速修复!ConnectWise ScreenConnect 中存在多个严重漏洞
速修复!ConnectWise ScreenConnect 中存在多个严重漏洞 THN 代码卫士 2024-02-21 18:23 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 ConnectWise 发布软件更新,修复了位于 ScreenConnect 远程桌面和访问软件中的两个漏洞,其中一个严重漏洞可导致在受影响系统上远程执行代码的后果。 这些漏洞目前尚无 CVE 编号,具体如下: 通
继续阅读标签: 代码
2024 想要 0day 多多?我这有份小秘籍!带你手把手挖掘 Java 系统漏洞。
2024 想要 0day 多多?我这有份小秘籍!带你手把手挖掘 Java 系统漏洞。 闪石星曜安全团队 闪石星曜CyberSecurity 2024-02-21 18:16 成长与学习 是个自知的事情 00 课程简介 由【闪石星曜CyberSecurity】云渡师傅出品的《Java代码审计零基础到实战》的线上培训课程,终于上线了! 还不会 Java 代码审计?那就别着急划走,花两分钟看看,这正是你
继续阅读2023 年度最𠓗的漏洞
2023 年度最𠓗的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-21 18:01 𠓗 fù,疾也,从三兔。 在过去的兔年,我们将“最𠓗漏洞”的名号颁予HTTP2 Rapid Reset漏洞,其对新版协议缺陷的巧妙利用再次生动展现了漏洞利用中速度 与激情 的主旋律。 国外头部厂商的抱团和修复速度更堪比疯狂动物城中的兔警官朱迪,相比之下其他懵圈的受影响机构却没有及时收到通报,像闪电树懒一样
继续阅读CrateDB数据库任意文件读取漏洞复现-CVE-2024-24565
CrateDB数据库任意文件读取漏洞复现-CVE-2024-24565 小白菜安全 小白菜安全 2024-02-21 17:30 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏
继续阅读Bricks WordPress网站生成器中存在RCE漏洞,黑客正在积极利用
Bricks WordPress网站生成器中存在RCE漏洞,黑客正在积极利用 网络安全应急技术国家工程中心 2024-02-21 16:29 国外媒体近期披露,威胁攻击者正在积极利用 Brick Builder 中的关键远程代码执行 (RCE) 漏洞,在易受攻击的网站上执行恶意 PHP 代码。 Bricks Builder 是一个高级 WordPress 插件,被“誉为”是创新的、社区驱动的可视化
继续阅读记一次违法网站的渗透经历-漏洞挖掘
记一次违法网站的渗透经历-漏洞挖掘 漏洞挖掘 渗透安全HackTwo 2024-02-21 07:54 0x01 前言 在一次攻防演练信息收集过程中,发现该网站和给的资产网站是同一IP段于是有了此次违法站点的渗透 。 末尾可领取字典等资源文件 0x02 SQL漏洞发现到站点进行访问利用插件查看站点为php。常规扫目录前台一键登录之后在新增地址处发现存在注入0x03 进一步漏洞利用
继续阅读泛微e-office系统存在敏感信息泄露 附POC软件
泛微e-office系统存在敏感信息泄露 附POC软件 南风徐来 南风漏洞复现文库 2024-02-20 23:37 @[toc] 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 泛微e-office系统简介 微信公众号搜索:南风漏洞复
继续阅读工具 | JumpServer堡垒机综合漏洞利用
工具 | JumpServer堡垒机综合漏洞利用 渗透安全团队 2024-02-20 23:18 由于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 工具简介 JumpServer 堡垒机未授权综合漏洞利用, Exploit for CVE-2023-42442 / CVE-2023-42820 / RCE 2021 未授权任意用户密码重置 (CVE-2023-42820) 未授权一键
继续阅读微软2月补丁星期二值得关注的漏洞
微软2月补丁星期二值得关注的漏洞 综合编译 代码卫士 2024-02-20 22:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在2024年2月补丁星期二修复了73个漏洞和2个已遭利用的 0day 漏洞。 本轮共修复5个严重漏洞,含拒绝服务、远程代码执行、信息泄露和提权类别的漏洞。修复的漏洞类别和数量如下: 16个提权漏洞 3个安全特性绕过漏洞 30个远程代码执行漏洞 5个信息泄
继续阅读CVE-2024-20931|Oracle WebLogic Server JNDI注入漏洞
CVE-2024-20931|Oracle WebLogic Server JNDI注入漏洞 alicy 信安百科 2024-02-20 22:13 0x00 前言 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务
继续阅读CVE-2024-21413|Microsoft Outlook 远程代码执行漏洞(需结合其他漏洞)
CVE-2024-21413|Microsoft Outlook 远程代码执行漏洞(需结合其他漏洞) alicy 信安百科 2024-02-20 22:13 0x00 前言 Microsoft Office Outlook是微软办公软件套装的组件之一,它对Windows自带的Outlook express的功能进行了扩充。 Outlook的功能很多,可以用它来收发电子邮件、管理联系人信息、记日记、
继续阅读子域名接管漏洞: 赚钱小技巧
子域名接管漏洞: 赚钱小技巧 原创 110hacker 一个不正经的黑客 2024-02-20 21:58 本文将介绍实际接管“易受攻击”的子域的过程。 我注意到,多个漏洞赏金计划开始明确接收子域名接管漏洞。同时,说实话,奖励也相当丰厚: 尽管许多漏洞赏金计划很慷慨,但它们要求您提供确实可能进行接管的概念验证。 在本文中,我将解释如何验证子域名接管是否可能,并为您提供step-by-step in
继续阅读【漏洞预警】Apache Camel JDBCAggregationRepository反序列化漏洞
【漏洞预警】Apache Camel JDBCAggregationRepository反序列化漏洞 cexlife 飓风网络安全 2024-02-20 21:25 漏洞描述:Apache Camel 是开源的系统间数据交互集成框架,在受影响版本中,由于对JDBCAggregationRepository中exchange的实现存在未限制的反序列化逻辑,当攻击者可控制数据库中exchange字段值
继续阅读【风险通告】Spring Security身份验证绕过漏洞(CVE-2024-22234)
【风险通告】Spring Security身份验证绕过漏洞(CVE-2024-22234) 安恒研究院 安恒信息CERT 2024-02-20 20:41 漏洞概述 漏洞名称 Spring Security身份验证绕过漏洞(CVE-2024-22234) 安恒CERT评级 3级 CVSS3.1评分 7.4 CVE编号 CVE-2024-22234 CNVD编号 未分配 CNNVD编号 未分配 安恒
继续阅读华莱士领券活动漏洞,任意用户可领取免费套餐券,官方已报警
华莱士领券活动漏洞,任意用户可领取免费套餐券,官方已报警 原创 myh0st 信安之路 2024-02-20 18:55 2 月 19 日晚,华莱士官方微博发布紧急声明,2 月 18 日,华莱士自助点餐小程序的本属于储值用户专享的免费套餐券被非法领取,且非法领取的套餐券将被作废处理,详细如图: 也有网友晒图,确实被领取且兑换了套餐: 从专业角度来看这个事儿,活动规则是这样的: 用户充值对应的金额可
继续阅读「深蓝洞察」2023 年度最野的漏洞
「深蓝洞察」2023 年度最野的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-20 17:58 随 着37C3欧洲混沌通讯年会上,来自俄罗斯的卡巴斯基研究员对 Operation Triangulation(三角测量行动)漏洞利用链震惊世界的曝光,安全社区在 2023 年底迎来一轮大狂欢。 2023 可能是持续不断的数字安全战争的关键一年。 2018 年,苹果公司在 iPhone XS
继续阅读漏洞通告 | Apache Solr 代码执行漏洞
漏洞通告 | Apache Solr 代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-02-20 10:48 01 漏洞概况**** Apache Solr是一个基于Java开发的高性能全文搜索服务器,是Apache Lucene项目的开源企业搜索平台。它提供了丰富的查询语言、可配置、可扩展的特性,并对索引、搜索性能进行了优化。近日,微步漏洞团队监测到Apache Solr 发布安
继续阅读Android、佳能漏洞已修复,Fortinet警告零日漏洞
Android、佳能漏洞已修复,Fortinet警告零日漏洞 原创 何威风 祺印说信安 2024-02-19 00:00 谷歌周一宣布修复 Android 中的 46 个漏洞,其中包括一个导致远程代码执行的严重错误。 该漏洞编号为 CVE-2024-0031,影响 Android 开源项目 (AOSP) 版本 11、12、12L、13 和 14,已在平台的系统组件中发现。 谷歌在其公告 中解释说:
继续阅读java代码审计之SQL注入漏洞
java代码审计之SQL注入漏洞 原创 goddemon goddemon的小屋 2024-02-19 00:00 Part1 前言: 开更文章了,开一个关于Java代码审计相关的系列。 本来是想写成一本书的模式的,但是越写越发觉,篇幅太多,想了下还是每个专题单独写,而后最后汇总到一起。 慢慢写,基于笔者的理解抒写,如有问题,忘斧正。 关于这个系列不会可能有些不会写修复方案,也不会写得特别细,这类
继续阅读【赏金猎人】折扣政策绕过漏洞
【赏金猎人】折扣政策绕过漏洞 原创 Fighter001 重生者安全 2024-02-18 23:59 前言:这是在私人计划发现的bug, Target: https ://bhojdeals.com这篇文章会演示:未经授权的操作漏洞,绕过 Waf 和防火墙安全,未经身份验证的优惠券创建漏洞,价格操纵漏洞,价格调节漏洞。 点击My account来到个人订单这里,选择1285.00这个订单 输入
继续阅读一款Jenkins的综合漏洞利用工具
一款Jenkins的综合漏洞利用工具 渗透安全团队 2024-02-18 22:50 0x01 工具介绍一款Jenkins的综合漏洞利用工具。0x02 安装与使用下载windows_tools或linux_tools并放在与JenkinsExploit-GUI-*-SNAPSHOT.jar相同的目录。0x03 链接下载翻到文章最底部点击“阅读原文”下载链接★付费圈子欢 迎 加 入 星 球 !代码审
继续阅读漏洞挖掘|日常挖洞之渗透失败经历
漏洞挖掘|日常挖洞之渗透失败经历 迪哥讲事 2024-02-18 22:16 0x01 前言叙述 此次挖洞经历熟悉的配方,但是每次都是到最后一步就渗透上去了,特别难受,简单捡了几个中高危漏洞,厂商来自某IDC服务商及汽车经销,后续漏洞已提交 先查一下SEO,免得官方不收(起码也学到东西了) *本文涉及到相关漏洞已报送厂商并修复,本文仅限技术讨论和研究,严禁用于非法用途,否则产生后果自行承担** 0
继续阅读Panalog日志代码审计(0Day)
Panalog日志代码审计(0Day) 原创 Ambition 进击安全 2024-02-18 20:39 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 0x00 前言 看到挺多公众号都在发这一个系统,并且之前自己审计出来的一些漏洞也都相继爆出来了,今天我也来一个相关的审计流程。 0
继续阅读漏洞复现-WordPress HTML5 Video Player SQL注入漏洞(CVE-2024-1061)附POC
漏洞复现-WordPress HTML5 Video Player SQL注入漏洞(CVE-2024-1061)附POC Yi安全 2024-02-18 20:02 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感
继续阅读Panalog日志审计系统 libres_syn_delete.php命令执行漏洞
Panalog日志审计系统 libres_syn_delete.php命令执行漏洞 小白菜安全 小白菜安全 2024-02-18 19:19 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除
继续阅读13000 多个 Ivanti 终端易受安全漏洞的影响
13000 多个 Ivanti 终端易受安全漏洞的影响 疯狂冰淇淋 FreeBuf 2024-02-18 18:56 Bleepingcomputer网站消息,数千个Ivanti Connect Secure和Policy Secure终端仍然易受到一个多月前首次披露的多个安全漏洞的影响。目前,这些漏洞已由供应商逐步修复。 影响终端的漏洞包括CVE-2024-22024、CVE-2023-4680
继续阅读SolarWinds 曝出五个严重的 RCE 漏洞
SolarWinds 曝出五个严重的 RCE 漏洞 小王斯基 FreeBuf 2024-02-18 18:56 左右滑动查看更多 SolarWinds 近期修补了 Access Rights Manager (ARM) 解决方案中的五个远程代码执行 (RCE) 漏洞,其中包括三个允许未经验证利用的严重安全漏洞! 漏洞详情 CVE-2024-23476 和 CVE-2024-23479 安全漏洞由于
继续阅读一个叹号可导致任意代码执行,Windows生态系统也曝“log4j漏洞”
一个叹号可导致任意代码执行,Windows生态系统也曝“log4j漏洞” 看雪学苑 看雪学苑 2024-02-18 17:59 据Check Point Research官网博客,其最近一项研究揭示了Microsoft Outlook中的一个重大安全漏洞,允许攻击者在受害者的计算机上执行任意代码。微软已确认此漏洞,并且给予了该漏洞9.8分(满分10分)的CVSS严重性评分。 Outlook是Mic
继续阅读Jenkins RCE 漏洞目前已公布
Jenkins RCE 漏洞目前已公布 胡金鱼 嘶吼专业版 2024-02-18 14:00 Jenkins是一种开源自动化服务器,广泛用于软件开发,特别是持续集成 (CI) 和持续部署 (CD)。它在自动化软件开发过程的各个部分(例如构建、测试和部署应用程序)方面发挥着关键作用,支持着一千多个集成插件,可供各种规模的组织或大型企业使用。 SonarSource研究人员在Jenkins中发现了两个
继续阅读JDBC漏洞利用之文件读取
JDBC漏洞利用之文件读取 sule01u 黑伞安全 2024-02-18 10:45 JDBC漏洞利用之文件读取 前序 开局放上一张云舒的一条老微博截图,if 你还不知道这个图中文字啥意思,then 就跟作者一起来一探究竟吧 What is JDBC JDBC的全称是Java数据库连接(Java Database connect),它是一套用于执行SQL语句的Java API。应用程序可通过这套
继续阅读