用友NC yerfiledown SQL注入漏洞复现
用友NC yerfiledown SQL注入漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-12-13 12:05 FOFA app="用友-UFIDA-NC" 漏洞复现 nuclei运行结果 POC与nuclei-poc已上传到知识星球 高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具
继续阅读月度归档: 2024 年 12 月
【复现】 Apache Struts 文件上传漏洞(CVE-2024-53677)风险通告
【复现】 Apache Struts 文件上传漏洞(CVE-2024-53677)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-12-13 11:39 赛博昆仑漏洞安全通告- Apache Struts 文件上传漏洞(CVE-2024-53677)风险通告 漏洞描述 Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Se
继续阅读Unix通用打印系统cups-browsed远程代码执行漏洞分析
Unix通用打印系统cups-browsed远程代码执行漏洞分析 启明星辰 ADLab 2024-12-13 11:18 更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn) 一、漏洞描述 2024年9月,安全研究员Simone Margaritelli披露了Unix通用打印系统CUPS(Common UNIX Printing Sys
继续阅读Windows远程桌面服务漏洞允许攻击者执行远程代码
Windows远程桌面服务漏洞允许攻击者执行远程代码 Zicheng FreeBuf 2024-12-13 11:10 2024 年 12 月 10 日,微软披露了Windows 远程桌面服务中的一个严重漏洞,能够让攻击者在受影响的系统上执行远程代码,从而对系统机密性、完整性和可用性构成严重威胁。 该漏洞被跟踪为 CVE-2024-49115,CVSS 评分为 8.1,由昆仑实验室的研究员 k0s
继续阅读【安全圈】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
【安全圈】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 安全圈 2024-12-13 11:02 关键词 安全漏洞 网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞,这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。 专门从事汽车网络安全的公司PCAutomotive最近在Black Hat Europe上披露了影响斯柯达Superb III轿车最新型号的12
继续阅读【安全圈】关键的Windows UI自动化框架漏洞允许黑客绕过EDR
【安全圈】关键的Windows UI自动化框架漏洞允许黑客绕过EDR 安全圈 2024-12-13 11:02 关键词 安全漏洞 一种新近开发的技术,利用了Windows的一个辅助功能框架——UI Automation(UIA),来执行多种恶意活动,同时巧妙地避开了端点检测和响应(EDR)解决方案的监控。 Akamai的安全研究员Tomer Peled在一份与The Hacker News分享的报
继续阅读【安全圈】Ivanti最严重的 CSA 认证绕过漏洞曝光
【安全圈】Ivanti最严重的 CSA 认证绕过漏洞曝光 安全圈 2024-12-13 11:02 关键词 安全漏洞 12月11日,Ivanti 向客户发出警告,提醒其 Cloud Services Appliance (CSA)解决方案存在一个新的最高严重性的认证绕过漏洞。 这个安全漏洞(编号 CVE-2024-11639)能够使远程攻击者在运行 Ivanti CSA 5.0.2 或更早版本的易
继续阅读斯柯达和大众汽车信息娱乐系统漏洞:攻击者可在10米内无接触入侵
斯柯达和大众汽车信息娱乐系统漏洞:攻击者可在10米内无接触入侵 看雪学苑 看雪学苑 2024-12-13 09:58 近日,网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞,这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。专门从事汽车网络安全的公司PCAutomotive在欧洲黑帽大会上公布了影响斯柯达Superb III轿车最新型号的12个新安全漏洞。 这些漏洞 主要存
继续阅读黑盒乱锤某专属SRC到0day代码分析
黑盒乱锤某专属SRC到0day代码分析 不秃头的安全 2024-12-13 09:54 **黑盒乱锤某专属SRC到0day代码分析**** 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。 还在学怎么挖通用漏洞和src吗?快来加入星球 -考证请加联系vx咨询 由 于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 上
继续阅读DevSecOps面面观 | 聊聊DevSecOps度量实践中的那些误区
DevSecOps面面观 | 聊聊DevSecOps度量实践中的那些误区 原创 小安君 开源网安 2024-12-13 09:39 DevSecOps将开发、安全和运维紧密结合,以实现软件全生命周期的高效协同和快速交付,保障软件的安全性与可靠性。然而,要想真正实现DevSecOps的目标并持续改进其流程,其关键点就在于度量体系的建设。 越来越多的开发团队意识到,只有通过精确的度量,才能清晰地了解每
继续阅读Cleo修复严重的0day漏洞
Cleo修复严重的0day漏洞 Sergiu Gatlan 代码卫士 2024-12-13 09:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Cleo 发布安全更新,修复了位于 LexiCom、VLTransfer 和 Harmony 软件中的一个0day漏洞。该漏洞目前已被用于盗取数据。 10月,Cleo 修复了位于其文件传输管理软件中的一个预认证远程代码执行漏洞(CVE-202
继续阅读Apache修复 Struts 2 中的严重 RCE 漏洞
Apache修复 Struts 2 中的严重 RCE 漏洞 Connor Jones 代码卫士 2024-12-13 09:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache Struts 2 宣布修复11月披露的漏洞CVE-2024-53677。该漏洞的CVSS v3 评分为9.5,CVSS v4 评分为9.8。远程攻击者无需任何权限,即可利用该漏洞,对系统机密性、完整性和
继续阅读安全设备漏洞 Checklist
安全设备漏洞 Checklist 原创 老鑫安全 老鑫安全 2024-12-13 09:31 弯刀划过红玫瑰,爱我yao家英雄会 2024年最后一个有可能一举翻身的机会 安全设备漏洞 Checklist 【免责声明】本项目所涉及的技术、思路和工具仅供学习,任何人不得将其用于非法用途和盈利,不得将其用于非授权渗透测试,否则后果自行承担,与本项目无关。使用本项目前请先阅读法律法规。 一、身份与访问控制
继续阅读上周关注度较高的产品安全漏洞(20241202-20241208)
上周关注度较高的产品安全漏洞(20241202-20241208) 中国电信安全 2024-12-13 09:31 一、境外厂商产品漏洞 1、NETGEAR XR300 usb_approve.cgi组件缓冲区溢出漏洞 NETGEAR XR300是美国网件(NETGEAR)公司的一款无线路由器。NETGEAR XR300 v1.0.3.78版本存在缓冲区溢出漏洞,该漏洞源于usb_approve.
继续阅读【众测挑战赛最终场】漏洞马拉松赛程二正式开启!超多业务等你来测!
【众测挑战赛最终场】漏洞马拉松赛程二正式开启!超多业务等你来测! OPPO安全中心 2024-12-13 09:30 2024年的众测挑战赛转眼就来到最后一期啦! 各位师傅们请抓住机会领取你们的超高额额外奖励 累计赛程一还有机会获得丰厚的OPPO产品哦! 参加漏洞马拉松详情请戳:【2024漏洞马拉松】OPPO赛程正式启动,1.5倍奖励,新人额外奖励……超多奖金拿到手软!还有手机大奖等你来拿! PS
继续阅读对攻击者保持视野领先:从漏洞情报到「扩展漏洞情报」
对攻击者保持视野领先:从漏洞情报到「扩展漏洞情报」 诸葛象 斗象智能安全 2024-12-13 08:44 随着漏洞大爆发时代的来临以及黑产、暗网交易等盛行,如何以更全面、更有针对性的漏洞情报帮助企业在与攻击者的较量中占据高位,成为了业界关注的重点课题之一。 在FCIS 2024网络安全创新大会上,斗象科技CTO徐钟豪分享了斗象在 漏洞情报领域的最新见解,以及扩展漏洞情报XVI的产品设计理念和关键
继续阅读一个0day的开端:失败的man与nday
一个0day的开端:失败的man与nday 蚁景网安 2024-12-13 08:30 最近在审计java的CMS,跟着文章进行nday审计,找准目标newbee-mall Version 1.0.0(新蜂商城系统),并跟着网上文章进行审计: https://blog.csdn.net/m0_46317063/article/details/131538307 下载唯一的版本,且源码README中
继续阅读斯柯达汽车漏洞披露:超过140万辆汽车面临远程控制与追踪风险
斯柯达汽车漏洞披露:超过140万辆汽车面临远程控制与追踪风险 安全客 安全客 2024-12-13 07:41 近期,安全研究人员发现大众汽车旗下斯柯达部分汽车的娱乐信息系统存在多个漏洞,这些漏洞可能被恶意攻击者利用,远程控制特定功能并实时追踪汽车的位置。 PCAutomotive近日在黑帽欧洲大会(Black Hat Europe)上披露了12个影响斯柯达Superb III轿车最新款的安全漏洞
继续阅读MyQ 打印服务器未经身份验证的 RCE (CVE-2024-28059)
MyQ 打印服务器未经身份验证的 RCE (CVE-2024-28059) Ots安全 2024-12-13 06:51 MyQ打印服务器,作为一款广泛应用于企业环境中的解决方案,旨在优化打印资源的使用,提高工作效率。 然而,近期 Positive Hack Days (PHDays) 在越南举行的 Positive Hack Talks in Vietnam 会议,技术员:Arseniy S
继续阅读【活动预告】“AI+Security”系列第4期之“洞”见未来:AI驱动的漏洞挖掘新范式
【活动预告】“AI+Security”系列第4期之“洞”见未来:AI驱动的漏洞挖掘新范式 网安国际 2024-12-13 05:49 由 安全极客、DataCon社区、InForSec网络安全研究国际学术论坛和 清华校友总会AI大数据专委会联合主办的 “AI+Security”系列第4期: “洞”见未来:AI驱动的漏洞挖掘新范式 线下活动 将于 2024年12月21日下午14:00 在 北三环东路
继续阅读用友U8-CRM系统存在前台SQL注入漏洞
用友U8-CRM系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2024-12-13 04:57 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 用友U8CRM是一款集CRM、呼叫中心、OA核心应用于一体,提供前端营销、后端业务处理及员工管理一体化应用的管理软件。软件立足代理销售服务行业管理一体化的高度,以“整合、专业、智能、畅捷”为产品研发理念,弥补了代理销售服务行业信息化管理的
继续阅读活动预告|“AI+Security”系列第4期之“洞”见未来:AI驱动的漏洞挖掘新范式
活动预告|“AI+Security”系列第4期之“洞”见未来:AI驱动的漏洞挖掘新范式 DataCon大数据安全分析竞赛 2024-12-13 03:32 由 安全极客、DataCon社区、InForSec网络安全研究国际学术论坛和 清华校友总会AI大数据专委会联合主办的 “AI+Security”系列第4期: “洞”见未来:AI驱动的漏洞挖掘新范式 线下活动 将于 2024年12月21日下午14
继续阅读超过 30 万台 Prometheus 服务器和 Exporter 暴露于拒绝服务(DoS)攻击中
超过 30 万台 Prometheus 服务器和 Exporter 暴露于拒绝服务(DoS)攻击中 独眼情报 2024-12-13 03:22 在本研究中,我们揭示了Prometheus生态系统中的几个漏洞和安全缺陷。这些发现涵盖了三个主要领域:信息泄露、拒绝服务(DoS)攻击和代码执行。 主要发现 暴露在外的Prometheus服务器或导出器,通常缺乏适当的身份验证,使攻击者能够轻松收集敏感信息
继续阅读【OleView.NET】Windows COM 攻击面漏洞扫描工具
【OleView.NET】Windows COM 攻击面漏洞扫描工具 独眼情报 2024-12-13 03:22 这是关于我最近对 OleView.NET(http://oleview.net/) 工具进行的一些改进的简短博客文章,该工具已作为 1.16 版本发布。该工具旨在发现 Windows COM 的攻击面,并找出诸如权限提升和远程代码执行等安全漏洞。这些更新最近在位于雷德蒙德的微软蓝帽子大
继续阅读思普企业运营管理平台 apilogin SQL注入漏洞
思普企业运营管理平台 apilogin SQL注入漏洞 Superhero nday POC 2024-12-13 03:21 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉
继续阅读【漏洞复现】某平台-cwsuploadpicture-GetPicture-file-read-任意文件读取漏洞
【漏洞复现】某平台-cwsuploadpicture-GetPicture-file-read-任意文件读取漏洞 原创 南极熊 SCA御盾 2024-12-13 03:03 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系
继续阅读玲珑安全直播:单洞赏金1万美刀的漏洞思路分享
玲珑安全直播:单洞赏金1万美刀的漏洞思路分享 玲珑安全 芳华绝代安全团队 2024-12-13 02:43 直播来啦! 国内挖洞日益内卷压力大? 想挖海外SRC却不知从何下手? 语言障碍、思路差异以及不熟悉的海外平台规则频频成为挑战美金的阻碍? 有问题!咱不怕!咱们请到了老师傅带带咱! O(∩_∩)O~ FreeBuf请来了我们的重磅嘉宾 玲珑安全学员:Reclu3a 为我们揭开海外SRC的神秘面
继续阅读安科瑞环保用电监管云平台 GetEnterpriseInfoById SQL注入漏洞
安科瑞环保用电监管云平台 GetEnterpriseInfoById SQL注入漏洞 Superhero nday POC 2024-12-13 02:03 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时
继续阅读Spring漏洞测试与利用
Spring漏洞测试与利用 黑白之道 2024-12-13 02:02 Spring Boot基础原理 Spring Boot是一款基于JAVA的开源框架,目的是为了简化Spring应用搭建和开发流程。是目前比较流行,大中小型企业常用的框架。正因为极大的简化了开发流程,才受到了绝大开发人员的喜爱。 0x01 Spring Boot 表达式 OGNL:Apache Commons Object-Gr
继续阅读遇到漏洞怎么办?美妆思路试试看
遇到漏洞怎么办?美妆思路试试看 安恒信息 2024-12-13 01:53 将“安恒信息” 微信公众号设为星标 关注信息不走丢哦! 往期 精彩回顾 最高级!安恒信息获评工信部NVDB漏洞治理合作“三星级技术支撑单位”2024-12-12 安恒信息助力2024年农信系统网络安全竞赛圆满落幕2024-12-11 特等奖!安恒信息DAS战队在“强网杯”总决赛中喜获佳绩2024-12-10
继续阅读