微软 2024 年 10 月补丁星期二:已修补零日漏洞和严重漏洞
微软 2024 年 10 月补丁星期二:已修补零日漏洞和严重漏洞 原创 星空浪子 星空网络安全 2024-10-09 19:48 微软于 2024 年 10 月的补丁星期二发布了一组重要的安全更新,解决了其生态系统中总共 121 个漏洞。其中包括三个严重漏洞和 114 个标记为重要的漏洞,涵盖了微软的广泛服务和软件。 零日漏洞受到攻击 本月的补丁修复了两个已被广泛利用的零日漏洞。其中最令人担忧的是
继续阅读标签: 代码
Microsoft 10 月 CVE 漏洞预警
Microsoft 10 月 CVE 漏洞预警 网新安服 2024-10-09 18:31 点击上方蓝字关注我们,获取最新消息 1 基本情况 10 月份,Microsoft 发布了 117 个漏洞补丁,解决了 Microsoft Windows 和 Windows 组件、Office 和 Office 组件、 Azure、.NET 框架 和 Visual Studio、适用于 Windows 的
继续阅读2024-10微软漏洞通告
2024-10微软漏洞通告 火绒安全 火绒安全 2024-10-09 18:27 微软官方发布了2024年10月的安全更新。本月更新公布了165个漏洞,包含43个远程执行代码漏洞、28个特权提升漏洞、26个拒绝服务漏洞、7个身份假冒漏洞、7个安全功能绕过漏洞、6个信息泄露漏洞、1个篡改漏洞,其中3个漏洞级别为“Critical”(高危),114个为“Important”(严重)。建议用户及时使用火
继续阅读最新Ruoyi漏洞复现
最新Ruoyi漏洞复现 原创 LULU 红队蓝军 2024-10-09 18:00 漏洞影响:若依4.7.8版本 漏洞成因 在 ruoyi 4.7.5 版本之前,后台接口/tool/gen/createTable处存在 sql 注入(CVE-2022-4566) 找到genTableService的实现类:GenTableServiceImpl,该类同样满足黑白名单条件 对应的 Mapper 语句
继续阅读微软10月 Win10 / Win11 更新修复118个漏洞:5个零日,3个“关键”
微软10月 Win10 / Win11 更新修复118个漏洞:5个零日,3个“关键” 看雪学苑 看雪学苑 2024-10-09 17:59 在10月的补丁星期二活动日中,微软公司发布了针对 Windows 10、Windows 11系统的安全更新,此次更新共修复了118个安全漏洞,其中包括5个零日漏洞,3 个“关键”(critical)级别的高危漏洞。 据悉,有证据表明黑客已经利用其中的2个零日漏
继续阅读【漏洞通告】Redis 缓冲区溢出漏洞(CVE-2024-31449)
【漏洞通告】Redis 缓冲区溢出漏洞(CVE-2024-31449) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-09 17:37 漏洞名称: Redis 缓冲区溢出漏洞(CVE-2024-31449) 组件名称: Redis 影响范围: 2.6 ≤ Redis < 6.2.167.0.0 ≤ Redis < 7.2.67.4.0 ≤ Redis < 7.4.1
继续阅读Ivanti 中的3个0day已遭活跃利用
Ivanti 中的3个0day已遭活跃利用 Sergiu Gatlan 代码卫士 2024-10-09 17:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司提醒称影响其云服务设备 (CSA) 的三个新漏洞已遭在野活跃利用。 这些0day漏洞与CSA中上个月修复的另外一个漏洞组合利用。这些漏洞遭成功利用可导致具有管理员权限的认证攻击者绕过限制、运行任意SQL语句或获得
继续阅读微软十月补丁星期二值得关注的漏洞
微软十月补丁星期二值得关注的漏洞 Lawrence Abrams 代码卫士 2024-10-09 17:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本月,微软共修复117个漏洞,其中5个是0day漏洞。其中包括28个提权漏洞、7个安全特性绕过漏洞、43个远程代码执行漏洞、6个信息泄露漏洞、26个拒绝服务漏洞和7个欺骗漏洞。 本次微软共修复5个0day漏洞,其中2个已遭活跃利用,而所
继续阅读涉及121个漏洞!微软发布10月补丁日安全通告
涉及121个漏洞!微软发布10月补丁日安全通告 你信任的 亚信安全 2024-10-09 17:20 近日,亚信安全CERT监测到微软10月补丁日发布了针对121个漏洞的修复补丁。其中,3个漏洞被评为紧急,3个漏洞被评为高危,113个漏洞被评为重要,2个漏洞被评为中等,其中共包括28个特权提升漏洞,46个远程代码执行漏洞,26个拒绝服务漏洞,6个信息泄漏漏洞,7个欺骗漏洞,1个恶意篡改漏洞,7个安
继续阅读漏洞推送|用友U8CRM_fillbacksettingedit_存在SQL注入漏洞
漏洞推送|用友U8CRM_fillbacksettingedit_存在SQL注入漏洞 小白菜安全 2024-10-09 16:59 漏洞描述 用友U8-CRM是企业利用信息技术,是一项商业策略,它通过依据市场细分组织企业资源、培养以客户为中心的经营行为、执行以客户为中心的业务流程等手段来优化企业的客户满意度和获利能力。用友U8-CRM fillbacksettingedit 存在SQL注入漏洞。
继续阅读信息安全漏洞周报(2024年第40期 )
信息安全漏洞周报(2024年第40期 ) CNNVD CNNVD安全动态 2024-10-09 15:51 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年9月23日至2024年9月29日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞556个。 接报漏洞情况 本周CNNVD接报漏洞20204个,其中信息技术产品漏洞(通用型漏洞)239
继续阅读雷神众测漏洞周报2024.09.30-2024.10.07
雷神众测漏洞周报2024.09.30-2024.10.07 原创 雷神众测 雷神众测 2024-10-09 15:05 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读威胁行为者利用GeoServer漏洞CVE-2024-36401
威胁行为者利用GeoServer漏洞CVE-2024-36401 船山信安 2024-10-09 15:00 受影响的平台: GeoServer 2.23.6、2.24.4和2.25.2之前的版本 受影响的用户: 任何组织 影响: 远程攻击者可以控制易受攻击的系统 严重性等级: 严重 GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。它是开放地理空间联盟(OG
继续阅读「0day」通过 iTunes 入侵 Windows – 本地权限提升
「0day」通过 iTunes 入侵 Windows – 本地权限提升 原创 7coinSec 7coinSec 2024-10-08 23:54 免责声明 本文章仅用于信息安全防御技术分享, 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关 ,请严格遵循法律法规。
继续阅读【漏洞预警】Redis缓冲区溢出漏洞可致远程代码执行
【漏洞预警】Redis缓冲区溢出漏洞可致远程代码执行 cexlife 飓风网络安全 2024-10-08 22:41 漏洞描述: Redis发布安全公告,修复了多个安全漏洞,其中包括一个缓冲区溢出漏洞,可致远程代码执行,经过身份验证的用户可能通过精心制作的Lua脚本在位库中触发堆栈缓冲区溢出,该问题存在于具有Lua脚本功能的Redis中,已在Redis版本6.2.16、7.2.6和7.4.1中修复
继续阅读金和OA C6 SignUpload.ashx SQL注入漏洞
金和OA C6 SignUpload.ashx SQL注入漏洞 Superhero Nday Poc 2024-10-08 21:38 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章
继续阅读Apache Avro SDK 中存在严重漏洞,可导致在 Java 应用中实现RCE
Apache Avro SDK 中存在严重漏洞,可导致在 Java 应用中实现RCE THN 代码卫士 2024-10-08 17:31 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache Avro Java SDK 中存在一个严重漏洞 (CVE-2024-47561),如被成功利用可导致攻击者在可疑实例上执行任意代码。 该漏洞影响 Apahe Avro Java SDK所有1.1
继续阅读高通修复已遭利用的高危0day漏洞
高通修复已遭利用的高危0day漏洞 Sergiu Gatlan 代码卫士 2024-10-08 17:31 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 高通修复了位于 Digital Signal Processor (DSP) 服务中的一个高危 0day 漏洞 (CVE-2024-43047),它影响数十个芯片集。 该漏洞由谷歌 Project Zero 团队的研究员 Seth Jen
继续阅读安全热点周报:研究人员警告称,利用 Zimbra Collaboration 关键漏洞发起的攻击正在持续发生
安全热点周报:研究人员警告称,利用 Zimbra Collaboration 关键漏洞发起的攻击正在持续发生 奇安信 CERT 2024-10-08 17:10 安全资讯导视 • 《网络数据安全管理条例》公布 • 南昌市某企业IP疑被黑客远控并滥用,当地网信办罚款5万元 • 以色列黑入贝鲁特机场塔台,阻止伊朗飞机降落 PART01 新增在野利用 1.Zimbra Collaboration Jo
继续阅读上周关注度较高的产品安全漏洞(20240923-20240929)
上周关注度较高的产品安全漏洞(20240923-20240929) 国家互联网应急中心CNCERT 2024-10-08 15:02 一、境外厂商产品漏洞 1、Microsoft SQL Server远程代码执行漏洞(CNVD-2024-38793) Microsoft SQL Server是美国微软(Microsoft)公司的一套应用在Microsoft Windows系统下的大型商业数据库系统
继续阅读WPS Office从路径穿越到远程代码执行漏洞(CVE-2024-7262)分析与复现
WPS Office从路径穿越到远程代码执行漏洞(CVE-2024-7262)分析与复现 原创 烽火台实验室 Beacon Tower Lab 2024-10-08 10:55 漏洞概述 WPS Office程序promecefpluginhost.exe存在不当路径验证问题,允许攻击者在Windows上加载任意Windows库文件。该漏洞已被APT-C-60攻击者利用,当用户打开MHTML格式的
继续阅读SDC2024议题聚焦 | 探秘语法树:反编译引擎驱动自动化漏洞挖掘
SDC2024议题聚焦 | 探秘语法树:反编译引擎驱动自动化漏洞挖掘 SDC 2024 看雪学苑 2024-10-07 17:59 · SDC2024 议题预告 · 01 探秘语法树: 反编译引擎驱动自动化漏洞挖掘 目前源码分析领域存在很多优秀的静态分析工具,比如 Fortify、Joern、codeql 等,在二进制分析领域这类工具则很少见,本议题将介绍演讲者在二进制程序分析工具上的探索。 演讲
继续阅读带你体验一款主流且开源的Web漏洞扫描工具
带你体验一款主流且开源的Web漏洞扫描工具 原创 筑梦网安 全栈安全 2024-10-07 16:22 OWASP ZAP是世界上最受欢迎的Web应用漏洞扫描工具,不仅免费而且还开源。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。接下来从四个方面进行详细介绍。 1. ZAP简介 由Ch
继续阅读漏洞挖掘 | 某平台存储型XSS
漏洞挖掘 | 某平台存储型XSS 原创 zkaq-嘉名 掌控安全EDU 2024-10-07 14:01 扫码领资料 获网安教程 本文由掌控安全学院 – 嘉名 投稿 一、信息收集 从来就没有弱口令成功登陆过网站,就想着找找看有没有暴露初始密码的学校网站谷歌语法搜索site:*.edu.cn intext:默认密码找到一个暴露默认密码的学校网站 进入该学校的教材征订系统,需要用学号登录
继续阅读「漏洞复现」魅思-视频管理系统 getOrderStatus SQL注入漏洞
「漏洞复现」魅思-视频管理系统 getOrderStatus SQL注入漏洞 冷漠安全 冷漠安全 2024-10-07 11:56 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台
继续阅读微信公众号小说漫画系统存在前台任意文件上传漏洞(RCE)
微信公众号小说漫画系统存在前台任意文件上传漏洞(RCE) 原创 Mstir 星悦安全 2024-10-07 11:43 点击上方 蓝字关注我们 并设为 星标 0x00 前言 **源码描述:修复版掌上阅读小说源码_公众号漫画源码可以打包漫画app,掌上阅读小说源码支持公众号、代理分站支付功能完善强大的小说源码,可以对接微信公众号、APP打包。支持对接个人微信收款。 1新增签到、平台分享奖励书币、小说
继续阅读寻找 TeamViewer 0day 漏洞(二):逆向身份验证协议
寻找 TeamViewer 0day 漏洞(二):逆向身份验证协议 原创 一个不正经的黑客 一个不正经的黑客 2024-10-06 18:55 如果没有看过第一部分的读者,可以先从第一部分看起:寻找TeamViewer 0day漏洞—第一部分:故事的开始 本文开始 我开始逆向TeamViewer客户端,以了解认证过程是如何进行的。 不过,我将跳过这部分内容,因为最终我是通过逆向服务端来弄清楚认证方
继续阅读针对 Electron App 的漏洞利用工具
针对 Electron App 的漏洞利用工具 Urkc安全 2024-10-06 18:00 BEEMKA针对 Electron App 的漏洞利用工具 项目介绍 Beemka 是一个用于 Electron 应用程序的基本利用工具。它允许用户注入代码到 Electron 应用中,并提供了多种模块来执行不同的操作,如反向 shell、截图、键盘记录等。该项目旨在帮助安全研究人员和开发者理解和测试
继续阅读bladex漏洞思路总结
bladex漏洞思路总结 原创 zkaq-不许打呼噜 掌控安全EDU 2024-10-06 14:00 扫码领资料 获网安教程 本文由掌控安全学院 – 不许打呼噜 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) Springblade框架介绍: SpringBlade是一个基于Spring Boot和Spring Cloud的微服
继续阅读