月度归档: 2024 年 12 月

【漏洞预警】热门摄像头曝零日漏洞,黑客借此入侵政府部门

发布于 作者:

【漏洞预警】热门摄像头曝零日漏洞,黑客借此入侵政府部门 鲲鹏实验室 天防安全 2024-12-17 22:00 关键词 零日漏洞 据GreyNoise公司安全研究人员Konstantin Lazarev披露,PTZOptics PTZ 摄像头存在两个零日漏洞,漏洞编号分别是CVE-2024-8956和CVE-2024-8957,目前已经发现有黑客正在利用这些零日漏洞发起网络攻击。 PTZ摄像机是一

继续阅读

【大量存在】飞鱼星-路由器存在敏感信息泄露漏洞

发布于 作者:

【大量存在】飞鱼星-路由器存在敏感信息泄露漏洞 xiachuchunmo 银遁安全团队 2024-12-17 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **成都飞鱼星科技股份有限公司成立于2002年,公司现有全场景(行业)无线网络解决方案、公安审计解决方案、星云平台、企业级无线路由器、企业上网行为管理路由、智能家居解决方案、全屋W

继续阅读

PbootCMS entrance.php SQL注入漏洞

发布于 作者:

PbootCMS entrance.php SQL注入漏洞 Superhero nday POC 2024-12-17 17:13 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并

继续阅读

万能门店小程序管理系统 onepic_uploade 任意文件上传漏洞

发布于 作者:

万能门店小程序管理系统 onepic_uploade 任意文件上传漏洞 Superhero nday POC 2024-12-17 16:30 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立

继续阅读

XXL-JOB默认accessToken身份绕过RCE漏洞

发布于 作者:

XXL-JOB默认accessToken身份绕过RCE漏洞 船山信安 2024-12-17 16:00 XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务的调度和执行。XXL-JOB 默认配置下,用于调度通讯的 accessToken 不是随机生成的,而是使用 application.properties 配置文件中的默认值。在实际使用中如果没有修改默认值,攻击者可利用此绕过认证调

继续阅读

【安全漏洞】Apache Struts任意文件上传漏洞S2-067【CVE-2024-53677】 POC 已发布

发布于 作者:

【安全漏洞】Apache Struts任意文件上传漏洞S2-067【CVE-2024-53677】 POC 已发布 原创 Eleven Liu 安全有术 2024-12-17 15:15 漏洞概述 Apache Struts是用于创建Java Web应用程序的开源框架,旨在为Java Web开发提供一个灵活、强大且易于扩展的解决方案,应用非常广泛。 Apache发布安全公告修复了Apache St

继续阅读

一次完整的Jwt伪造漏洞实战案例

发布于 作者:

一次完整的Jwt伪造漏洞实战案例 原创 Tai Code4th安全团队 2024-12-17 14:11 本文章由团队师傅[Tai]授权发布 某次漏洞挖掘 时 遇到了任 意用户登录漏洞,这次的漏洞案例是由于 jwt 存在弱密钥,攻击者可以伪造 jwt ,从而获取非授权访问权限。此外站点还存在弱口令,可以通过弱口令登录 druid 后台,查看敏感信息。 首先通过微信搜索小程序,找到目标。 点击进入小

继续阅读

【0day】99bitbet双语言交易所存在前台任意文件读取漏洞

发布于 作者:

【0day】99bitbet双语言交易所存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2024-12-17 12:13 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 99bitbet双语言Usdt竞猜源码/海外PC28虚拟货币竞猜玩法/根据虚拟货币行情走势自动开奖结算/带预设开奖结果,首页加了一个k线图表走势,只是为了美观,不做其他用途,自己研究。 Fofa指纹:“/

继续阅读

iOS和macOS系统曝关键漏洞,可破坏TCC框架

发布于 作者:

iOS和macOS系统曝关键漏洞,可破坏TCC框架 网安百色 2024-12-17 11:30 点击上方 蓝字 关注我们吧~ 近日,苹果iOS和macOS系统中被曝光一个关键的安全漏洞,若被成功利用,可能会绕过透明度、同意和控制(TCC)框架,导致用户敏感信息被未经授权访问。漏洞编号CVE-2024-44131,存在于文件提供组件中,苹果通过在iOS 18、iPadOS 18和macOS Sequ

继续阅读

【安全圈】苹果HomeKit出现安全漏洞被间谍机构利用 目前具体漏洞细节尚未公布

发布于 作者:

【安全圈】苹果HomeKit出现安全漏洞被间谍机构利用 目前具体漏洞细节尚未公布 安全圈 2024-12-17 11:01 关键词 安全漏洞 近期臭名昭著的以色列商业间谍软件开发商 NSO 集团的飞马座(Pegasus)间谍软件被发现攻击了两名塞尔维亚的 iPhone 用户。调查结果表明,NSO 利用了一种新开采的漏洞,可能涉及到苹果的智能家居服务 HomeKit 套件。 值得注意的是,这次攻击是

继续阅读

【安全圈】最新的Windows内核漏洞,可获system权限

发布于 作者:

【安全圈】最新的Windows内核漏洞,可获system权限 安全圈 2024-12-17 11:01 关键词 内核漏洞 网络安全和基础设施安全局(CISA)已将两个新的漏洞添加到其已知被利用漏洞目录中,其中一个是涉及 Windows 内核的漏洞,目前正被用于攻击。 该漏洞编号为CVE-2024-35250,具体是在 Windows 的 ks.sys 驱动中存在的 “不受信任的指针解引

继续阅读

安卓间谍软件 NoviSpy 利用高通6个0day感染设备

发布于 作者:

安卓间谍软件 NoviSpy 利用高通6个0day感染设备 Bill Toulas 代码卫士 2024-12-17 10:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 塞尔维亚政府利用高通的多个0day漏洞,解锁并通过新型间谍软件 “NoviSpy” 感染安卓设备,监控活动家、记者和抗议人员。 与这些攻击相关联的其中一个高通漏洞是CVE-2024-43047。谷歌 Project Z

继续阅读

Windows 内核漏洞已被用于获取系统权限

发布于 作者:

Windows 内核漏洞已被用于获取系统权限 Sergiu Gatlan 代码卫士 2024-12-17 10:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA 提醒美国联邦机构保护系统免受一个高危Windows 内核漏洞 (CVE-2024-35250) 的影响。 该漏洞是因为一个不受信任的指针解引用弱点引发的。该弱点可导致本地攻击者无需用户交互,就能在复杂度低的攻击中获取系

继续阅读

探秘移动端漏洞世界 | 零基础入门Android漏洞挖掘-入门篇

发布于 作者:

探秘移动端漏洞世界 | 零基础入门Android漏洞挖掘-入门篇 看雪课程 看雪学苑 2024-12-17 09:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。

继续阅读

【漏洞复现】CVE-2024-8963、CVE-2024-8190

发布于 作者:

【漏洞复现】CVE-2024-8963、CVE-2024-8190 原创 混子Hacker 混子Hacker 2024-12-17 09:56 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [  漏洞简介  ] ——   咱得静悄悄的干,输了呢就当没干过  【 摘自

继续阅读

PbootCMS V3.2.9前台SQL注入漏洞(上)

发布于 作者:

PbootCMS V3.2.9前台SQL注入漏洞(上) 原创 烽火台实验室 Beacon Tower Lab 2024-12-17 09:30 0x01 前言 PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的PHP CMS源码,能够满足各类企业网站开发建设的需要。系统采用简单到想哭的模板标签,只要懂HTML就可快速开发企业网站。官方提

继续阅读

漏洞预警|CVE-2024-49112 Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞

发布于 作者:

漏洞预警|CVE-2024-49112 Windows 轻量级目录访问协议 (LDAP) 远程代码执行漏洞 SecHub网络安全社区 2024-12-17 09:25 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份

继续阅读

(0day)秒优科技供应链管理系统存在SQL注入漏洞

发布于 作者:

(0day)秒优科技供应链管理系统存在SQL注入漏洞 原创 WebSec WebSec 2024-12-17 09:13 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持

继续阅读

古河大佬发现的最新漏洞:Windows LDAP RCE漏洞(9.8)

发布于 作者:

古河大佬发现的最新漏洞:Windows LDAP RCE漏洞(9.8) 独眼情报 2024-12-17 08:36 微软披露了其轻量级目录访问协议 (LDAP) 服务中存在的一个严重远程代码执行 (RCE) 漏洞,编号为 CVE-2024-49112。此漏洞是该公司 12 月补丁星期二更新的一部分,它使未经身份验证的攻击者能够在 LDAP 服务上下文中执行任意代码,从而对企业网络构成严重风险。该漏

继续阅读

神漏洞!任意修改车牌号码,让其他车主支付过路费和罚单

发布于 作者:

神漏洞!任意修改车牌号码,让其他车主支付过路费和罚单 安全内参编译 安全内参 2024-12-17 08:34 关注我们 带你读懂网络安全 Reviver公司销售的数字车牌已在美国全境使用,但车主可以通过破解这些车牌,规避交通法规甚至逃避执法部门的监控。 前情回顾·无所不能的漏洞 – 神漏洞!远程篡改红绿灯时间,制造交通堵塞事故 神漏洞!GE医疗超声设备感染勒索软件,设备停摆、数据遭篡

继续阅读

研究显示:平均每个软件容器中发现600多个漏洞

发布于 作者:

研究显示:平均每个软件容器中发现600多个漏洞 内生安全联盟 2024-12-17 07:02 根据NetRise的最新研究,平均每个软件容器的底层组件中存在 604个已知漏洞,其中45%以上的漏洞存在2至10多年,7.9%的漏洞存在5年以上, 而4.2%被认为是“关键”或“高”的漏洞还被归类为“武器化”,并在现实世界的攻击中被积极利用。 NetRise的首席执行官托马斯-佩斯(Thomas Pa

继续阅读

某科云连ERP系统存在任意文件读取漏洞

发布于 作者:

某科云连ERP系统存在任意文件读取漏洞 原创 xiaokp7 xiaokpSec 2024-12-17 05:35 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 漏洞分析 由于未对用户查看或下载的文件做限制,恶意用户就能够查看或下载任意的文件,可以是源代码文件、敏感文件等、如脚本代

继续阅读

【更新】Apache Struts2文件上传漏洞

发布于 作者:

【更新】Apache Struts2文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2024-12-17 03:30 漏洞概况 Apache Struts2 是一个开源的 Java Web 应用程序开发框架,旨在帮助开发人员构建灵活、可维护和可扩展的企业级 Web 应用程序。 微步情报局获取到 Apache Struts2 文件上传漏洞情报  CVE-2024-53677 (https://

继续阅读

24年11月必修安全漏洞清单|腾讯安全威胁情报中心

发布于 作者:

24年11月必修安全漏洞清单|腾讯安全威胁情报中心 腾讯威胁情报中心 腾讯安全威胁情报中心 2024-12-17 03:14 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综

继续阅读