【漏洞通告】JetBrains TeamCity 身份认证绕过漏洞CVE-2024-27198
【漏洞通告】JetBrains TeamCity 身份认证绕过漏洞CVE-2024-27198 深瞳漏洞实验室 深信服千里目安全技术中心 2024-03-07 16:00 漏洞名称: JetBrains TeamCity 身份认证绕过漏洞(CVE-2024-27198) 组件名称: TeamCity 影响范围: TeamCity < 2023.11.4 漏洞类型: 身份认证绕过 利用条件:
继续阅读标签: 代码执行
【漏洞预警】LangChain 远程代码执行漏洞(CVE-2024-28088)
【漏洞预警】LangChain 远程代码执行漏洞(CVE-2024-28088) cexlife 飓风网络安全 2024-03-06 22:54 漏洞描述: LangChain是一个旨在帮助开发人员使用语言模型构建端到端的应用程序的框架,支持配置不同的链调用,langchain-experimental是一个用于研究和实验目的的Python包,由于langchain在load_chain中存在路径
继续阅读winrar(CVE-2023-38831)漏洞原理
winrar(CVE-2023-38831)漏洞原理 time.time 看雪学苑 2024-03-06 17:59 WinRAR是最受欢迎的压缩工具之一,在全球拥用超过5亿用户。2023 年 7 月 10 日,国外威胁情报机构Group-IB研究DarkMe恶意软件传播时,在 WinRAR 处理 ZIP 文件格式中发现了一个以前未知的漏洞。通过利用该程序中的漏洞,威胁行为者能够制作 ZIP 存档
继续阅读VMware修复多个严重的ESXi 沙箱逃逸漏洞
VMware修复多个严重的ESXi 沙箱逃逸漏洞 Ryan Naraine 代码卫士 2024-03-06 15:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,虚拟化技术厂商 VMware 紧急修复企业级产品 ESXi、Workstation、Fusion 和 Cloud Foundation 产品中的多个严重漏洞。 VMware 公司发布了四个漏洞,并提醒称其中最严重的漏洞
继续阅读浅析常见WEB安全漏洞及其防御措施
浅析常见WEB安全漏洞及其防御措施 学网安的face_all 安安是个小妹妹 2024-03-05 19:04 文章目录 一 背景概述 二 本文目的 三 Web漏洞 1 SQL注入 2 XSS漏洞 3 文件上传 4 CSRF漏洞 5 SSRF漏洞 四 总结归纳五 参考内容 一 背景概述 在网络攻防中,Web系统通常是攻击者的首选目标,攻击者大都通过Web打点的方式,先拿到边界Web服务器的权限,再
继续阅读近日更新:命令/代码执行(二)Bypass技巧—CTF训练营之Web篇
近日更新:命令/代码执行(二)Bypass技巧—CTF训练营之Web篇 看雪课程 看雪学苑 2024-03-03 17:59 近日更新 欢迎来到 《CTF训练营-Web篇》 ! 随着互联网的普及与发展,网络安全也越发成为人们关注的焦点。 而在网络安全中,Web安全无疑是其中的一个重点领域。 该课程以CTF比赛中的Web安全为核心,包含了丰富的Web安全攻击和防御知识,帮助学员了解常见的网络攻击方式
继续阅读Spring漏洞综合利用工具
Spring漏洞综合利用工具 savior-only 系统安全运维 2024-03-03 09:01 Spring_All_Reachable TODO Spring Core RCE 支持更多类型内存马 支持内存马密码修改 …….. 使用方法 Spring Cloud Gateway命令执行(CVE-2022-22947) 漏洞描述 Spring Cloud Gatewa
继续阅读CVE-2024-23897 Jenkins 未授权任意文件读取漏洞分析
CVE-2024-23897 Jenkins 未授权任意文件读取漏洞分析 Drunkbaby 黑客白帽子 2024-03-03 08:02 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ CVE-2024-23897 Jenkins 未授权任意文件读取 漏洞描述 Jenkins 是基于 Java 开发的一种持续集成
继续阅读WordPress 插件存在漏洞,500 万网站面临严重安全风险
WordPress 插件存在漏洞,500 万网站面临严重安全风险 黑战士 2024-03-02 16:43 网络安全研究人员近期发现 WordPress LiteSpeed Cache 插件中存在一个安全漏洞,该漏洞被追踪为 CVE-2023-40000,未经身份验证的威胁攻击者可利用该漏洞获取超额权限。 LiteSpeed Cache 主要用于提高网站性能,据不完全统计已经有 500 多万安装
继续阅读又是一年春光好,漏洞奖励少不了~ 限时奖金上调,X春日礼盒发放中!
又是一年春光好,漏洞奖励少不了~ 限时奖金上调,X春日礼盒发放中! X社区 微步在线 2024-03-01 14:11 3月踏春好时节, “X漏洞奖励计划 ”奖金加码活动续上啦~ 限时奖金上调,限量春日礼盒发放 ,X漏洞奖励计划陪伴各位白帽师傅一起度过烂漫春日时光! 活动时间 3月1日至3月31日 活动范围 本次活动仅针对0day漏洞 ,且需符合以下范围: – 漏洞类型 :能够实现RC
继续阅读创宇安全智脑 | 金蝶云星空 ServiceGateway 反序列化远程代码执行等33个漏洞可检测
创宇安全智脑 | 金蝶云星空 ServiceGateway 反序列化远程代码执行等33个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-02-29 17:21 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精
继续阅读【漏洞通告】WordPress Bricks Builder远程命令执行漏洞
【漏洞通告】WordPress Bricks Builder远程命令执行漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-02-29 15:13 01 漏洞概况 Bricks Builder主题是一个创新的、社区驱动的、可视化的WordPress网站构建器Bricks Builder(高级版)主题目前拥有约25,000个有效安装。 WordPress Brick Buil
继续阅读【漏洞预警】LangChain langchain-experimental 任意代码执行
【漏洞预警】LangChain langchain-experimental 任意代码执行 cexlife 飓风网络安全 2024-02-28 22:50 漏洞描述:LangChain Experimental 在 pal_chain/base.py 中未禁止对特定Python属性的访问,这些属性包括__import__、subclasses、builtins、globals、getattribu
继续阅读Windows SmartScreen安全功能绕过漏洞(含CVE-2024-21412复现)
Windows SmartScreen安全功能绕过漏洞(含CVE-2024-21412复现) 原创 网络保安29 红蓝攻防研究实验室 2024-02-28 19:40 前言 2024 年 2 月微软发布了一个 Internet 快捷方式文件安全功能绕过漏洞( CVE-2024-21412 ),互联网上未经身份验证的攻击者可以向目标用户发送旨在绕过显示的安全检查的特制文件,诱导用户点击实现恶意代码执
继续阅读合勤科技修复防火墙产品中的远程代码执行漏洞
合勤科技修复防火墙产品中的远程代码执行漏洞 Ryan Naraine 代码卫士 2024-02-28 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 合勤科技推出防火墙和访问点产品的多个漏洞补丁,并提醒称未修复系统易遭远程代码执行攻击。 合勤科技提到,至少有四个漏洞可导致企业易受代码执行、命令注入和拒绝服务利用攻击。 这些漏洞简述如下: CVE-2023-6397:某些防火墙版本
继续阅读24年1月必修安全漏洞清单|腾讯安全威胁情报中心
24年1月必修安全漏洞清单|腾讯安全威胁情报中心 腾讯威胁情报中心 腾讯安全威胁情报中心 2024-02-28 16:54 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合
继续阅读腾讯安全威胁情报中心推出2024年1月必修安全漏洞清单
腾讯安全威胁情报中心推出2024年1月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2024-02-28 11:49 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2024年1月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读Finebi反序列化漏洞分析
Finebi反序列化漏洞分析 船山信安 2024-02-28 00:00 反序列化 /webroot/decision/remote/design/channel 处存在发序列化漏洞这个接口接收post传输的数据,会先经过GZIPInputStream解压缩GZIP格式数据 然后对经过解压缩后的数据利用CustomObjectInputStream进行包装,再调用readObject()方法实现反
继续阅读【安全圈】台湾合勤科技证实,Zyxel 修补防火墙产品中的远程代码执行错误
【安全圈】台湾合勤科技证实,Zyxel 修补防火墙产品中的远程代码执行错误 安全圈 2024-02-27 19:02 关键词 黑客勒索 台湾网络设备制造商合勤科技(Zyxel)针对其防火墙和接入点产品中的多个缺陷推出了补丁,并警告说未打补丁的系统存在远程代码执行攻击的风险。 Zyxel是一家一直在努力解决软件安全问题的公司,它记录了至少四个漏洞,这些漏洞使企业面临代码执行、命令注入和拒绝服务利用的
继续阅读CVE-2024-25600:WordPress Bricks Builder远程命令执行漏洞通告
CVE-2024-25600:WordPress Bricks Builder远程命令执行漏洞通告 原创 360CERT 三六零CERT 2024-02-27 18:34 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-711 报告来源:360CERT 报告作者:360CERT 更新日期:2024-02-27 1 漏洞简述 2024年02月27日,360CERT监测发现WordPr
继续阅读漏洞单价10万元!ByteSRC规则V6.0奖励计划叒升级!
漏洞单价10万元!ByteSRC规则V6.0奖励计划叒升级! 字节跳动安全中心 2024-02-27 11:10 New rules ByteSRC奖金再提高!体验再升级!资源再丰富! 《字节跳动安全响应中心安全报告处置规则V6.0》(试运行版)发布 在2月27日-3月18日试运行期间,欢迎大家提出宝贵意见! ✨本次更新四大亮点✨ No.1 增加“重大漏洞”等级,奖励金最高至10W 优化漏洞等级体
继续阅读CVE-2024-22024
CVE-2024-22024 原创 fgz AI与网安 2024-02-27 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。 01 — 漏洞名称 Ivanti Pulse Connect S
继续阅读【漏洞预警】Apache DolphinScheduler<3.2.1 任意代码执行漏洞CVE-2024-23320
【漏洞预警】Apache DolphinScheduler<3.2.1 任意代码执行漏洞CVE-2024-23320 cexlife 飓风网络安全 2024-02-26 21:13 漏洞描述:ApacheDolphinscheduler是开源的分布式任务调度系统,受影响版本中,由于 SwitchTaskUtils#generateContentWithTaskParams 方法未对用户可控的
继续阅读【漏洞预警】ConnectWise ScreenConnect身份验证绕过漏洞(CVE-2024-1709)
【漏洞预警】ConnectWise ScreenConnect身份验证绕过漏洞(CVE-2024-1709) cexlife 飓风网络安全 2024-02-26 21:13 漏洞描述: ConnectWise ScreenConnect是一款快速、灵活且安全的远程桌面和访问软件,可随时随地连接到任何设备,近日监测到ConnectWise ScreenConnect中修复了一个身份验证绕过漏洞(CV
继续阅读G.O.S.S.I.P 阅读推荐 2024-02-26 寻觅文件劫持漏洞
G.O.S.S.I.P 阅读推荐 2024-02-26 寻觅文件劫持漏洞 原创 G.O.S.S.I.P 安全研究GoSSIP 2024-02-26 20:26 看完上面这段话,有没有感觉到一种深深的绝望和恐惧?这里面涉及的就是我们今天要讨论的文件劫持漏洞(File Hijacking Vulnerability,FHVuln)。在今天分享的NDSS 2024论文File Hijacking Vul
继续阅读「深蓝洞察」2023 年度最费钱的漏洞
「深蓝洞察」2023 年度最费钱的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-26 19:48 22 年的一篇深蓝洞察 — 年度最具含金量漏洞 ,披露过当年、也是彼时历史上最大的单笔漏洞奖金,为 1000 万美元。 漏洞究竟价值如何,没有比 2023 年度发生的安全事件来得更直观的了。 以下为本期深蓝洞察年度安全报告的 第七篇 。 07 2023 年 9 月 27 日,一
继续阅读上周关注度较高的产品安全漏洞(20240219-20240225)
上周关注度较高的产品安全漏洞(20240219-20240225) 原创 CNVD CNVD漏洞平台 2024-02-26 17:35 一、境外厂商产品漏洞 1、Shim缓冲区溢出漏洞 shim是一个SciDB的简单HTTP服务。Shim存在安全漏洞,该漏洞源于http启动支持中包含远程代码执行漏洞,可以绕过安全启动。攻击者可利用该漏洞执行任意代码。 参考链接: https://www.cnvd.
继续阅读【漏洞通告】WordPress Bricks Builder远程命令执行漏洞CVE-2024-25600
【漏洞通告】WordPress Bricks Builder远程命令执行漏洞CVE-2024-25600 深瞳漏洞实验室 深信服千里目安全技术中心 2024-02-26 17:13 漏洞名称: WordPress Bricks Builder远程命令执行漏洞(CVE-2024-25600) 组件名称: WordPress Bricks Builder 影响范围: WordPress Bricks
继续阅读雷神众测漏洞周报2024.2.19-2024.2.25
雷神众测漏洞周报2024.2.19-2024.2.25 原创 雷神众测 雷神众测 2024-02-26 15:39 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读【安全圈】警告!ConnectWise 漏洞正被广泛利用,数千台服务器面临危险
【安全圈】警告!ConnectWise 漏洞正被广泛利用,数千台服务器面临危险 安全圈 2024-02-25 19:00 关键词 安全漏洞 ConnectWise 周二表示,一个严重的 ConnectWise ScreenConnect 漏洞正在被广泛利用,该漏洞使数千台服务器面临被接管的风险。 ConnectWise周一发布了 ScreenConnect 23.9.7 的安全修复程序,披露了两个
继续阅读