微软2024年5月补丁日多个产品安全漏洞风险通告
微软2024年5月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2024-05-15 09:43 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年5月补丁日多个产品安全漏洞 影响产品 Microsoft Office Excel、.NET 和 Visual Studio、Windows Win32K等。 公开时间 2024-5-15 影响对象数量级 千万级 奇
继续阅读标签: 代码
联软安全数据摆渡系统任意文件读取漏洞|漏洞预警
联软安全数据摆渡系统任意文件读取漏洞|漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2024-05-14 00:01 0x01 产品简介 联软安全数据摆渡系统是联软科技发明的,融合网络隔离、网盘和DLP技术于一体的专业产品,它同时支持多网交换,查杀毒、审计审批、文档追踪和水印功能,是解决用户网络隔离、网间及网内数据传输、交换、共享/分享、存储的理想安全设备,具有开创性意义。 这里我推荐
继续阅读上周关注度较高的产品安全漏洞(20240429-20240512)
上周关注度较高的产品安全漏洞(20240429-20240512) CNVD漏洞平台 2024-05-13 17:16 一、境外厂商产品 漏洞 1、F5 BIG-IP Next Central Manager中间人攻击漏洞(CNVD-2024-22213) F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP Next Cen
继续阅读50000多个小型代理服务器容易受到关键的RCE缺陷的影响
50000多个小型代理服务器容易受到关键的RCE缺陷的影响 网络安全应急技术国家工程中心 2024-05-13 15:51 最近披露的一个关键远程代码执行 (RCE) 缺陷显示,近 52000 个暴露在互联网上的 Tinyproxy 实例容易受到 CVE-2023-49606 的影响。 Tinyproxy 是一个开源 HTTP 和 HTTPS 代理服务器,旨在快速、小型和轻量级。它专为类 UNIX
继续阅读雷神众测漏洞周报2024.05.06-2024.05.12
雷神众测漏洞周报2024.05.06-2024.05.12 原创 雷神众测 雷神众测 2024-05-13 15:30 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【漏洞复现】国标GB28181摄像头管理平台存在all信息泄露
【漏洞复现】国标GB28181摄像头管理平台存在all信息泄露 我吃饼干 2024-05-13 07:30 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。 任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。
继续阅读漏洞预警 | 瑞友天翼应用虚拟化系统SQL注入漏洞
漏洞预警 | 瑞友天翼应用虚拟化系统SQL注入漏洞 原创 lalone 浅安安全 2024-05-13 07:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 瑞友天翼应用虚拟化系统是基于云计算技术的应用虚拟化解决方案,可以帮助用户实现应用的快速部署和管理。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 瑞
继续阅读漏洞预警 | 蓝网科技临床浏览系统 SQL注入漏洞
漏洞预警 | 蓝网科技临床浏览系统 SQL注入漏洞 浅安 浅安安全 2024-05-13 07:00 0x00 漏洞编号 – # CVE-2024-4257 0x01 危险等级 – 高危 0x02 漏洞概述 蓝网科技临床浏览系统是一个专门用于医疗行业的软件系统,主要用于医生、护士和其他医疗专业人员在临床工作中进行信息浏览、查询和管理。 0x03 漏洞详情 CVE-2024-
继续阅读那些被遗漏的逻辑漏洞|挖洞技巧
那些被遗漏的逻辑漏洞|挖洞技巧 漏洞挖掘 渗透安全HackTwo 2024-05-13 00:00 0x01 前言 这类漏洞虽然在红蓝对抗不值钱,但在src中却是一个高危,因为会给企业和用户带来很多隐患,此类漏洞会造成任意用户注册/登录,导致黑灰产恶意注册产生僵尸号,薅取大量活动礼品并且造成用户信息泄露等。 谈到该漏洞,大家应该会想到诸如:验证码复用、爆破、泄露、cookie,注册链接可预测等,
继续阅读Chrome又现在野0day漏洞,需要升级浏览器
Chrome又现在野0day漏洞,需要升级浏览器 原创 摸鱼的小A 重生之成为赛博女保安 2024-05-12 23:59 好吧,我还没升级,不过这素有原因哒。 如果有和我一样还在使用chromedriver又对主浏览器安全性有要求的朋友,可以改用chromium。 . . . * . * ☄️ . * . * . 🔆 .* . * . 🧶 * . * . . . 信息来源:theHack
继续阅读H3C两个漏洞的划水
H3C两个漏洞的划水 原创 SXdysq 南街老友 2024-05-12 21:41 产品介绍 H3C用户自助服务平台是一种基于云计算和自动化技术的管理平台,旨在提供自助式、智能化的网络设备和服务管理解决方案。该平台通过集成多种功能和工具,帮助企业用户更高效地管理和维护其网络设备,并提供更好的用户体验。 漏洞简介 H3C用户自助服务平台 dynamiccontent.properties.xhtm
继续阅读【安全圈】修复今年第 5 个被黑客利用的零日漏洞,谷歌发布 Chrome 浏览器更新
【安全圈】修复今年第 5 个被黑客利用的零日漏洞,谷歌发布 Chrome 浏览器更新 安全圈 2024-05-12 19:00 关键词 漏洞 谷歌 Chrome 和微软 Edge 两款浏览器近日发布紧急版本更新,修复了 CVE-2024-4671 安全漏洞,这是今年被证明已被黑客利用的第 5 个零日漏洞。 该高危漏洞追踪编号为 CVE-2024-4671,存在于 Visuals 组件中,是一个 &
继续阅读Android Deep Link 问题和 WebView 漏洞利用
Android Deep Link 问题和 WebView 漏洞利用 8ksec Ots安全 2024-05-12 12:10 在过去的几年里,Android 智能手机已经变得无处不在。我们有数百万用户依靠这些设备进行商务和个人通信、娱乐和工作。随着 Android 智能手机使用量的增加,应用程序中的安全漏洞数量大幅增加,这些漏洞可能使用户的个人数据面临风险。 Android 深度链接和 Andr
继续阅读Weblogic-CVE-2023-21839 漏洞解析
Weblogic-CVE-2023-21839 漏洞解析 船山信安 2024-05-12 00:01 一、漏洞概述 RCE漏洞,该漏洞允许未经身份验证的远程,通过T3/IIOP协议网络访问并破坏WebLogic服务器,成功利用此漏洞可导致Oracle WebLogic服务器被接管,通过 rmi/ldap远程协议进行远程命令执行,,当 JDK 版本过低或本地存在小工具(javaSerialized
继续阅读浙大恩特客户资源管理系统 RegulatePriceAction SQL注入漏洞
浙大恩特客户资源管理系统 RegulatePriceAction SQL注入漏洞 安迈信科应急响应中心 2024-05-11 22:58 01 漏洞概况 浙大恩特客户资源管理系统中RegulatePriceAction接口处存在SQL注入漏洞。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称浙大恩特客户资源管理系统 RegulatePriceAction SQL注入漏洞漏洞编号CVE编号
继续阅读浙大恩特客户资源管理系统 i0004_openFileByStream.jsp 任意文件读取漏洞
浙大恩特客户资源管理系统 i0004_openFileByStream.jsp 任意文件读取漏洞 安迈信科应急响应中心 2024-05-11 22:58 01 漏洞概况 浙大恩特客户资源管理系统中i0004_openFileByStream接口处存在任意文件读取漏洞。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称浙大恩特客户资源管理系统 i0004_openFileByStream.jsp
继续阅读畅捷通T+ KeyInfoList.aspx SQL注入漏洞
畅捷通T+ KeyInfoList.aspx SQL注入漏洞 安迈信科应急响应中心 2024-05-11 22:58 01 漏洞概况 畅捷通T+存在SQL注入漏洞,攻击者可利用此漏洞在未授权的情况下执行任意SQL语句,最终造成服务器敏感性信息泄露或远程命令执行。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称畅捷通T+ KeyInfoList.aspx SQL注入漏洞漏洞编号CVE编号无
继续阅读科荣AIO ReadFile 任意文件读取漏洞
科荣AIO ReadFile 任意文件读取漏洞 安迈信科应急响应中心 2024-05-11 22:58 01 漏洞概况 科荣 AIO 一体化运营管理系统存在文件读取漏洞,未经授权的攻击者可以利用该漏洞读取文件。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称科荣AIO ReadFile 任意文件读取漏洞漏洞编号CVE编号无漏洞评估披露时间2024-05-06漏洞类型任意文件读取危害评级
继续阅读金蝶Apusic应用服务器 未授权目录遍历漏洞
金蝶Apusic应用服务器 未授权目录遍历漏洞 安迈信科应急响应中心 2024-05-11 22:58 01 漏洞概况 由于金蝶Apusic应用服务器 /admin/protected/selector/server_file/files、/admin/protected/selector/server_file/folders 等接口没有进行校验和过滤,直接将参数拼接到文件操作中,导致出现
继续阅读G.O.S.S.I.P 阅读推荐 2024-05-11 可能是今年最令人拍案叫绝的exploit——俄罗斯方块黑客帝国!
G.O.S.S.I.P 阅读推荐 2024-05-11 可能是今年最令人拍案叫绝的exploit——俄罗斯方块黑客帝国! 原创 G.O.S.S.I.P 安全研究GoSSIP 2024-05-11 21:57 我们本月为投稿作者送出的礼物之一的益智游戏《Baba is You》是一款玩家可以在游戏过程中对游戏规则进行自修改的神作,也是一款用来进行memory corruption based exp
继续阅读蓝凌OA漏洞-POC合集
蓝凌OA漏洞-POC合集 原创 M9 白昼信安 2024-05-11 19:51 微信公众号:[白昼信安]弱小和无知不是生存的障碍,傲慢才是![如果你觉得文章你有帮助,欢迎点赞] 漏洞列表 蓝凌_OA_poc合集 对比各个文库和公众文章,把基本上所有的蓝凌OA_nday整理了一下,有些用的其他师傅写好的template,有些自己写了,方便我们快速对蓝凌OA进行快速打点测试。使用nuclei批量即可
继续阅读【已复现】瑞友天翼应用虚拟化系统存在session反序列化漏洞
【已复现】瑞友天翼应用虚拟化系统存在session反序列化漏洞 安恒研究院 安恒信息CERT 2024-05-11 18:32 漏洞概述 漏洞名称 瑞友天翼应用虚拟化系统session反序列化漏洞 安恒CERT评级 1级 CVSS3.1评分 10.0(安恒自评) CVE编号 未分配 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 WM-202405-000002 POC情况 已发现
继续阅读谷歌修复今年第五个 Chrome 0day漏洞
谷歌修复今年第五个 Chrome 0day漏洞 Bill Toulas 代码卫士 2024-05-11 17:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布 Chrome 安全更新,修复了今年以来遭利用的第5个 0day 漏洞 (CVE-2024-4671)。 该高危漏洞是位于 Visuals 组件中的“释放后使用”漏洞,负责处理渲染和在浏览器上展示内容。该漏洞由一名匿名研究
继续阅读H3C-CAS虚拟化管理系统文件上传漏洞(QVD-2024-13294)安全风险通告
H3C-CAS虚拟化管理系统文件上传漏洞(QVD-2024-13294)安全风险通告 原创 奇安信 CERT 奇安信安全监测与响应中心 2024-05-11 15:59 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 H3C-CAS虚拟化管理系统文件上传漏洞(QVD-2024-13294) 漏洞编号 QVD-2024-13294 公开时间 2024-05-11 影响量级 万级
继续阅读某通用设备的二进制文件RCE逆向分析
某通用设备的二进制文件RCE逆向分析 原创 轩公子 & 华雄 轩公子谈技术 2024-05-11 15:56 点击上方蓝字关注我们 事情的起因源于这篇文章 点进去发现,是团队成员写的一篇文章,在逆向分析中,缺少点东西,于是搞一下 尝试分析一下。逆向咱不会,但咱有人啊 @Vlan911 先check一下,得知该文件为arm架构 32位 打开虚拟机,找到32位的IDA,打开,不然位数不一样,不
继续阅读泛微OA E-Cology ln.FileDownload 文件读取漏洞
泛微OA E-Cology ln.FileDownload 文件读取漏洞 lcyunkong 云途安全 2024-05-11 15:41 0x00 阅读须知 免责声明:本文提供的信息和方法仅供网络安全专业人员用于教学和研究目的,不得用于任何非法活动。读者若使用文章内容从事任何未授权的行为,需自行承担所有法律责任和后果。本公众号及作者对由此引起的任何直接或间接损失不负责任。请严格遵守相关法律法规。
继续阅读实战|对一个随身WIFI设备的漏洞挖掘
实战|对一个随身WIFI设备的漏洞挖掘 okCryingFish 系统安全运维 2024-05-11 14:23 最近买了一个随时WIFI设备,正好自己在学习漏洞挖掘,于是拿这个练练手。 设备版本信息: software_version = V4565R03C01S61 hardware_version = M2V1 product_model = ES06W upgrade_version =
继续阅读xray社区平台功能再升级 单个PoC最高奖励提升40%
xray社区平台功能再升级 单个PoC最高奖励提升40% CT Stack 安全社区 2024-05-11 14:11 New xray is coming. 2024 平台功能再升级 Spring is the most vibrant and energetic season among the four seasons. 他来了他来了 他带着新功能走来了 xray社区在这个夏天的开头 给各位
继续阅读【更新】H3C-CAS虚拟化管理系统文件上传漏洞
【更新】H3C-CAS虚拟化管理系统文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2024-05-11 14:01 漏洞概况 H3C-CAS虚拟化管理系统是新华三集团推出的一套面向企业级用户的云计算解决方案,旨在帮助企业构建高效、灵活、可靠的云计算环境。 微步漏洞团队通过“X 漏洞奖励计划”获取到H3C-CAS虚拟化管理系统文件上传漏洞情报(https://x.threatbook.com
继续阅读XSS跨站脚本攻击漏洞
XSS跨站脚本攻击漏洞 船山信安 2024-05-11 00:03 一、简介 1.概念 XSS又叫CSS(Cross Site Script)跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS漏洞通常是通过PHP的输出函数将Javascript代码输出到html页面中,通过用户本地浏
继续阅读