WordPress WP JobSearch 插件 <= 2.5.9 - PHP 对象注入漏洞
WordPress WP JobSearch 插件 <= 2.5.9 – PHP 对象注入漏洞 安迈信科应急响应中心 2024-10-13 23:05 01 漏洞概况Eyecix JobSearch中存在不信任数据的反序列化漏洞,允许对象注入。这个问题影响JobSearch的版本从不适用到2.5.9。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称WordPress WP Job
继续阅读标签: 代码
【漏洞通告】Lightroom 桌面版越界读取
【漏洞通告】Lightroom 桌面版越界读取 安迈信科应急响应中心 2024-10-13 23:05 01 漏洞概况Lightroom Desktop版本7.4.1、13.5、12.5.1以及更早版本存在一个越界读取漏洞,可能导致敏感内存泄露。攻击者可能会利用此漏洞绕过诸如ASLR之类的缓解措施。利用此问题需要进行用户交互,即受害者必须打开恶意文件。02 漏洞处置综合处置优先级:高漏洞信息漏洞名
继续阅读EDUSRC漏洞挖掘思路整理
EDUSRC漏洞挖掘思路整理 十二 秘地安全实验室 2024-10-13 15:01 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同
继续阅读「漏洞复现」锐明技术Mangrove系统 任意用户创建漏洞
「漏洞复现」锐明技术Mangrove系统 任意用户创建漏洞 冷漠安全 冷漠安全 2024-10-12 21:15 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需
继续阅读某赛通-数据泄露防护(DLP)多个接口代码执行漏洞
某赛通-数据泄露防护(DLP)多个接口代码执行漏洞 原创 SXdysq 南街老友 2024-10-12 21:14 漏洞描述 亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全加密软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产,对电子文档进行全生命周期防护,系统具有透明加密、主动加密、智能加密等多种加密方式,用户可根据
继续阅读FreeBuf周报 | Apache Avro SDK曝关键漏洞;Word神奇Bug会直接删除文件
FreeBuf周报 | Apache Avro SDK曝关键漏洞;Word神奇Bug会直接删除文件 Zicheng FreeBuf 2024-10-12 20:41 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 项目地址 1. 入侵物理隔离的系统,这家APT组织怎么做到的? 将机要系统与任
继续阅读致远oa表单导入任意文件写入漏洞分析
致远oa表单导入任意文件写入漏洞分析 原创 莫大130 安全逐梦人 2024-10-12 19:34 环境搭建 1 2 链接:https://pan.baidu.com/s/1d9BgbCkV82WG1TCwXvmMDA?pwd=h7kz 提取码:h7kz (1)安装mysql数据库(针对A8版本)。创建一个新的数据库,字符集设置为UTF-8。如果是A6版本,如 A6v6.1、A6v6.1sp1、
继续阅读BlueCMS 1.6漏洞复现CVE-2024-45894任意删除文件漏洞+SQL注入
BlueCMS 1.6漏洞复现CVE-2024-45894任意删除文件漏洞+SQL注入 原创 TEST安全 TEST安全 2024-10-12 17:42 BlueCMS 1.6漏洞复现 CVE-2024-45894任意删除文件漏洞+SQL注入 BlueCMS 1.6 安装包下载: http://www.xsssql.com/wp-content/uploads/2024/10/bluecms-m
继续阅读Hoverfly 任意文件读取漏洞(CVE-2024-45388)
Hoverfly 任意文件读取漏洞(CVE-2024-45388) 原创 标准云 蚁景网络安全 2024-10-12 17:36 漏洞简介 Hoverfly 是一个为开发人员和测试人员提供的轻量级服务虚拟化/API模拟/API模拟工具。其 /api/v2/simulation 的 POST 处理程序允许用户从用户指定的文件内容中创建新的模拟视图。然而,这一功能可能被攻击者利用来读取 Hoverfl
继续阅读【在野利用】Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险通告
【在野利用】Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险通告 奇安信 CERT 2024-10-12 17:02 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Mozilla Firefox Animation timelines 释放后重用漏洞 漏洞编号 QVD-2024-42093,CVE-2024-9680 公开时间 2024-1
继续阅读漏洞推送|某户协同办公平台GeneralWeb_XXE漏洞
漏洞推送|某户协同办公平台GeneralWeb_XXE漏洞 小白菜安全 2024-10-11 21:08 漏洞描述 万户ezOFFICE协同管理平台是一个综合信息基础应用平台。 万户协同办公平台ezoffice GeneralWeb存在xxe漏洞。 资产信息 hunter:app.name=”万户 Ezoffice OA” 漏洞复现 dnslog POC POST /def
继续阅读同望OA tooneAssistantAttachement.jsp 任意文件读取漏洞
同望OA tooneAssistantAttachement.jsp 任意文件读取漏洞 Superhero Nday Poc 2024-10-11 20:04 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时
继续阅读Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业
Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业 小薯条 FreeBuf 2024-10-11 19:47 勒索软件团伙现在利用一个关键的安全漏洞,让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现,该安全漏洞(现在被追踪为CVE-202
继续阅读研究人员在Windows版的SVN中发现代码执行漏洞
研究人员在Windows版的SVN中发现代码执行漏洞 流苏 FreeBuf 2024-10-11 19:47 Apache Subversion(SVN)是一款广受开发者欢迎的版本控制系统,用于维护源代码、网页和文档。最近,Apache Subversion中发现了一个关键的安全漏洞,CVE-2024-45720(CVSS评分8.2)。该漏洞主要影响Windows平台,可能导致命令行参数注入,从而
继续阅读【安全圈】Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业
【安全圈】Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业 安全圈 2024-10-11 19:01 关键词 勒索软件 勒索软件团伙现在利用一个关键的安全漏洞,让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现,该安全漏洞(现在被追踪为C
继续阅读Ruby-SAML Bypass && GitLab SAML Bypass(CVE-2024-45409)
Ruby-SAML Bypass && GitLab SAML Bypass(CVE-2024-45409) 原创 L0ne1y 安全之道 2024-10-11 18:26 注:由于本地源码启动死活有问题故后续分析全为静态分析,故可能存在部分错误之处。 漏洞复现 漏洞分析 漏洞流程 在Gitlab中引入了omniauth这个三方库实现SAML认证功能(关于该库详细信息: https
继续阅读GitLab:注意严重的任意分支管道执行漏洞
GitLab:注意严重的任意分支管道执行漏洞 Bill Toulas 代码卫士 2024-10-11 17:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab 发布安全更新,修复了位于社区版 (CE) 和企业版 (EE) 中的多个漏洞,其中一个是严重的任意分支管道执行漏洞 (CVE-2024-9164)。 该漏洞可导致未授权用户在仓库的任何分支上触发持续集成/持续交付 (CI
继续阅读【漏洞通告】GitLab EE 权限绕过漏洞(CVE-2024-9164)
【漏洞通告】GitLab EE 权限绕过漏洞(CVE-2024-9164) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-11 17:24 漏洞名称: GitLab EE 权限绕过漏洞(CVE-2024-9164) 组件名称: GitLab 影响范围: 12.5 ≤ GitLab EE < 17.2.917.3 ≤ GitLab EE < 17.3.517.4 ≤ GitL
继续阅读【漏洞通告】Mozilla Firefox Animation timelines远程代码执行漏洞(CVE-2024-9680)
【漏洞通告】Mozilla Firefox Animation timelines远程代码执行漏洞(CVE-2024-9680) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-11 17:24 漏洞名称: Mozilla Firefox Animation timelines 远程代码执行漏洞(CVE-2024-9680) 组件名称: Mozilla-firefox 影响范围: Fir
继续阅读.NET 一款事件查看器反序列化漏洞绕过UAC的工具
.NET 一款事件查看器反序列化漏洞绕过UAC的工具 原创 专攻.NET安全的 dotNet安全矩阵 2024-10-11 08:20 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用
继续阅读【工具】Poc扫描图形化工具-脚本小子必备神器
【工具】Poc扫描图形化工具-脚本小子必备神器 原创 lemonlove7 鹏组安全 2024-10-10 23:58 由于微信公众号 推送机制改变了,快来 星标不再迷路,谢谢大家! 在攻防演练中,红队通常需要快速打点,尽快发现系统中的漏洞,并利用它们获取权 限。 工具支持检测多款重点系统(如:用友、海康威视、大华、宏景…)多种常见漏洞.工具提供直观友好的图像化界面,用户能够轻松
继续阅读【漏洞预警】Laravel Livewire 文件上传限制不当漏洞可致远程代码执行
【漏洞预警】Laravel Livewire 文件上传限制不当漏洞可致远程代码执行 cexlife 飓风网络安全 2024-10-10 22:45 漏洞描述:Laravel Livewire发布新版本,修复了一处文件上传限制不当漏洞,可致远程代码执行,该漏洞是由于Laravel Livewire文传文件时根据MIME 类型猜测文件扩展名,而不验证文件名中的实际文件扩展名,攻击者可上传具有有效M
继续阅读CVE-2024-46627
CVE-2024-46627 原创 fgz AI与网安 2024-10-10 21:08 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 DATAGERRY REST API 身份验证绕过漏洞 02 — 漏洞影响 DATAGERRY 2.2版本 0
继续阅读微信公众号小说漫画系统 fileupload.php 任意文件上传漏洞复现
微信公众号小说漫画系统 fileupload.php 任意文件上传漏洞复现 原创 fgz AI与网安 2024-10-10 21:08 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 微信公众号小说漫画系统 fileupload.php 任意文件上
继续阅读【漏洞通告】Linux 版 Visual Studio Code 远程代码执行漏洞
【漏洞通告】Linux 版 Visual Studio Code 远程代码执行漏洞 安迈信科应急响应中心 2024-10-10 20:05 01 漏洞概况Visual Studio Code(VS Code)的远程开发功能中被发现存在一个代码执行漏洞。这个漏洞是由于远程开发功能处理远程机器上的文件时未能正确地进行安全限制,允许攻击者在远程服务器上执行恶意代码。 02 漏洞处置综合处置优先级:高漏
继续阅读【漏洞通告】Windows 路由和远程访问服务 (RRAS) 远程代码执行漏洞
【漏洞通告】Windows 路由和远程访问服务 (RRAS) 远程代码执行漏洞 安迈信科应急响应中心 2024-10-10 20:05 01 漏洞概况微软披露最新的远程代码执行超高危漏洞CVE-2024-38077, CVSS评分高达9.8 ,可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。漏洞影响Windows Server 2000到Windows Server 2025所有版本,
继续阅读Mozilla 修复已遭利用的 Firefox 0day漏洞
Mozilla 修复已遭利用的 Firefox 0day漏洞 Bill Toulas 代码卫士 2024-10-10 18:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 发布紧急安全更新,修复了 Firefox 浏览器中的一个严重的释放后使用漏洞 (CVE-2024-9680),目前该漏洞已遭利用。 该漏洞由 ESET 公司的研究员 Damien Schaeffer发
继续阅读微软2024年10月补丁日重点漏洞安全预警
微软2024年10月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-10-10 16:02 补丁概述 2024 年 10 月 8 日,微软官方发布了 10 月安全更新,针对 117 个 Microsoft CVE 和 4 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 3 个严重漏洞(Critical)、113 个重要漏洞(
继续阅读【漏洞预警】Google Chrome类型混淆漏洞CVE-2024-9602
【漏洞预警】Google Chrome类型混淆漏洞CVE-2024-9602 cexlife 飓风网络安全 2024-10-09 20:16 漏洞描述: Google Chrome发布新版本,新版本修复了多个安全漏洞,其中包括一个Javascript中的类型混淆漏洞,允许远程攻击者通过特制的HTML页面潜在地利用堆损坏,此类漏洞通常会在成功破坏堆内存后,导致浏览器崩溃或执行任意代码。修复建议:正式
继续阅读【漏洞预警】Ivanti CSA 需授权 命令注入漏洞
【漏洞预警】Ivanti CSA 需授权 命令注入漏洞 cexlife 飓风网络安全 2024-10-09 20:16 漏洞描述:Ivanti发布安全公告,修复了3个安全漏洞,其中包括一个影响Ivanti CSA 5.0.2之前版本的命令注入漏洞,该漏洞是由于Ivanti CSA的管理Web 控制台中对用户数据过滤不当,远程经过身份验证的攻击者如果具有管理员权限则可以利用该漏洞执行远程代码,该漏洞
继续阅读