【漏洞通告】Inspur ClusterEngine 安全漏洞
【漏洞通告】Inspur ClusterEngine 安全漏洞 安迈信科应急响应中心 2025-01-09 03:49 01 漏洞概况 Inspur ClusterEngine是中国浪潮(Inspur)公司的一个应用软件。提供管理集群系统中软硬件提交的作业。 Inspur ClusterEngine v4.0版本存在安全漏洞,该漏洞源于允许攻击者获得升级的本地权限并通过/opt
继续阅读月度归档: 2025 年 1 月
【漏洞通告】Aviatrix Controller命令注入漏洞
【漏洞通告】Aviatrix Controller命令注入漏洞 安迈信科应急响应中心 2025-01-09 03:49 01 漏洞概况 Aviatrix Controller 7.x 至 7.2.4820 中发现了一个问题。由于操作系统命令中使用的特殊元素中和不当,未经认证的攻击者能够远程执行任意代码。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Aviatrix Controller
继续阅读【高危漏洞预警】Ivanti Connect Secure缓冲区溢出漏洞可导致远程代码执行
【高危漏洞预警】Ivanti Connect Secure缓冲区溢出漏洞可导致远程代码执行 cexlife 飓风网络安全 2025-01-09 03:43 漏洞描述: Ivanti发布安全公告,披露影响其Connect Secure、Policy Secure和Neurons for ZTA Gateways产品的两个安全漏洞,其中一个漏洞(CVE-2025-0282)已经存在在野利用,该漏洞可能
继续阅读蓝凌EIS智慧协同平台 fi_message_receiver.aspx SQL注入漏洞复现(CVE-2025-22214)
蓝凌EIS智慧协同平台 fi_message_receiver.aspx SQL注入漏洞复现(CVE-2025-22214) 冷漠安全 冷漠安全 2025-01-09 03:20 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次
继续阅读黑客利用漏洞入侵美国财政部后,仍有近9000个BeyondTrust系统暴露于互联网
黑客利用漏洞入侵美国财政部后,仍有近9000个BeyondTrust系统暴露于互联网 汇能云安全 2025-01-09 01:30 1月9日,星期四,您好!中科汇能与您分享信息安全快讯: 01 黑客利用漏洞入侵美国财政部后,仍有近9000个BeyondTrust系统暴露于互联网 研究人员近日发现,在关键漏洞被披露CVE-2024-12356数周后,仍有近9000个BeyondTrust系统暴露在互
继续阅读【漏洞预警】Redis Lua 远程代码执行漏洞
【漏洞预警】Redis Lua 远程代码执行漏洞 原创 MasterC 企业安全实践 2025-01-09 01:30 一、漏洞描述 Redis 是开源的键值对存储数据库。 具有 Lua 脚本功能的 Redis 版本(2.6及以上版本)中,经过身份验证的攻击者可构造恶意的Lua脚本控制垃圾回收器,导致远程代码执行。 修复版本通过在关闭 lua VM 之前重置 GC 状态,防止用户数据被错误释放,来
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第2期,总第20期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第2期,总第20期] 原创 安钥 方桥安全漏洞防治中心 2025-01-09 01:15 2024年,我们成功举办了20期漏洞处置SOP征文活动,累计征集到43个优质漏洞处置SOP。2025年,我们将继续推进漏洞处置SOP征文活动。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都
继续阅读教育软件公司PowerSchool 遭黑客攻击,6000万学生、教师个人数据可能泄露
教育软件公司PowerSchool 遭黑客攻击,6000万学生、教师个人数据可能泄露 会杀毒的单反狗 军哥网络安全读报 2025-01-09 01:00 导读 一家存储了 6000 多万 K-12 学生和教师数据的教育软件公司周二表示,其数据遭到黑客攻击。 PowerSchool 为数千个学区提供基于云的软件,这些学区使用其系统托管考勤、财务、招生、员工管理等平台。该公司提供全方位服务以帮助学区运
继续阅读干货!从零到一: 构建一个可靠的SCA漏洞库
干货!从零到一: 构建一个可靠的SCA漏洞库 原创 todobest SDL安全 2025-01-09 00:42 一、背景 “ 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。其中,航空航天、航空、汽车、运输、物流,教育科技和物联网 (IoT
继续阅读外媒|成都:茶馆、火锅、大学和……黑客
外媒|成都:茶馆、火锅、大学和……黑客 原创 NATTO TEAM 安全喵喵站 2025-01-09 00:30 本文不代表喵站观点 近 20 年来,各种网络威胁情报(CTI)分析报告都指出,四川省是 “众所周知的黑客攻击热点”,四川省省会成都 “已成为中国高级持续性威胁(APT)活动的中心”。从 2023 年底到 2024
继续阅读带你解锁编码新世界!–随波逐流CTF编码工具使用教程31 –Jsfuck密码
带你解锁编码新世界!–随波逐流CTF编码工具使用教程31 –Jsfuck密码 原创 长弓三皮 长弓三皮 2025-01-09 00:08 随波逐流工作室—-探索前沿科技,分享最新软件。点击标题下蓝字“长弓三皮 ”关注,我们将为您提供有深度、有价值、有意思的阅读。 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把长弓三皮“设为星标”,否则可能就看不到了啦!****
继续阅读漏洞预警 | 赛诸葛数字化智能中台系统SQL注入漏洞
漏洞预警 | 赛诸葛数字化智能中台系统SQL注入漏洞 浅安 浅安安全 2025-01-09 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 赛诸葛数字化智能中台系统是一款由赛诸葛科技公司开发的数字化解决方案,旨在帮助企业实现业务流程的高效管理与创新,通过提供智能化的支持和服务来优化各类企业运营和决策的效率。 0x03 漏洞详情
继续阅读漏洞预警 | 数字通云平台智慧政务敏感信息泄露和任意文件上传漏洞
漏洞预警 | 数字通云平台智慧政务敏感信息泄露和任意文件上传漏洞 浅安 浅安安全 2025-01-09 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 数字通云平台智慧政务OA产品是基于云计算、大数据、人工智能等先进技术,为政府部门量身定制的智能化办公系统。 0x03 漏洞详情 漏洞类型: 敏感信息泄露 影响: 接管服务***
继续阅读漏洞预警 | 东胜物流软件SQL注入漏洞
漏洞预警 | 东胜物流软件SQL注入漏洞 浅安 浅安安全 2025-01-09 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 东胜物流软件是青岛东胜伟业软件有限公司Q一款集订单管理、仓库管理、运输管理等多种功能于一体的物流管理软件。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 东胜物流软件的/F
继续阅读ALPC 之殇 – 8月未知 Windows 在野提权 Nday 漏洞研究
ALPC 之殇 – 8月未知 Windows 在野提权 Nday 漏洞研究 奇安信 CERT 2025-01-09 00:01 综述 该漏洞样本为前段时间奇安信威胁情报中心日常在野漏洞监控运营经发现,其最早被上传时只有6个查杀。 经过分析确认该漏洞应该是在八月的微软补丁中被修复,是一个被修复的未知nday利用,运行的具体效果如下所示。 漏洞样本分析 这里首先过一下整个样本,样本开始首先
继续阅读戴尔、HPE、联发科修补其产品中的漏洞
戴尔、HPE、联发科修补其产品中的漏洞 铸盾安全 河南等级保护测评 2025-01-08 23:58 硬件制造商联发科、HPE 和戴尔周一发布公告,告知客户其产品中发现并修补的潜在严重漏洞。 台湾半导体公司联发科宣布修补十几个漏洞,其中包括数十个芯片组的调制解调器组件中一个严重漏洞,该漏洞可能导致远程代码执行 (RCE)。 该问题被标记为 CVE-2024-20154,是一种越界写入漏洞,当设备连
继续阅读大多数 Bug Hunter 忽略的简单漏洞
大多数 Bug Hunter 忽略的简单漏洞 hai dragon 安全狗的自我修养 2025-01-08 23:14 图片由 StorySet Freepik 提供 Bug Hunter 是一个迷人且具有挑战性的领域,它结合了技术技能、创造力和毅力。虽然有些漏洞有据可查且经常被利用,但有一类错误经常被忽视:简单但罕见的错误。这些漏洞相对容易利用,但很少遇到,使其成为精明的漏洞赏金猎人的宝贵目标。
继续阅读蓝凌OA WebService loginWebserviceService 任意文件读取漏洞
蓝凌OA WebService loginWebserviceService 任意文件读取漏洞 Superhero nday POC 2025-01-08 13:54 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵
继续阅读蓝凌OA WebService kmImeetingResWebService 任意文件读取漏洞
蓝凌OA WebService kmImeetingResWebService 任意文件读取漏洞 Superhero nday POC 2025-01-08 13:24 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有
继续阅读蓝凌OA WebService kmImeetingBookWebService 任意文件读取漏洞
蓝凌OA WebService kmImeetingBookWebService 任意文件读取漏洞 Superhero nday POC 2025-01-08 12:53 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章
继续阅读【漏洞预警】Gogit Go-Git 未授权表达式注入漏洞 (CVE-2025-21613)
【漏洞预警】Gogit Go-Git 未授权表达式注入漏洞 (CVE-2025-21613) cexlife 飓风网络安全 2025-01-08 12:15 漏洞详情:go-git发布v5.13版本,新版本中修复了一个参数注入漏洞,该漏洞源于go-git库在使用文件传输协议时,未能正确处理或验证通过URL字段传入的输入,导致攻击者可能注入恶意参数到本地调用的git二进制文件中,攻击者可利用该漏洞修
继续阅读【漏洞预警】CyberPanel CyberPanel需授权命令注入漏洞 (CVE-2024-53376)
【漏洞预警】CyberPanel CyberPanel需授权命令注入漏洞 (CVE-2024-53376) cexlife 飓风网络安全 2025-01-08 12:15 漏洞详情:CyberPanel开源面板存在一个命令注入漏洞,该漏洞允许远程认证用户构造恶意请求执行任意命令,导致服务器失陷,攻击者可以使用一个HTTP选项请求指示网络服务器运行CyberPanel应用程序执行任何命令。 修复建议
继续阅读【漏洞预警】Aviatrix Aviatrix Controller 未授权命令注入漏洞 (CVE-2024-50603)
【漏洞预警】Aviatrix Aviatrix Controller 未授权命令注入漏洞 (CVE-2024-50603) cexlife 飓风网络安全 2025-01-08 12:15 漏洞描述: Aviatrix Controller是美国Aviatrix Systems公司用于其解决方案的业务流程和管理的一个集中控制面板,Aviatrix公司发布安全公告,其中公开了一个命令注入漏洞,由于对
继续阅读Mirai 僵尸网络变体利用四信路由器漏洞进行 DDoS 攻击
Mirai 僵尸网络变体利用四信路由器漏洞进行 DDoS 攻击 信息安全大事件 2025-01-08 12:11 自 2024 年 11 月初以来,已发现一个 Mirai 僵尸网络变体利用新披露的安全漏洞影响四信工业路由器,目的是进行分布式拒绝服务 (DDoS) 攻击。 该僵尸网络每天维护大约 15,000 个活跃 IP 地址,感染主要分布在中国、伊朗、俄罗斯、土耳其和美国。 该恶意软件利用 20
继续阅读热血收官!2024漏洞马拉松冠军诞生!
热血收官!2024漏洞马拉松冠军诞生! 漏洞盒子 2025-01-08 11:03 2024年11月25日~2025年1月6日, 历经跨越2024与2025的激烈角逐, 从各自为王的 积分赛, 到随机组合,齐心协力的 团体赛…… 历经21天的小组晋级战, 21天的团体争夺战, 2024漏洞马拉松全部比赛已经圆满结束! 本次比赛分为两个战区,在第一阶段积分赛中,由各个半区挖洞积分 前12名晋级团体赛
继续阅读【安全圈】CISA 警告称,Oracle 和 Mitel 在攻击中被利用了关键漏洞
【安全圈】CISA 警告称,Oracle 和 Mitel 在攻击中被利用了关键漏洞 安全圈 2025-01-08 11:01 关键词 安全漏洞 CISA 警告美国联邦机构确保其系统安全,防止 Oracle WebLogic Server 和 Mitel MiCollab 系统中的关键漏洞被攻击利用。 该网络安全机构将在 Mitel 的 MiCollab 统一通信平台的 NuPoint Unifie
继续阅读知名基因测序仪曝BIOS漏洞,可禁用疾病监测和疫苗开发
知名基因测序仪曝BIOS漏洞,可禁用疾病监测和疫苗开发 老布 FreeBuf 2025-01-08 10:56 美国生物技术公司Illumina的iSeq 100 DNA测序仪存在BIOS/UEFI漏洞,这可能导致攻击者禁用用于检测疾病和开发疫苗的设备。Illumina iSeq 100被宣传为医疗和研究实验室可使用的、能提供“快速且具成本效益的遗传分析”的DNA测序系统。 固件安全公司Eclyp
继续阅读Group3r:一款针对活动目录组策略安全的漏洞检测工具
Group3r:一款针对活动目录组策略安全的漏洞检测工具 Alpha_h4ck FreeBuf 2025-01-08 10:56 关于Group3r Group3r是一款针对活动目录组策略安全的漏洞检测工具,可以帮助广大安全研究人员迅速枚举目标AD组策略中的相关配置,并识别其中的潜在安全威胁。 Group3r专为红蓝队研究人员和渗透测试人员设计,该工具可以通过将 LDAP 与域控制器对话、解析域
继续阅读「漏洞复现」以柔资讯-D-Security终端文件保护系统 logFileName 任意文件读取漏洞
「漏洞复现」以柔资讯-D-Security终端文件保护系统 logFileName 任意文件读取漏洞 冷漠安全 冷漠安全 2025-01-08 10:55 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读无视加固,无视加解密,无视证书校验,不需要脱壳,半步无敌APP抓包通杀方案YYDS!
无视加固,无视加解密,无视证书校验,不需要脱壳,半步无敌APP抓包通杀方案YYDS! 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-01-08 10:03 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 经常跟APP打交
继续阅读