两个影响WPS Office的任意代码执行漏洞分析
两个影响WPS Office的任意代码执行漏洞分析 zhuanfa 黑客街安全团队 2024-12-03 11:17 转发 freebuf ESET研究人员在WPS Office for Windows中发现了一个代码执行漏洞(CVE- 2024-7262),该漏洞正被韩国网络间谍组织APT-C-60滥用。在分析了根本原因后,另一种任意代码执行漏洞(CVE-2924-7263)浮出水面。目前,两个
继续阅读月度归档: 2024 年 12 月
新型恶意软件能利用LogoFAIL漏洞感染Linux系统
新型恶意软件能利用LogoFAIL漏洞感染Linux系统 Zicheng FreeBuf 2024-12-03 11:02 据BleepingComputer消息,韩国Best of the Best (BoB) 培训计划的网络安全学生利用 LogoFAIL 漏洞创建了新型恶意软件Bootkitty,能够攻击Linux系统设备。 固件安全公司Binarly 于2023 年 11 月发现了 Logo
继续阅读【安全圈】知名开源监控系统Zabbix存在SQL 注入漏洞
【安全圈】知名开源监控系统Zabbix存在SQL 注入漏洞 安全圈 2024-12-03 11:00 关键词 安全漏洞 Zabbix 存在 SQL 注入漏洞(CVE-2024-42327),该漏洞是由于在 Zabbix前端的CUser类中的addRelatedObjects函数未对输入数据进行充分验证和转义,导致具有API访问权限的恶意用户可以通过user.get API传递特制输入触发SQL注入
继续阅读【安全圈】新型恶意软件能利用LogoFAIL漏洞感染Linux系统
【安全圈】新型恶意软件能利用LogoFAIL漏洞感染Linux系统 安全圈 2024-12-03 11:00 关键词 恶意软件 据BleepingComputer消息,韩国Best of the Best (BoB) 培训计划的网络安全学生利用 LogoFAIL 漏洞创建了新型恶意软件Bootkitty,能够攻击Linux系统设备。 固件安全公司Binarly 于2023 年 11 月发现了 Lo
继续阅读年末冲刺!2024漏洞马拉松『美团站』正式启动
年末冲刺!2024漏洞马拉松『美团站』正式启动 美团安全应急响应中心 2024-12-03 10:30 活动范围 美团及旗下开放在互联网的应用系统 (美团控股公司漏洞视情况收取,暂停收录系统见平台公告) 提交地址 https://security.meituan.com 活动规则 漏洞标题必须标注【漏洞马拉松2024】前缀,否则无法享受活动奖励;本活动不与平台其他活动同享。 注意事项 1.当发现入
继续阅读docker历史上的第一个漏洞:关于shocker的一切
docker历史上的第一个漏洞:关于shocker的一切 原创 王磊 华为安全应急响应中心 2024-12-03 10:10 1 基本信息 Item Details Note Project docker — CVE-ID CVE-2014-3519(OpenVZ) 公开时docker已部分修复,未分配CVE Vuln's Author Sebastian Krahmer — CVSS 9
继续阅读Zabbix 修复开源企业网络监控工具中严重的SQLi漏洞
Zabbix 修复开源企业网络监控工具中严重的SQLi漏洞 Ionut Arghire 代码卫士 2024-12-03 10:03 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Zabbix 提醒称其开源企业网络监控解决方案中存在一个严重漏洞,可导致攻击者注入任意SQL查询并攻陷数据或系统。 该漏洞的编号是CVE-2024-42327(CVSS评分9.9),位于任何拥有API访问权限可访问
继续阅读CTF训练营-Web篇 更新: 反序列化漏洞-Phar反序列化和字符串逃逸
CTF训练营-Web篇 更新: 反序列化漏洞-Phar反序列化和字符串逃逸 看雪课程 看雪学苑 2024-12-03 09:59 本周我们将在上一周的基础上对序列化的知识点进行深入的学习,我们将细致的学习Phar反序列化及其原理;此外我们将看一个非常经典的反序列化利用方式,字符串逃逸。经过本周学习,相信同学们将对反序列化有了更为深入的理解。 第一章 Phar反序列化 视频1-1 什么是Phar文件
继续阅读安全KER|作家招募火热进行中
安全KER|作家招募火热进行中 安全客 2024-12-03 09:38 安全KER 暖冬作家招募计划 招募火热进行中… 今年冬天并不寒冷! 因为在这里有一群充满技术热忱的年轻人, 一起探讨和钻研安全技术, 创造属于自己的圈子, 打造自己的IP, 收获技术的成长,结识更多同路人, 让这个冬天充满对技术“热”爱! 更有海量周边放送,让这个冬日“热”起来! 在这里,我们致力于满足您对技术成长的所有憧憬
继续阅读Windows Server 2012 用户注意:0day 漏洞可绕过 Web 安全标志
Windows Server 2012 用户注意:0day 漏洞可绕过 Web 安全标志 Ots安全 2024-12-03 09:30 0patch 微补丁技术的创造者 ACROS Security 发现了影响 Windows Server 2012 和 Server 2012 R2 的零日漏洞。此漏洞允许恶意行为者绕过“Web 标记”安全功能,从而使服务器可能受到攻击。 Web 标记是一种重要的
继续阅读从零开始:K8s安全测试与漏洞挖掘全攻略 开胃K8S LAN PARTY CTF
从零开始:K8s安全测试与漏洞挖掘全攻略 开胃K8S LAN PARTY CTF 原创 枇杷哥 黑伞安全 2024-12-03 09:06 大家好,我是Umbrella。最近我入手了一台新的MacBook Pro M4芯片版,使用体验非常棒。利用这台新电脑,我在本地搭建了一些Kubernetes(K8s)环境,并测试了一些之前在云上发现的漏洞。 去年或今年年初的时候,我发现了一个CTF平台,它专注
继续阅读【珍藏版】渗透测试手册,简直太赞了!
【珍藏版】渗透测试手册,简直太赞了! 点击关注👉 马哥网络安全 2024-12-03 09:01 点击上方 蓝字 ,后台回复 【 合集 】 获取 网安资源 渗透测试是一种安全性测试,会发起模拟网络攻击以查找计算机系统中的漏洞。 今天学习一款现面向所有安全爱好者的开源渗透测试手册,涵盖「信息收集」,「漏洞攻击」,「中间件安全」,「常见提权」,「工具使用」,「权限维持技术」,「内网渗透技术」,「脚本开
继续阅读【12月Huo力全开】LLSRC全线漏洞2倍积分奖励!
【12月Huo力全开】LLSRC全线漏洞2倍积分奖励! 等你提洞的 货拉拉安全应急响应中心 2024-12-03 09:00 进入12月,2024年征途已悄然接近尾声 为助力各位白帽师傅再创佳绩 LLSRC特别推出年末冲刺活动 全线漏洞2倍积分奖励 手动@白帽子师傅 这个12月 一起来找bug,提洞吧~ 活动时间 12.03-12.29 资产范围 .huolala.cn和.huolala.wo
继续阅读泰晓社区推出口袋AI盘,普通PC即插即跑
泰晓社区推出口袋AI盘,普通PC即插即跑 原创 晓泰 泰晓科技 2024-12-03 06:57 简介 泰晓社区之前相继推出了: 1. Linux 内核实验盘 Linux 系统盘 儿童 Linux 系统盘 经过数月的开发,本次正式推出了口袋 AI 盘,不仅继承了 智能启动、透明倍容、出厂恢复等基本特性,而且首次支持了 AI 功能,插上并启动以后,立即就能通过主机的浏览器获得类似 ChatGPT 的
继续阅读Windows 任务计划程序漏洞 (CVE-2024-49039) 零日漏洞利用代码发布
Windows 任务计划程序漏洞 (CVE-2024-49039) 零日漏洞利用代码发布 独眼情报 2024-12-03 02:56 Windows 任务计划程序中的零日漏洞 CVE-2024-49039 的概念验证 (PoC) 漏洞代码已公开发布,引发了人们对攻击增加的担忧。此漏洞的 CVSS 评分为 8.8,允许攻击者提升权限并以更高的完整性级别执行代码。 漏洞详细信息: CVE-2024-4
继续阅读游戏漏洞挖掘思路分享
游戏漏洞挖掘思路分享 xhys 沃克学安全 2024-12-03 02:19 申明:文章仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关。 本文由xhys师傅发表在先知社区 文章地址:https://xz.aliyun.com/t/16391 1.游戏漏洞介绍 随着当下各种SRC业务漏洞已经被挖掘殆尽,游戏漏洞挖掘是一个新赛
继续阅读智联云采 SRM2.0 quickReceiptDetail SQL注入漏洞
智联云采 SRM2.0 quickReceiptDetail SQL注入漏洞 Superhero nday POC 2024-12-03 02:15 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读【漏洞复现】某平台-Sc-Clue-count-search-sql注入漏洞
【漏洞复现】某平台-Sc-Clue-count-search-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-03 02:14 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息
继续阅读泛微E-Mobile-client_common-error命令执行【漏洞复现】
泛微E-Mobile-client_common-error命令执行【漏洞复现】 原创 星河 网安探索队 2024-12-03 02:09 点 击 上 方 公 众 号 关 注 我 们 建议大家把公众号“网安探索队”设为星标,否则可能就看不到啦! 因 为 公 众 号 现 在 只 对 常 读 和 星 标 的 公 众 号 才 能 展 示 大 图 推 送 。 操 作 方 法 : 点 击 右 上 角 的 【
继续阅读美创蝉联国家信息安全漏洞库(CNNVD)二级技术支撑单位!
美创蝉联国家信息安全漏洞库(CNNVD)二级技术支撑单位! 美创资讯 2024-12-03 02:03 美创科技依托在漏洞挖掘、漏洞预警、事件研判等方面支撑和贡献,顺利获得国家信息安全漏洞库(CNNVD)二级技术支撑单位,这是美创第二年获此殊荣! 关于 CNNVD 国家信息安全漏洞库(CNNVD)是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家级信息安全漏洞数据管理平台
继续阅读微软超高危漏洞“狂躁许可”:从无回显漏洞看传统漏扫局限性
微软超高危漏洞“狂躁许可”:从无回显漏洞看传统漏扫局限性 原创 产品与解决方案部 威努特安全网络 2024-12-03 00:02 Part.1 引 言 随着网络安全威胁的不断升级,企业面临的攻击手段日益复杂,漏洞利用成为最常见的入侵途径之一。今年7月9日,微软披露了一个超高危漏洞CVE-2024-38077,其CVSS评分高达9.8,研究人员将其命名为 MadLicense(狂躁许可)。根据有
继续阅读苹果官方警告:零日漏洞攻击瞄准Mac电脑用户
苹果官方警告:零日漏洞攻击瞄准Mac电脑用户 安全内参 关键信息基础设施安全保护联盟 2024-12-02 23:30 安全内参11月21日消息,苹果公司19日发布安全更新,修复了两个被用于攻击Mac用户的安全漏洞,并建议所有用户安装。 苹果在官网发布的安全公告中表示,发现了两个漏洞(CVE-2024-44308、CVE-2024-44309),可能在基于英特尔处理器的Mac系统上“被积极利用”。
继续阅读全球首份《大模型安全漏洞报告》
全球首份《大模型安全漏洞报告》 360数字安全 苏说安全 2024-12-02 23:02 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用背后,也带来诸多新的风险和挑战。 近日,360数字安全集团发布全球首份《大模型安全漏洞报告》(以下简称“报告”),从模型层安
继续阅读Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (上)
Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (上) 原创 Heihu577 Heihu Share 2024-12-02 15:23 前言 声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 Shiro 的漏洞已爆出很多年, 我们只关心到了它如何触发, 有时并没有想过这个框架是干嘛的, 甚至没有分析过该框架的
继续阅读【漏洞情报】任我行管家婆订货易在线商城 UploadImgNoCheck未授权文件上传限制不当漏洞
【漏洞情报】任我行管家婆订货易在线商城 UploadImgNoCheck未授权文件上传限制不当漏洞 cexlife 飓风网络安全 2024-12-02 14:37 漏洞详情:管家婆订货易在线商城/api/Upload/UploadImgNoCheck接口处存在文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。 修复方案: 该产
继续阅读【漏洞情报】九思协同办公系统存在SQL注入漏洞
【漏洞情报】九思协同办公系统存在SQL注入漏洞 cexlife 飓风网络安全 2024-12-02 14:37 漏洞描述:九思协同办公系统/jsoa/workflow/dwr/exec/workflowSync.getUserStatusByRole.dwr存在SQL注入漏洞,可利用该漏洞获取数据库中的敏感信息等,未经授权的攻击者可以通过该漏洞获取数据库敏感信息。临时修复建议:1、加强系统和网络的
继续阅读漏洞推送|EnjoyRMIS_cwsfiledown存在文件读取漏洞
漏洞推送|EnjoyRMIS_cwsfiledown存在文件读取漏洞 小白菜安全 小白菜安全 2024-12-02 13:03 漏洞描述 EnjoyRMIS cwsfiledown存在任意文件读取漏洞,攻击者可通过该漏洞获取敏感信息 资产信息 fofa:body=”CheckSilverlightInstalled” 漏洞复现 POC POST /EnjoyRMIS_WS/
继续阅读【漏洞复现】CVE-2024-11680
【漏洞复现】CVE-2024-11680 混子Hacker 混子Hacker 2024-12-02 12:36 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 人生漫长,晴雨交加,但若是心怀热爱,即使岁月荒芜,亦能奔山赴海,静待一树花开 【
继续阅读文末抽奖福利!发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以!
文末抽奖福利!发现Web API漏洞居然能赚到400w刀,看懂这本书你也可以! 听风安全 2024-12-02 12:28 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOn
继续阅读