大模型的反序列化导致的RCE漏洞
大模型的反序列化导致的RCE漏洞 sule01u 黑伞安全 2024-12-05 10:04 大模型的反序列化导致的RCE漏洞 话说最近字节实习生通过编写、篡改代码等形式恶意攻击团队研究项目模型训练任务的事闹的沸沸扬扬,那气氛都到这了,我们来聊聊大模型的rce漏洞吧 引言 这可以从今年的CVE-2024-3568开始聊聊, CVE-2024-3568是Huggingface的Transformer
继续阅读月度归档: 2024 年 12 月
CVE-2024-42448 (CVSS 9.9):Veeam VSPC 中的严重 RCE 漏洞
CVE-2024-42448 (CVSS 9.9):Veeam VSPC 中的严重 RCE 漏洞 Ots安全 2024-12-05 09:53 知名备份和灾难恢复解决方案提供商 Veeam Software 已发布紧急安全更新,以解决其服务提供商控制台 (VSPC) 中的两个严重漏洞。其中一个漏洞被标识为 CVE-2024-42448,CVSS 评分为 9.9,可能允许远程攻击者在易受攻击的系统上
继续阅读创宇安全智脑 | 大华 DSS 数字监控系统 adminOperate 信息泄露等79个漏洞可检测
创宇安全智脑 | 大华 DSS 数字监控系统 adminOperate 信息泄露等79个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-05 09:47 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精
继续阅读日本CERT提醒:IO-Data 路由器中的多个0day已遭利用
日本CERT提醒:IO-Data 路由器中的多个0day已遭利用 Bill Toulas 代码卫士 2024-12-05 09:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 日本应急响应中心 (CERT) 提醒称,黑客正在利用 I-O Data 路由器设备中的多个0day漏洞,修改设备设置、执行命令、甚至关闭防火墙。 I-O Data 公司在网站发布安全通告,证实了这些漏洞的存在。然
继续阅读微步获评工信部NVDB通用漏洞库“三星级技术支撑单位”
微步获评工信部NVDB通用漏洞库“三星级技术支撑单位” 微步在线 2024-12-05 09:05 12月3日,在2024年(第十三届)电信和互联网行业网络安全年会主论坛上,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)通用网络产品安全漏洞专业库(以下简称“通用漏洞库”)发布2024-2025年度技术支撑单位名单并举行授牌仪式。鉴于 2024年在漏洞报送、研判和协同处置等工作中的突出表现
继续阅读四叶草安全获评NVDB漏洞库“二星级技术支撑单位”称号
四叶草安全获评NVDB漏洞库“二星级技术支撑单位”称号 小草 四叶草安全 2024-12-05 09:03 NVDB技术支撑单位 12月3日,由中国通信企业协会主办、中国通信企业协会通信网络安全专业委员会和中国信息通信研究院共同承办的2024年(第十三届)电信和互联网行业网络安全年会在北京成功举办。会上,工信部网络安全威胁和漏洞信息共享平台(NVDB)通用网络产品安全漏洞专业库对2024-2025
继续阅读【漏洞通告】SailPoint IdentityIQ访问控制不当漏洞(CVE-2024-10905)
【漏洞通告】SailPoint IdentityIQ访问控制不当漏洞(CVE-2024-10905) 启明星辰安全简讯 2024-12-05 08:41 一、漏洞概述 漏洞名称 SailPoint IdentityIQ访问控制不当漏洞 CVE ID CVE-2024-10905 漏洞类型 访问控制不当 发现时间 2024-12-04 漏洞评分 10.0 漏洞等级 高危 攻击向量 网络 所
继续阅读【漏洞通告】Django Oracle SQL注入漏洞(CVE-2024-53908)
【漏洞通告】Django Oracle SQL注入漏洞(CVE-2024-53908) 启明星辰安全简讯 2024-12-05 08:41 一、漏洞概述 漏洞名称 Django Oracle SQL注入漏洞 CVE ID CVE-2024-53908 漏洞类型 SQL注入 发现时间 2024-12-05 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无
继续阅读美英加澳新在堪培拉联合开展“网络哨兵”战术演习
美英加澳新在堪培拉联合开展“网络哨兵”战术演习 原创 奇安侦察兵 奇安网情局 2024-12-05 07:19 编者按 澳大利亚国防军举行第二届年度“网络哨兵”战术演习,并召集“五眼”联盟国家参加,旨在加强军事网络能力、弹性和训练。 此次演习于9月16日至27日在澳大利亚堪培拉举行,测试了澳大利亚、美国、英国、加拿大和新西兰参演者的作战准备情况,聚焦保护关键基础设施免受复杂威胁。演习期间,参演战术
继续阅读【漏洞分享】通达 OA getdata RCE 通达OA 命令执行漏洞 通杀漏洞
【漏洞分享】通达 OA getdata RCE 通达OA 命令执行漏洞 通杀漏洞 Undoubted Security 2024-12-05 06:28 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 漏洞复现 fofa查询语句: app="通达OA网络智能办公系统" 利用脚本进行检测:
继续阅读Zscaler CEO抨击虚假SASE方案严重误导用户;思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 | 牛览
Zscaler CEO抨击虚假SASE方案严重误导用户;思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 | 牛览 安全牛 2024-12-05 06:25 点击蓝字·关注我们 / aqniu 新闻速览 •强化关基设施防护,美国三大安全机构联合发布通信基础设施防护指南 •构建”数字监狱”?苹果公司被控非法监控员工个人设备和通讯 •Zscaler CEO抨击虚假
继续阅读9个超级实用BurpSuite插件,SRC漏洞挖掘利器打包推荐
9个超级实用BurpSuite插件,SRC漏洞挖掘利器打包推荐 Mstir 星悦安全 2024-12-05 04:52 点击上方 蓝字 关注我们 并设为 星标 part 01 一、前言 BETTER 工具打包下载地址在文末,不想看介绍直接拉到底下查看即可 前段时间自己在做项目的时候,需要用到一些漏洞扫描工具,以及一些被动扫描的工具,其中BurpSuite中的几个插件起到了关键性的作用,其实在实际
继续阅读CVE-2024-31317 复现
CVE-2024-31317 复现 原创 腹黑 白帽100安全攻防实验室 2024-12-05 03:30 前言 前两天看到JD的公众号发了篇CVE-2024-31317漏洞的分析,通篇看下来感觉还是比较有意思,且车机目前主流方案均为安卓系统且都在该漏洞的有限范围内,遂开始复现。因为是用户态的提权,需先获取对应用户权限。因此在车联网场景下存在一定的限制,目前主流做法是限制未知签名的APK安卓且无法
继续阅读暗网犯罪份子常用通讯软件 uTox 被曝 0day
暗网犯罪份子常用通讯软件 uTox 被曝 0day 独眼情报 2024-12-05 03:11 大水冲了龙王庙呀 一个知名暗网论坛可能正在出售针对 uTox 即时通讯客户端 0.18.1 版本的远程代码执行(RCE)0-day漏洞。 这一公告凸显了依赖该平台进行安全通讯的用户可能面临的潜在风险。 此类漏洞的出售可能带来严重后果,因为远程代码执行漏洞使攻击者能够在目标系统上执行任意代码,可能导致数据
继续阅读Zabbix 漏洞CVE-2024-42327 (CVSS 9.9)的 PoC 发布
Zabbix 漏洞CVE-2024-42327 (CVSS 9.9)的 PoC 发布 独眼情报 2024-12-05 03:11 安全研究员 Alejandro Ramos 发布了针对 CVE-2024-42327 的详细技术分析和概念验证 (PoC) 漏洞利用代码,CVE-2024-42327 是一个影响 Zabbix(一种广泛使用的开源企业网络和应用程序监控平台)的严重 SQL 注入漏洞。该漏
继续阅读Veeam 备份和复制漏洞曝光:高危漏洞使数据面临风险
Veeam 备份和复制漏洞曝光:高危漏洞使数据面临风险 独眼情报 2024-12-05 03:11 知名备份、恢复和数据管理解决方案提供商 Veeam Software 发布了 安全更新,以解决其 Veeam Backup & Replication 软件中的多个漏洞。这些漏洞可能允许经过身份验证的攻击者执行恶意代码、未经授权访问敏感信息并破坏连接系统的完整性。 这些漏洞中最严重的漏洞 C
继续阅读Lorex 2K 安全摄像头存在五个漏洞 可让黑客完全控制,已有可用 PoC
Lorex 2K 安全摄像头存在五个漏洞 可让黑客完全控制,已有可用 PoC 独眼情报 2024-12-05 03:11 Rapid7 的最新研究揭示了 Lorex 2K 室内 Wi-Fi 安全摄像头中的一系列严重漏洞,这引起了消费者对安全的严重担忧。这些漏洞是在 2024 年 Pwn2Own IoT 竞赛期间发现的,攻击者可以利用这些漏洞入侵设备,可能访问实时信息并远程执行恶意代码。 Rapid
继续阅读Lineaje 报告显示开源软件漏洞增多
Lineaje 报告显示开源软件漏洞增多 独眼情报 2024-12-05 03:11 Lineaje 发布了一份报告,强调了全球软件供应链中的漏洞,重点关注开源组件的依赖性。 这份名为《跨越界限:打破信任》的报告由 Lineaje AI Labs 编写,分析了超过 700 万个开源软件包。报告显示,超过 95% 的安全漏洞源自开源软件包依赖项,其中很大一部分漏洞没有已知的修复方法。这一发现凸显了依
继续阅读【漏洞复现】某平台-webservice-GetUDEFStreamID-delay-sql注入漏洞
【漏洞复现】某平台-webservice-GetUDEFStreamID-delay-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-05 02:55 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操
继续阅读通知 | 事件型漏洞收录范围调整
通知 | 事件型漏洞收录范围调整 补天平台 2024-12-05 02:41 事件型漏洞收录范围调整 为了鼓励更多的白帽子积极上发现的漏洞,帮助更多的企业维护产品安全性,补天收录范围更新, 取消权重的限制门槛,同时增加奖励形式。 01 事件型漏洞收录范围更新 补天漏洞响应平台将事件型漏洞收录范围进一步扩大,同时漏洞奖励形式增设荣誉币,旨在激励更多白帽子积极发现并上报漏洞,帮助更多的企业发现并修复漏
继续阅读【漏洞复现】金华迪加现场大屏系统存在任意文件上传getshell漏洞
【漏洞复现】金华迪加现场大屏系统存在任意文件上传getshell漏洞 原创 清风 白帽攻防 2024-12-05 01:07 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 金华迪加现场大屏互动系统是一种创新的互动展示解决方案,融合了先进的技术与创意设计,旨在
继续阅读Oracle 警告 Agile PLM 文件泄露漏洞可能被积极利用
Oracle 警告 Agile PLM 文件泄露漏洞可能被积极利用 Rhinoer 犀牛安全 2024-12-05 01:04 Oracle 已修复 Oracle Agile 产品生命周期管理 (PLM) 中一个未经身份验证的文件泄露漏洞,该漏洞编号为 CVE-2024-21287,有人利用该漏洞作为零日漏洞下载文件。 Oracle Agile PLM 是一个软件平台,使企业能够管理产品数据、流程
继续阅读思科10年老漏洞,影响ASA软件WebVPN登录页面
思科10年老漏洞,影响ASA软件WebVPN登录页面 E安全 2024-12-05 01:00 E安全消息,12月2日,思科(Cisco)发布有关CVE-2014-2120漏洞的更新安全公告,该漏洞影响思科安全设备ASA软件的WebVPN登录页面。 此漏洞最初于2014年披露,使未经身份验证的远程攻击者对WebVPN用户执行跨站点脚本 (XSS) 攻击。 Cisco 的最新公告证实了此漏洞正在被积
继续阅读CISA 警告 Zyxel 防火墙漏洞可能被利用进行攻击
CISA 警告 Zyxel 防火墙漏洞可能被利用进行攻击 会杀毒的单反狗 军哥网络安全读报 2024-12-05 01:00 导读 美国网络安全机构 CISA 周二警告称,多款 Zyxel 防火墙设备中的路径遍历漏洞已被利用。 该漏洞编号为 CVE-2024-11667(CVSS 评分为 7.5),是一个高严重性漏洞,影响 Zyxel ATP、USG FLEX 和 USG20(W)-VPN 系列设
继续阅读微软修复 AI、云计算和 ERP 安全漏洞,其中一个已被用于攻击
微软修复 AI、云计算和 ERP 安全漏洞,其中一个已被用于攻击 原创 技术修道场 技术修道场 2024-12-05 00:04 微软近日修复了四个影响其人工智能 (AI)、云计算、企业资源规划 (ERP) 和合作伙伴中心产品的安全漏洞,其中一个漏洞已被用于实际攻击。 图片来源于网络 已被利用的漏洞 被标记为“已检测到利用”的漏洞是 CVE-2024-49035(CVSS 评分:8.7),这是一个
继续阅读漏洞预警 | GitLab权限提升漏洞
漏洞预警 | GitLab权限提升漏洞 浅安 浅安安全 2024-12-05 00:03 0x00 漏洞编号 – CVE-2024-8114 0x01 危险等级 – 高危 0x02 漏洞概述 GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 0x03 漏洞详情 CVE-2024-8114 漏洞类型: 权限提升
继续阅读网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇)
网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇) 进击的HACK 2024-12-04 23:55 前言 前些天写了那个凑数量的漏洞文章,貌似效果不错…… 当初熊猫刚入行的时候,新接个渗透项目,起手就是awvs、sqlmap、xray、appscan、owaspzap等等的一系列扫描器莽怼,碰碰运气,结果惨败在waf拦截之下…… 对于小白来说,工具
继续阅读API安全漏洞靶场crapi漏洞复现
API安全漏洞靶场crapi漏洞复现 进击的HACK 2024-12-04 23:55 项目介绍 crAPI 应用程序被建模为 B2C 应用程序,允许任何用户让汽车修理工完成他们的汽车维修。用户可以在 WebApp 上创建帐户、管理他/她的汽车、搜索汽车修理工、提交任何汽车的服务请求以及从供应商处购买汽车配件。WebApp 还有一个社区部分,用户可以在其中贡献博客文章和评论。 crAPI 应用程序
继续阅读大模型安全漏洞:AI时代的“隐形炸弹”(附下载)
大模型安全漏洞:AI时代的“隐形炸弹”(附下载) 原创 说安全 如何安全 说安全 如何安全 2024-12-04 23:32 在这个日新月异的AI时代,大模型作为智能技术的核心驱动力,正以前所未有的速度改变着我们的生活和工作方式。从智能客服到自动驾驶,从医疗诊断到金融风控,大模型的应用场景越来越广泛,其背后所蕴含的巨大潜力和商业价值也愈发凸显。然而,在享受AI带来的便捷与高效的同时,你是否意识到,
继续阅读