CVE-2024-11477:7-Zip 中的严重缺陷可让黑客控制
CVE-2024-11477:7-Zip 中的严重缺陷可让黑客控制 原创 清风 白帽攻防 2024-12-20 02:36 7-Zip是一款 完全免费 而且 开源的压缩软件,相比其他软件有更高的压缩比而且相对于WinRAR不会消耗大量资源。 7-Zip 文件压缩工具中发现了一个漏洞,攻击者可以通过特制的存档远程执行恶意代码。为了解决这个问题,开发人员发布了一个更新,但必须手动安装,因为该程序不支持
继续阅读月度归档: 2024 年 12 月
飞鱼星路由器 账户密码泄露漏洞复现
飞鱼星路由器 账户密码泄露漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-12-20 02:03 FOFA body="js/select2css.js" && icon_hash="-842852785" 漏洞复现 nuclei运行结果 POC与nuclei-poc已上传到知识星球 高质量安全知识星球社区,致力于漏
继续阅读分享OAuth2.0原理及漏洞挖掘技巧案例分析
分享OAuth2.0原理及漏洞挖掘技巧案例分析 原创 神农Sec 神农Sec 2024-12-20 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 一、浅谈 不知道师傅们平常有没有碰到就是在登录比如说百度时,登录页面有需要使用一段第三方社交媒体的账户(QQ、微博、微
继续阅读从漏洞数据库搜索漏洞的工具go-exploitdb
从漏洞数据库搜索漏洞的工具go-exploitdb 原创 白帽学子 白帽学子 2024-12-20 00:11 我们经常需要快速查找漏洞信息,以确保我们的防护措施能够抵御新出现的威胁。特别是在进行红蓝对抗时,掌握最新的漏洞信息是至关重要的。 在这些日常工作中,我逐渐发现一个开源工具——go-exploitdb,它的使用给我带来了不少便利。之前在做漏洞评估和渗透测试时,总会花费大量时间去手动搜索各种
继续阅读漏洞预警 | GitLab Kubernetes Proxy Response NEL头注入漏洞
漏洞预警 | GitLab Kubernetes Proxy Response NEL头注入漏洞 浅安 浅安安全 2024-12-20 00:02 0x00 漏洞编号 – CVE-2024-11274 0x01 危险等级 – 高危 0x02 漏洞概述 GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 0x03
继续阅读漏洞预警 | Apache Struts2文件上传限制不当漏洞
漏洞预警 | Apache Struts2文件上传限制不当漏洞 浅安 浅安安全 2024-12-20 00:02 0x00 漏洞编号 – # CVE-2024-53677 0x01 危险等级 – 高危 0x02 漏洞概述 Apache Struts2是一个免费、开源的MVC框架,用于创建Java Web应用程序。 0x03 漏洞详情 CVE-2024-53677 漏洞类型:
继续阅读大华DSS数字监控系统attachment_downloadAtt.action任意文件读取(XVE-2024-34436)
大华DSS数字监控系统attachment_downloadAtt.action任意文件读取(XVE-2024-34436) Superhero Nday Poc 2024-12-19 23:46 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦
继续阅读【神兵利器】XXL-JOB漏洞利用工具
【神兵利器】XXL-JOB漏洞利用工具 charonlight 七芒星实验室 2024-12-19 23:06 基本介绍 工具实现了XXL-JOB默认accessToken权限绕过漏洞的单个检测、批量检测、一键反弹shell功能,后续会持续更新优化,添加POC检测等 工具使用 单个检测: 批量检测: FOFA语句 body=”{\”code\”:500,\
继续阅读【漏洞复现】方正畅享全媒体新闻采编系统reportCenter存在SQL注入漏洞
【漏洞复现】方正畅享全媒体新闻采编系统reportCenter存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-12-19 22:02 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **方正全媒体新闻采编系统是面向媒体深度融合的技术平台,以大数据和AI技术为支撑,集指挥中心、采集中心、编辑中心、发布中心、绩效考核中心、资料中心
继续阅读Apache Struts RCE 漏洞被公开 PoC 积极利用
Apache Struts RCE 漏洞被公开 PoC 积极利用 原创 铸盾安全 河南等级保护测评 2024-12-19 20:52 Apache Struts 中发现了一个严重的安全漏洞,Apache Struts 是一个流行的开源框架,用于构建基于 Java 的 Web 应用程序,该框架经常被用于利用发布 PoC 的攻击,允许攻击者在服务器上执行恶意文件。 Apache Struts 是一个
继续阅读时空WMS-仓储精细化管理系统 ImageAdd.ashx 任意文件上传漏洞
时空WMS-仓储精细化管理系统 ImageAdd.ashx 任意文件上传漏洞 Superhero nday POC 2024-12-19 16:34 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读Fortinet 警告称其无线局域网管理器 FortiWLM 存在严重漏洞
Fortinet 警告称其无线局域网管理器 FortiWLM 存在严重漏洞 鹏鹏同学 黑猫安全 2024-12-19 16:20 Fortinet 警告称,现已修补的无线局域网管理器(FortiWLM)漏洞(追踪为 CVE-2023-34990,CVSS 评分为 9.6)可能导致管理员访问和敏感信息泄露。供应商发布的通告中写道:“FortiWLM 中的相对路径遍历 [CWE-23] 可能允许远程未
继续阅读渗透测试 — 逻辑漏洞和挂马和钓鱼
渗透测试 — 逻辑漏洞和挂马和钓鱼 Web安全工具库 2024-12-19 16:01 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/1d425a019532 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 各 类 学 习 教 程 下 载 合 集 https://pan.quark.cn/s/8c91ccb5a474
继续阅读渗透测试 — Web漏洞扫描
渗透测试 — Web漏洞扫描 网络安全者 2024-12-19 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/3cae1c343f71 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 个人微信:ivu123ivu 各 类 学 习 教 程 下 载 合 集 https://pan.quark.cn/s/8c9
继续阅读Apache Struts2 文件上传逻辑绕过(CVE-2024-53677)(S2-067)
Apache Struts2 文件上传逻辑绕过(CVE-2024-53677)(S2-067) 网络安全者 2024-12-19 16:00 前言 Apache官方公告 又更新了一个Struts2的漏洞,考虑到很久没有发无密码的博客了,再加上漏洞的影响并不严重,因此公开分享利用的思路。 分析 影响版本 Struts 2.0.0 – Struts 2.3.37 ( EOL ), Stru
继续阅读从技术抗衡走向体系化国家力量比拼——2024全球网络战呈现五大特点
从技术抗衡走向体系化国家力量比拼——2024全球网络战呈现五大特点 泛安全 2024-12-19 15:34 本文 7488 字 阅读约需 21 分钟 2024年,全球网络空间呈现区域性和阵营性紧张态势,世界强国国防网络建设竞争持续加速,网络空间正加速演变为战略威慑与控制新领域。国家间网络斗争博弈日益加剧,网络空间斗争从技术力量抗衡走向体系化国家力量比拼,网络战成为国家实现政治、军事、经济等
继续阅读【漏洞复现】Apache Tomcat竞争条件远程代码执行漏洞(CVE-2024-50379)
【漏洞复现】Apache Tomcat竞争条件远程代码执行漏洞(CVE-2024-50379) cexlife 飓风网络安全 2024-12-19 15:32 漏洞描述: ApacheTomcat是由Apache软件基金会下属的Jakarta项目开发的Servlet容器,2024年12月,官方披露CVE-2024-50379Apache Tomcat 条件竞争文件上传漏洞。 由于 Apache T
继续阅读「漏洞复现」方正畅享全媒体新闻采编系统 screen.do SQL注入漏洞
「漏洞复现」方正畅享全媒体新闻采编系统 screen.do SQL注入漏洞 冷漠安全 冷漠安全 2024-12-19 13:57 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无
继续阅读【漏洞通告】OpenWrt Attended SysUpgrade 命令注入漏洞(CVE-2024-54143)
【漏洞通告】OpenWrt Attended SysUpgrade 命令注入漏洞(CVE-2024-54143) 安迈信科应急响应中心 2024-12-19 12:35 01 漏洞概况 OpenWrt Attended SysUpgrade (ASU) 功能中存在命令注入漏洞和哈希截断问题,详情如下: Imagebuilder命令注入漏洞:由于在镜像构建过程中,用户提供的软件
继续阅读【漏洞通告】Ivanti Cloud Services Application 身份验证绕过漏洞(CVE-2024-11639)
【漏洞通告】Ivanti Cloud Services Application 身份验证绕过漏洞(CVE-2024-11639) 安迈信科应急响应中心 2024-12-19 12:35 01 漏洞概况 Ivanti CSA 5.0.3版本之前在管理 Web 控制台中存在身份验证绕过漏洞,未经身份验证的远程攻击者可利用该漏洞获取管理访问权限,从而可能导致敏感信息泄露、篡改配置/设置或执行其他
继续阅读【漏洞通告】GitLab Kubernetes Proxy Response NEL 头注入漏洞(CVE-2024-11274)
【漏洞通告】GitLab Kubernetes Proxy Response NEL 头注入漏洞(CVE-2024-11274) 安迈信科应急响应中心 2024-12-19 12:35 01 漏洞概况 由于 GitLab CE/EE 中的 Kubernetes 代理功能未正确处理或验证注入的 Network Error Logging (NEL)头,攻击者可通过在 Kubernetes
继续阅读【漏洞通告】Cleo 远程代码执行漏洞 ( CVE-2024-50623 )
【漏洞通告】Cleo 远程代码执行漏洞 ( CVE-2024-50623 ) 安迈信科应急响应中心 2024-12-19 12:35 01 漏洞概况 Cleo LexiCom、VLTransfer 和 Harmony 软件中存在不受限制的文件上传和下载漏洞,由于缺乏对上传文件和下载功能的适当验证和限制,攻击者可能利用该漏洞上传恶意文件并可能利用系统的访问/下载功能或其他机制触发恶意文件执
继续阅读【漏洞通告】Apache Struts 2 远程代码执行漏洞(CVE-2024-53677)
【漏洞通告】Apache Struts 2 远程代码执行漏洞(CVE-2024-53677) 安迈信科应急响应中心 2024-12-19 12:35 01 漏洞概况 Apache Struts 2 多个受影响版本中文件上传逻辑存在缺陷,由于在文件上传过程中对用户提供的参数缺乏严格校验,攻击者可以通过操纵文件上传参数执行路径遍历攻击,某些情况下可能导致将恶意文件上传到服务器上的其他位置,从
继续阅读Fortinet 警告可能导致管理员访问漏洞的关键 FortiWLM 漏洞
Fortinet 警告可能导致管理员访问漏洞的关键 FortiWLM 漏洞 信息安全大事件 2024-12-19 12:00 Fortinet 针对影响 Wireless LAN Manager (FortiWLM) 的现已修补的关键安全漏洞发布了公告,该漏洞可能导致敏感信息泄露。 该漏洞被跟踪为 CVE-2023-34990,CVSS 评分为 9.6 分(满分 10.0 分)。 “FortiWL
继续阅读【安全圈】Apache Tomcat新漏洞允许攻击者执行远程代码
【安全圈】Apache Tomcat新漏洞允许攻击者执行远程代码 安全圈 2024-12-19 11:01 关键词 安全漏洞 据Cyber Security News消息,安全研究人员在流行的开源 Web 服务器 Apache Tomcat和servlet 容器中发现了两个严重漏洞,可能允许攻击者执行远程代码并导致拒绝服务。 第一个漏洞被追踪为 CVE-2024-50379, 影响 Apache
继续阅读Apache Struts重大漏洞被黑客利用,远程代码执行风险加剧
Apache Struts重大漏洞被黑客利用,远程代码执行风险加剧 安世加 安世加 2024-12-19 10:36 12月19日 网络安全研究人员最近发现,黑客正利用Apache Struts 2(一种流行的Java Web应用开发框架)中的一个重大漏洞进行网络攻击,该漏洞的追踪编号为CVE-2024-53677,能使网络攻击者绕过网络安全措施,从而完全控制受影响的服务器。 用户面临远程代码执行
继续阅读关注 | 第一期漏洞挖掘与利用中高级培训班招生
关注 | 第一期漏洞挖掘与利用中高级培训班招生 中国信息安全 2024-12-19 10:31 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 在网络空间红蓝双方的较量中,漏洞是最永恒、最核心、最耀眼的存在,没有之一。 无论是渗透测试、攻防演练、各种赛事、APT对抗,还是远程控制、隐蔽通信,都需要各种各样的漏洞利用,才能取得突破。 为了发展漏洞研究水平,提升安全
继续阅读Apache Tomcat高危漏洞曝光,远程代码执行风险需警惕
Apache Tomcat高危漏洞曝光,远程代码执行风险需警惕 看雪学苑 看雪学苑 2024-12-19 09:59 近期,Apache Tomcat,这款广泛使用的开源Web服务器和servlet容器,被披露存在两个严重的安全漏洞。这些漏洞可能使攻击者远程执行代码,甚至引发服务拒绝攻击,对企业信息系统安全构成严重威胁。 Apache软件基金会紧急发布了针对Apache Tomcat的补丁,以修
继续阅读创宇安全智脑 | 灵当 CRM uploadify.php 任意文件上传等70个漏洞可检测
创宇安全智脑 | 灵当 CRM uploadify.php 任意文件上传等70个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-19 09:50 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值
继续阅读