漏洞预警 | Netis Wifi路由器信息泄露漏洞
漏洞预警 | Netis Wifi路由器信息泄露漏洞 浅安 浅安安全 2025-01-17 00:03 0x00 漏洞编号 – # CVE-2024-48455 0x01 危险等级 – 高危 0x02 漏洞概述 Netis Wi-Fi路由器以其稳定的性能、易用的管理界面以及较高的性价比受到许多用户的青睐。 0x03 漏洞详情 CVE-2024-48455 漏洞类型: 信息泄
继续阅读月度归档: 2025 年 1 月
【相关分享】记一次SQL注入漏洞
【相关分享】记一次SQL注入漏洞 原创 隼目安全 隼目安全 2025-01-17 00:03 免责声明 ❝ 由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢! 本文中所涉及的相关漏洞已经
继续阅读SimpleIAST- 基于污点追踪的灰盒漏洞扫描工具。
SimpleIAST- 基于污点追踪的灰盒漏洞扫描工具。 keven1z 夜组安全 2025-01-17 00:01 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya
继续阅读情报经纪人出手:惠普企业(HPE)遭黑!
情报经纪人出手:惠普企业(HPE)遭黑! 原创 网空闲话 网空闲话plus 2025-01-17 00:00 2025年1月17日,监测泄露论坛发现,惠普企业(HPE)遭遇了一起重大数据泄露事件,威胁行为者IntelBroker、zjj和EnergyWeaponUser声称对此负责。此次攻击涉及HPE的多个关键系统,泄露了大量敏感数据,包括私有GitHub存储库、Docker构建、SAP Hybr
继续阅读【安全圈】超过 660,000 个 Rsync 服务器遭受代码执行攻击
【安全圈】超过 660,000 个 Rsync 服务器遭受代码执行攻击 安全圈 2025-01-16 19:01 关键词 安全漏洞 超过 660,000 台暴露的 Rsync 服务器可能受到六个新漏洞的攻击,其中包括一个严重程度极高的堆缓冲区溢出漏洞,该漏洞允许在服务器上执行远程代码。 Rsync 是一个开源文件同步和数据传输工具,因其执行增量传输的能力而受到重视,从而减少了数据传输时间和带宽使用
继续阅读【漏洞通告】Rsync缓冲区溢出与信息泄露漏洞(CVE-2024-12084/CVE-2024-12085)
【漏洞通告】Rsync缓冲区溢出与信息泄露漏洞(CVE-2024-12084/CVE-2024-12085) 原创 NS-CERT 绿盟科技CERT 2025-01-16 18:47 通告编号:NS-2024-0004 2025-01-16 TAG: Rsync、CVE-2024-12084、CVE-2024-12085 漏洞危害: 攻击者利用此次漏洞,可实现远程代码执行。 版本: 1.0 1 漏
继续阅读2025最新Invicti-Professional-V25.1 WEB漏洞扫描器更新|近期漏洞合集更新
2025最新Invicti-Professional-V25.1 WEB漏洞扫描器更新|近期漏洞合集更新 原创 城北 渗透安全HackTwo 2025-01-16 16:00 前言 内部星球近期漏洞验真合集更新|漏洞威胁情报更新 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。
继续阅读【已复现】Fortinet FortiOS/FortiProxy 认证绕过漏洞(CVE-2024-55591)
【已复现】Fortinet FortiOS/FortiProxy 认证绕过漏洞(CVE-2024-55591) 长亭安全应急响应中心 2025-01-16 14:13 FortiOS 是 Fortinet 公司核心的网络安全操作系统,广泛应用于 FortiGate 下一代防火墙,为用户提供防火墙、VPN、入侵防御、应用控制等多种安全功能。FortiProxy 则是 Fortinet 提供的企业级安
继续阅读【安全圈】Fortinet 又被确认存在新的零日漏洞
【安全圈】Fortinet 又被确认存在新的零日漏洞 安全圈 2025-01-16 11:01 关键词 零日漏洞 周二,Fortinet 发布了十几份新公告,描述了最近在该公司产品中发现的严重和高严重性漏洞,包括一个至少自 2024 年 11 月以来就被广泛利用的零日漏洞。 该零日漏洞编号为CVE-2024-55591,Fortinet 将其描述为影响 FortiOS 和 FortiProxy
继续阅读SimpleHelp 多个严重漏洞可导致文件窃取、提权和RCE攻击
SimpleHelp 多个严重漏洞可导致文件窃取、提权和RCE攻击 THN 代码卫士 2025-01-16 10:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究人员披露了位于 SimpleHelp 远程访问软件中的多个漏洞,可导致信息暴露、提权和远程代码执行等后果。 Horizon3.ai公司的研究员 Naveen Sunkavally 发布技术报告提到,“这些漏洞易于逆
继续阅读Ivanti修复Endpoint Manager中的多个严重漏洞
Ivanti修复Endpoint Manager中的多个严重漏洞 THN 代码卫士 2025-01-16 10:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司已发布安全更新,修复了影响 Avalanche、Application Control Engine和Endpoint Manager (EPM) 中的多个漏洞,其中的四个严重漏洞可导致信息泄露。 这四个严重漏
继续阅读Palo Alto Networks Expedition 工具曝关键漏洞,明文密码或泄露
Palo Alto Networks Expedition 工具曝关键漏洞,明文密码或泄露 看雪学苑 看雪学苑 2025-01-16 09:59 Palo Alto Networks 近日披露了其 Expedition 迁移工具中的多个关键安全漏洞,这些漏洞可能使攻击者能够执行任意命令并访问敏感的防火墙凭证。 这些漏洞包括一个操作系统命令注入漏洞(CVE-2025-0107),该漏洞允许经过身份验
继续阅读译文|韩国国家网络安全战略
译文|韩国国家网络安全战略 原创 Cismag 信息安全与通信保密杂志社 2025-01-16 09:32 编者荐语 韩国政府于2024年2月1日发布的《韩国国家网络安全战略》,展现了其致力于构建自由、人权与法治并存的网络空间的坚定决心。该战略通过攻势防御、全球领导力提升及网络复原力强化三大支柱,全面应对网络安全挑战。 摘 要 韩国政府于2024年2月1日发布《韩国国家网络安全战略》,提出“实现网
继续阅读CNNVD | 关于Fortinet FortiOS和FortiProxy安全漏洞的通报
CNNVD | 关于Fortinet FortiOS和FortiProxy安全漏洞的通报 中国信息安全 2025-01-16 09:31 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于Fortinet FortiOS和FortiProxy安全漏洞(CNNVD-202501-1747、CVE-2024-55
继续阅读实战|拿下了自己学校的大屏幕
实战|拿下了自己学校的大屏幕 点击关注👉 马哥网络安全 2025-01-16 09:00 1月份入坑到现在,已经5个月了。这 五个月来一直在刷edusrc,并且在本 月初成功达到了总榜第五名。很多人问我如何快速批量刷站?那么,他来了。本次分享一次对自己 学校的一次安全检测实战文章。帮助萌新理清思路,同时,欢迎各位大佬指点不足。 0x01 先看学校的域名ip地址注意:这里我建议不要看主域名的,看二级
继续阅读【漏洞通告】Ivanti Endpoint Manager多个信息泄露漏洞安全风险通告
【漏洞通告】Ivanti Endpoint Manager多个信息泄露漏洞安全风险通告 嘉诚安全 2025-01-16 07:28 漏洞背景 近日,嘉诚安全监测到Ivanti Endpoint Manager中存在多个信息泄露漏洞,漏洞编号分别为: CVE-2024-10811、CVE-2024-13161、CVE-2024-13160、CVE-2024-13159。 Ivanti Endpoin
继续阅读【漏洞通告】FortiOS and FortiProxy身份验证绕过漏洞安全风险通告
【漏洞通告】FortiOS and FortiProxy身份验证绕过漏洞安全风险通告 嘉诚安全 2025-01-16 07:28 漏洞背景 近日,嘉诚安全监测到Fortinet官方发布安全公告,确认其下一代防火墙产品FortiGate(FortiOS)和代理产品 FortiProxy中存在一个高危的认证绕过漏洞,漏洞编号为: CVE-2024-55591。 FortiOS是Fortinet公司核心
继续阅读Nuclei 漏洞允许恶意模板绕过签名验证
Nuclei 漏洞允许恶意模板绕过签名验证 胡金鱼 嘶吼专业版 2025-01-16 06:00 最新发现开源漏洞扫描器 Nuclei 中现已修复的漏洞可能允许攻击者绕过签名验证,同时将恶意代码潜入在本地系统上执行的模板中。 Nuclei 是 ProjectDiscovery 创建的一款流行的开源漏洞扫描程序,可扫描网站是否存在漏洞和其他弱点。该项目使用基于模板的扫描系统,该系统包含 10,000
继续阅读Rsync修复数个高危漏洞,两个RCE需要重点关注
Rsync修复数个高危漏洞,两个RCE需要重点关注 原创 微步情报局 微步在线研究响应中心 2025-01-16 04:25 漏洞概况 Rsync 是一个强大的、快速的、通用的文件同步工具。它可以实现本地或远程主机之间的文件和目录同步,并且在传输过程中只同步差异部分,大大节省了带宽和时间。它是一个命令行工具,通常用于备份、镜像、数据迁移等场景。 微步情报局监控到Rsync官方修复了6个漏洞,其中:
继续阅读Atropos:对Web应用程序服务器端漏洞的模糊测试技术
Atropos:对Web应用程序服务器端漏洞的模糊测试技术 原创 FuzzWiki FuzzWiki 2025-01-16 03:35 基本信息 原文名称: Atropos: Effective Fuzzing of Web Applications for Server-Side Vulnerabilities 原文作者:Emre Güler; Sergej Schumilo; Moritz
继续阅读美国CISA将Fortinet FortiOS列入已知漏洞目录
美国CISA将Fortinet FortiOS列入已知漏洞目录 SOC 赛欧思安全研究实验室 2025-01-16 01:26 MikroTik 僵尸网络利用配置错误的 SPF DNS 记录传播恶意软件 恶意 npm 软件包利用隐藏的 Kill Switch 开发人员工具 CVE-2025-0147:Zoom 修复高严重性安全漏洞 流量劫持、11 人被抓:涉及电信运营商、IDC 代理等 Updra
继续阅读哔哩哔哩网页端疑似曝出存储型XSS漏洞
哔哩哔哩网页端疑似曝出存储型XSS漏洞 夜组科技圈 2025-01-16 00:00 公众号现在只对常读和星标的才展示大图推送, 建议大家把 夜组科技圈 设为 星标 ,接收一手资讯! 漏洞描述 哔哩哔哩网页端疑似曝出存储型XSS漏洞。 目前攻击范围仅存在类魂游戏玩家之间,根据视频展示,攻击发生于视频加载后,可以猜测是加载网页的过程加载并执行了攻击脚本。由于代码直接注入了b站网页,因此攻击脚本自然也
继续阅读关键的 SimpleHelp 缺陷允许文件盗窃、权限提升和 RCE 攻击
关键的 SimpleHelp 缺陷允许文件盗窃、权限提升和 RCE 攻击 信息安全大事件 2025-01-15 19:50 网络安全研究人员披露了 SimpleHelp 远程访问软件中的多个安全漏洞,这些漏洞可能导致信息泄露、权限提升和远程代码执行。 Horizon3.ai 研究员 Naveen Sunkavally 在一份详细介绍调查结果 的技术报告中 表示,“这些漏洞很容易逆转和利用。 已识别
继续阅读海外版本三星 Galaxy S23/24 手机曝内存越界写入漏洞
海外版本三星 Galaxy S23/24 手机曝内存越界写入漏洞 安世加 安世加 2025-01-15 19:02 1 月 14 日消息,谷歌 Project Zero 团队发文,披露了三星海外版本手机存在的一个高风险内存越界写入(OBW)漏洞 CVE-2024-49415,该漏洞位于 Monkey’s Audio(APE)音频解码器组件 libsaped.so 中。 参考报告获悉,
继续阅读文件包含漏洞从入门到精通
文件包含漏洞从入门到精通 船山信安 2025-01-15 17:00 文件包含漏洞 一、什么是文件包含漏洞 漏洞成因: 为了提高代码的复用性和模块化,开发人员通常会将可重复使用的函数或代码段写入到单个文件中。在需要使用这些函数或代码段时,直接调用此文件,而无需再次编写。这种调用文件的过程被称为“包含”。 开发人员没有对用户输入的参数进行正确的过滤和检查,导致攻击者可以在包含文件时控制参数的值,从而
继续阅读【相关分享】记一次小程序支付逻辑漏洞
【相关分享】记一次小程序支付逻辑漏洞 原创 隼目安全 隼目安全 2025-01-15 16:32 免责声明 ❝ 由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢! 本文中所涉及的相关漏洞
继续阅读API漏洞挖掘神器API_kit的二开版本|Burp Suite 插件
API漏洞挖掘神器API_kit的二开版本|Burp Suite 插件 漏洞挖掘 渗透安全HackTwo 2025-01-15 16:01 0x01 工具介绍 APIKit二开版本是基于Burp Suite的API接口扫描插件,改进自APIKit1.0。新增扫描开关以防止无意扫描,优化页面性能,增强界面交互体验。该插件可主动/被动扫描API泄露文档并生成请求包用于安全测试,支持自定义扫描与自动发
继续阅读CTF赛前指导 — 文件上传漏洞&一句话木马
CTF赛前指导 — 文件上传漏洞&一句话木马 网络安全者 2025-01-15 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/6fd155e6de6b 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 个人微信:ivu123ivu 各 类 学 习 教 程 下 载 合 集 https://pan.qu
继续阅读漏洞精讲之SQL注入
漏洞精讲之SQL注入 原创 Z1eaf 泷羽Sec-Z1eaf 2025-01-15 15:29 一.SQL 注入相关概念 1.什么是SQL 结构化查询语言,简称SQL(语法统一) SQL使我们有能力访问数据库 2.什么是SQL注入 攻击者通过在应用程序的输入中插入恶意SQL代码来执行未经授权的数据库操作。 3.SQL注入原理和简单绕过原理 SQL注入原理=在前端使用SQL语句传输到后端执行
继续阅读【漏洞预警】Fortinet FortiOS等身份验证缺陷漏洞
【漏洞预警】Fortinet FortiOS等身份验证缺陷漏洞 cexlife 飓风网络安全 2025-01-15 14:19 漏洞描述: Fortinet-Fortios组件存在身份验证漏洞的信息,FortiOS和FortiProxy存在一个使用替代路径或通道的身份验证绕过漏洞,未经授权的攻击者可以通过对Node.js websocket模块的伪造请求获取超级管理员权限,Fortinet已针对此
继续阅读