开源应用程序导致 XSS 到 RCE 漏洞缺陷
开源应用程序导致 XSS 到 RCE 漏洞缺陷 Ots安全 2024-02-25 17:09 跨站脚本 (XSS) 是 Web 应用程序中最常见的攻击之一。如果攻击者可以将 JavaScript 代码注入应用程序输出中,这不仅会导致 cookie 盗窃、重定向或网络钓鱼,而且在某些情况下还会导致系统完全受损。 在本文中,我将展示如何在 Evolution CMS、FUDForum 和 GitBuc
继续阅读标签: 代码执行
【漏洞情报 | 新】WordPres Bricks Builder 前台RCE漏洞(CVE-2024-25600)
【漏洞情报 | 新】WordPres Bricks Builder 前台RCE漏洞(CVE-2024-25600) Ts3a 划水但不摆烂 2024-02-25 07:31 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 产品简介 Bricks Builder是一款用于WordPre
继续阅读【安全圈】Joomla 发现5个漏洞可执行任意代码
【安全圈】Joomla 发现5个漏洞可执行任意代码 安全圈 2024-02-24 19:00 关键词 安全漏洞 在Joomla内容管理系统中发现了五个漏洞,可用于在易受攻击的网站上执行任意代码。开发人员已通过在版本5.0.3和4.4.3中发布CMS修复程序来解决这些影响Joomla多个版本的安全问题。 1. CVE-2024-21722 :当用户的多重身份验证 (MFA) 方法发生更改时, MFA
继续阅读在看 | 周报:华莱士系统漏洞被薅羊毛;16人买卖100万条个人信息;2中国公民骗5000台iPhone被抓
在看 | 周报:华莱士系统漏洞被薅羊毛;16人买卖100万条个人信息;2中国公民骗5000台iPhone被抓 管窥蠡测 安在 2024-02-24 18:05 热点事件,政策法规,产业要闻,资讯报告,尽在「网安周报」。与网安发展同步,采业界资讯共赏,天天见闻,周周必报。 安全事件 1、华莱士系统漏洞致储值套餐券免费领取 据称,原本属于储值用户专享的免费套餐券,疑似出现故障,被免费发放给了广大非储值
继续阅读【漏洞通告】Microsoft Outlook 远程命令执行漏洞CVE-2024-21413
【漏洞通告】Microsoft Outlook 远程命令执行漏洞CVE-2024-21413 深益研究实验室 深信服千里目安全技术中心 2024-02-24 11:21 漏洞名称: Microsoft Outlook 远程代码执行漏洞(CVE-2024-21413) 组件名称: Microsoft Outlook 影响范围: Microsoft Office 2016 (64-bit editio
继续阅读【0day漏洞】Internet快捷方式文件安全特性绕过漏洞(CVE-2024-21412)安全风险通告
【0day漏洞】Internet快捷方式文件安全特性绕过漏洞(CVE-2024-21412)安全风险通告 原创 QAX CERT 奇安信 CERT 2024-02-24 00:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Internet快捷方式文件安全特性绕过漏洞 漏洞编号 QVD-2024-6259,CVE-2024-21412 公开时间 2024-02-14 影响
继续阅读JAVA代码审计之XSS漏洞
JAVA代码审计之XSS漏洞 原创 goddemon goddemon的小屋 2024-02-23 22:56 Part1 漏洞案例demo: 没有java代码审计XSS漏洞拿赏金的案例。 所以将就看看demo吧 漏洞原理:关于XSS漏洞的漏洞原理核心其实没啥好说的,网上一查一大堆。 反射性XSS漏洞 <%@ page language="java" contentTy
继续阅读微软Outlook中#MonikerLink漏洞的风险和大局观
微软Outlook中#MonikerLink漏洞的风险和大局观 晶颜123 FreeBuf 2024-02-23 18:59 近日,Check Point Research发布了一份名为 《明显的、一般的和高级的:Outlook攻击向量的综合分析》 (The Obvious, The Normal and The Advanced: a Comprehensive Analysis of Outl
继续阅读CVE-2024-21413:Microsoft Outlook 远程代码执行漏洞通告
CVE-2024-21413:Microsoft Outlook 远程代码执行漏洞通告 原创 360CERT 三六零CERT 2024-02-23 18:25 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-704 报告来源:360CERT 报告作者:360CERT 更新日期:2024-02-23 1 漏洞简述 2024年02月23日,360CERT监测发现Microsoft发布了
继续阅读【成功复现】WordPress Bricks Builder远程命令执行漏洞(CVE-2024-25600)
【成功复现】WordPress Bricks Builder远程命令执行漏洞(CVE-2024-25600) 原创 弥天安全实验室 弥天安全实验室 2024-02-23 18:23 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍WordPress和WordPress plugin都是WordPress基金
继续阅读Outlook高危远程代码执行漏洞,启明星辰提供解决方案
Outlook高危远程代码执行漏洞,启明星辰提供解决方案 启明星辰集团 2024-02-23 17:01 Microsoft Office Outlook是微软开发的办公软件套装中的一个组件,主要功能是收发电子邮件,同时具有管理联系人信息、安排日程、分配任务等功能。 漏洞详情 近日, 启明星辰金睛安全研究团队 监测到微软二月份安全补丁中一个CVSS评分为9.8的漏洞 (Microsoft Outl
继续阅读【已复现】Microsoft Outlook 远程代码执行漏洞(CVE-2024-21413)安全风险通告
【已复现】Microsoft Outlook 远程代码执行漏洞(CVE-2024-21413)安全风险通告 原创 QAX CERT 奇安信 CERT 2024-02-23 11:45 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Microsoft Outlook 远程代码执行漏洞 漏洞编号 QVD-2024-6258, CVE-2024-21413 公开时间 2024-02
继续阅读速修复!Joomla 漏洞可导致RCE攻击
速修复!Joomla 漏洞可导致RCE攻击 Bill Toulas 代码卫士 2024-02-22 18:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Joomla 内容管理系统中存在5个漏洞,可被用于在易受攻击网站上执行任意代码。 这些漏洞影响多个 Joomla 版本,已在 5.0.3和4.4.3 中修复。这些漏洞概述如下: CVE-2024-21722:当用户的MFA方法被修改后
继续阅读【漏洞通告】PostgreSQL JDBC SQL注入漏洞CVE-2024-1597
【漏洞通告】PostgreSQL JDBC SQL注入漏洞CVE-2024-1597 深瞳漏洞实验室 深信服千里目安全技术中心 2024-02-22 16:31 漏洞名称: PostgreSQL JDBC SQL注入漏洞(CVE-2024-1597) 组件名称: PostgreSQL JDBC Driver 影响范围: 42.7.0 ≤ PostgreSQL JDBC Driver < 42
继续阅读极有可能被黑客利用,Outlook远程代码执行漏洞
极有可能被黑客利用,Outlook远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-02-22 11:48 01 漏洞概况**** Microsoft Outlook是微软办公软件套装的组件之一,用于收发电子邮件、日历、任务管理、联系人等功能。微步漏洞团队于近日检测到微软发布了二月份补丁,披露数个安全漏洞,其中包括Outlook远程代码执行漏洞(CVE-2024-21413)。该
继续阅读俄罗斯黑客利用 Roundcube 缺陷(CVE-2023-5631)攻击欧洲政府
俄罗斯黑客利用 Roundcube 缺陷(CVE-2023-5631)攻击欧洲政府 军哥网络安全读报 2024-02-21 21:00 导读 据网络安全公司 Recorded Future 的报告,俄罗斯网络间谍黑客组织被发现利用易受攻击的 Roundcube 网络邮件服务器漏洞对 80 多个欧洲政府、军事和关键基础设施实体进行攻击。 该网络间谍组织被追踪为 Winter Vivern、TA473
继续阅读PyPI供应链攻击之模块替换(含原理和复现)
PyPI供应链攻击之模块替换(含原理和复现) 原创 网络保安29 红蓝攻防研究实验室 2024-02-21 19:11 0x01 攻击发现 最近看到我司某实验室的一篇文章(https://tianwen.qianxin.com/blog/2024/02/05/pypi-trojan),在2024年2月,发现有攻击者开始利用Python包名和模块名不一致的特性,在Python包中添加常见的模块,如r
继续阅读Bricks WordPress网站生成器中存在RCE漏洞,黑客正在积极利用
Bricks WordPress网站生成器中存在RCE漏洞,黑客正在积极利用 网络安全应急技术国家工程中心 2024-02-21 16:29 国外媒体近期披露,威胁攻击者正在积极利用 Brick Builder 中的关键远程代码执行 (RCE) 漏洞,在易受攻击的网站上执行恶意 PHP 代码。 Bricks Builder 是一个高级 WordPress 插件,被“誉为”是创新的、社区驱动的可视化
继续阅读微软2月补丁星期二值得关注的漏洞
微软2月补丁星期二值得关注的漏洞 综合编译 代码卫士 2024-02-20 22:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在2024年2月补丁星期二修复了73个漏洞和2个已遭利用的 0day 漏洞。 本轮共修复5个严重漏洞,含拒绝服务、远程代码执行、信息泄露和提权类别的漏洞。修复的漏洞类别和数量如下: 16个提权漏洞 3个安全特性绕过漏洞 30个远程代码执行漏洞 5个信息泄
继续阅读CVE-2024-22234|Spring Security访问控制错误漏洞
CVE-2024-22234|Spring Security访问控制错误漏洞 alicy 信安百科 2024-02-20 22:13 0x00 前言 Spring是Java EE编程领域的一个轻量级开源框架。 Spring 框架的核心特性是可以用于开发任何 Java 应用程序,但是在 Java EE 平台上构建 web 应用程序是需要扩展的。 Spring 框架的目标是使 J2EE 开发变得更容
继续阅读CVE-2024-20931|Oracle WebLogic Server JNDI注入漏洞
CVE-2024-20931|Oracle WebLogic Server JNDI注入漏洞 alicy 信安百科 2024-02-20 22:13 0x00 前言 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务
继续阅读CVE-2024-21413|Microsoft Outlook 远程代码执行漏洞(需结合其他漏洞)
CVE-2024-21413|Microsoft Outlook 远程代码执行漏洞(需结合其他漏洞) alicy 信安百科 2024-02-20 22:13 0x00 前言 Microsoft Office Outlook是微软办公软件套装的组件之一,它对Windows自带的Outlook express的功能进行了扩充。 Outlook的功能很多,可以用它来收发电子邮件、管理联系人信息、记日记、
继续阅读【漏洞预警】Apache Camel JDBCAggregationRepository反序列化漏洞
【漏洞预警】Apache Camel JDBCAggregationRepository反序列化漏洞 cexlife 飓风网络安全 2024-02-20 21:25 漏洞描述:Apache Camel 是开源的系统间数据交互集成框架,在受影响版本中,由于对JDBCAggregationRepository中exchange的实现存在未限制的反序列化逻辑,当攻击者可控制数据库中exchange字段值
继续阅读漏洞通告 | Apache Solr 代码执行漏洞
漏洞通告 | Apache Solr 代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-02-20 10:48 01 漏洞概况**** Apache Solr是一个基于Java开发的高性能全文搜索服务器,是Apache Lucene项目的开源企业搜索平台。它提供了丰富的查询语言、可配置、可扩展的特性,并对索引、搜索性能进行了优化。近日,微步漏洞团队监测到Apache Solr 发布安
继续阅读Android、佳能漏洞已修复,Fortinet警告零日漏洞
Android、佳能漏洞已修复,Fortinet警告零日漏洞 原创 何威风 祺印说信安 2024-02-19 00:00 谷歌周一宣布修复 Android 中的 46 个漏洞,其中包括一个导致远程代码执行的严重错误。 该漏洞编号为 CVE-2024-0031,影响 Android 开源项目 (AOSP) 版本 11、12、12L、13 和 14,已在平台的系统组件中发现。 谷歌在其公告 中解释说:
继续阅读Panalog日志审计系统 libres_syn_delete.php命令执行漏洞
Panalog日志审计系统 libres_syn_delete.php命令执行漏洞 小白菜安全 小白菜安全 2024-02-18 19:19 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除
继续阅读SolarWinds 曝出五个严重的 RCE 漏洞
SolarWinds 曝出五个严重的 RCE 漏洞 小王斯基 FreeBuf 2024-02-18 18:56 左右滑动查看更多 SolarWinds 近期修补了 Access Rights Manager (ARM) 解决方案中的五个远程代码执行 (RCE) 漏洞,其中包括三个允许未经验证利用的严重安全漏洞! 漏洞详情 CVE-2024-23476 和 CVE-2024-23479 安全漏洞由于
继续阅读一个叹号可导致任意代码执行,Windows生态系统也曝“log4j漏洞”
一个叹号可导致任意代码执行,Windows生态系统也曝“log4j漏洞” 看雪学苑 看雪学苑 2024-02-18 17:59 据Check Point Research官网博客,其最近一项研究揭示了Microsoft Outlook中的一个重大安全漏洞,允许攻击者在受害者的计算机上执行任意代码。微软已确认此漏洞,并且给予了该漏洞9.8分(满分10分)的CVSS严重性评分。 Outlook是Mic
继续阅读今日更新:命令/代码执行(一)原理和基础知识—CTF训练营之Web篇
今日更新:命令/代码执行(一)原理和基础知识—CTF训练营之Web篇 看雪课程 看雪学苑 2024-02-18 17:59 今日更新 欢迎来到 《CTF训练营-Web篇》 ! 随着互联网的普及与发展,网络安全也越发成为人们关注的焦点。 而在网络安全中,Web安全无疑是其中的一个重点领域。 该课程以CTF比赛中的Web安全为核心,包含了丰富的Web安全攻击和防御知识,帮助学员了解常见的网络攻击方式并
继续阅读Jenkins RCE 漏洞目前已公布
Jenkins RCE 漏洞目前已公布 胡金鱼 嘶吼专业版 2024-02-18 14:00 Jenkins是一种开源自动化服务器,广泛用于软件开发,特别是持续集成 (CI) 和持续部署 (CD)。它在自动化软件开发过程的各个部分(例如构建、测试和部署应用程序)方面发挥着关键作用,支持着一千多个集成插件,可供各种规模的组织或大型企业使用。 SonarSource研究人员在Jenkins中发现了两个
继续阅读