【漏洞通告】Google Chrome 零日漏洞在野外被利用(CVE-2024-4671) GuardCyberSec 信息安全ISecurity 2024-05-11 00:00 点击上方蓝字·关注我们 漏洞概述 据报道在 Google Chrome 中发现一个漏洞,该漏洞可能允许任意代码执行。谷歌为其流行的Chrome 网络浏览器发布了紧急更新。此更新修复了恶意攻击者正在积极利用的关键零日漏洞
继续阅读【原创0day】瑞友天翼应用虚拟化系统SQL注入致远程代码执行漏洞 长亭应急 黑伞安全 2024-05-10 22:59 瑞友天翼应用虚拟化系统(以下简称瑞友虚拟化系统)是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协
继续阅读【已复现】瑞友天翼应用虚拟化系统SQL注入致远程代码执行漏洞 长亭应急 黑伞安全 2024-05-10 22:59 关于上一篇瑞友天翼虚拟化系统SQL注入致远程代码执行漏洞通告影响版本的补充说明:5月6日,长亭科技从瑞友天翼官网下载的7.0.5.1版本安装包已修复相关漏洞。然而由于不明原因,官方随后撤回了包含修复代码的安装包,导致当前官网上的7.0.5.1版本安装包仍旧存在该漏洞。我们建议用户采用
继续阅读记某积分商城任意金额支付漏洞分析利用及思考 K1v1n 亿人安全 2024-05-10 21:55 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“亿人安全 “设为星标 ”, 否则可能就看不到了啦 原文链接: https://forum.butian.net/share/2949 大部分开发人员在开发时都会有一种思维惯性,传参处处有校验==处处都可信,但这个等式并非恒成立 前言 这个漏
继续阅读Citrix 提醒管理员手动缓解 PuTTY SSH 客户端漏洞 Sergiu Gatlan 代码卫士 2024-05-10 17:22 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Citrix 公司本周提醒客户手动缓解一个 PuTTY SSH 客户端漏洞 (CVE-2024-31497),它可导致攻击者窃取 XenCenter 管理员的SSH 私钥。 XenCenter 有助于管理 W
继续阅读【在野利用】Google Chrome Visuals 释放后重用漏洞(CVE-2024-4671)安全风险通告 奇安信 CERT 2024-05-10 15:35 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome Visuals 释放后重用漏洞 漏洞编号 QVD-2024-17414,CVE-2024-4671 公开时间 2024-05-09 影响量
继续阅读多个三星移动设备漏洞可让攻击者执行任意代码 网络安全应急技术国家工程中心 2024-05-10 14:59 在最新网络安全更新中,三星宣布修补了其移动设备中的 25 个漏洞,旨在增强其抵御潜在的代码执行和权限升级攻击的能力。 这是三星持续增强智能手机和平板电脑安全性的一部分举措,以此确保用户的安全和隐私。 这些漏洞被确定为三星漏洞和暴露(SVE)项目。这些缺陷涉及三星设备的各个组件,包括操作系统、
继续阅读16项网络安全国家标准获批发布;CISA启动新的漏洞管理增强计划 | 牛览 安全牛 2024-05-10 14:28 点击蓝字·关注我们 / aqniu 新闻速览 ㆍ16项网络安全国家标准获批发布 ㆍ我国首份自贸区数据出境管理负面清单发布 ㆍ CISA启动新的漏洞管理增强计划 ㆍ超3成的CISO对当前的薪酬不满 ㆍSentinelOne警告:勒索软件规避端点检测的能力不断增强 ㆍISACA调查
继续阅读漏洞通告 | 瑞友天翼应用虚拟化系统远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-05-10 11:30 漏洞概况 瑞友天翼应用虚拟化系统是国产应用虚拟化软件产品,帮助企业实现应用和桌面的集中管理、按需交付以及安全访问等。 近日,微步漏洞团队获取到瑞友天翼应用虚拟化系统远程代码执行漏洞(https://x.threatbook.com/v5/vul/XVE-2024-1038
继续阅读真0day分享!用ZoomEye发现通用组件0day漏洞的新姿势! pbuff07 道一安全 2024-05-09 07:43 免责声明 道一安全(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人
继续阅读【安全资讯】攻击者利用 TunnelVision 漏洞暴露用户数据 GuardCyberSec 信息安全ISecurity 2024-05-09 00:01 点击上方蓝字·关注我们 互联网上出现了一个新的VPN漏洞,损害了在线隐私和数据保护的本质。 自 2002 年以来潜伏在 VPN 应用程序中的 TunnelVision 漏洞 有可能使 VPN 连接变得无用,使用户容易受到恶意行为者的数据拦截和
继续阅读QVD-2024-15263:禅道身份认证绕过漏洞 原创 XbnWa Timeline Sec 2024-05-08 21:05 关注我们❤️,添加星标🌟,一起学安全!作者:XbnWa@Timeline Sec 本文字数:980 阅读时长:1~3min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 禅道由禅道软件(青岛)有限公司开发,国产开源项目管理软件。它集项目集管理、
继续阅读【风险通告】瑞友天翼应用虚拟化系统存在SQL注入漏洞 安恒研究院 安恒信息CERT 2024-05-08 20:09 漏洞概述 漏洞名称 瑞友天翼应用虚拟化系统存在SQL注入漏洞 安恒CERT评级 1级 CVSS3.1评分 10.0(安恒自评) CVE编号 未分配 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 WM-202405-000001 POC情况 已发现 EXP情况 未发
继续阅读【安全圈】CNNVD关于Apache ActiveMQ安全漏洞的通报 安全圈 2024-05-08 19:01 关键词 安全漏洞 近日,国家信息安全漏洞库(CNNVD)收到关于Apache ActiveMQ安全漏洞(CNNVD-202405-256、CVE-2024-32114)情况的报送。成功利用漏洞的攻击者,可能在未经身份验证的情况下使用Jolokia JMX REST API与代理交互,或使
继续阅读CVE-2020-9802:Incorrect CSE for ArithNegate 导致的越界访问 XiaozaYa 看雪学苑 2024-05-08 18:02 最近尝试阅读DFG jit 相关源码,但是无从下手,网上资料甚少并且代码量巨大,所以笔者对应JSC 的学习路线还是从相关CVE 中去学习一些有关JSC 的基础知识,这里逐渐积累,等到合适的时候,再去尝试阅读源码,该漏洞比较老了,但是复
继续阅读CISA的KEV清单加快漏洞修复速度了吗? Becky Bracken 代码卫士 2024-05-08 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA在2021年推出“已知遭利用漏洞 (KEV)” 清单的目的是为了提醒政府机构和企业关注最具风险的在野威胁。 美国前国会议员 Jim Langevin 是创建KEV清单的CISA绑定运营指令立法22-01推动者,他解释称KE
继续阅读超5万台 Tinyproxy 服务器易受严重RCE漏洞影响 Jai Vijayan 代码卫士 2024-05-08 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 近5.2万台暴露在互联网的 Tinyproxy 实例易受CVE-2023-49606 漏洞的影响。该漏洞是一个严重的RCE漏洞,CVSS v3评分为9.8。 Tinyproxy 是一款开源的HTTP 和HTTPS 代理
继续阅读Tinyproxy曝出严重漏洞,影响全球52000台主机 关键基础设施安全应急响应中心 2024-05-08 15:03 近日,攻击面管理公司 Censys 分享了一组数据:截至 2024 年 5 月 3 日,在90310台主机中,有 52000 台(约占 57%)运行着有漏洞的 Tinyproxy 版本。 这些可能受到漏洞影响的主机分布于美国(32846 台)、韩国(18358 台)、中国(78
继续阅读SoumniBot 恶意软件利用 Android 漏洞来逃避检测 胡金鱼 嘶吼专业版 2024-05-08 14:00 一种名为“SoumniBot”的新 Android 银行恶意软件通过利用 Android 清单提取和解析过程中的弱点,使用了新的混淆方法。 该方法使 SoumniBot 能够规避 Android 手机中的标准安全措施并执行信息窃取操作。 研究人员发现并分析后提供了该恶意软件利用
继续阅读0Day CVE-2023-26615:某路由器密码重置漏洞 船山信安 2024-05-08 00:00 Part1 漏洞状态 漏洞细节 漏洞POC 漏洞EXP 在野利用 有 有 无 未知 Part2 漏洞描述 漏洞名称 某路由器密码重置漏洞 CVE编号 CVE-2023-26615 漏洞类型 逻辑漏洞 漏洞等级 未知 公开状态 nvd发布日期2023-06-28 Part3 漏洞验证 1.验证
继续阅读CISA、FBI要求消除路径遍历漏洞影响 何威风 河南等级保护测评 2024-05-08 00:00 美国网络安全机构 CISA 和 FBI 周四发布了安全设计警报,警告路径遍历软件漏洞被利用来针对关键基础设施实体进行攻击。 路径遍历缺陷也称为目录遍历,它依赖于受操纵的用户输入来访问不应访问的应用程序文件和目录。成功利用该漏洞允许威胁行为者操纵任意文件、读取敏感数据,并可能完全破坏系统。 路径遍历
继续阅读JScanner一款隐藏Url接口探测/目录递归访问请求工具|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-05-08 00:00 0x01 工具介绍 在去年,我测试了无数网站,但是某些网站无论如何都不能搞定它,看了好多别人的实战思路,我总结出来了一点,那些大佬们总是会在前期在js文件当中收集信息,收集到别人在fofa还是鹰图上面探测不到了信息。于是我便想写一款工具来帮助自己在前期更好的
继续阅读大华智慧园区综合管理平台 pay 远程代码执行 原创 SXdysq 南街老友 2024-05-07 23:11 漏洞描述 大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。该平台旨在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。该平台接口存在远程代码执行漏洞,攻击者利用该漏洞可以获取服务器权限。 漏洞检测与利用 鸡汤 成功的秘诀在
继续阅读开源数据大屏AJ-Report存在远程命令执行漏洞 南风徐来 南风漏洞复现文库 2024-05-07 22:57 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 开源数据大屏AJ-Report简介 微信公众号搜索:南风漏洞复现文库 该文
继续阅读畅捷通TPlus keyEdit.aspx接口存在SQL注入漏洞 南风徐来 南风漏洞复现文库 2024-05-07 22:57 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 畅捷通TPlus简介 微信公众号搜索:南风漏洞复现文库 该文
继续阅读LLM 渗透测试:利用代理集成进行 RCE Ots安全 2024-05-07 19:57 这篇博文深入研究了称为“提示泄漏”的漏洞类别及其随后通过“提示注入”进行的利用,该漏洞在 LLM 渗透测试期间允许通过 Python 代码注入未经授权地执行系统命令。 在详细的案例研究中,我们将探讨这些漏洞的机制、它们的影响以及利用它们的方法。 在讨论重要问题之前,了解法学硕士是什么及其整合功能的基础知识非常
继续阅读漏洞挖掘 | 使用HaE与CaA组合挖掘高危漏洞 校长 不懂安全的校董 2024-05-07 19:32 0x01 前言 我发现我好久没发过赏金漏洞的挖掘了,今天特此来更新一篇HaE搭配CaA挖掘到高危漏洞的实战案例 这里不得不说一下HaE搭配CaA HaE: https://github.com/gh0stkey/HaE CaA: https://github.com/gh0stkey/CaA
继续阅读【安全圈】Tinyproxy 曝出严重漏洞,影响全球52000 台主机 安全圈 2024-05-07 19:00 关键词 系统漏洞 近日,攻击面管理公司 Censys 分享了一组数据:截至 2024 年 5 月 3 日,在90310台主机中,有 52000 台(约占 57%)运行着有漏洞的 Tinyproxy 版本。 这些可能受到漏洞影响的主机分布于美国(32846 台)、韩国(18358 台)、
继续阅读【安全圈】开源编程语言 R 曝光存在 8.8 分代码执行漏洞 CVE-2024-27322,可引发供应链攻击 安全圈 2024-05-07 19:00 关键词 执行漏洞 安全公司 HiddenLayer 近日发现开源编程语言 R 存在一项允许黑客执行恶意代码的重大漏洞 CVE-2024-27322。 该漏洞风险评级为 8.8 分,允许恶意文件在反序列化时执行任意代码。如果相关代码牵涉到软件包,则可
继续阅读【安全圈】微软披露严重安全漏洞,受影响App安装量超40亿 安全圈 2024-05-07 19:00 关键词 安全漏洞 近日,研究人员披露了一个名为“Dirty Stream”的严重安全漏洞,该漏洞可能影响几款下载总量数十亿的 Android 应用程序。 微软威胁情报团队成员 Dimitrios Valsamaras 在一份报告中声明,威胁攻击者可以利用该安全漏洞,执行任意代码以及盗取令牌。一旦成
继续阅读