红队视角!2024国家级攻防演练100+必修高危漏洞合集
红队视角!2024国家级攻防演练100+必修高危漏洞合集 你信任的 亚信安全 2024-05-24 17:03 90% ! 2023攻防演练期间 暴露的web漏洞占比90% 覆盖VPN、远程工具、办公软件 OA系统、聊天工具、安全产品等全路径 100% ! 隐藏在暗处的高危漏洞 一旦被利用,被攻陷率近100% 很多企业为此导致整个防御体系被突破 从而 遗憾出局 2024国家级攻防演练在即,亚信安全
继续阅读标签: 代码
【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-5274)安全风险通告
【在野利用】Google Chrome V8 类型混淆漏洞(CVE-2024-5274)安全风险通告 奇安信 CERT 2024-05-24 16:41 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome V8 类型混淆漏洞 漏洞编号 QVD-2024-20506,CVE-2024-5274 公开时间 2024-05-24 影响量级 千万级 奇安信评级
继续阅读内部VPN遭漏洞攻击未向监管报告,这家金融巨头被罚超7000万元
内部VPN遭漏洞攻击未向监管报告,这家金融巨头被罚超7000万元 网络安全应急技术国家工程中心 2024-05-24 15:06 疑似国家级黑客入侵了纽交所母公司的VPN设备,试图窃取该设备上的用户账号信息,以进一步渗透内网; 纽交所母公司评估该事件影响极小,但SEC认为其作为市场关键主体,未能及时上报事件,以此处罚1000万美元。 5月23日消息,美国洲际交易所(ICE)因未能确保其子公司及时报
继续阅读Google Chrome 的漏洞链分析(译)
Google Chrome 的漏洞链分析(译) 3072 3072 2024-05-23 23:02 0day工程洞察 Google Chrome 在 Viz 和 v8-wasm 上的“积极利用”漏洞链 (2024年5月) 概述 Google 最近为 Chrome 浏览器发布了两个正在被积极利用的漏洞链的紧急安全更新。这些漏洞分别在 5月9日 (沙箱绕过)和 5月13日 (远程代码执行)被修复。这
继续阅读通过路径遍历所实现的RCE
通过路径遍历所实现的RCE 原创 Richardo1o1 迪哥讲事 2024-05-23 23:00 漏洞原理 路径遍历:这种类型的安全漏洞允许攻击者访问应用程序本不打算公开的文件和目录。通过构造特殊的输入,如使用../(向上遍历目录)的序列,攻击者可以逃离受限的目录,访问文件系统上的其他位置。 利用GitLab包注册API:攻击者通过向GitLab的包注册API发送特殊构造的请求,利用路径遍历漏
继续阅读听说PDF.js插件漏洞很火?
听说PDF.js插件漏洞很火? 巢安实验室 巢安实验室 2024-05-23 21:50 0x00 前言 PDF.js 是一个使用 HTML5 构建的便携式文档格式查看器。 pd f.js 是社区驱动的,并由 Mozilla 支持。 我们的目标是为解析和呈现 PDF 创建一个通用的、基于 Web 标准的平台。 0x01 漏洞描述 在font_loader.js中存在代码注入漏洞,当PDF.js配置
继续阅读Confluence Data Center and Server认证后RCE(CVE-2024-21683)漏洞分析
Confluence Data Center and Server认证后RCE(CVE-2024-21683)漏洞分析 原创 W01fh4cker 追梦信安 2024-05-23 21:09 一、漏洞调试环境搭建 以8.9.0和8.9.1为例: https://product-downloads.atlassian.com/software/confluence/downloads/atlassi
继续阅读用友NC warningDetailInfo接口存在SQL注入漏洞
用友NC warningDetailInfo接口存在SQL注入漏洞 冷漠安全 冷漠安全 2024-05-23 21:08 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读漏洞预警 | Git 远程代码执行(CVE-2024-32002)漏洞复现与分析
漏洞预警 | Git 远程代码执行(CVE-2024-32002)漏洞复现与分析 源鲁安全实验室 2024-05-23 20:53 此文章原创作者为源鲁安全实验室,转载请注明出处!此文章中所涉及的技术、思路和工具仅供网络安全学习为目的,不得以盈利为目的或非法利用,否则后果自行承担! 0x00 简介 Git是一款免费开源的分布式版本控制系统,支持在多个系统中安装运行,广泛用于协作开发和管理软件项目。
继续阅读VPN遭漏洞攻击未向监管报告,被罚七千万巨款
VPN遭漏洞攻击未向监管报告,被罚七千万巨款 信息安全大事件 2024-05-23 20:25 5月23日消息,美国洲际交易所(ICE)因未能确保其子公司及时报告2021年4月出现的VPN安全漏洞,遭美国证券交易委员会(SEC)指控,需支付1000万美元(约合人民币7245万元)罚款。 洲际交易所是一家位列《财富》500强榜单的美国公司,在全球范围内拥有并经营多家金融交易所和结算所,包括纽约证券交
继续阅读魔方网表mailupdate接口文件上传漏洞
魔方网表mailupdate接口文件上传漏洞 小白菜安全 小白菜安全 2024-05-23 20:07 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围 漏洞复现 po
继续阅读【安全圈】英特尔 AI 模型压缩器现满分漏洞,可导致任意代码执行
【安全圈】英特尔 AI 模型压缩器现满分漏洞,可导致任意代码执行 安全圈 2024-05-23 19:00 关键词 漏洞 据Info risk today消息,英特尔公司的人工智能模型压缩软件Neural Compressor 中存在一个最高级别的漏洞,该漏洞在 CVSS 的评分为满分10分,黑客可以在运行受影响版本的系统上执行任意代码。 Neural Compressor 软件可帮助公司减少人工
继续阅读【已复现】Sonatype Nexus Repository 3 存在路径遍历漏洞(CVE-2024-4956)
【已复现】Sonatype Nexus Repository 3 存在路径遍历漏洞(CVE-2024-4956) 安恒研究院 安恒信息CERT 2024-05-23 18:32 漏洞概述 漏洞名称 Sonatype Nexus Repository 3 存在路径遍历漏洞(CVE-2024-4956) 安恒CERT评级 2级 CVSS3.1评分 7.5 CVE编号 CVE-2024-4956 CNV
继续阅读CNNVD | 关于Atlassian Confluence安全漏洞的通报
CNNVD | 关于Atlassian Confluence安全漏洞的通报 中国信息安全 2024-05-23 18:30 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近日,国家信息安全漏洞库(CNNVD)收到关于Atlassian Confluence 安全漏洞(CNNVD-202405-4060、CVE-2024-21683)情况的报送。经过身份认证的远
继续阅读【已复现】Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956)安全风险通告
【已复现】Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956)安全风险通告 奇安信CERT 代码卫士 2024-05-23 17:31 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Sonatype Nexus Repository 3 路径遍历漏洞 漏洞编号 QVD-2024-18749,CVE-2024-4956 公开时间 2
继续阅读可绕过身份验证,GitHub企业服务器曝满分漏洞,附PoC
可绕过身份验证,GitHub企业服务器曝满分漏洞,附PoC 关键基础设施安全应急响应中心 2024-05-23 16:07 近日,安全研究人员披露了GitHub企业服务器(GHES)的关键漏洞(CVE-2024-4985,cvss得分:10.0),该漏洞允许未经授权的攻击者,在不需要预先认证的情况下访问GHES实例。漏洞影响所有GHES 3.13.0之前的版本,并在3.9.15、3.10.12、3
继续阅读手把手玩转路由器漏洞挖掘系列 – COAP协议分析
手把手玩转路由器漏洞挖掘系列 – COAP协议分析 原创 nil 山石网科安全技术研究院 2024-05-23 15:17 1. 基本介绍 1.1 概要 – 轻量化HTTP协议 CoAP(Constrained Application Protocol)是一种专为受限环境下的物联网设备设计的轻量级通信协议。它基于UDP协议,旨在提供一种简单、高效的通信方式,适用于资源受限的
继续阅读某网址导航页 搜索页面存在SQL注入漏洞
某网址导航页 搜索页面存在SQL注入漏洞 冷漠安全 冷漠安全 2024-05-22 23:01 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!! 0
继续阅读代码审计-某人工智能语音系统多处文件上传+命令执行
代码审计-某人工智能语音系统多处文件上传+命令执行 原创 月金剑客 剑客古月的安全屋 2024-05-22 22:41 🌟 ❤️ 作者:yueji0j1anke 首发于公号:剑客古月的安全屋 字数:801 阅读时间: 10min 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。合
继续阅读开源数据大屏AJ-Report远程命令执行漏洞
开源数据大屏AJ-Report远程命令执行漏洞 小白菜安全 小白菜安全 2024-05-22 22:17 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围 漏洞复现 p
继续阅读【安全圈】可绕过身份验证,GitHub 企业服务器曝满分漏洞,附 PoC
【安全圈】可绕过身份验证,GitHub 企业服务器曝满分漏洞,附 PoC 安全圈 2024-05-22 19:01 关键词 漏洞 近日,安全研究人员披露了GitHub企业服务器(GHES)的关键漏洞(CVE-2024-4985,cvss得分:10.0),该漏洞允许未经授权的攻击者,在不需要预先认证的情况下访问GHES实例。漏洞影响所有GHES 3.13.0之前的版本,并在3.9.15、3.10.1
继续阅读CVE-2024-4367 PDF.js RCE 分析(译)
CVE-2024-4367 PDF.js RCE 分析(译) 3bytes 3072 2024-05-22 18:45 CVE-2024-4367 – PDF.js中的任意JavaScript执行 摘要 本文详细介绍了由Codean Labs发现的PDF.js中的CVE-2024-4367漏洞。PDF.js是由Mozilla维护的基于JavaScript的PDF查看器。这个漏洞允许攻击者在打开恶意
继续阅读Atlassian Confluence Data Center and Server存在远程代码执行漏洞
Atlassian Confluence Data Center and Server存在远程代码执行漏洞 安恒研究院 安恒信息CERT 2024-05-22 18:03 漏洞概述 漏洞名称 Atlassian Confluence Data Center and Server存在远程代码执行漏洞(CVE-2024-21683) 安恒CERT评级 2级 CVSS3.1评分 8.8(安恒自评) CV
继续阅读GitHub警告其企业服务器存在满分认证绕过漏洞
GitHub警告其企业服务器存在满分认证绕过漏洞 看雪学苑 看雪学苑 2024-05-22 17:59 近日,GitHub披露了其企业服务器中的一个认证绕过漏洞,可能允许攻击者绕过认证并获取对敏感存储库及数据的未授权访问。 据了解,该认证绕过漏洞(CVE-2024-4985,CVSS评分为10分)影响的是GitHub Enterprise Server(GHES)——GHES是一个用于软件开发的自
继续阅读GitHub 企业服务器中存在严重漏洞,可导致认证绕过
GitHub 企业服务器中存在严重漏洞,可导致认证绕过 THN 代码卫士 2024-05-22 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitHub 修复了位于GitHub 企业服务器 (GHES) 中的一个CVSS满分漏洞CVE-2024-4985,它可导致攻击者绕过认证防护措施。 CVE-2024-4985可使攻击者在无需提前认证的情况下,越权访问实例。该公司发布安全
继续阅读Veeam:Backup Enterprise Manager 中存在严重的认证绕过漏洞
Veeam:Backup Enterprise Manager 中存在严重的认证绕过漏洞 Sergiu Gatlan 代码卫士 2024-05-22 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Veeam 提醒客户称修复一个严重漏洞,它可导致未认证攻击者通过 Veeam Backup Enterprise Manager (VBEM) 登录任何账户。 VBEM 是一款基于 w
继续阅读Confluence Data Center and Server登录后远程代码执行漏洞(CVE-2024-21683)
Confluence Data Center and Server登录后远程代码执行漏洞(CVE-2024-21683) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-05-22 17:10 漏洞名称: Confluence Data Center and Server登录后远程代码执行漏洞(CVE-2024-21683) 组件名称: Atlassian-Confluence 影响范围: C
继续阅读实战攻防季:主动猎捕,让0day漏洞无处遁形!
实战攻防季:主动猎捕,让0day漏洞无处遁形! 智安全 深信服千里目安全技术中心 2024-05-22 17:10 2024实战攻防演练即将开启。 伴随网络安全形势日益复杂,攻击方的攻击手段不断升级,0day漏洞的利用也愈发频繁,成为防守方必须警惕的“隐形陷阱”。在实战较量中,防御一旦出现滞后则可能带来严重的安全风险。 2023 年深瞳漏洞实验室猎捕到100+个 Web 场景下的在野利用 0day
继续阅读产品频曝严重漏洞,罗克韦尔向全球客户发出紧急断网通知
产品频曝严重漏洞,罗克韦尔向全球客户发出紧急断网通知 安全内参 2024-05-22 17:03 关注我们 带你读懂网络安全 近日,在产品接连曝出多个严重漏洞后,工业自动化巨头罗克韦尔(Rockwell Automation)向其全球客户发出紧急通知,要求他们立即采取行动切断所有未设计用于连接互联网的工业控制系统(ICS)与互联网的连接,原因是全球地缘政治局势紧张,(针对罗克韦尔设备的)网络攻击活
继续阅读【复现】Nexus Repository3 任意文件下载漏洞的风险通告
【复现】Nexus Repository3 任意文件下载漏洞的风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-05-22 16:16 赛博昆仑漏洞安全通告- Nexus Repository3 任意文件下载漏洞的风险通告 漏洞描述 近日,赛博昆仑CERT监测到 Sonatype Nexus Repository3 任意文件下载漏洞(CVE-2024-4956)的漏洞情报。Sonat
继续阅读