研究员在开源AI和ML模型中发现30多个漏洞
研究员在开源AI和ML模型中发现30多个漏洞 THN 代码卫士 2024-10-30 17:47 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 多个开源人工智能 (AI) 和机器学习 (ML) 模型中存在30多个漏洞,其中一些可导致远程代码执行和信息盗取后果。 这些漏洞位于多款工具中如 ChuanhuChatGPT、Lunary和LocalAI 中,通过 Protect AI 的 Hunt
继续阅读标签: 代码
这个已存在18年的提权漏洞影响 X.Org 服务器
这个已存在18年的提权漏洞影响 X.Org 服务器 Michael Larabel 代码卫士 2024-10-30 17:47 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 X.Org 服务器中存在一个提权漏洞CVE-2024-9632,它已存在18年之久。 该漏洞在2006年发布的 X.Org Server 1.1.1版本中引入,影响 X.Org Server 和 XWayland。向
继续阅读苹果悬赏百万美元查找“苹果智能”安全漏洞
苹果悬赏百万美元查找“苹果智能”安全漏洞 安全内参 2024-10-30 17:38 关注我们 带你读懂网络安全 苹果公司近日发布了备受期待的AI服务“苹果智能”(Apple Intelligence),适用于iPhone、iPad和Mac设备。该服务将随iOS 18.1、iPadOS 18.1和macOS Sequoia 15.1系统一同上线,结合设备端和云端处理的先进技术,以支持复杂的AI任务
继续阅读这谁防得住?Wi-Fi 联盟官方测试套件中存在命令注入漏洞
这谁防得住?Wi-Fi 联盟官方测试套件中存在命令注入漏洞 数世咨询 2024-10-30 16:00 计算机应急响应小组 (CERT) 协调中心 (CERT/CC) 研究人员发现Wi-Fi联盟测试套件中存在命令注入漏洞,该漏洞的编号为CVE-2024-41992,Wi-Fi 联盟的易受攻击代码已发现部署在 Arcadyan(智易科技) FMIMG 51AX000J 路由器上。 01 WiFi测试
继续阅读谷歌:2023年披露的被利用漏洞中有70%是零日漏洞
谷歌:2023年披露的被利用漏洞中有70%是零日漏洞 胡金鱼 嘶吼专业版 2024-10-30 15:45 Google Mandiant 安全分析师表示,在 2023 年披露的 138 个被积极利用的漏洞中,有 97 个(70.3%)被用作零日漏洞。 这意味着威胁者在受影响的供应商知道错误存在或能够修补它们之前,就已经利用了攻击中的缺陷。 从 2020 年到 2022 年,已修复漏洞与无可用修复
继续阅读【复现】 Apache Solr身份认证绕过漏洞(CVE-2024-45216)风险通告
【复现】 Apache Solr身份认证绕过漏洞(CVE-2024-45216)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-10-30 11:50 赛博昆仑漏洞安全通告- Apache Solr身份认证绕过漏洞(CVE-2024-45216)风险通告 漏洞描述 Apache Solr 是一个开源的全文搜索引擎平台,基于 Lucene(一个高效的开源搜索库)。它提供了分布式搜索和索
继续阅读可任意文件读取,警惕Solr身份绕过形成的漏洞利用链
可任意文件读取,警惕Solr身份绕过形成的漏洞利用链 原创 微步情报局 微步在线研究响应中心 2024-10-30 11:40 漏洞概况 Apache Solr是一个基于Apache Lucene的开源企业搜索平台。它提供快速可靠的搜索,分布式索引,复制和负载平衡查询,自动故障转移和恢复,集中化配置以及其他功能。 微步情报局于近日获取到Apache Solr 身份认证绕过漏洞情报(https://
继续阅读BinaryAI更新布告|漏洞存在性分析功能上线
BinaryAI更新布告|漏洞存在性分析功能上线 原创 腾讯科恩实验室 腾讯科恩实验室 2024-10-30 10:03 BinaryAI(https://www.binaryai.cn)**** 腾讯安全科恩实验室二进制安全智能分析平台—BinaryAI,可精准高效识别二进制文件的第三方组件及其版本号,旨在推动SCA(软件成分分析)技术在DevSecOps、威胁情报、安全研究等应用场景发展。 漏
继续阅读开源安全检测的漏洞,从哪些维度考虑整改标准?两种场景下(供应链软件入库,应用投产上线)针对检测的漏洞需要强制修复吗|总第270周
开源安全检测的漏洞,从哪些维度考虑整改标准?两种场景下(供应链软件入库,应用投产上线)针对检测的漏洞需要强制修复吗|总第270周 原创 群秘 君哥的体历 2024-10-30 06:50 0x1本周话题 话题一:请教个问题,大家如何发现员工拍照泄露的?排除水印,因为只能拿到图片后才能溯源,用处很小。 A1: 摄像头 + 行为分析?或者手机和电脑的终端 DLP 软件和网络层的 DLP ;摄像头物理视
继续阅读【漏洞预警】CyberPanel upgrademysqlstatus未授权命令注入漏洞
【漏洞预警】CyberPanel upgrademysqlstatus未授权命令注入漏洞 cexlife 飓风网络安全 2024-10-29 23:12 漏洞描述: 开源控制面板CyberPanel存在一个未授权命令注入漏洞,未经授权的攻击者可以通过该漏洞在服务器上执行任意命令,获取服务器权限。修复建议:正式防护方案:相关厂商已经提交了修复代码,但还未正式发布,用户可以考虑参考官方修复方案进行手动
继续阅读本工具为jeecg框架漏洞利用工具非jeecg-boot!
本工具为jeecg框架漏洞利用工具非jeecg-boot! 点击关注→_→ 黑客白帽子 2024-10-29 22:52 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ **【公告241027】回复关键字没有回复,如何获取方法**** 介绍 本工具为jeecg框架漏洞利用工具非jeecg-boot! 包含poc:
继续阅读【成功复现】Palo Alto Networks Expedition 远程命令执行漏洞(CVE-2024-9463)
【成功复现】Palo Alto Networks Expedition 远程命令执行漏洞(CVE-2024-9463) 原创 弥天安全实验室 弥天安全实验室 2024-10-29 18:59 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Palo Alto Networks Expedition是美国Pa
继续阅读【已复现】Apache Solr 身份认证绕过漏洞(CVE-2024-45216)安全风险通告第二次更新
【已复现】Apache Solr 身份认证绕过漏洞(CVE-2024-45216)安全风险通告第二次更新 奇安信 CERT 2024-10-29 18:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Solr 身份认证绕过漏洞 漏洞编号 QVD-2024-42670,CVE-2024-45216 公开时间 2024-10-16 影响量级 万级 奇安信评级 高
继续阅读Mozilla:十六进制代码可用于操纵 ChatGPT 写 exp
Mozilla:十六进制代码可用于操纵 ChatGPT 写 exp Nate Nelson 代码卫士 2024-10-29 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 一种新型提示符注入技术可导致任何人绕过 OpenAI 最高阶的语言学习模型中的安全防御措施。 今年5月13日发布的 GPT-4o 要比之前的模型更快、更高效、功能更丰富。它能够以数十种语言处理多种不同形式的输入
继续阅读研究者揭露微软 Windows 内核的操作系统降级漏洞
研究者揭露微软 Windows 内核的操作系统降级漏洞 看雪学苑 看雪学苑 2024-10-29 17:58 近期,SafeBreach Labs的研究人员揭露了一种名为“Windows Downdate”的新型攻击技术,该技术能够操纵Windows 11系统在更新时降级关键系统组件,使部分漏洞修复补丁失效。这一攻击原理最初于2024年8月在Black Hat USA 2024上披露,现在更多细
继续阅读雷神众测漏洞周报2024.10.21-2024.10.27
雷神众测漏洞周报2024.10.21-2024.10.27 原创 雷神众测 雷神众测 2024-10-29 15:48 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【知道创宇404实验室】警惕CVE-2024-38812 VMware vCenter Server远程代码执行漏洞
【知道创宇404实验室】警惕CVE-2024-38812 VMware vCenter Server远程代码执行漏洞 404实验室 知道创宇404实验室 2024-10-29 13:53 2024年10月,VMware修复了一个严重的远程代码执行漏洞CVE-2024-38812 [1],该漏洞存在于vCenter Server的DCE/RPC协议实现中。此漏洞源自堆溢出问题,攻击者可通过发送特制的
继续阅读利用Windows漏洞,攻击者能降级系统组件恢复漏洞
利用Windows漏洞,攻击者能降级系统组件恢复漏洞 Zicheng FreeBuf 2024-10-28 21:02 据Hackread消息,在最近的一项研究中,SafeBreach Labs 研究员揭露了一种新的攻击技术,能够操纵Windows 11系统在更新时降级关键系统组件,从而让一些漏洞修复补丁失效。 该攻击原理最初于 2024 年 8 月在Black Hat USA 2024上披露,而
继续阅读针对 Microsoft Windows 内核的操作系统降级漏洞
针对 Microsoft Windows 内核的操作系统降级漏洞 信息安全大事件 2024-10-28 19:45 一种新的攻击技术可用于绕过 Microsoft 在完全修补的 Windows 系统上的驱动程序签名强制 ( DSE ),从而导致操作系统 ( OS ) 降级攻击。 “这种绕过允许加载未签名的内核驱动程序,使攻击者能够部署自定义 Rootkit ,这些 Rootkit 可以中和安全控制
继续阅读【安全圈】利用Windows漏洞,攻击者能降级系统组件恢复漏洞
【安全圈】利用Windows漏洞,攻击者能降级系统组件恢复漏洞 安全圈 2024-10-28 19:01 关键词 安全漏洞 据Hackread消息,在最近的一项研究中,SafeBreach Labs 研究员揭露了一种新的攻击技术,能够操纵Windows 11系统在更新时降级关键系统组件,从而让一些漏洞修复补丁失效。 该攻击原理最初于 2024 年 8 月在Black Hat USA 2024上披露
继续阅读【已复现】CyberPanel 远程命令执行漏洞(QVD-2024-44346)安全风险通告
【已复现】CyberPanel 远程命令执行漏洞(QVD-2024-44346)安全风险通告 奇安信 CERT 2024-10-28 17:06 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 CyberPanel upgrademysqlstatus 远程命令执行漏洞 漏洞编号 QVD-2024-44346 公开时间 2024-10-27 影响量级 万级 奇安信评级 高危
继续阅读一键检测 PbootCMS 历史漏洞
一键检测 PbootCMS 历史漏洞 原创 xazlsec 信安之路 2024-10-28 14:06 PbootCMS 是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的 PHP CMS 源码,能够满足各类企业网站开发建设的需要。 目前 GiiHub 更新至 3.2.10 版,官网下载版为 3.2.5,官方地址: https://www.pbootc
继续阅读ChatGPT中的高级API攻击以及AI供应链漏洞
ChatGPT中的高级API攻击以及AI供应链漏洞 渊龙Sec安全团队 2024-10-27 23:13 01 简要说明 人工智能和人工智能的安全性正在以惊人的速度发展,AI模型 供应链中使用的工具,用于构建机器学习模型,会使 AI 应用程序容易受到独特的安全威胁。 这些工具是开源的,这意味着它们开箱即用时可能存在漏洞,这些漏洞可直接导致完整的系统接管,例如未经身份验证的远程代码执行或本地文件包含
继续阅读【安全圈】Fortinet安全产品出现高危零日漏洞,已被恶意组织积极利用
【安全圈】Fortinet安全产品出现高危零日漏洞,已被恶意组织积极利用 安全圈 2024-10-27 19:01 关键词 安全漏洞 网络安全公司 Fortinet 日前披露了自家软件产品 FortiManager 存在的一个关键零日漏洞,能够允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。目前该漏洞已在野外被积极利用。 根据 Fortinet 10月23日发布的报告,该漏洞被追踪为
继续阅读CVE-2024-47575|Fortinet FortiManager身份验证不当漏洞
CVE-2024-47575|Fortinet FortiManager身份验证不当漏洞 alicy 信安百科 2024-10-26 20:00 0x00 前言 Fortinet是唯一一家提供集中统一管理的供应商,可在复杂的混合环境中设置一致的安全性。集中统一的管理涵盖在本地和云中部署FortiGate下一代防火墙,以及安全SD-WAN、安全WLAN/LAN、Universal ZTNA和Fort
继续阅读“协作共御、洞见未来” | 首届华为漏洞管理与应急响应技术大会于深圳成功举办
“协作共御、洞见未来” | 首届华为漏洞管理与应急响应技术大会于深圳成功举办 看雪学苑 2024-10-26 17:59 2024年10月19日,首届“华为漏洞管理与应急响应技术大会”于深圳如期举行。大会 由华为漏洞 管理中心主办,汇聚行业组织、知名高校、合作伙伴、安全厂商等领域代表与技术专家,共同探讨漏洞端到端治理与管理、行业实践、技术创新及未来趋势。 随着大数据、工业互联网、云计算以及人工智能
继续阅读InfluxDB JWT未授权漏洞
InfluxDB JWT未授权漏洞 BMCel 巢安实验室 2024-10-26 16:30 0x00 漏洞简介 InfluxDB是一款时序数据库,其使用JWT作为鉴权方式。在其1.7.6版本以前,默认设置JWT的认证密钥shared-secret为空字符串,导致攻击者可以伪造任意用户身份在InfluxDB中执行SQL语句。 漏洞原理是1.7.6之前的InfluxDB在services/httpd
继续阅读易宝OA GetProductInv SQL注入漏洞
易宝OA GetProductInv SQL注入漏洞 Superhero Nday Poc 2024-10-26 15:16 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉。谢
继续阅读对抗零日漏洞的十年(2014~2024)
对抗零日漏洞的十年(2014~2024) 原创 天御 天御攻防实验室 2024-10-26 14:54 一、引言 传统上,零日漏洞是指攻击者已知但防御者尚未发现或修复的软件漏洞。 Project Zero认为,零日攻击不仅是一个技术问题,还涉及国家支持的攻击者、特定的高价值目标、庞大的漏洞交易市场,以及复杂的防御难题。传统定义不足以全面揭示攻击者、受害者、漏洞、防御者和软件厂商等多方的关系,而实际
继续阅读入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第八期
入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第八期 原创 安钥 方桥安全漏洞防治中心 2024-10-26 14:00 2024年10月16日发布的 第八期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示 活动现已结束。经过初评和复审,本次共有 2 篇 SOP 入选。 入选SOP作品 结构清晰、内容翔实、实用性强,有较高的借鉴意义,体现了作者在漏洞处置实践工作中的专业积累。 本
继续阅读