上周关注度较高的产品安全漏洞(20241118-20241124)
上周关注度较高的产品安全漏洞(20241118-20241124) 深信服千里目安全技术中心 2024-11-27 08:44 一、境外厂商产品漏洞 1、Google Android权限提升漏洞(CNVD-2024-45234) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞是由于Package
继续阅读月度归档: 2024 年 11 月
【漏洞通告】GitLab 权限提升漏洞(CVE-2024-8114)
【漏洞通告】GitLab 权限提升漏洞(CVE-2024-8114) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-11-27 08:44 漏洞名称: GitLab 权限提升漏洞(CVE-2024-8114) 组件名称: GitLab 影响范围: 8.12 ≤ GitLab < 17.4.517.5 ≤ GitLab < 17.5.317.6 ≤ GitLab < 17.6
继续阅读【工具分享】某 FE 平台一键漏洞探测工具
【工具分享】某 FE 平台一键漏洞探测工具 M0untainShley 篝火信安 2024-11-27 06:35 0x00 简介 该程序是某 FE 平台一键漏洞探测工具,目前支持探测的漏洞类型有16个,同时支持单url以及批量探测。 0x01 开发/运行环境 基于 javafx jdk 1.8 进行开发,使用 jdk 1.8 运行。 0x02 支持探测的漏洞类型 uploadAttachment
继续阅读大模型应用实践(一):AI助力Code Review安全漏洞发现
大模型应用实践(一):AI助力Code Review安全漏洞发现 原创 腾讯啄木鸟团队 腾讯安全应急响应中心 2024-11-27 03:02 大模型技术的涌现,为行业不断突破安全防护的能力上限提供了新的契机。我们在将大模型技术引入安全垂类领域方面也做了很多尝试,并沉淀形成大模型应用实践系列文章。作为该系列的开篇,本文重点介绍在代码安全领域安全左移的落地实践经验。后续还将推出更多关于大模型在研发安
继续阅读GitLab LFS Token 权限提升漏洞(CVE-2024-8114)安全风险通告
GitLab LFS Token 权限提升漏洞(CVE-2024-8114)安全风险通告 奇安信 CERT 2024-11-27 03:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GitLab LFS Token 权限提升漏洞 漏洞编号 QVD-2024-48685,CVE-2024-8114 公开时间 2024-11-26 影响量级 百万级 奇安信评级 高危 CVS
继续阅读俄罗斯黑客组织Romcom利用0day漏洞攻击 Firefox、Tor 用户
俄罗斯黑客组织Romcom利用0day漏洞攻击 Firefox、Tor 用户 会杀毒的单反狗 军哥网络安全读报 2024-11-27 01:00 导读 一个俄罗斯黑客组织 Romcom 利用两个此前未知的漏洞攻击 Windows PC 上的 Firefox 和 Tor 浏览器用户。 防病毒提供商 ESET 将该攻击描述为潜在的“大规模活动”,其目标是欧洲和北美的用户。 俄罗斯黑客通过一个恶意网页传
继续阅读多款AC集中管理平台未授权漏洞【漏洞复现|附nuclei-POC】
多款AC集中管理平台未授权漏洞【漏洞复现|附nuclei-POC】 脚本小子 2024-11-27 00:50 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: AC集中管理平台未授权漏洞。 攻击者可通过访问未授权路径,非法获取包括AC用户名、密码、SSID(服
继续阅读MITRE公布最危险软件漏洞TOP25榜单
MITRE公布最危险软件漏洞TOP25榜单 安小圈 2024-11-27 00:45 安小圈 第554期 【高危漏洞】TOP25 在快速变化的网络威胁环境中,漏洞始终是网络攻击的主要切入点。近日,美国网络安全组织MITRE更新了2024年CWE Top 25最危险软件漏洞榜单,汇总了2024年全球最常见、最具影响力的软件漏洞,为企业、开发者和安全研究人员提供重要参考。 什么是CWE Top 25?
继续阅读【漏洞情报】快排查!开源分享功能域名遭灰黑产抢注,用作黑帽SEO
【漏洞情报】快排查!开源分享功能域名遭灰黑产抢注,用作黑帽SEO 原创 十二 F12sec 2024-11-27 00:44 前言 “ 申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途! ” Part 1 “ 开源分享功能代码已被灰黑产抢注,whois已被企业更改为个人,icp备案已取消。大量网站前端调用该域名js,门户网站为主,分享功能存在该隐患。 http://stati
继续阅读James_synthesis_tooL | 日常渗透测试或攻防演练中对于漏洞及指纹的积累工具
James_synthesis_tooL | 日常渗透测试或攻防演练中对于漏洞及指纹的积累工具 vsdwef 夜组安全 2024-11-27 00:01 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!
继续阅读漏洞及指纹库图形化工具 — James_synthesis_tooL(11月25日更新)
漏洞及指纹库图形化工具 — James_synthesis_tooL(11月25日更新) vsdwef Web安全工具库 2024-11-26 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工
继续阅读远程代码执行(RCE)漏洞(CVE-2024-21534)
远程代码执行(RCE)漏洞(CVE-2024-21534) XiaomingX 网络安全者 2024-11-26 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除
继续阅读IBM 修补数据虚拟化管理器、安全 SOAR 中的 RCE 漏洞
IBM 修补数据虚拟化管理器、安全 SOAR 中的 RCE 漏洞 原创 何威风 祺印说信安 2024-11-26 16:00 IBM 周一宣布修复其产品的多个漏洞,包括数据虚拟化管理器和安全 SOAR 中的两个高严重性远程代码执行 (RCE) 问题。 该漏洞编号为 CVE-2024-52899(CVSS 评分为 8.5),存在于 z/OS 数据虚拟化管理器中,可能允许远程经过身份验证的攻击者注入恶
继续阅读Ruby 3.4 通用 RCE 反序列化小工具链
Ruby 3.4 通用 RCE 反序列化小工具链 Ots安全 2024-11-26 15:28 我在 2018 年的一篇博客文章中分享了第一个利用 Ruby 反序列化的通用小工具链。从那时起,Ruby 已经有许多新版本,有时包括破坏已发布小工具链的代码更改。到目前为止,这些破坏只是暂时的,信息安全社区会根据需要发布新的小工具链。 – 2018 年 11 月 8 日 – Ru
继续阅读【漏洞预警】ProjectSend身份认证绕过漏洞(CVE-2024-11680)
【漏洞预警】ProjectSend身份认证绕过漏洞(CVE-2024-11680) cexlife 飓风网络安全 2024-11-26 14:52 漏洞描述: PrојесtSеnd版本在r1720之前受到不当认证漏洞的影响,远程未经认证的攻击者可以通过发送精心制作的HTTP请求到орtiоnѕ.рhр来利用这个缺陷,从而未经授权地修改应用程序的配置,成功利用允许攻击者创建账户、上传ԝеbѕhеl
继续阅读网安瞭望台第5期 :7zip出现严重漏洞、识别网络钓鱼诈骗的方法分享
网安瞭望台第5期 :7zip出现严重漏洞、识别网络钓鱼诈骗的方法分享 原创 扬名堂 东方隐侠安全团队 2024-11-26 14:28 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 7 – Zip存在高危漏洞,请立刻更新 2024 年 11 月 24 日,do son 报道了 7 – Zip
继续阅读用友NC process接口存在SQL注入漏洞 附POC
用友NC process接口存在SQL注入漏洞 附POC 2024-11-26更新 南风漏洞复现文库 2024-11-26 13:39 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. 用友NC简介 微信公众号搜索:南风漏洞复现文库
继续阅读CVE-2024-52940 AnyDesk信息泄露漏洞复现
CVE-2024-52940 AnyDesk信息泄露漏洞复现 原创 0x6270 0x6270安全团队 2024-11-26 13:00 前言 作者:0x6270 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 如果文章中的漏洞出现敏感内容产生了部分影响,请及时联系作者,望谅解。 一、漏洞概况 漏洞简述 AnyDesk是一款由德
继续阅读2024漏洞马拉松-顺丰站
2024漏洞马拉松-顺丰站 顺丰安全应急响应中心 2024-11-26 12:23 2024 V VULNERABILITY MARATHON 漏洞马拉松 顺丰站 白帽群雄角逐下一个冠军! 无论最后是否披上满身荣耀 为了当初的自己,再战一回! 01 活动时间 2024年11月25日-2024年12月8日 02 接收范围 “顺丰控股股份有限公司”占股50%以上的资产,具体占股情况可在国家企业信用信息
继续阅读RomCom 利用零日漏洞进行复杂的网络攻击 Firefox 和 Windows
RomCom 利用零日漏洞进行复杂的网络攻击 Firefox 和 Windows 信息安全大事件 2024-11-26 11:52 被称为 RomCom 的与俄罗斯结盟的威胁行为者与两个安全漏洞的零日利用有关,一个在 Mozilla Firefox 中,另一个在 Microsoft Windows 中,作为旨在向受害者系统提供同名后门的攻击的一部分。 “在一次成功的攻击中,如果受害者浏览包含漏洞利
继续阅读Sitecore 8.x – 10.x存在命令执行漏洞
Sitecore 8.x – 10.x存在命令执行漏洞 柠檬赏金猎人 2024-11-26 11:39 由于代码中的操作顺序问题,该漏洞可被利用。此漏洞 ( CVE-2024-46938 ) 允许未经身份验证的攻击者从本地系统读取任意文件,包括但不限于web.config文件和 Sitecore 的自动 zip 备份。下载这些文件后,通过利用 .NET ViewState 反序列化即可
继续阅读【安全圈】慎用,知名压缩工具7-Zip存在严重漏洞
【安全圈】慎用,知名压缩工具7-Zip存在严重漏洞 安全圈 2024-11-26 11:01 关键词 安全漏洞 近日,主流文件压缩工具7-Zip被曝存在一个严重的安全漏洞,允许远程攻击者通过精心制作的存档执行恶意代码。该漏洞编号为CVE-2024-11477,CVSS评分7.8分,表明受影响版本的用户面临重大安全风险。 漏洞存在于 Zstandard 解压缩的实现中。此问题是由于未正确验证用户提供
继续阅读360发布大模型安全警报:近40个漏洞易被利用,60美元即可投毒
360发布大模型安全警报:近40个漏洞易被利用,60美元即可投毒 中国信息安全 2024-11-26 10:59 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 11月25日,360数字安全集团漏洞研究院发布了全球首份一份《大模型安全漏洞报告》, 揭示了当前以大模型为核心的大量技术应用在计算机安全领域带来的诸多新风险和挑战。据报告统计,360安全团队在近期的研究
继续阅读慎用,知名压缩工具7-Zip存在严重漏洞
慎用,知名压缩工具7-Zip存在严重漏洞 老布 FreeBuf 2024-11-26 10:57 近日,主流文件压缩工具7-Zip被曝存在一个严重的安全漏洞,允许远程攻击者通过精心制作的存档执行恶意代码。该漏洞编号为CVE-2024-11477,CVSS评分7.8分,表明受影响版本的用户面临重大安全风险。 漏洞存在于 Zstandard 解压缩的实现中。此问题是由于未正确验证用户提供的数据而导致的
继续阅读低成本就能给大模型投毒?360发布全球首份大模型漏洞报告
低成本就能给大模型投毒?360发布全球首份大模型漏洞报告 360数字安全集团 FreeBuf 2024-11-26 10:57 11月25日,360数字安全集团漏洞研究院发布了全球首份《大模型安全漏洞报告》,揭示了当前以大模型为核心的大量技术应用在计算机安全领域带来的诸多新风险和挑战。 据报告统计,360安全团队在近期的研究中挖掘了近40个大模型相关的安全漏洞,覆盖模型层、框架层、应用层三大层面,
继续阅读QNAP修复NAS、路由器软件中的严重漏洞
QNAP修复NAS、路由器软件中的严重漏洞 Bill Toulas 代码卫士 2024-11-26 10:21 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 QNAP 在上周末发布安全通告,修复了多个漏洞,其中包括三个严重漏洞,用户应尽快予以修复。 从 QNAP Notes Station 3(该公司NAS系统中所用的记笔记和协作应用)版本开始,受如下两个漏洞的影响: CVE-2024-3
继续阅读2024漏洞马拉松启动 | 白帽群雄角逐下一个冠军!
2024漏洞马拉松启动 | 白帽群雄角逐下一个冠军! 漏洞盒子 2024-11-26 10:03 iphone16Pro MARSHALL音箱 ROG游戏键盘 游戏手柄 左滑更多豪礼 – 文末抽奖 抽奖福利来啦! 转发该推文至朋友圈公开可见,保存至12月3日开奖 凭中奖截图及朋友圈截图兑换奖品 还有一大波SRC活动在路上,敬请期待! 活动中如有任何问题 请联系小莎莎QQ:3459476
继续阅读惊喜开班!系统0day安全-IOT设备漏洞挖掘
惊喜开班!系统0day安全-IOT设备漏洞挖掘 看雪课程 看雪学苑 2024-11-26 10:00 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureNexusLab】,
继续阅读Feroxbuster-高效发现隐藏路径和漏洞(详细教程)
Feroxbuster-高效发现隐藏路径和漏洞(详细教程) 原创 zangcc Eureka安全团队 2024-11-26 09:59 点击上方 蓝字 关注我们 0x01 feroxbuster的安装 文末抽奖送书:《Java网络爬虫精解与实践》89💰 x2 官网下载地址,能适配的系统很全,找到自己系统的版本下载下来就可以了。 https://github.com/epi052/feroxbust
继续阅读kernel heap exploit(三)
kernel heap exploit(三) 原创 Jelasin 蚁景网络安全 2024-11-26 09:36 前言 本文我们通过我们的老朋友heap_bof来讲解Linux kernel中任意地址申请的其中一种比赛比较常用的利用手法modprobe_path( 虽然在高版本内核已经不可用了但ctf比赛还是比较常用的)。在通过两道道近期比赛的赛题来讲解。 Arbitrary Address A
继续阅读