Shiro框架漏洞看了你就会了(含靶场复现)
Shiro框架漏洞看了你就会了(含靶场复现) 工作室-Lin 马哥网络安全 2024-12-12 09:01 一、shiro简介 Shiro是一个功能强大且易于使用的Java安全框架,旨在简化Java应用程序的安全开发。 它提供了身份认证(登录)、授权(访问控制)、加密、会话管理以及与Web集成的功能,可以应用于从小型移动应用到大型Web和企业应用的多种场景。 Shiro既可以独立运行,也可以与其
继续阅读月度归档: 2024 年 12 月
【漏洞通告】Apache Struts 2远程代码执行漏洞安全风险通告
【漏洞通告】Apache Struts 2远程代码执行漏洞安全风险通告 嘉诚安全 2024-12-12 08:46 漏洞背景 近日,嘉诚安全监测到Apache Struts 2中存在一个远程代码执行漏洞,漏洞编号为: CVE-2024-53677。 Apache Struts 2是一个基于MVC设计模式的Web应用框架,可用于创建企业级Java web应用程序。 鉴于漏洞危害较大,嘉诚安全提醒相关
继续阅读【漏洞通告】Apache Struts 2 任意文件上传漏洞(S2-067)(CVE-2024-53677)
【漏洞通告】Apache Struts 2 任意文件上传漏洞(S2-067)(CVE-2024-53677) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-12-12 08:34 漏洞名称: Apache Struts 2 任意文件上传漏洞(S2-067)(CVE-2024-53677) 组件名称: Apache Struts2 影响范围: 2.0.0 ≤ Apache Struts 2 ≤
继续阅读【风险通告】GitLab存在敏感信息泄露漏洞(CVE-2024-11274)
【风险通告】GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒CERT评级 2级 CVSS3.1评分 8.7 CVE编号 CVE-2024-11274 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-2024
继续阅读【风险通告】Apache Struts存在文件上传漏洞(CVE-2024-53677)
【风险通告】Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒CERT评级 2级 CVSS3.1评分 8.1 CVE编号 CVE-2024-53677 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT
继续阅读关于防范Zabbix软件SQL注入超危漏洞的风险提示
关于防范Zabbix软件SQL注入超危漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2024-12-12 08:23 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源软件 Zabbix 存在 SQL 注入超危漏洞。 Zabbix 是一款开源网络监控软件,广泛用于监控网络设备、服务器和应用程序的状态。由于 Zabbix 软件未对用户输入数据进行严格验证和转
继续阅读安全简讯(2024.12.12)
安全简讯(2024.12.12) 启明星辰安全简讯 2024-12-12 07:56 1. Cleo文件传输软件零日漏洞遭黑客利用进行数据盗窃攻击 12月10日,黑客正在积极利用Cleo管理文件传输软件中的新发现的零日漏洞,侵入全球数千家公司网络,包括Target、沃尔玛等知名企业,进行数据盗窃攻击。该漏洞存在于Cleo LexiCom、VLTrader和Harmony产品中,允许不受限制的文件上
继续阅读【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274)
【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274) 启明星辰安全简讯 2024-12-12 07:56 一、漏洞概述 漏洞名称 GitLab Kubernetes Proxy Response NEL头注入漏洞 CVE ID CVE-2024-11274 漏洞类型 注入、信息泄露 发现时间 2024-12-12 漏洞
继续阅读【漏洞通告】Apache Struts 2远程代码执行漏洞(CVE-2024-53677)
【漏洞通告】Apache Struts 2远程代码执行漏洞(CVE-2024-53677) 启明星辰安全简讯 2024-12-12 07:56 一、漏洞概述 漏洞名称 Apache Struts 2远程代码执行漏洞 CVE ID CVE-2024-53677 漏洞类型 路径遍历、文件上传 发现时间 2024-12-12 漏洞评分 9.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用
继续阅读Zabbix SQL 注入 CVE-2024-42327 POC已公开
Zabbix SQL 注入 CVE-2024-42327 POC已公开 剁椒鱼头没剁椒 2024-12-12 07:37 Zabbix SQL注入漏洞 CVE-2024-42327 的 PoC 发布(CVSS 评分 9.9) 安全研究员 Alejandro Ramos 发布了 CVE-2024-42327 的详细技术分析和PoC。 CVE-2024-42327 是一个影响 Zabbix 的 SQL
继续阅读Cleo 0day漏洞 CVE-2024-50623 poc 公开
Cleo 0day漏洞 CVE-2024-50623 poc 公开 剁椒鱼头没剁椒 2024-12-12 07:37 CVE-2024-50623这一关键漏洞正在被恶意利用,使用Cleo文件传输软件的企业应立即开始防护。这个漏洞影响Cleo LexiCom、VLTrader和Harmony产品,允许攻击者在易受攻击的系统上远程执行恶意代码。 Cleo 公司最初于 2024 年 10 月报告并解决了
继续阅读CNNVD关于Apache Struts安全漏洞的通报
CNNVD关于Apache Struts安全漏洞的通报 原创 CNNVD CNNVD安全动态 2024-12-12 07:31 点击蓝字 关注我们 漏洞情况**** 近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts安全漏洞(CNNVD-202412-1393、CVE-2024-53677)情况的报送。成功利用漏洞的攻击者,可以操纵文件上传参数来启用路径遍历,进而上传可用于执
继续阅读Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告
Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告 奇安信 CERT 2024-12-12 07:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Struts 文件上传漏洞 漏洞编号 QVD-2024-50398,CVE-2024-53677 公开时间 2024-12-11 影响量级 十万级 奇安信评级 高危 CVSS 3.
继续阅读(0day)杜特网上订单管理系统getUserImage存在SQL注入漏洞
(0day)杜特网上订单管理系统getUserImage存在SQL注入漏洞 原创 websec WebSec 2024-12-12 06:43 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致
继续阅读Apache Struts FileUploadInterceptor 目录遍历与文件上传漏洞(CVE-2024-53677)
Apache Struts FileUploadInterceptor 目录遍历与文件上传漏洞(CVE-2024-53677) 风险通告 阿里云应急响应 2024-12-12 06:11 2024年12月,Apache 官方披露 CVE-2024-53677 Apache Struts FileUploadInterceptor 文件上传漏洞。 01 风险描述 Apache Struts 是一个
继续阅读poc管理工具|精准漏扫|附10w+poc|Wavely|有他就够了
poc管理工具|精准漏扫|附10w+poc|Wavely|有他就够了 原创 淮橘安全 淮橘安全 2024-12-12 02:08 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 “ 设为星标 ”, 否则可能就看不到了啦
继续阅读ZASRC漏洞接收资产范围更新
ZASRC漏洞接收资产范围更新 原创 ZASRC 众安安全应急响应中心 2024-12-12 02:00 各位白帽子: ZASRC漏洞接收公司及域名范围都更新啦!来看看吧—— (一)ZASRC漏洞接收公司最新范围如下: 众安在线财产保险股份有限公司 众安在线保险经纪有限公司 众安科技(国际)集团有限公司 上海豹云网络信息服务有限公司 众安信息技术服务有限公司 上海暖哇科技有限公司 (二)ZASRC
继续阅读【漏洞通告】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)
【漏洞通告】ProjectSend 身份认证绕过漏洞(CVE-2024-11680) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 ProjectSend 存在身份认证绕过漏洞,未授权的攻击者可以利用该漏洞修改应用程序的配置,执行任意命令,导致服务器失陷。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称ProjectSend身份认证绕过漏洞漏洞编号CVE编号CV
继续阅读【漏洞通告】ProFTPD 权限提升漏洞(CVE-2024-48651)
【漏洞通告】ProFTPD 权限提升漏洞(CVE-2024-48651) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 ProFTPD在1.3.9rc2之前的版本中存在一个权限提升漏洞。经过身份验证的用户如果没有明确得加入任何附加组,会错误地从父进程继承附加组GID 0(root)。攻击者可以利用该漏洞将普通用户权限提升至root权限,严重可导致服务器失陷。02
继续阅读【漏洞通告】Django Oracle数据库SQL注入漏洞(CVE-2024-53908)
【漏洞通告】Django Oracle数据库SQL注入漏洞(CVE-2024-53908) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 在使用Oracle作为后端数据库时,Django框架中存在一个SQl注入漏洞。通过django.db.models.fields.json.HasKey,攻击者可以将恶意语句作为lhs值注入数据库,从而导致数据泄露和服务器失陷
继续阅读最高级!安恒信息获评工信部NVDB漏洞治理合作“三星级技术支撑单位”
最高级!安恒信息获评工信部NVDB漏洞治理合作“三星级技术支撑单位” 安恒信息 2024-12-12 01:02 近日,2024年第十三届电信和互联网行业网络安全年会在北京召开。在会上,工信部网络安全威胁和漏洞信息共享平台(NVDB)通用网络产品安全漏洞专业库对2024-2025年度技术支撑单位进行授牌,安恒信息凭借 在网络产品安全漏洞管理方面作出的杰出贡献,被授予“ 三星级 技术支撑单位” (最
继续阅读记一次接口fuzz+逻辑漏洞拿下证书站高危
记一次接口fuzz+逻辑漏洞拿下证书站高危 扫地僧的茶饭日常 2024-12-12 01:00 扫码领资料 获网安教程 本文由掌控安全学院 – kpc 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 一、站点选择 依旧是按照可注册进站的思路搜索资产,因为是打证书站所以只需要按照域名搜索即可,关键字中加上注册,后台等即可,具体语法
继续阅读DMC Airin Blog Plugin 反序列化 CVE-2024-52413分析
DMC Airin Blog Plugin 反序列化 CVE-2024-52413分析 原创 韭菜 fraud安全 2024-12-12 00:30 漏洞文件定位 根据漏洞通告提示问题点在反序列化 全局查找反序列化关键字 漏洞分析 构造反序列化payload通过POST 请求query 参数直接获取 反向追踪,发现airinblog_fun_loadmore_post_cat 和airinblog
继续阅读漏洞发现,除了漏扫还能靠啥?
漏洞发现,除了漏扫还能靠啥? 原创 ThreatBook 微步在线 2024-12-12 00:26 1998年,第一款全球知名开源漏扫工具Nessus创建并发布,没想到大受欢迎。相比于此前个人编写的脚本及工具来检测网络已知漏洞,Nessus功能更丰富也更趁手,适用的安全人员段位也更广泛。此后,随着国际标准漏洞命名系统(CVE)推出,漏洞严重性评分体系(CVSS)引入,漏洞发现成为了一件更专业的事
继续阅读探索开源 C2 框架中的漏洞
探索开源 C2 框架中的漏洞 原创 Vipersec SecretTeam安全团队 2024-12-12 00:01 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把 SecretTeam安全团队 “设为星标 ”, 否则可能就看不到了啦! 免责声明 “本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适当授权的情况下使用这些
继续阅读漏洞预警 | Veeam Service Provider Console远程代码执行和信息泄露漏洞
漏洞预警 | Veeam Service Provider Console远程代码执行和信息泄露漏洞 浅安 浅安安全 2024-12-12 00:00 0x00 漏洞编号 – CVE-2024-42448 CVE-2024-42449 0x01 危险等级 – 高危 0x02 漏洞概述 Veeam Service Provider Console是Veeam Software
继续阅读漏洞预警 | Progress WhatsUp Gold远程代码执行漏洞
漏洞预警 | Progress WhatsUp Gold远程代码执行漏洞 浅安 浅安安全 2024-12-12 00:00 0x00 漏洞编号 – CVE-2024-8785 0x01 危险等级 – 高危 0x02 漏洞概述 WhatsUp Gold是美国Progress Software公司开发的一款网络监控软件,可监控整个网络基础设施,迅速定位并解决网络中的问题,提高网
继续阅读工具 | ShiroEXP
工具 | ShiroEXP 浅安 浅安安全 2024-12-12 00:00 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介 ShiroEXP是一款Shiro漏洞利用工具。**** 0x01 功能说明 – 爆破key及加密方式 漏洞验证 爆破回显链 命令执行 Shell模式 注入内存马 全局代理 0
继续阅读Cleo文件传输软件爆严重漏洞,黑客组织Termite或已发动大规模勒索攻击!
Cleo文件传输软件爆严重漏洞,黑客组织Termite或已发动大规模勒索攻击! 原创 Hankzheng 技术修道场 2024-12-11 23:56 紧急速报 近日,文件传输软件巨头Cleo的产品爆出严重安全漏洞,允许未经身份验证的攻击者远程执行代码。安全公司Huntress发现,黑客组织Termite疑似利用该漏洞,已对全球多家企业发动攻击,并植入勒索软件。 漏洞详情 – 漏洞
继续阅读