Apache ActiveMQ RCE漏洞(CVE-2023-46604)复现
Apache ActiveMQ RCE漏洞(CVE-2023-46604)复现 原创 剑豪321 网络安全学习爱好者 2024-11-10 19:18 一、Apache ActiveMQ简介 Apache ActiveMQ是一个开源的、功能强大的消息代理(Message Broker),由 Apache Software Foundation 所提供。ActiveMQ 支持 Java Messag
继续阅读标签: 代码
「漏洞复现」某融信运维安全审计系统 download 任意文件读取漏洞
「漏洞复现」某融信运维安全审计系统 download 任意文件读取漏洞 冷漠安全 冷漠安全 2024-11-10 16:40 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文
继续阅读马自达被曝存在多个漏洞,黑客可执行任意代码
马自达被曝存在多个漏洞,黑客可执行任意代码 FreeBuf 商密君 2024-11-10 16:06 趋势科技披露,多个马自达汽车型号的信息娱乐系统存在漏洞,可能会让攻击者以root权限执行任意代码。这些未修补的漏洞影响多个车型,包括但不限于马自达3、马自达6和马自达CX-5。 趋势科技表示,原因是马自达 CMU 系统没有正确清理用户提供的输入,这就可能导致一个严重的后果:攻击者可通过连接一个特别
继续阅读快讯 | 马自达被曝存在多个漏洞,黑客可执行任意代码
快讯 | 马自达被曝存在多个漏洞,黑客可执行任意代码 内生安全联盟 2024-11-10 15:57 趋势科技披露,多个马自达汽车型号的信息娱乐系统存在漏洞,可能会让攻击者以root权限执行任意代码。这些未修补的漏洞影响多个车型,包括但不限于马自达3、马自达6和马自达CX-5。 趋势科技表示,原因是马自达 CMU 系统没有正确清理用户提供的输入,这就可能导致一个严重的后果:攻击者可通过连接一个特别
继续阅读【漏洞复现】宏景人力资源信息管理系统uploadLogo任意文件上传
【漏洞复现】宏景人力资源信息管理系统uploadLogo任意文件上传 混子Hacker 混子Hacker 2024-11-09 22:30 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 即使阿迪克斯 达芬喝得烂醉如泥,不像某些人在神智最
继续阅读【漏洞复现】蓝凌OA hrStaffWebService任意文件读取漏洞
【漏洞复现】蓝凌OA hrStaffWebService任意文件读取漏洞 混子Hacker 混子Hacker 2024-11-09 22:30 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 一切都是最好的安排,一定要学会忍耐 —— 蓝
继续阅读某蓝星抖音快手微商城RCE漏洞审计
某蓝星抖音快手微商城RCE漏洞审计 实战安全研究 2024-11-09 15:48 0x00 前言 **微商城系统,是一种小型电子商务系统。该系统融合了社交媒体的互动性和网络商城的交易功能,为商家提供了一个集商品展示、在线交易、营销推广、用户管理、数据分析等功能于一体的综合性电商平台。系统充分利用了微信的社交属性和广泛的用户基础,通过微信公众号或小程序等形式,为商家搭建起一个便捷的在线商城。用户无
继续阅读万户 ezOFFICE SignatureEditFrm.jsp SQL注入漏洞
万户 ezOFFICE SignatureEditFrm.jsp SQL注入漏洞 Superhero Nday Poc 2024-11-09 15:28 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读FreeBuf周报 | 谷歌AI大模型首次找到0Day漏洞;诺基亚被黑客攻击泄露大量数据
FreeBuf周报 | 谷歌AI大模型首次找到0Day漏洞;诺基亚被黑客攻击泄露大量数据 Zicheng FreeBuf 2024-11-09 14:53 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 重大突破,谷歌AI大模型首次找到0Day漏洞 谷歌公司日前表示,旗下一款
继续阅读近期暗网0day售卖情报与预警
近期暗网0day售卖情报与预警 独眼情报 2024-11-09 14:23 CloudPane疑似存在0day预授权RCE 查看poc需要资金证明,卖家接受担保交易。 卡西欧发布公告:疑似存在信息泄露事件 香港专业投资者和私人股东的数据疑似存在泄露 泄露日期: 2024年10月 泄露数据字段: Fullname + DOB + Email + Mobile + ID + Phone # + Fu
继续阅读[含POC]宏景人力资源信息管理系统uploadLogo存在任意文件上传漏洞
[含POC]宏景人力资源信息管理系统uploadLogo存在任意文件上传漏洞 原创 漏洞预警机器人 安全光圈 2024-11-09 14:16 [含POC]宏景人力资源信息管理系统uploadLogo存在任意文件上传漏洞 免责声明:本文内容为机器人搜集最新漏洞及POC分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者
继续阅读记一次实战小程序漏洞测试到严重漏洞
记一次实战小程序漏洞测试到严重漏洞 点击关注→_→ 黑客白帽子 2024-11-09 13:35 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ **【公告241027】回复关键字没有回复,如何获取方法**** 记录一次从小程序静态分析+动态调试获取到严重漏洞的过程 前言 本文记录了最近的一次src漏洞挖掘,并成功
继续阅读(0day)API接口调用多用户管理系统存在前台SQL注入漏洞
(0day)API接口调用多用户管理系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2024-11-09 12:24 点击上方 蓝字关注我们 并设为 星标 0x00 前言 █ 纸上得来终觉浅,绝知此事要躬行 █ 2024全新开发API接口调用管理系统网站源码 附教程 用layui框架写的 个人感觉很简洁 方便使用和二次开发 智能调用管理:该系统提供了智能化的API接口调用管理功能,用户可以
继续阅读黑客可利用系统漏洞访问马自达车辆控制系统
黑客可利用系统漏洞访问马自达车辆控制系统 李白你好 2024-11-09 12:03 免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1► 前言 黑客可以利用马自达信息娱乐系统中的严重漏洞,其中包括一个允许通过 USB 执行代
继续阅读利用现代二进制中的盲格式字符串漏洞:来自 2024 年 Pwn2Own 爱尔兰的案例研究
利用现代二进制中的盲格式字符串漏洞:来自 2024 年 Pwn2Own 爱尔兰的案例研究 Baptiste MOINE securitainment 2024-11-09 11:52 Exploiting a Blind Format String Vulnerability in Modern Binaries A Case Study from Pwn2Own Ireland 2024 在 2
继续阅读一款Burpsuite自动化检测越权 未授权漏洞插件(更新至2024.8)|漏洞探测
一款Burpsuite自动化检测越权 未授权漏洞插件(更新至2024.8)|漏洞探测 LemonSec 2024-11-09 09:13 0x01 工具介绍 瞎越 (xia_Yue) 是一款针对 Burp Suite 的插件,主要用于测试权限越权和未授权访问。该插件可以有效比较请求和响应的数据大小,返回状态指示与原始数据一致性。其主要功能包括优化 URL 显示、避免重复发送相同数据包、用户界面友
继续阅读简约风-tomcat漏洞批量弱口令检测、后台部署war包getshell
简约风-tomcat漏洞批量弱口令检测、后台部署war包getshell LemonSec 2024-11-09 09:13 1► 工具介绍 简约风-tomcat漏洞批量弱口令检测、后台部署war包getshell,该脚本用于检查Apache Tomcat管理页面的弱密码,并尝试通过上传自定义WAR包部署Godzilla Webshell。如果成功,将记录成功登录的信息以及获取到的Webshell
继续阅读「漏洞复现」用友U8 Cloud service/approveservlet SQL注入漏洞
「漏洞复现」用友U8 Cloud service/approveservlet SQL注入漏洞 冷漠安全 冷漠安全 2024-11-09 09:04 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读趋势科技披露多款马自达车型的信息娱乐系统漏洞,可能导致黑客攻击
趋势科技披露多款马自达车型的信息娱乐系统漏洞,可能导致黑客攻击 会杀毒的单反狗 军哥网络安全读报 2024-11-09 09:00 导读 趋势科技零日计划 (ZDI) 警告称,多款马自达车型的信息娱乐系统存在漏洞,可能允许攻击者以 root 权限执行任意代码。 ZDI 解释称,这些问题存在的原因是,马自达 Connect 连接主单元 (CMU) 系统没有正确清理用户提供的输入,这可能允许实际存在的
继续阅读马自达信息娱乐系统存在零日漏洞,汽车面临接管攻击
马自达信息娱乐系统存在零日漏洞,汽车面临接管攻击 原创 很近也很远 网络研究观 2024-11-08 23:59 趋势科技零日计划 (ZDI) 的研究人员发现了马自达车载信息娱乐系统 Mazda Connect 中的多个漏洞。 受影响的连接主单元 (CMU) 安装在各种马自达车型上,包括马自达 3(2014 年至 2021 年款),被发现容易受到 SQL 注入、命令注入和代码执行漏洞的攻击,这可能
继续阅读漏洞推送|章管家listUploadIntelligent.htm存在SQL注入漏洞
漏洞推送|章管家listUploadIntelligent.htm存在SQL注入漏洞 小白菜安全 2024-11-08 23:37 漏洞描述 章管家是上海建业信息科技股份有限公司推出的一款针对传统印章风险管理提供的整套解决方案的工具。其系统低版本listUploadIntelligent.htm存在sql注入漏洞,攻击者可通过该漏洞获取数据库敏感信息,请及时联系厂商修复。 资产信息 fofa:ap
继续阅读WordPress Time Clock插件存在远程代码执行漏洞CVE-2024-9593 附POC
WordPress Time Clock插件存在远程代码执行漏洞CVE-2024-9593 附POC 2024-11-8更新 南风漏洞复现文库 2024-11-08 20:36 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. WordP
继续阅读【安全圈】马自达车载信息娱乐系统 (IVI) 中的多个漏洞
【安全圈】马自达车载信息娱乐系统 (IVI) 中的多个漏洞 安全圈 2024-11-08 19:00 关键词 安全漏洞 在多款车型(如 2014-2021 年款马自达 3)上安装的马自达 Connectivity Master Unit (CMU) 系统中发现了多个漏洞。与许多情况一样,这些漏洞是由于在处理攻击者提供的输入时未进行充分的消毒而造成的。实际存在的攻击者可以通过将特制的 USB 设备(
继续阅读高通芯片0Day漏洞事件分析及安全建议
高通芯片0Day漏洞事件分析及安全建议 栗栗 安全419 2024-11-08 18:28 10月,高通公司(Qualcomm)发布安全警告,称其多达64款芯片组中存在严重漏洞,由于首次被发现时已存在被利用的可能,因此归类于“零日漏洞”,被标识为CVE-2024-43047,CVSS评分为7.8。安全419聚焦汽车安全领域,与多家网安厂商和车企对话,透过高通零日漏洞事件,了解业内对车联网安全的见解
继续阅读HPE:Aruba Networking 访问点中存在严重的RCE漏洞
HPE:Aruba Networking 访问点中存在严重的RCE漏洞 Bill Toulas 代码卫士 2024-11-08 18:21 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 HPE (慧与) 公司发布了 Instant AOS-8和AOS-10 软件更新,修复了位于 Aruba Networking Access Point 中的两个严重漏洞CVE-2024-42509和CVE
继续阅读【Pikachu】RCE远程命令执行实战
【Pikachu】RCE远程命令执行实战 原创 儒道易行 儒道易行 2024-11-08 18:00 在这片海洋中,若无法向上攀游,就只有往下沉沦,是要前进或是溺死,就得看自己的选择。既然这么不甘心,就变的更强! 1.RCE(remote commandcode execute)概述 RCE(remote command/code execute)概述 RCE漏洞,可以让攻击者直接向后台服务器远程
继续阅读SDC2024 议题回顾 | 探秘语法树:反编译引擎驱动自动化漏洞挖掘
SDC2024 议题回顾 | 探秘语法树:反编译引擎驱动自动化漏洞挖掘 原创 SDC2024 看雪学苑 2024-11-08 17:59 “ 目前源码分析领域存在很多优秀的静态分析工具,比如 Fortify、Joern、codeql 等,在二进制分析领域这类工具则很少见,本议题将介绍演讲者在二进制程序分析工具上的探索。 ” 一起来回顾下罗思礼在SDC2024 上发表的议题演讲:《探秘语法树:反编译
继续阅读Ollama AI框架被曝严重漏洞,可导致DoS、模型盗窃和中毒
Ollama AI框架被曝严重漏洞,可导致DoS、模型盗窃和中毒 安全内参 2024-11-08 17:54 关注我们 带你读懂网络安全 共发现6个漏洞。 网络安全研究人员近日披露了Ollama人工智能(AI)框架中的六个安全漏洞,这些漏洞可能被恶意行为者利用,执行包括拒绝服务(DoS)、模型污染和模型盗窃在内的多种恶意行为。 “总的来说,这些漏洞允许攻击者通过单个HTTP请求执行一系列恶意行为,
继续阅读Xlight FTP Server整数溢出漏洞(CVE-2024-46483)分析与复现
Xlight FTP Server整数溢出漏洞(CVE-2024-46483)分析与复现 原创 烽火台实验室 Beacon Tower Lab 2024-11-08 14:03 漏洞概述 Xlight FTP Server是Xlight FTP公司的一款高性能且易于使用的FTP服务端软件。Xlight FTP Server支持FTP协议和SSH2协议认证,在使用SSH2进行登录认证时,从客户端算法
继续阅读Microsoft SharePoint RCE 漏洞可被利用来破坏公司网络
Microsoft SharePoint RCE 漏洞可被利用来破坏公司网络 胡金鱼 嘶吼专业版 2024-11-08 14:01 最近披露的 Microsoft SharePoint 远程代码执行 (RCE) 漏洞(编号为 CVE-2024-38094)正被用来获取对企业网络的初始访问权限。 CVE-2024-38094 是一个高严重性(CVSS v3.1 评分:7.2)RCE 漏洞,影响 Mi
继续阅读