的信息。 查看API接口,发现该目标存在其他资产 二、对Sping Boot框架进行漏洞利用 发现是Sping Boot框架,使用SpringBoot-Sca
继续阅读仍未出补丁,Windows新的PE漏洞及完整利用代码
仍未出补丁,Windows新的PE漏洞及完整利用代码 二进制空间安全 2024-11-29 03:34 part1 点击上方 蓝字关注我们 往期推荐 解密还原被BitLocker加密的数据 MySQL渗透实战 比netcat更高级的网络渗透基础工具 黑客渗透超级管理终端 一款超乎想象的Windows提权工具 世界顶级渗透测试标准方法 Nmap的三种漏洞扫描模式原理及实战讲解 Windows下24种
继续阅读【漏洞复现】某平台-statusList-sql注入漏洞
【漏洞复现】某平台-statusList-sql注入漏洞 原创 南极熊 SCA御盾 2024-11-29 03:21 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后
继续阅读「漏洞复现」《黄药师》药业管理软件 XSDService.asmx SQL注入漏洞
「漏洞复现」《黄药师》药业管理软件 XSDService.asmx SQL注入漏洞 冷漠安全 冷漠安全 2024-11-29 02:30 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读Java反序列化漏洞之JNDI注入原理及利用IDEA漏洞复现
Java反序列化漏洞之JNDI注入原理及利用IDEA漏洞复现 原创 神农Sec 神农Sec 2024-11-29 01:38 扫码领资料 获网安教程 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 本篇文章我也是看过很多的博客写的,中间也遇到很多问题,JNDI注入漏洞的危害还是蛮高的。下面我们从RMI
继续阅读【技术分享】关于C-Lodop打印服务文件读取漏洞修复方式
【技术分享】关于C-Lodop打印服务文件读取漏洞修复方式 原创 剁椒Muyou鱼头 剁椒Muyou鱼头 2024-11-29 01:17 阅读须知 本公众号文章皆为网上公开的漏洞,仅供日常学习使用,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把剁椒Mu
继续阅读【漏洞复现】同享TXEHR V15人力管理管理平台信息泄露漏洞
【漏洞复现】同享TXEHR V15人力管理管理平台信息泄露漏洞 原创 清风 白帽攻防 2024-11-29 01:13 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 同享软件成立于1997年,总部位于东莞南城南新产业国际。公司致力于研发和推广人力资源信息化产
继续阅读微软修补四个漏洞,其中一些漏洞非常严重且已被广泛利用
微软修补四个漏洞,其中一些漏洞非常严重且已被广泛利用 会杀毒的单反狗 军哥网络安全读报 2024-11-29 01:00 导读 11月26日,微软发布了四个新的安全公告,修复四个安全漏洞。这些漏洞是在 Microsoft Copilot Studio、Partner.Microsoft.Com 门户、Azure PolicyWatch 和 Dynamics 365 Sales 中检测到的。 Mic
继续阅读全球 | 近40个【大模型】相关安全【漏洞】曝光
全球 | 近40个【大模型】相关安全【漏洞】曝光 安小圈 2024-11-29 00:46 安小圈 第556期 全球 大模型【安全漏洞】 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用背后,也带来诸多新的风险和挑战。 近日,360数字安全集团发布全球首份《大模型
继续阅读资产管理运营系统mobilefront2接口处存在前台文件上传漏洞【漏洞复现|附nuclei-POC】
资产管理运营系统mobilefront2接口处存在前台文件上传漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2024-11-29 00:30 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 资产管理运营系统mobilefront2
继续阅读