【漏洞预警】Windows LDAP拒绝服务漏洞(CVE-2024-49113)
【漏洞预警】Windows LDAP拒绝服务漏洞(CVE-2024-49113) cexlife 飓风网络安全 2025-01-06 13:17 漏洞描述: Windows Lightweight Directory Access Protocol (LDAP) 是一种基于LDAP协议的轻量级目录访问协议,广泛用于WindowsActive Directory(AD)环境中,用来访问和管理目录服务
继续阅读月度归档: 2025 年 1 月
某教学平台支付逻辑漏洞
某教学平台支付逻辑漏洞 原创 玲珑安全 芳华绝代安全团队 2025-01-06 13:05 关注公众号,阅读优质好文。 今天要讲的这个漏洞的核心思想是破坏业务逻辑的工作流程,具体来说是一个支付绕过漏洞,更具体地说是“低价购”。 漏洞细节 我们的目标应用程序是一个在线教学平台,分为两个主体:教师和学生。学生可以向特定的老师购买课程,然后通过会议/课程的形式使用所购买的内容。教学主题多样,包括数学、科
继续阅读360SRC&360漏洞云丨洞力拉满,泰国出发!
360SRC&360漏洞云丨洞力拉满,泰国出发! 360安全应急响应中心 2025-01-06 12:58 HAPPY→→360 泰国出发»»»» Hackers’ Day 白帽盛典 2024 年度 »360洞力补给计划« HAPPY HOLIDAY 2024.1.7-1.11 0501 HOLIDAY EP2025.泰国行 游玩tips Hackrs’ D
继续阅读CVE-2024-25600 WordPress Bricks Builder远程代码执行漏洞分析
CVE-2024-25600 WordPress Bricks Builder远程代码执行漏洞分析 原创 ybdt 卡卡罗特取西经 2025-01-06 12:41 前言 朋友圈看到有人转发了一篇“CVE-2024-25600:WordPress Bricks Builder RCE”,感觉挺有意思,点进去看了下,可是从头到尾看得我有点迷糊,本着打破砂锅问到底的原则,本文试图以漏洞挖掘者的视角详细
继续阅读【漏洞工具】小米路由器任意文件读取漏洞python图形化框架利用工具(poc|exp)
【漏洞工具】小米路由器任意文件读取漏洞python图形化框架利用工具(poc|exp) 原创 儒道易行 儒道易行 2025-01-06 12:01 there is no tomorrow 工具利用 漏洞扫描 漏洞利用 poc 本文poc、工具、源码加圈获取 知识星球 纷传 文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。 免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间
继续阅读已打补丁但仍有漏洞 Windows BitLocker 加密再次被绕过
已打补丁但仍有漏洞 Windows BitLocker 加密再次被绕过 信息安全大事件 2025-01-06 11:58 在混沌通信大会(CCC)上出现的一个新发现动摇了 Windows 可信赖的 BitLocker 加密技术的基础。安全研究员托马斯-兰伯茨(Thomas Lambertz)在其题为 “Windows BitLocker:没有螺丝刀也能拧紧 ”的演讲中暴露了一个明显的漏洞,该漏洞允
继续阅读针对 Windows 注册表权限提升漏洞发布的 PoC 漏洞
针对 Windows 注册表权限提升漏洞发布的 PoC 漏洞 网安百色 2025-01-06 11:32 点击上方 蓝字 关注我们吧~ 一个严重的 Windows 注册表特权提升漏洞,标识为 CVE-2024-43641。此漏洞影响各种版本的 Windows Server 2025、Windows 10 和 Windows 11,CVSS v3.1 评分为 7.8,表示严重性较高。 该漏洞源于 W
继续阅读ASUS 路由器漏洞允许执行任意代码
ASUS 路由器漏洞允许执行任意代码 网安百色 2025-01-06 11:32 点击上方 蓝字 关注我们吧~ 网络设备制造商华硕发布了针对多种路由器型号的重要安全建议。 该公司已在某些固件系列中发现注入和执行漏洞,这些漏洞可能允许经过身份验证的攻击者通过华硕路由器 AiCloud 功能触发命令执行。 漏洞 CVE-2024-12912 和 CVE-2024-13062 会影响运行固件版本 3.0
继续阅读快讯丨工信部:关于防范Apache Struts2任意文件上传超危漏洞的风险提示
快讯丨工信部:关于防范Apache Struts2任意文件上传超危漏洞的风险提示 工业安全产业联盟平台 2025-01-06 10:56 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,开源应用框架Apache Struts2存在任意文件上传超危漏洞,可被恶意利用实现远程代码执行,导致敏感数据泄露和系统受控。 Apache Struts2是一款开源Java Web应用程序开
继续阅读【已复现】Windows 轻量级目录访问协议 (LDAP) 信息泄漏漏洞(CVE-2024-49113)
【已复现】Windows 轻量级目录访问协议 (LDAP) 信息泄漏漏洞(CVE-2024-49113) 长亭安全应急响应 黑伞安全 2025-01-06 10:17 Windows 轻量级目录访问协议(LDAP)是微软在 Windows Server 和 Active Directory 域环境中用于访问和维护目录服务信息的核心组件。它在域控制器 (DC) 上至关重要,安全漏洞可能严重影响域的整
继续阅读每周网安资讯 (12.31-1.6)|HP多款产品存在漏洞
每周网安资讯 (12.31-1.6)|HP多款产品存在漏洞 交大捷普 2025-01-06 10:14 2024[ 每周网安资讯 ]12.31-1.6 网安资讯 1、国家发展改革委、国家数据局、教育部、财政部、金融监管总局、中国证监会印发《关于促进数据产业高质量发展的指导意见》 《意见》以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大和二十届二中、三中全会精神,完整准确全面贯彻新发
继续阅读【漏洞通告】Windows LDAP拒绝服务漏洞(CVE-2024-49113)
【漏洞通告】Windows LDAP拒绝服务漏洞(CVE-2024-49113) 原创 NS-CERT 绿盟科技CERT 2025-01-06 10:03 通告编号:NS-2024-0039 2025-01-06 TAG: Windows、LDAP、拒绝服务、CVE-2024-49113 漏洞危害: 攻击者利用此漏洞,可导致拒绝服务或信息泄露 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监
继续阅读日系三大车企纷纷投靠华为
日系三大车企纷纷投靠华为 谈思实验室 2025-01-06 10:00 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 日前,有消息爆料,本田与华为在智能驾驶领域展开合作,探索并行解决方案。本田计划在其未来的车型中搭载华为的智能驾驶解决方案,这一合作将体现在即将发布的“烨品牌”车上。 另外也有消息指出,知情人士透露,“未来不排除‘烨品牌’旗下同一款车型会采用‘Honda SENSING 360
继续阅读优秀案例|谋乐科技入围“2024年度数据安全优秀案例评选”政务场景
优秀案例|谋乐科技入围“2024年度数据安全优秀案例评选”政务场景 原创 谋乐科技BUGBANK 行长叠报 2025-01-06 10:00 2024年12月30日,上海市互联网业联合会、上海金融信息行业协会、上海市工商联数字经济商会、上海市信息安全行业协会联合主办的“2024年度数据安全优秀案例评选”入选名单发布,上海谋乐网络科技有限公司(BUGBANK)选送案例“公共数据安全数字运营赋能平台构
继续阅读2024年度(第二期)CNNVD漏洞奖励评选结果公告
2024年度(第二期)CNNVD漏洞奖励评选结果公告 原创 CNNVD CNNVD安全动态 2025-01-06 09:19 点击蓝字 关注我们 近期,CNNVD开展了2024年度(第二期)接报漏洞奖励评选工作,其中26个漏洞在我国网络安全漏洞预警及风险消控工作中发挥了积极作用,获奖名单如下。 特此公告 国家信息安全漏洞库(CNNVD) 2025年1月6日
继续阅读蓝凌OA WebService sysTagWebService 任意文件读取漏洞
蓝凌OA WebService sysTagWebService 任意文件读取漏洞 Superhero nday POC 2025-01-06 09:16 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告
继续阅读三部委联合印发《国家数据基础设施建设指引》;PoC漏洞利用工具LDAPNightmare或导致Windows服务器崩溃
三部委联合印发《国家数据基础设施建设指引》;PoC漏洞利用工具LDAPNightmare或导致Windows服务器崩溃 安全牛 2025-01-06 08:58 点击蓝字·关注我们 / aqniu 新闻速览 •三部委联合印发《国家数据基础设施建设指引》 •网信办就《个人信息出境个人信息保护认证办法(征求意见稿)》公开征求意见 •双重点击劫持攻击警报:影响几乎所有网站 •新型安卓恶意软件Fire
继续阅读大华智能物联综合管理平台 GetClassValue.jsp 远程代码执行漏洞
大华智能物联综合管理平台 GetClassValue.jsp 远程代码执行漏洞 Superhero nday POC 2025-01-06 07:33 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读雷神众测漏洞周报2024.12.30-2025.1.5
雷神众测漏洞周报2024.12.30-2025.1.5 原创 雷神众测 雷神众测 2025-01-06 07:02 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读CVE-2024-50379|条件竞争Tomcat RCE POC(首发)
CVE-2024-50379|条件竞争Tomcat RCE POC(首发) TtTeam 2025-01-06 06:41 此文章只为学习而生,请勿干违法违禁之事,本公众号只在技术的学习上做以分享,只做1day的漏洞复现, 所有行为与本公众号无关。 01 漏洞描述 如果默认 servlet 对大小写不敏感的文件系统启用了写入功能(只读初始化参数设置为非默认值 false),则在负载情况下同时读取和
继续阅读山石说AI|精准探测 智慧守护:大模型重塑漏洞检测新标杆
山石说AI|精准探测 智慧守护:大模型重塑漏洞检测新标杆 原创 山石网科 山石网科新视界 2025-01-06 06:01 【山石说AI】•第16篇 大模型在网络安全中的最新应用进展(五) 漏洞检测是网络安全的“侦查兵”,而大模型则为这一领域增添了革命性的技术活力。从深度语义理解到精准漏洞定位,大模型正在重新书写检测规则,为安全从业者提供更强大的技术武器,让防线更智慧、更高效。 本节概述了利用大模
继续阅读CVE-2024-43452:针对 Windows 特权提升漏洞的 PoC 漏洞发布
CVE-2024-43452:针对 Windows 特权提升漏洞的 PoC 漏洞发布 Ots安全 2025-01-06 05:53 安全研究人员公布了 Windows 注册表特权提升漏洞 CVE-2024-43452 (CVSS 7.5) 的技术细节和概念验证 (PoC) 漏洞代码。该漏洞由 Google Project Zero 的 Mateusz Jurczyk 报告,利用了 Windows
继续阅读CVE-2024-56513:Karmada 漏洞使攻击者能够控制 Kubernetes 系统
CVE-2024-56513:Karmada 漏洞使攻击者能够控制 Kubernetes 系统 Ots安全 2025-01-06 05:44 Karmada (Kubernetes Armada) 中发现了一个高危漏洞 (CVE-2024-56513) ,该管理平台旨在促进跨多个 Kubernetes 集群和云的云原生应用程序。该漏洞的 CVSSv4 评分为 8.7,对使用 Karmada 的 P
继续阅读CVE-2024-47575:FortiManager FortiManager Cloud 缺少身份验证允许执行任意代码或命令
CVE-2024-47575:FortiManager FortiManager Cloud 缺少身份验证允许执行任意代码或命令 Ots安全 2025-01-06 05:44 最近,Fortinet(及其客户)的日子不好过,甚至比平时更难过。最近,设备漏洞不断增加,而FortiManager(用于集中管理 FortiGate 设备的工具)中又出现了严重的 CVSS 9.8 漏洞。 与往常一样,本博
继续阅读【成功复现】爱数AnyShare SMTP_GetConfig 信息泄露漏洞
【成功复现】爱数AnyShare SMTP_GetConfig 信息泄露漏洞 奥村燐 弥天安全实验室 2025-01-06 04:18 网安引领时代,弥天点亮未来 **** 0x00漏洞描述 爱数AnyShare的SMTP_GetConfig接口存在信息泄露漏洞。攻击者可以通过该接口获取到敏感的配置信息,例如SMTP服务器的用户名和密码等。 0x01影响范围 我也不知道。 0x02复现过程 POC
继续阅读从js到高危垂直越权漏洞挖掘
从js到高危垂直越权漏洞挖掘 白帽子左一 白帽子左一 2025-01-06 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 1. 访问目标 在漏洞挖掘时,我们再次遇到一个仅提供登录表单的目标系统,我们尝试通过 数据泄露监控平台 寻找可能存在的凭据信息,以便用于登录目标系统。长话短说,我们找到了一组有效的账户信息,
继续阅读漏洞盒子批量提交脚本5.1.26
漏洞盒子批量提交脚本5.1.26 信安404 2025-01-06 04:00 前言 基于 掌控安全-劲夫 漏洞盒子自动提交脚本3.0 修改 注:同一CMS的同一漏洞数量超过5个时建议使用该脚本,少于该数量手动应当更快。 文件简介 submitted.txt : 用于记录提交失败的网站,并且会记录提交失败的原因,不用管。 bugs.xlsx : 填写每个站点的信息(漏洞标题(网页title)、厂商
继续阅读爱丁堡大学&剑桥大学|漏洞赏金生态系统中的团队与合作
爱丁堡大学&剑桥大学|漏洞赏金生态系统中的团队与合作 原创 CDra90n 安全学术圈 2025-01-06 03:37 原文标题:Study Club, Labor Union or Start-Up? Characterizing Teams and Collaboration in the Bug Bounty Ecosystem 原文作者:Yangheran Piao, Temim
继续阅读协众OA checkLoginQrCode SQL注入漏洞(XVE-2024-34879)
协众OA checkLoginQrCode SQL注入漏洞(XVE-2024-34879) Superhero nday POC 2025-01-06 03:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦
继续阅读漏洞通告 | Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞
漏洞通告 | Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞 原创 微步情报局 微步在线研究响应中心 2025-01-06 02:50 漏洞概况 LDAP 是一种开放的、跨平台的、行业标准的应用层协议,用于访问和维护分布式目录信息服务。 它定义了客户端如何与目录服务器进行通信,以查询、修改和管理目录数据。 微步情报局获取到Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏
继续阅读