小米电动滑板车漏洞或致电子木马攻击:电池供电嵌入式系统上的勒索软件、跟踪、DoS和数据泄露问题研究 网空闲话 网空闲话plus 2024-11-27 23:39 Arxiv论文网11月27日发布研究成果,称帕多瓦大学和EURECOM的研究人员对小米电动滑板车的内部安全和隐私进行了首次分析,发现了四个关键设计漏洞,包括电池管理系统(BMS)的远程代码执行、固件未签名等问题。基于这些发现,研究者开发了
继续阅读俄黑客组织 RomCom 被指利用火狐和Windows 0day攻击用户 Sergiu Gatlan 代码卫士 2024-11-27 09:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 俄罗斯网络犯罪团伙 RomCom 最近组合利用两个0day漏洞,攻击位于欧洲和北美的火狐和Tor浏览器用户。 第一个漏洞CVE-2024-9680是位于火狐动画时间线特性中的释放后使用 (UAF) 漏
继续阅读MITRE公布最危险软件漏洞TOP25榜单 安小圈 2024-11-27 00:45 安小圈 第554期 【高危漏洞】TOP25 在快速变化的网络威胁环境中,漏洞始终是网络攻击的主要切入点。近日,美国网络安全组织MITRE更新了2024年CWE Top 25最危险软件漏洞榜单,汇总了2024年全球最常见、最具影响力的软件漏洞,为企业、开发者和安全研究人员提供重要参考。 什么是CWE Top 25?
继续阅读远程代码执行(RCE)漏洞(CVE-2024-21534) XiaomingX 网络安全者 2024-11-26 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除
继续阅读IBM 修补数据虚拟化管理器、安全 SOAR 中的 RCE 漏洞 原创 何威风 祺印说信安 2024-11-26 16:00 IBM 周一宣布修复其产品的多个漏洞,包括数据虚拟化管理器和安全 SOAR 中的两个高严重性远程代码执行 (RCE) 问题。 该漏洞编号为 CVE-2024-52899(CVSS 评分为 8.5),存在于 z/OS 数据虚拟化管理器中,可能允许远程经过身份验证的攻击者注入恶
继续阅读网安瞭望台第5期 :7zip出现严重漏洞、识别网络钓鱼诈骗的方法分享 原创 扬名堂 东方隐侠安全团队 2024-11-26 14:28 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 7 – Zip存在高危漏洞,请立刻更新 2024 年 11 月 24 日,do son 报道了 7 – Zip
继续阅读RomCom 利用零日漏洞进行复杂的网络攻击 Firefox 和 Windows 信息安全大事件 2024-11-26 11:52 被称为 RomCom 的与俄罗斯结盟的威胁行为者与两个安全漏洞的零日利用有关,一个在 Mozilla Firefox 中,另一个在 Microsoft Windows 中,作为旨在向受害者系统提供同名后门的攻击的一部分。 “在一次成功的攻击中,如果受害者浏览包含漏洞利
继续阅读圣乔ERP系统 login.action Struts2远程代码执行漏洞复现 原创 红岸基地赵小龙 暗影网安实验室 2024-11-26 09:00 产品简介 圣乔ERP系统是杭州圣乔科技有限公司开发的一款企业级管理软件,旨在为企业提供一套全面、集成化的管理解决方案,帮助企业实现资 源的优化配置和高效利用。该系统集成了财务、人力资源、生产、销售、供应链等多个业务模块,实现了企业内外部信息的无缝连接
继续阅读网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞 安全内参编译 安全内参 2024-11-26 08:36 关注我们 带你读懂网络安全 攻击者通过组合利用两个零日漏洞,实现了远程完全控制PAN-OS安全设备; 据第三方监测,自攻击活动开始以来,已有约2000台PAN-OS设备被入侵; 研究人员对官方修复补丁进行逆向工程,发现这些漏洞源于开发中的低级错误。 前情回顾·零日漏
继续阅读.NET内网实战:通过动态编译混淆代码执行Shellcode 原创 专攻.NET安全的 dotNet安全矩阵 2024-11-26 08:22 01 阅读须知 此文所节选自小报童《.NET 内网实战攻防》专栏,主要 内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报刊,解锁更多的报刊内容。 02 基本介绍 本文内容部分节选自小 报童《
继续阅读360发布《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 360数字安全 数世咨询 2024-11-26 08:00 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用背后,也带来诸多新的风险和挑战。 近日,360数字安全集团发布《大模型安全漏洞报告》(以下
继续阅读著名压缩工具7-Zip 存在远程代码执行漏洞——CVE-2024-11477 原创 棉花糖糖糖 棉花糖fans 2024-11-26 04:07 在流行的文件压缩工具7-Zip中发现了一个高危漏洞(CVE-2024-11477),可能允许攻击者在易受攻击的系统上执行恶意代码。 该漏洞由趋势科技安全研究人员Nicholas Zubrisky发现,存在于程序的Zstandard解压缩功能中。由于对用户
继续阅读重点防范!官方最新通报一批恶意网址和高危漏洞 威努特安全网络 2024-11-26 00:02 近期,中国国家网络与信息安全信息通报中心持续发现一批境外恶意网址和恶意IP,有多个具有某大国政府背景的境外黑客组织,利用这些网址和IP持续对中国和其他国家发起网络攻击。 这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、网络钓鱼、勒索病毒等,以达到窃取商业秘密和知
继续阅读漏洞预警 | Apache Ofbiz表达式注入和模板注入漏洞 浅安 浅安安全 2024-11-26 00:01 0x00 漏洞编号 – CVE-2024-47208 CVE-2024-48962 0x01 危险等级 – 高危 0x02 漏洞概述 Apache OFBiz是Apache的一套企业资源计划系统,提供了一整套基于Java的Web应用程序组件和工具。 0x03 漏
继续阅读Spring Cloud Data Flow高危漏洞(CVE-2024-37084) XiaomingX 网络安全者 2024-11-25 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全
继续阅读【漏洞预警】7-Zip代码执行漏洞CVE-2024-11477 cexlife 飓风网络安全 2024-11-25 14:06 漏洞描述: 7-Zip是一款免费的开源文件压缩和解压工具,支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式,7-Zip中修复了一个代码执行漏洞(CVE-2024-11477),该漏洞的CVSS评分为7.8。 7-Zip Zstandard解
继续阅读行业 | 360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 中国信息安全 2024-11-25 11:24 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用
继续阅读360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 360数字安全 2024-11-25 10:22 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用背后,也带来诸多新的风险和挑战。 近日,360数字安全集团发布全球首份《大模型安全漏洞报告》
继续阅读【漏洞通告】7-Zip代码执行漏洞(CVE-2024-11477) 启明星辰安全简讯 2024-11-25 08:59 一、漏洞概述 漏洞名称 7-Zip代码执行漏洞 CVE ID CVE-2024-11477 漏洞类型 整数下溢 发现时间 2024-11-25 漏洞评分 7.8 漏洞等级 高危 攻击向量 本地 所需权限 无 利用难度 低 用户交互 是 PoC/EXP 未公开 在野利用
继续阅读雷神众测漏洞周报2024.11.18-2024.11.24 原创 雷神众测 雷神众测 2024-11-25 07:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读违反《网络安全法》相关规定,快手被依法处罚;警惕基于已知漏洞的链式攻击,超2000台Palo Alto防火墙或被攻陷 | 牛览 安全牛 2024-11-25 06:30 点击蓝字·关注我们 / aqniu 新闻速览 •四部门联合开展“清朗·网络平台算法典型问题治理”专项行动 •违反《网络安全法》相关规定,快手被依法处罚 •远程链式WiFi攻击手法曝光,传统物理接近已非必需 •APT组织Gels
继续阅读科荣AIO系统UtilServlet接口处存在代码执行漏【漏洞复现|附nuclei-POC】洞 原创 kingkong 脚本小子 2024-11-25 03:33 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 科荣AIO系统UtilServlet接口处存在代
继续阅读Windows Kerberos严重漏洞,数百万台服务器遭攻击 天唯科技 天唯信息安全 2024-11-25 03:27 E安全消息,Windows Kerberos身份认证协议中存在一个严重漏洞,对数百万服务器构成了重大威胁。微软在11月补丁星期二更新中解决了此问题。 Microsoft Kerberos是一种广泛使用的用于验证主机或用户身份的身份验证协议。为了利用这个漏洞,未经身份验证的行为者
继续阅读破解命令注入漏洞:详解原理、绕过技巧与防护策略 原创 VlangCN HW安全之路 2024-11-25 03:00 在Web安全领域中,命令注入漏洞(OS Command Injection)一直是一个危害严重的安全问题。本文将深入浅出地介绍命令注入漏洞的原理、检测方法、利用技巧以及防护措施。 一、什么是命令注入漏洞? 命令注入漏洞,也称为shell注入,是一种允许攻击者在目标服务器上执行任意操
继续阅读【安全圈】苹果解决了两个被积极利用的零日漏洞 安全圈 2024-11-24 11:00 关键词 零日漏洞 苹果发布了 iOS、iPadOS、macOS、visionOS 和 Safari 浏览器的安全更新,以解决两个被主动利用的零日漏洞。 苹果针对 iOS、iPadOS、macOS、visionOS 和 Safari 浏览器中的两个零日漏洞发布了安全更新,这两个漏洞被追踪为 CVE-2024-44
继续阅读CVE-2024-8811:WinZip 缺陷允许恶意代码执行 Ots安全 2024-11-24 06:42 安全研究人员发现了广泛使用的文件归档工具 WinZip 中的一个严重漏洞,该漏洞可能允许攻击者绕过关键的安全措施并可能在用户的系统上执行恶意代码。 该漏洞被标记为 CVE-2024-8811,CVSS 评分为 7.8(高),影响 WinZip 76.8 版之前的所有版本。它利用了 WinZ
继续阅读使用未知技术发现多个 XSS 漏洞 原创 星空浪子 星空网络安全 2024-11-24 04:08 今天我将讨论使用不同技术的多种 XSS 攻击,这是我在各种漏洞赏金计划中发现的。 XSS:(跨站点脚本) 是一种安全漏洞,当攻击者将恶意脚本注入其他用户查看的网页时就会发生这种情况。XSS 攻击旨在在受害者浏览器的上下文中执行恶意脚本,从而允许攻击者窃取敏感信息。例如,在 javascript 编程
继续阅读【安全圈】D-Link忽视旧款VPN路由器补丁更新,关键漏洞未修复 安全圈 2024-11-23 11:00 关键词 在发现严重的远程代码执行 (RCE) 漏洞后,D-Link 强烈建议其旧款 VPN 路由器用户更换设备。由于这些型号的路由器已达到其使用寿命和终止支持的日期,因此不会再对其打补丁以防范该漏洞。 安全研究人员”delsploit”向D-Link报告了该漏洞,但
继续阅读某一cms后台代码执行漏洞 船山信安 2024-11-23 10:35 前言 最近在漏洞平台看到ucms后台漏洞,便寻找了一下发现有开源源码,分析一下 漏洞复现 首先漏洞发生在后台,也就是需要先登录后台可利用,有点鸡肋,但还是要学习一下 后台管理中心->文件管理->任意选一个编辑->保存->抓包 然后访问该文件名 漏洞分析 uncms/index.php 44行 也就是说获
继续阅读