漏洞预警 | 宏景HCM任意文件上传漏洞
漏洞预警 | 宏景HCM任意文件上传漏洞 浅安 浅安安全 2024-11-18 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 宏景人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意脚本**** 简述: 宏景HCM
继续阅读标签: 代码
【未公开】某公司SRM智联云采系统inquiry存在SQL注入漏洞
【未公开】某公司SRM智联云采系统inquiry存在SQL注入漏洞 原创 xiachuchunmo 银遁安全团队 2024-11-17 23:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **某公司SRM智联云采系统针对企业供应链管理难题,及智能化转型升级需求,智联云采依托人工智能、物联网、大数据、云等技术,通过软硬件系统化方案,帮助企业实
继续阅读JavaSecLab 一款综合Java漏洞平台
JavaSecLab 一款综合Java漏洞平台 whgojp 夜组安全 2024-11-17 13:21 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya 朋友们现在只
继续阅读【安全圈】安全公司曝光黑客利用 Office 已知漏洞散播 Remcos RAT 木马程序
【安全圈】安全公司曝光黑客利用 Office 已知漏洞散播 Remcos RAT 木马程序 安全圈 2024-11-17 11:00 关键词 黑客 安全公司 Fortinet 发布报告,称最近有黑客利用 5 年前公布的 CVE-2017-0199 漏洞,瞄准 Office 企业用户发动攻击。 IT 之家参考报告获悉,相关黑客首先发送一批伪造成公司业务往来信息的网络钓鱼邮件,其中带有含有木马的 Ex
继续阅读【安全圈】物联网云平台 OvrC 曝一系列漏洞,黑客可远程执行恶意代码
【安全圈】物联网云平台 OvrC 曝一系列漏洞,黑客可远程执行恶意代码 安全圈 2024-11-17 11:00 关键词 漏洞 安全公司 Claroty 发布报告,曝光了一款海外流行的物联网设备云端管理平台 Ovr 内含的一系列重大漏洞。安全公司声称黑客可以接连利用这些漏洞实现在物联网设备上远程执行恶意代码,而根据 CVSS 风险评估,部分曝光的漏洞风险评分高达 9.2(满分 10 分)。 据悉,
继续阅读原创 | 一文看懂服务器请求伪造漏洞
原创 | 一文看懂服务器请求伪造漏洞 原创 奋斗的小浪 船山信安 2024-11-17 07:37 什么是请求伪造攻击? 如果Web系统中存在服务器请求伪造漏洞,不仅会影响系统本身,而且会影响到与其相关的其他系统服务。一个被忽视的服务器请求伪造漏洞,很容易引起蝴蝶效应,可能给整个系统带来长期的巨大危害。 什么是服务器请求伪造? 服务器请求伪造(Server-Side Request Forgery
继续阅读Apache Airflow 漏洞暴露日志中的敏感数据CVE-2024-45784(7.5)
Apache Airflow 漏洞暴露日志中的敏感数据CVE-2024-45784(7.5) 独眼情报 2024-11-17 06:12 流行的工作流管理平台 Apache Airflow 中存在一个漏洞,可能会无意中暴露敏感配置数据,从而可能危及系统安全。 该漏洞编号为 CVE-2024-45784,CVSS 评分为 7.5(高严重性),影响 2.10.3 之前的所有 Airflow 版本。该漏
继续阅读CVE-2024-45784:Apache Airflow 漏洞暴露日志中的敏感数据
CVE-2024-45784:Apache Airflow 漏洞暴露日志中的敏感数据 Ots安全 2024-11-17 04:27 流行的工作流管理平台 Apache Airflow 中存在一个漏洞,可能会无意中暴露敏感配置数据,从而可能危及系统安全。 该漏洞编号为 CVE-2024-45784,CVSS 评分为 7.5(高严重性),影响 2.10.3 之前的所有 Airflow 版本。该漏洞源于
继续阅读某全新H5购物商城系统存在前台SQL注入漏洞
某全新H5购物商城系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2024-11-17 03:57 点击上方 蓝字关注我们 并设为 星标 0x00 前言 该源码采用HTML5技术开发,可以完美适配各种移动设备,以及iOS和Android系统。同时,易支付接口更为商家提供了便捷的交易功能,让顾客可以轻松通过手机进行网络支付,享受到更加便捷的购物体验。 该源码界面设计十分简洁、清爽,同时还保证
继续阅读「漏洞复现」金华迪加 现场大屏互动系统 mobile.do.php 任意文件上传漏洞
「漏洞复现」金华迪加 现场大屏互动系统 mobile.do.php 任意文件上传漏洞 冷漠安全 冷漠安全 2024-11-17 03:16 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用
继续阅读应用程序系统中的 SQL 注入 (CVE-2024-50766)
应用程序系统中的 SQL 注入 (CVE-2024-50766) haidragon 安全狗的自我修养 2024-11-17 00:49 可以通过 XAMPP 配置为运行 sqlite 数据库轻松在本地运行。 在未经身份验证的情况下玩应用程序,我在 takeSurvey.php 中发现了一个 SQL 注入,其中在 ?id=1 后添加 ‘ 会触发 sql 错误。 我们可以使用 sql 查
继续阅读VSFTPD 2.3.4 笑脸漏洞
VSFTPD 2.3.4 笑脸漏洞 Sword 网络安全学习爱好者 2024-11-17 00:39 环境搭建 压缩包需要下载特定版本,官方提供的安装包没有这个漏洞 1.靶机环境是centos7 ,首先解压缩包,并上传到靶机目录 tar -zxvf 压缩包名称 2.进入vsftpd目录,赋予文件权限,之后进行make &&make install cd /vsftpd-2.3
继续阅读某系统因属性污染导致的RCE漏洞分析
某系统因属性污染导致的RCE漏洞分析 黑白之道 2024-11-17 00:38 前几天在逛huntr的时候,发现一个很有意思的漏洞,他是通过反序列化从而去污染类和属性导致的rce,在作者的描述中大致说明的漏洞的原理,该漏洞是通过绕过Deepdiff的反序列化限制,包括绕过魔术方法和白名单绕过,通过魔术方法可以访问其他模块、类和实例,并使用这种任意属性写入,最终导致rce。 1、漏洞介绍 前几天在
继续阅读【漏洞复现】九思OA dl存在任意文件读取漏洞
【漏洞复现】九思OA dl存在任意文件读取漏洞 xiachuchunmo 银遁安全团队 2024-11-17 00:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 九思OA系统是安装、实施、学习、操作、维护的OA系统,由北京九思协同软件有限公司开发。九思OA dl存在任意文件读取漏洞 资产详情 app="九思软件-OA"
继续阅读「漏洞复现」全新优客API接口管理系统 index/doc SQL注入漏洞
「漏洞复现」全新优客API接口管理系统 index/doc SQL注入漏洞 冷漠安全 冷漠安全 2024-11-16 16:33 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读用友U8 Cloud service/approveservlet SQL注入漏洞
用友U8 Cloud service/approveservlet SQL注入漏洞 Superhero Nday Poc 2024-11-16 16:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知
继续阅读CVE-2024-25600:WordPress Bricks Builder RCE
CVE-2024-25600:WordPress Bricks Builder RCE 白帽子 2024-11-16 16:14 关注我们❤️,添加星标🌟,一起学安全!作者:良夜@Timeline Sec 本文字数:3434阅读时长:3~5mins声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Bricks Builder 是一个 WordPress 页面构建插件,它的主要
继续阅读AI代码审计和POC编写
AI代码审计和POC编写 原创 道玄安全 道玄网安驿站 2024-11-16 15:25 “ AI做代码审计和POC编写真好使” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑漏洞
继续阅读Fckeditor编辑器漏洞汇集
Fckeditor编辑器漏洞汇集 原创 simeon的文章 小兵搞安全 2024-11-16 13:37 1.1Fckeditor简介 FCKeditor(现在通常称为CKEditor)是一个开源的、基于JavaScript的内容编辑器。它最初由Frederico Caldeira Knabben开发,并于2003年首次发布。CKEditor旨在使Web开发者能够在其网站上添加富文本编辑功能,用户
继续阅读phpstudy_2016-2018_rce 漏洞复现
phpstudy_2016-2018_rce 漏洞复现 Sword 网络安全学习爱好者 2024-11-16 10:41 漏洞描述 攻击者可以利用该漏洞执行PHP 命令,也可以称作 phpStudy 后门 。RCE(Remote Command|Code Execute) Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmi
继续阅读【漏洞预警】 易宝OA-GetProductInv SQL注入漏洞
【漏洞预警】 易宝OA-GetProductInv SQL注入漏洞 thelostworld 2024-11-16 09:10 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责
继续阅读【漏洞预警】 用友BIP 数据库配置信息泄露
【漏洞预警】 用友BIP 数据库配置信息泄露 thelostworld 2024-11-16 09:10 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!马赛克安全实验室情报
继续阅读【漏洞预警】易思智能物流无人值守系统SQL注入
【漏洞预警】易思智能物流无人值守系统SQL注入 thelostworld 2024-11-16 09:10 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!马赛克安全实验室情
继续阅读PostgreSQL数据库存在高危漏洞CVE-2024-10979(8.8)
PostgreSQL数据库存在高危漏洞CVE-2024-10979(8.8) 独眼情报 2024-11-16 08:41 PostgreSQL发现严重安全漏洞,可能导致数据泄露和系统被入侵 Varonis安全研究团队的Tal Peleg和Coby Abrams发现了一个影响广泛使用的开源数据库系统PostgreSQL的高危漏洞。该漏洞被编号为CVE-2024-10979,可能会威胁到全球众多数据库
继续阅读CVE-2024-28888:福昕阅读器中使用释放后导致远程代码执行
CVE-2024-28888:福昕阅读器中使用释放后导致远程代码执行 Ots安全 2024-11-16 07:02 网址 – https://www.talosintelligence.com/vulnerability_reports/TALOS-2024-1967 目标 – 福昕PDF编辑器版本:2024.X(含)~2024.2.3.25184(含)(Windows)
继续阅读【安全圈】俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day 漏洞攻击乌克兰目标
【安全圈】俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day 漏洞攻击乌克兰目标 安全圈 2024-11-16 06:34 关键词 漏洞 网络安全公司 ClearSky 警告称,Windows 中一个新修补的 day 漏洞 可通过用户最少的交互(例如删除文件或右键单击文件)被利用。 该0day漏洞编号为 CVE-2024-43451,是一个中等严重程度的漏洞,会影响 MSHTM 引
继续阅读Vcenter图形化漏洞利用工具
Vcenter图形化漏洞利用工具 黑白之道 2024-11-16 01:01 1► 工具介绍 当前支持以下漏洞的检测,利用、命令执行还没写内容 CVE-2021-22005 CVE-2021-21972 CVE-2021-21985 年初学习java时写了一个带命令执行和上传文件的,一直没什么机会用,本来不打算继续写的。 结果前段时间公司内部搞红蓝,还碰到了不少低版本的,命令行的有时候又很麻烦,还
继续阅读VulToolsKit一把梭漏洞Exploit合集
VulToolsKit一把梭漏洞Exploit合集 原创 白帽学子 白帽学子 2024-11-16 00:11 最近工作上需要做一些网络安全漏洞利用的测试,以确保公司系统的安全性。在这个过程中,我发现了一个很实用的开源网络安全工具合集——VulToolsKit V1.1。 这个工具合集包含了各种综合漏洞利用工具,涵盖了海康威视、大华、Nacos、Vcenter等多种系统,并且还有针对Fastjso
继续阅读漏洞预警 | Apache ZooKeeper身份验证绕过漏洞
漏洞预警 | Apache ZooKeeper身份验证绕过漏洞 浅安 浅安安全 2024-11-16 00:01 0x00 漏洞编号 – # CVE-2024-51504 0x01 危险等级 – 高危 0x02 漏洞概述 Apache ZooKeeper是由集群使用的一种服务,用于在自身之间协调,并通过稳健的同步技术维护共享数据。 0x03 漏洞详情 CVE-2024-51
继续阅读漏洞预警 | HPE Aruba Networking Access Points命令注入漏洞
漏洞预警 | HPE Aruba Networking Access Points命令注入漏洞 浅安 浅安安全 2024-11-16 00:01 0x00 漏洞编号 – # CVE-2024-42509 0x01 危险等级 – 高危 0x02 漏洞概述 HPE Aruba Networking Access Points是HPE旗下的Aruba Networking推出的一
继续阅读