黑客利用 Aiohttp 漏洞寻找脆弱的网络
黑客利用 Aiohttp 漏洞寻找脆弱的网络 塞讯安全验证 2024-03-28 13:30 勒 索软件攻击团伙 ShadowSyndicate 近期被观察到正在扫描存在 CVE-2024-23334漏洞的服务器,这是aiohttp Python库中的一个目录遍历漏洞。 Aiohttp 是一个构建在 Python 异步 I/O 框架 Asyncio 之上的开源库,可以在没有传统的基于线程的网络的情
继续阅读标签: 代码
【漏洞通告】Adobe ColdFusion 访问控制错误漏洞
【漏洞通告】Adobe ColdFusion 访问控制错误漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 ColdFusion版本2023.6、2021.12及更早版本受到不当访问控制漏洞的影响,该漏洞可能导致任意文件系统读取。攻击者可以利用此漏洞绕过安全措施,获得对敏感文件的未经授权的访问权限,并执行任意文件系统写入。利用此问题不需要用
继续阅读【漏洞通告】用友NC Cloud runScript SQL注入漏洞
【漏洞通告】用友NC Cloud runScript SQL注入漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 用友NC Cloud runScript 接口存在SQL注入漏洞,攻击者利用此漏洞可以获取数据库敏感数据。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称飞企互联/cooperate/videotexMonitor.jsp SQ
继续阅读【漏洞通告】用友OA IPortalSpecService目录穿越漏洞
【漏洞通告】用友OA IPortalSpecService目录穿越漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 用友OA存在目录穿越漏洞,攻击者利用该漏洞可执行任意代码。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称用友OA IPortalSpecService目录穿越漏洞漏洞编号CVE编号无漏洞评估披露时间2024-03-14漏洞类
继续阅读【漏洞通告】章管家-印章智慧管理平台文件上传漏洞
【漏洞通告】章管家-印章智慧管理平台文件上传漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 章管家-印章智慧管理平台存在文件上传漏洞,这可能导致恶意文件被上传到服务器,从而对系统造成损害,或者被用于进行其他攻击,比如利用服务器作为存储或传播恶意软件的平台。02 漏洞处置综合处置优先级:中漏洞信息漏洞名称章管家-印章智慧管理平台文件上传漏洞漏
继续阅读剖析复杂漏洞并在 Ichitaro Word 中实现任意代码执行
剖析复杂漏洞并在 Ichitaro Word 中实现任意代码执行 Ots安全 2024-03-28 12:09 1. Cisco Talos 去年披露了 JustSystems 的 Ichitaro 文字处理器中的多个漏洞。这些漏洞非常复杂,是通过广泛的逆向工程发现的。 CVE-2023-35126及其同类( CVE-2023-34366、 CVE-2023-38127和CVE-2023-3812
继续阅读漏洞挖掘 | SRC中信息收集姿势分享
漏洞挖掘 | SRC中信息收集姿势分享 原创 zkaq-杳若 掌控安全EDU 2024-03-28 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – 杳若 投稿 前言 前前后后挖了四个月的EDUSRC,顺利从路人甲升到了网络安全专家,从提交的内容来看大部分还是以中低危为主,主打的就是弱口令和未授权。 在这过程中还是比较浮躁的,因此接下来的时间还是要好好沉淀一下自身的技术,学习
继续阅读【漏洞通告】Adobe ColdFusion任意文件读取漏洞CVE-2024-20767
【漏洞通告】Adobe ColdFusion任意文件读取漏洞CVE-2024-20767 深瞳漏洞实验室 深信服千里目安全技术中心 2024-03-28 11:59 漏洞名称: Adobe ColdFusion 任意文件读取漏洞(CVE-2024-20767) 组件名称: Adobe ColdFusion 影响范围: Adobe ColdFusion 2023 ≤ Update 6 Adobe C
继续阅读谷歌针对PWN2OWN 2024演示的两个Chrome零日漏洞进行了处理
谷歌针对PWN2OWN 2024演示的两个Chrome零日漏洞进行了处理 鹏鹏同学 黑猫安全 2024-03-28 11:47 本周,谷歌解决了Chrome浏览器中的几个漏洞,包括两个零日漏洞,分别被跟踪为CVE-2024-2886和CVE-2024-2887,在Pwn2Own Vancouver 2024黑客竞赛期间展示。 高危漏洞CVE-2024-2886是一个位于WebCodecs中的使用后
继续阅读2023年零日漏洞在野利用激增,商业间谍软件是主要使用者
2023年零日漏洞在野利用激增,商业间谍软件是主要使用者 安全内参 2024-03-28 11:21 关注我们 带你读懂网络安全 根据谷歌威胁分析小组(TAG)和谷歌子公司Mandiant的最新报告,2023年被用于实施攻击的零日漏洞数量显著增加,其中许多与间谍软件供应商及其客户有关。 2023年共计有97个零日漏洞被用于攻击,比前一年的62个漏洞激增了50%以上。尽管数量有所上升,但仍低于202
继续阅读CVE-2024-27954
CVE-2024-27954 原创 fgz AI与网安 2024-03-28 07:02 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 WordPress Automatic 插件任意文件下载和SSRF漏洞 02 — 漏洞影响 WordPress
继续阅读商混ERP系统sys接口存在SQL注入漏洞|漏洞预警
商混ERP系统sys接口存在SQL注入漏洞|漏洞预警 原创 漏洞挖掘 渗透安全HackTwo 2024-03-28 00:01 0x01 产品简介 商混ERP系统是一种针对混凝土行业开发的综合性企业资源规划(ERP)系统。它集成了生产、销售、采购、财务等各个方面的功能,为混凝土生产企业提供了一个全面、高效的数字化管理平台。 这里我推荐利用 ZoomEye ****搜索引擎直接输入关键字即可,影响资
继续阅读【HackerOne 精品】6000 美金的 XSS 漏洞
【HackerOne 精品】6000 美金的 XSS 漏洞 迪哥讲事 2024-03-27 20:49 【HackerOne 精品】6000 美金的 XSS 漏洞 本系列专注 hackerone 平台披露的高质量报告 本篇介绍 yelp.com 价值 6k 美金的XSS漏洞 漏洞标题: yelp.com XSS ATO (via login keylogger, link Google acco
继续阅读Bugsy:一款功能强大的代码安全漏洞自动化修复工具
Bugsy:一款功能强大的代码安全漏洞自动化修复工具 Alpha_h4ck FreeBuf 2024-03-27 18:58 关于Bugsy Bugsy是一款功能强大的代码安全漏洞自动化修复工具,该工具本质上是一个命令行接口工具,可以帮助广大研究人员以自动化的形式修复代码中的安全漏洞。 Bugsy是 Mobb (一款自动化安全漏洞修复工具,能够结合多种工具生成代码修复程序供开发人员审查和提交代码)
继续阅读可能吗?CISA竟想“彻底终结”SQL漏洞
可能吗?CISA竟想“彻底终结”SQL漏洞 小薯条 FreeBuf 2024-03-27 18:58 左右滑动查看更多 3月25日(本周一),网络安全与基础设施安全局(CISA)和联邦调查局(FBI)发布了 “安全设计 “警报。他们将 SQL 注入漏洞(SQLi)归入”不可饶恕的 “一类漏洞。 警报指出:尽管在过去二十年中,人们普遍了解并记录了 SQ
继续阅读【漏洞预警】Adobe ColdFusion任意文件读取漏洞CVE-2024-20767
【漏洞预警】Adobe ColdFusion任意文件读取漏洞CVE-2024-20767 cexlife 飓风网络安全 2024-03-27 18:39 漏洞描述: Adobe ColdFusion,是一个动态Web服务器,Coldfusion最早是由Allaire公司开发的一种应用服务器平台,其运行的CFML(ColdFusionMarkup Language)针对Web应用的一种脚本语言,文件
继续阅读漏洞复现 || 某智能上网行为管理系统前台RCE
漏洞复现 || 某智能上网行为管理系统前台RCE 韩文庚 我爱林 2024-03-27 18:18 免责声明 我爱林攻防研究院的技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的
继续阅读TeamCity身份验证绕过漏洞分析(CVE-2024-23917、CVE-2024-27198、CVE-2024-27199)
TeamCity身份验证绕过漏洞分析(CVE-2024-23917、CVE-2024-27198、CVE-2024-27199) 原创 元亨-blckder02 中孚安全技术研究 2024-03-27 18:16 前言 1-1. 简介 TeamCity是一款由JetBrains开发的持续集成和持续交付(CI/CD)服务器。它提供了一个强大的平台,用于自动化构建、测试和部署软件项目。TeamCity
继续阅读安全研究员披露AWS Apache Airflow漏洞细节,可导致账户接管
安全研究员披露AWS Apache Airflow漏洞细节,可导致账户接管 看雪学苑 看雪学苑 2024-03-27 17:59 上周四,Tenable Research的安全研究员发布了一篇博客文章,上面披露了亚马逊云服务(AWS)Apache Airflow的一个安全漏洞细节。这一漏洞可能被黑客利用来劫持受害者会话、实施远程代码执行攻击等。 这个漏洞名为“FlowFixation”,现已被AW
继续阅读DSN Injection(CVE-2022-3023)
DSN Injection(CVE-2022-3023) 原创 fatmo i春秋 2024-03-27 17:01 本文是 i春秋论坛签约作家「fatmo」分享的技术文章, 所涉及的内容仅限用于学习和研究目的,不得将正文内容用于商业或者非法用途 !**** 公众号旨在为大家提供更多的学习方法与技能技巧, 文章仅供学习参考。 fatmo 2年网络安全行业的从业经验,目前做安全开发的工作,擅长恶意代
继续阅读【漏洞通告】Adobe ColdFusion任意文件读取漏洞安全风险通告
【漏洞通告】Adobe ColdFusion任意文件读取漏洞安全风险通告 嘉诚安全 2024-03-27 15:57 漏洞背景 近日,嘉诚安全监测到Adobe ColdFusion发布新版本,修复了一个任意文件读取漏洞, 漏洞编号为:CVE-2024-20767。 Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台,包括集成开发环境和脚本语言。 鉴于漏洞危害较
继续阅读漏洞预警 | 用友UFIDA-NC任意文件下载漏洞
漏洞预警 | 用友UFIDA-NC任意文件下载漏洞 网络威胁数据联盟 2024-03-27 15:41 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC以“全球化集团管控、行业化解决方案、全程化电子商务、平台化应用集成”的管理业务理念而设计,采用J2EE架构和先进开放的集团级开发平台UAP,形成了集团管控8大领域15大行业68个细
继续阅读【更新】Ivanti connect secure RCE 补丁分析
【更新】Ivanti connect secure RCE 补丁分析 原创 chestnut 闲聊趣说 2024-03-27 15:21 接前文 CVE-2023-46805&CVE-2024-21887 Ivanti connect secure RCE分析 之前由于没有弄到补丁,现在补充一下补丁分析。 补丁分析 安装补丁后,按照老办法将磁盘密钥拖出来,而后解密磁盘,得到修复后的代码。
继续阅读超过 28500 台 Exchange 服务器易遭受漏洞攻击
超过 28500 台 Exchange 服务器易遭受漏洞攻击 网络安全应急技术国家工程中心 2024-03-27 15:16 Exchange Server 广泛应用于商业环境中,以促进用户之间的通信和协作,提供电子邮件、日历、联系人管理和任务管理服务。 威胁监控服务Shadowserver宣布,其扫描仪已识别出大约 97000 个潜在易受攻击的服务器。这些 Microsoft Exchange
继续阅读漏洞通告 | 泛微E-Office10远程代码漏洞
漏洞通告 | 泛微E-Office10远程代码漏洞 原创 微步情报局 微步在线研究响应中心 2024-03-27 14:01 漏洞概况 E-Office是泛微旗下标准协同办公平台,本着简洁易用、高效智能的原则,致力于为企业打造移动互联的无纸化、数字化办公平台。 微步漏洞团队通过“X 漏洞奖励计划”获取到泛微E-Office10系统远程代码执行漏洞情报(https://x.threatbook.co
继续阅读漏洞分析 | SeaCMS v12.9 中 SQL 注入
漏洞分析 | SeaCMS v12.9 中 SQL 注入 Hebing123 不秃头的安全 2024-03-27 07:26 SeaCMS v12.9 中 SQL 注入 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。 还在学怎么挖通用漏洞和src吗?快来加入星球~私聊有优惠,满100人涨价~ 由 于微信公众号推送机制改变了,快来
继续阅读CVE-2024-27564
CVE-2024-27564 原创 fgz AI与网安 2024-03-27 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 chatgpt pictureproxy.php SSRF 漏洞 02 — 漏洞影响 chatgpt 开源地
继续阅读【红队】Spring漏洞利用工具
【红队】Spring漏洞利用工具 sspsec 贝雷帽SEC 2024-03-27 00:00 免责声明 本公众号所提供的文字和信息仅供学习和研究使用, 请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任 。 工具来自网络,安全性自测,如有侵权请联系删除。 工具介绍 ssp是一个一个用于探测和利用Spring框架中常见漏洞的工具,使用G
继续阅读飞企互联-FE企业运营管理平台ShowImageServlet接口存在任意文件读取漏洞
飞企互联-FE企业运营管理平台ShowImageServlet接口存在任意文件读取漏洞 南风徐来 南风漏洞复现文库 2024-03-26 23:11 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 飞企互联-FE企业运营管理平台简介 微
继续阅读实战 | 黑盒摸鱼意外挖到的0day
实战 | 黑盒摸鱼意外挖到的0day 渗透安全团队 2024-03-26 23:05 前言 ## 一、前言 本文所涉及的漏洞已提交至CNVD并归档,涉及站点的漏洞已经修复,敏感信息已全部打码。## 二、漏洞挖掘过程 随手摸鱼,开局fofa搜一波系统管理然后海选,相中了这个xx系统管理中… 本文所涉及的漏洞已提交至CNVD并归档,涉及站点的漏洞已经修复,敏感信息已全部打码。 二、漏洞挖掘
继续阅读