【SRC】记一次实战小程序漏洞测试到严重漏洞
【SRC】记一次实战小程序漏洞测试到严重漏洞 禅师 Z2O安全攻防 2024-11-02 21:48 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接
继续阅读标签: 代码
【安全圈】BT 客户端 qBittorrent 修复存在 14 年的远程代码执行漏洞
【安全圈】BT 客户端 qBittorrent 修复存在 14 年的远程代码执行漏洞 安全圈 2024-11-02 19:00 关键词 漏洞 科技媒体 bleepingcomputer 于 10 月 31 日发布博文,报道称知名 BT 下载客户端 qBittorrent 修复了已存在 14 年的中间人劫持 / 远程代码执行漏洞。 该漏洞最早可以追溯到 2010 年 4 月 6 日,官方于 202
继续阅读CVE-2024-37383|Roundcube Webmail存储型XSS漏洞(POC)
CVE-2024-37383|Roundcube Webmail存储型XSS漏洞(POC) alicy 信安百科 2024-11-02 17:48 0x00 前言 Roundcube Webmail是一个开源的基于web的电子邮件客户端,旨在提供用户友好的界面和强大的功能,使用户能够通过web浏览器方便地访问和管理他们的电子邮件。 Roundcube支持标准的邮件协议(如IMAP和SMTP),并提
继续阅读某edu供应商cms存在URL注入(通杀0day)
某edu供应商cms存在URL注入(通杀0day) TtTeam 2024-11-02 16:22 某edu供应商cms存在URL注入(通杀0day),fofa语法资产约有2346条 任意URL注入,嵌入恶意链接可利用钓鱼攻击 POC: POST /xxx HTTP/2 Host: xxx u=url&key=&id=8
继续阅读PTZ摄像头曝严重零日漏洞,黑客利用漏洞发起攻击
PTZ摄像头曝严重零日漏洞,黑客利用漏洞发起攻击 网络安全与人工智能研究中心 2024-11-02 15:17 近日,安全研究机构GreyNoise披露,PTZOptics品牌的PTZ摄像头存在两个严重的零日漏洞,编号为CVE-2024-8956和CVE-2024-8957,黑客正在积极利用这些漏洞发起网络攻击。PTZ摄像头因其集成的平移(Pan)、倾斜(Tilt)和变焦(Zoom)功能,在工业、
继续阅读(1day)某最新版快递微信小程序系统存在前台任意文件删除漏洞
(1day)某最新版快递微信小程序系统存在前台任意文件删除漏洞 原创 Mstir 星悦安全 2024-11-02 12:26 点击上方 蓝字关注我们 并设为 星标 0x00 系统简介 源码站简介:2024最新版快递跑腿微信小程序,支持 查快递,查运费,分享佣金,修改地址,个人中心等功能,现在电商平台退换货量大,快递需求量大,对接物流一个单子4块到6块之间 其中间是例如润 其余的 就不说了吧 互站上
继续阅读【PoC】Spring框架爆出严重漏洞CVE-2024-38821详解
【PoC】Spring框架爆出严重漏洞CVE-2024-38821详解 独眼情报 2024-11-02 11:52 2024年10月25日,Spring官方发布了一个关键安全漏洞CVE-2024-38821。在特定条件下,攻击者可以借此访问受限资源。 这个漏洞specifically涉及Spring WebFlux的静态资源服务功能。要使应用程序受到影响,需要同时满足以下所有条件: 使用WebFl
继续阅读【工具篇】Apache Shiro 反序列化漏洞检测与利用工具
【工具篇】Apache Shiro 反序列化漏洞检测与利用工具 insightglacier 扫地僧的茶饭日常 2024-11-02 10:00 喜欢就关注我吧,订阅更多最新消息 工具介绍 Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。 该脚本通过网络收集到的22个key,利用ysoserial工具中的URLDNS这个Gadget,
继续阅读KingPortal开发系统 kingclient 任意文件读取漏洞复现及POC
KingPortal开发系统 kingclient 任意文件读取漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-11-01 22:35 FOFA title="KingPortal" 漏洞复现 POC GET /kingclient/img?imgPath=..\..\..\..\..\..\..\..\..\..\..\..\windows\
继续阅读【漏洞预警】PyTorch反序列化漏洞CVE-2024-48063
【漏洞预警】PyTorch反序列化漏洞CVE-2024-48063 cexlife 飓风网络安全 2024-11-01 22:03 漏洞描述: PyTorch是一个开源的深度学习框架,广泛用于机器学习和人工智能领域,PyTorch的分布式RPC框架中存在一个反序列化漏洞(CVE-2024-48063),其CVSS评分为9.8,目前该漏洞的利用细节及PoC已公开,PyTorch2.4.1及之前版本的
继续阅读【翻译】0day 代码审计 CyberPanel v2.3.6 RCE
【翻译】0day 代码审计 CyberPanel v2.3.6 RCE DreyAnd 安全视安 2024-11-01 21:29 声明 :该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 本文为翻译文章,需要阅读原文请访问:https://dreyand.rs/code/review/2024/10/27
继续阅读CVE-2024-38063:IPv6远程代码执行漏洞分析
CVE-2024-38063:IPv6远程代码执行漏洞分析 原创 洞源实验室 洞源实验室 2024-11-01 20:01 2024年8月13日,微软在“补丁星期二(Patch Tuesday)”更新中披露了一个严重漏洞CVE-2024-38063,该漏洞是由国内赛博昆仑实验室的Wei发现并上报,影响到Windows系统的TCP/IP协议实现,TCP/IP协议是用于互联网通信的基本通信协议。该漏洞
继续阅读【安全圈】LiteSpeed缓存插件漏洞正对WordPress 网站构成重大风险
【安全圈】LiteSpeed缓存插件漏洞正对WordPress 网站构成重大风险 安全圈 2024-11-01 19:01 关键词 安全漏洞 WordPress 一款流行插件LiteSpeed Cache 的免费版本最近修复了一个高危的权限提升缺陷,该漏洞可能允许未经身份验证的网站访问者获得管理员权限。 LiteSpeed Cache 是一个缓存插件,被超过 600 万个 WordPress 网站
继续阅读【安全圈】热门摄像头曝零日漏洞,黑客借此入侵政府部门
【安全圈】热门摄像头曝零日漏洞,黑客借此入侵政府部门 安全圈 2024-11-01 19:01 关键词 零日漏洞 据GreyNoise公司安全研究人员Konstantin Lazarev披露,PTZOptics PTZ 摄像头存在两个零日漏洞,漏洞编号分别是CVE-2024-8956和CVE-2024-8957,目前已经发现有黑客正在利用这些零日漏洞发起网络攻击。 PTZ摄像机是一种集成了平移(P
继续阅读「漏洞复现」F22服装管理软件系统 openfile.aspx 任意文件读取漏洞
「漏洞复现」F22服装管理软件系统 openfile.aspx 任意文件读取漏洞 冷漠安全 冷漠安全 2024-11-01 18:57 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与
继续阅读【漏洞推送】CVE-2024-23897 文件读取漏洞(poc)
【漏洞推送】CVE-2024-23897 文件读取漏洞(poc) 原创 大竹 b1gpig信息安全 2024-11-01 18:34 Jenkins安全漏洞 CVE-2024-23897 CVE-2024-23897 是一个影响 Jenkins 的严重安全漏洞,主要特征如下: 漏洞概述 该漏 洞 存在于 Jenkins 的命令行界面(CLI)中,属于本地文件包含(LFI)漏洞,影响以下版本: &#
继续阅读RapidCMS 1.3.1代码审计 (超多漏洞点)
RapidCMS 1.3.1代码审计 (超多漏洞点) 原创 LULU 红队蓝军 2024-11-01 18:05 影响版本:RapdiCMS(1.3.1版本) 下载地址:https://github.com/OpenRapid/rapidcms 未授权 登录存在未授权访问 1、使用burp抓包,查找登录接口代码文件 使用post发起请求,通过runlogin.php文件传递了两个参数 查看runl
继续阅读开源客户端qBittorrent 修复已存在14年的RCE漏洞
开源客户端qBittorrent 修复已存在14年的RCE漏洞 THN 代码卫士 2024-11-01 17:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 qBittorrent 修复了该应用中负责管理下载的组件 DownloadManager 中因 SSL/TLS 验证失败引发的远程代码执行漏洞。该漏洞在2010年4月6日中的一个提交中引入,在14年之后的2024年10月8日的最新
继续阅读自动化漏洞检测平台-解放劳动力
自动化漏洞检测平台-解放劳动力 夜安团队SEC 丁永博的成长日记 2024-10-31 23:40 本文章来源微信公众号夜安团队SEC github地址: https://github.com/Soufaker/laoyue 其他下载方式: 通过百度网盘分享的文件:laoyue-main.rar 链接:https://pan.baidu.com/s/1lIg1uLtPy4M1CVwP7jVDSg
继续阅读如何从IIS欢迎页面中快速挖掘漏洞
如何从IIS欢迎页面中快速挖掘漏洞 原创 骨哥说事 骨哥说事 2024-10-31 23:01 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 文章原文:https://gugesay.com/archives/3567 **不想错过任何消息?设置星标↓ ↓ ↓ 信息收集 Google
继续阅读【漏洞预警】DrayTek Vigor2960 Router命令注入漏洞
【漏洞预警】DrayTek Vigor2960 Router命令注入漏洞 cexlife 飓风网络安全 2024-10-31 22:11 漏洞描述:DrayTek Vigor2960路由器版本1.4.4中存在一个需授权的命令注入漏洞漏洞细节及Poc当前已经公开,攻击者可以在cgi-bin/mainfunction.cgi路由中的doPPPoE函数的table参数中放置恶意命令,可能导致设备被完全接
继续阅读【漏洞预警】QNAP SMB Service安全缺陷漏洞可致远程代码执行
【漏洞预警】QNAP SMB Service安全缺陷漏洞可致远程代码执行 cexlife 飓风网络安全 2024-10-31 22:11 漏洞描述: QNAP的SMB服务中的一个关键零日漏洞控制了QNAP TS-464 NAS设备,QNAP在漏洞被发现后迅速做出响应,已发布更新以解决漏洞,由于QNAP 设备漏洞多次在勒索软件攻击中被使用,建议受影响用户及时采取安全防护措施。修复建议:正式防护方案:
继续阅读【漏洞预警】ServiceNow Now Platform未授权代码注入漏洞CVE-2024-8923
【漏洞预警】ServiceNow Now Platform未授权代码注入漏洞CVE-2024-8923 cexlife 飓风网络安全 2024-10-31 22:11 漏洞描述: ServiceNow发布安全公告,修复了2个安全漏洞,其中包括一个代码注入漏洞,此漏洞可能允许未认证的用户在Now Platform 的上下文中执行任意代码,或检索敏感信息,鉴于今年早期有利用ServiceNow Now
继续阅读「漏洞复现」瑞格智慧心理服务平台 NPreenSMSList.asmx SQL注入漏洞
「漏洞复现」瑞格智慧心理服务平台 NPreenSMSList.asmx SQL注入漏洞 冷漠安全 冷漠安全 2024-10-31 20:54 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他
继续阅读Opera 浏览器修复严重漏洞,可泄露用户信息
Opera 浏览器修复严重漏洞,可泄露用户信息 THN 代码卫士 2024-10-31 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Opera web 浏览器修复了一个漏洞,可导致恶意扩展获得对私密API的完全越权访问权限。 Guardio Labs 提到,该攻击名为CrossBarking,可截屏、修改浏览器设备以及账户劫持。为演示该问题,该公司表示已在 Chrome We
继续阅读谷歌修复由苹果报送的严重 Chrome 漏洞
谷歌修复由苹果报送的严重 Chrome 漏洞 Eduard Kovacs 代码卫士 2024-10-31 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,谷歌和 Mozilla 宣布为 Chrome 和 Firefox web 浏览器发布安全更新,其中一些漏洞为严重级别。 谷歌发布 Chrome 130,修复了两个漏洞。其中一个漏洞是CVE-2024-10487,是位于
继续阅读「技术研报」以子之矛陷子之盾 · 用AI对AI漏洞的利用探索
「技术研报」以子之矛陷子之盾 · 用AI对AI漏洞的利用探索 原创 深蓝洞察 DARKNAVY 2024-10-31 18:03 2024 年9月24日,OpenAI的CEO Sam Altman发表文章《The Intelligence Age》,大胆地宣告了AI时代的到来。 给予文章强有力支撑的是ChatGPT-o1的发布,这是一次里程碑式的事件,在深度学习的加成下,大模型如虎添翼,表现强劲。
继续阅读【已复现】Spring Security 静态资源权限绕过漏洞(CVE-2024-38821)安全风险通告
【已复现】Spring Security 静态资源权限绕过漏洞(CVE-2024-38821)安全风险通告 奇安信 CERT 2024-10-31 15:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Spring Security 静态资源权限绕过漏洞 漏洞编号 QVD-2024-43514,CVE-2024-38821 公开时间 2024-10-25 影响量级 万级
继续阅读【漏洞复现】Apache Solr路径身份验证绕过漏洞CVE-2024-45216
【漏洞复现】Apache Solr路径身份验证绕过漏洞CVE-2024-45216 cexlife 飓风网络安全 2024-10-30 22:23 漏洞描述: ApacheSolr是基于ApacheLucene构建的开源搜索平台,PKIAuthenticationPlugin是SolrCloud模式下的身份验证插件,受影响版本中由于PKIAuthenticationPlugin类未正确过滤用户的请
继续阅读【漏洞通告】CyberPanel upgrademysqlstatus接口命令执行漏洞
【漏洞通告】CyberPanel upgrademysqlstatus接口命令执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-30 17:59 漏洞名称: CyberPanel upgrademysqlstatus接口命令执行漏洞 组件名称: CyberPanel 影响范围: CyberPanel 2.3.5CyberPanel 2.3.6 漏洞类型: 命令执行 利用条件: 1
继续阅读