(未公开)灵当CRM某接口存在文件读取漏洞
(未公开)灵当CRM某接口存在文件读取漏洞 原创 WebSec WebSec 2024-12-10 12:21 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! 01
继续阅读月度归档: 2024 年 12 月
「漏洞复现」三汇SMG网关管理软件 SMGSuperAdmin 信息泄露漏洞
「漏洞复现」三汇SMG网关管理软件 SMGSuperAdmin 信息泄露漏洞 冷漠安全 冷漠安全 2024-12-10 12:13 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读【安全圈】防火墙服务配置漏洞波及多家全球财富100强公司
【安全圈】防火墙服务配置漏洞波及多家全球财富100强公司 安全圈 2024-12-10 11:01 关键词 安全漏洞 据Cyber Security News消息,网络安全研究团队 Zafran 最近在 Web 应用程序防火墙 (WAF) 服务配置中发现了一个被称为“BreakingWAF”的安全漏洞,该漏洞容易让许多财富 100强、1000强的公司受到网络攻击。 该漏洞影响到一些最主流的 WAF
继续阅读研究员在DeepSeek 和 Claude AI 中发现多个提示注入漏洞
研究员在DeepSeek 和 Claude AI 中发现多个提示注入漏洞 Ravie Lakshmanan 代码卫士 2024-12-10 10:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员 Johann Rehberger 在DeepSeek 人工智能 (AI) 聊天机器人中发现了一个缺陷(现已修复),可导致恶意人员通过提示注入攻击的方式控制受害者账户。 Rehbe
继续阅读QNAP修复Pwn2Own大赛利用的多个漏洞
QNAP修复Pwn2Own大赛利用的多个漏洞 Ionut Arghire 代码卫士 2024-12-10 10:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周末,QNAP系统修复在2024年Pwn2Own 爱尔兰大赛中演示的QTS 和 QuTS Hero 中的多个漏洞。 在 Pwn2Own 大赛中,参赛人员因发现QNAP 产品 exp 而获得数万美元的奖励,其中一个exp甚至获得
继续阅读绿盟科技勇夺“强网杯”高阶技术专项赛一等奖,多赛道实现奖项全面突破
绿盟科技勇夺“强网杯”高阶技术专项赛一等奖,多赛道实现奖项全面突破 绿盟科技 M01N Team 2024-12-10 10:00 全文共626字,阅读大约需1分钟。 近日,第八届“强网杯”高阶技术专项赛圆满落幕。作为国内网络安全领域的高水平赛事,本次竞赛聚焦网络安全热点问题,深化人工智能技术创新应用,吸引了全国顶尖的安全团队同场竞技。绿盟科技联合西安交通大学、华中科技大学等团队参赛,在“恶意流量
继续阅读从勒索软件到APT:揭开制造业面临的8大网络安全威胁
从勒索软件到APT:揭开制造业面临的8大网络安全威胁 软件评测中心 2024-12-10 10:00 点击蓝字,关注 “软件评测中心” 超过83%的制造企业在过去一年内遭遇勒索软件攻击,其中26%的企业被迫停产,高达68%的受害者不得不支付赎金……制造业正面临前所未有的网络安全挑战。这不仅凸显了制造业脆弱的网络安全现状,更预示着一场席卷全球制造业的网络风暴正在逼近。 为何制造业安全态势日益严峻?
继续阅读500强上市车企通过模糊测试降低未知风险,构筑汽车行业领先的品质基石
500强上市车企通过模糊测试降低未知风险,构筑汽车行业领先的品质基石 开源网安 2024-12-10 09:18 某500强上市车企是国内规模领先的汽车上市公司,业务主要涵盖整车、零部件、移动出行和服务、金融、国际经营、创新科技等领域,已形成以整车业务为龙头,六大板块紧密协同、相互赋能、融合发展的业务格局。近几年,该车企作为软件定义汽车践行者,长期聚焦研发智能车技术底座,提供全栈或平台解决方案。
继续阅读用友U8 CRM ajaxgetborrowdata.php SQL注入漏洞
用友U8 CRM ajaxgetborrowdata.php SQL注入漏洞 Superhero nday POC 2024-12-10 08:54 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读用Python实现自动化漏洞挖掘
用Python实现自动化漏洞挖掘 蚁景网安 2024-12-10 08:30
继续阅读信息安全漏洞周报【第001期】
信息安全漏洞周报【第001期】 零零捌信安观察 银天信息 2024-12-10 06:21 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读黑客利用 ProjectSend 漏洞对暴露的服务器进行后门处理
黑客利用 ProjectSend 漏洞对暴露的服务器进行后门处理 天唯科技 天唯信息安全 2024-12-10 06:07 恶意分子正在利用 ProjectSend 中的一个关键身份验证绕过漏洞的公共漏洞来上传 Webshell 并获得对服务器的远程访问。 该漏洞被追踪为 CVE-2024-11680,是一个严重的身份验证错误,影响 r1720 之前的 ProjectSend 版本,允许攻击者向“
继续阅读[漏洞挖掘与防护] 05.CVE-2018-12613:phpMyAdmin 4.8.1后台文件包含缺陷复现及防御措施
[漏洞挖掘与防护] 05.CVE-2018-12613:phpMyAdmin 4.8.1后台文件包含缺陷复现及防御措施 原创 Eastmount 娜璋AI安全之家 2024-12-10 02:51 24年4月28日是Eastmount的安全星球 —— 『网络攻防和AI安全之家』正式创建和运营的日子,并且已坚持5个月每周7更。该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI
继续阅读【漏洞复现】某平台-Upload-file-upload-aspx任意文件上传漏洞
【漏洞复现】某平台-Upload-file-upload-aspx任意文件上传漏洞 原创 南极熊 SCA御盾 2024-12-10 02:50 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供
继续阅读网络安全知多少【科普】5:找业务本身也可能就是漏洞,就是风险
网络安全知多少【科普】5:找业务本身也可能就是漏洞,就是风险 安小圈 2024-12-10 00:45 安小圈 第563期 网络安全 科普 “ 因此,安全是发展的前提和保障。没有网络安全,就没有国家安全,更谈不上业务安全。” 在当今数字化时代,企业业务的复杂性和多样性不断增加,业务功能的设计与实现成为企业竞争力的关键因素之一。 然而,业务本身及其功能设计往往潜藏着诸多漏洞和安全隐患,这些风险不仅可
继续阅读美国顶级红队演练,只用了个Nday?
美国顶级红队演练,只用了个Nday? 原创 ThreatBook 微步在线 2024-12-10 00:28 前不久,美国网络安全和基础设施安全局 (CISA),对美国关键基础设施行业某组织进行了一次红队演练,以此评估组织的网络安全检测和响应能力。演练期间,红队的渗透路径如下所示。 由于防守方存在诸多偏离了安全基线的配置,并且在策略上忽略了针对网络流量和账户活动的深度检测,因此未能有效限制红队利用
继续阅读49套.NET系统漏洞威胁情报(12.10更新)
49套.NET系统漏洞威胁情报(12.10更新) 专攻.NET安全的 dotNet安全矩阵 2024-12-10 00:20 49 某环保监管系统文件SQL注入 49.1 漏洞概述 某 环保监管平台依托创新的物联网电力传感技术,实时采集企业总用电、生产设备及环保治理设备用电数据,该系统某个接口存在注入风险。 GET /Main**r/GetEnterprise***Id?EnterpriseId=
继续阅读Nuclei AI – 让漏洞发现更加智能化与高效
Nuclei AI – 让漏洞发现更加智能化与高效 原创 白帽学子 白帽学子 2024-12-10 00:11 记得上周我们进行了一次安全演练,面对大量的漏洞信息,我几乎快被繁琐的手动操作压垮了。要从技术博客、漏洞报告或者社交媒体上提取相关信息并转化为可用的检测模板,那真是个耗时耗力的活儿。 这时候偶然听说了 Nuclei AI 浏览器扩展,它是基于 ProjectDiscovery
继续阅读工具 | FastjsonExploit
工具 | FastjsonExploit 浅安 浅安安全 2024-12-10 00:00 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介 FastjsonExploit是一个Fastjson漏洞快速漏洞利用框架。**** 0x01 功能说明 – 生成利用payload,并启动利用环境 管理Fast
继续阅读CVE-2018-15664:Docker CP任意读写主机文件
CVE-2018-15664:Docker CP任意读写主机文件 Heptagram 七芒星实验室 2024-12-09 23:01 影响范围 Docker 17.06.0-ce~17.12.1-ce:rc2 Docker 18.01.0-ce~18.06.1-ce:rc2 漏洞类型 容器逃逸 利用条件 TOCTOU 漏洞概述 2019年6月份,Docker容器被曝存在权限逃逸安全漏洞(漏洞编号:
继续阅读【0day】安徽生命港湾信息技术有限公司服务配置工具存在任意文件下载漏洞
【0day】安徽生命港湾信息技术有限公司服务配置工具存在任意文件下载漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-09 22:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **安徽生命港湾信息技术有限公司凭借技术团队多年的行业耕耘及深入场景的产品设计和创新,以IBMS为可视化运维管理平台,将物联网数据采集、大数据与IB
继续阅读用友NC /portal/pt/task/process SQL注入漏洞
用友NC /portal/pt/task/process SQL注入漏洞 Superhero Nday Poc 2024-12-09 18:30 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会
继续阅读见证无限可能!火山引擎冬季 Force 大会开发者论坛来袭
见证无限可能!火山引擎冬季 Force 大会开发者论坛来袭 字节跳动技术团队 2024-12-09 18:02 如果 AI 技术是新时代的魔法工具,那么大模型就是赋予这一工具无限可能的超级魔法棒。随着大模型技术的快速崛起,开发者正迈入一个由 AI 引领的“大模型时代”。在这个时代,AI 会如何助力开发者? 12 月 19 日,火山引擎冬季 FORCE 原动力大会开发者论坛即将开启 。从火山方舟平台
继续阅读CVE-2024-48307|JeecgBoot SQL 注入漏洞(POC)
CVE-2024-48307|JeecgBoot SQL 注入漏洞(POC) alicy 实战安全研究 2024-12-09 16:18 0x00 前言 JeecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键
继续阅读渗透测试 — Web漏洞介绍和Sql注入漏洞
渗透测试 — Web漏洞介绍和Sql注入漏洞 Web安全工具库 2024-12-09 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/0ef2ab23aa61 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 各 类 学 习 教 程 下 载 合 集 https://pan.quark.cn/s/8c91ccb
继续阅读一个好用的Nuclei POC模版管理工具支持一键漏洞探测|渗透测试
一个好用的Nuclei POC模版管理工具支持一键漏洞探测|渗透测试 漏洞挖掘 渗透安全HackTwo 2024-12-09 16:00 0x01 工具介绍 Wavely是一个nuclei POC管理工具,支持模板的增删查改、请求响应包查看、并行扫描等功能,兼容MacOS、Windows和Linux系统。它采用全新的nuclei v3检测引擎,支持自定义DNSLOG服务器和多种模板导入方式,并提
继续阅读MITRE 分享了 2024 年最危险的 25 个软件漏洞
MITRE 分享了 2024 年最危险的 25 个软件漏洞 Rhinoer 犀牛安全 2024-12-09 16:00 MITRE 分享了今年最常见、最危险的 25 大软件漏洞列表,涵盖了 2023 年 6 月至 2024 年 6 月期间披露的 31,000 多个漏洞。 软件漏洞是指软件代码、架构、实现或设计中发现的缺陷、错误、漏洞和错误。 攻击者可以利用它们来破坏运行有漏洞软件的系统,从而使他们
继续阅读【漏洞预警】SoftLab Integrate Google Drive身份认证绕过漏洞(CVE-2023-32117)
【漏洞预警】SoftLab Integrate Google Drive身份认证绕过漏洞(CVE-2023-32117) cexlife 飓风网络安全 2024-12-09 15:16 漏洞描述: Sоftlаb Intеɡrаtе Gооɡlе Drivе中存在未授权漏洞,允许利用配置错误的访问控制安全级别进行攻击,这个问题影响Intеɡrаtе Gооɡlе Drivе:从n/а到1.1.99
继续阅读【漏洞情报】海信智能公交企业管理系统AdjustWorkHours.aspx SQL注入漏洞
【漏洞情报】海信智能公交企业管理系统AdjustWorkHours.aspx SQL注入漏洞 cexlife 飓风网络安全 2024-12-09 15:16 漏洞描述: 海信智能公交企业管理系统AdјuѕtWоrkHоurѕ.аѕрх接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服
继续阅读「漏洞复现」Mitel MiCollab 企业协作平台 任意文件读取漏洞(CVE-2024-41713)
「漏洞复现」Mitel MiCollab 企业协作平台 任意文件读取漏洞(CVE-2024-41713) 冷漠安全 冷漠安全 2024-12-09 13:40 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读