CVE-2023-36025 Windows SmartScreen安全功能绕过漏洞分析 原创 天元实验室 M01N Team 2023-12-20 18:00 摘要 CVE-2023-36025是微软于11月补丁日发布的安全更新中修复Windows SmartScreen安全功能绕过漏洞。攻击者可以通过诱导用户单击特制的URL来利用该漏洞,对目标系统进行攻击。成功利用该漏洞的攻击者能够绕过Win
继续阅读【已复现】金蝶天燕远程代码执行漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-12-20 16:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 金蝶天燕远程代码执行漏洞 漏洞编号 QVD-2023-48081 公开时间 2023-12-19 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 9.8 威胁类型 代码执行 利用可能性 高 PO
继续阅读不靠谱的补丁!补丁再次被绕过-声音文件触发的Microsoft Outlook零点击漏洞链 网络安全应急技术国家工程中心 2023-12-20 15:15 Akamai的安全研究人员正在分享Microsoft今年早些时候针对Outlook零点击远程代码执行漏洞发布的补丁的多个绕过细节。最初的问题被追踪为CVE-2023-23397,在俄罗斯国家支持的黑客组织在野外利用该问题大约一年后,微软于202
继续阅读漏洞复现 || 奥威亚视屏云平台VideoCover任意文件上传 韩文庚 我爱林 2023-12-20 07:07 免责声明 我爱林攻防研究院的技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负
继续阅读用友U8 CRM系统help2 任意文件读取漏洞 原创 安全透视镜 网络安全透视镜 2023-12-20 07:00 一、漏洞描述 用友U8+经过20多年的市场锤炼,不断贴近客户需求,以全新UAP为平台,应对中型及成长型企业客户群的发展,提供的是一整套企业级数智化升级解决方案,为成长型企业构建精细管理、产业链协同、社交化运营为一体的企业互联网经营管理平台,助力企业应势而变。g该系统help2文件中
继续阅读记录一次某SRC的SSRF挖掘-top10漏洞挖掘 原创 漏洞挖掘 渗透安全HackTwo 2023-12-20 00:00 0x01前言 Sentry中Enable JavaScript source fetching(源码预获取)的选项是默认打开的,这个选项的作用是去抓取上报的错误JSON中的stack trace中的filename对应的url对应的代码,所以部署sentry的服务器会盲目的
继续阅读【漏洞复现】红帆OA iorepsavexml 任意文件上传漏洞 原创 ZJyang 蚁剑安全实验室 2023-12-19 22:47 免责声明:该文章仅用于技术讨论与学习。请勿利用文章所提供的相关技术从事非法测试,若利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关。 漏洞名称 红帆 OA iorepsavexml
继续阅读jeecg-boot/积木报表系统testConnection接口存在远程命令执行漏洞 附POC 原创 南风徐来 南风漏洞复现文库 2023-12-19 22:44 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. jeecg-boot/
继续阅读微软在 Perforce Helix 核心服务器中发现4个安全漏洞 信息安全大事件 2023-12-19 22:13 微软分析师在对Perforce Helix的游戏开发工作室产品进行安全审查时,发现为游戏、政府、军事和技术等部门广泛使用的源代码管理平台 Perforce Helix Core Server 存在四大漏洞,并于今年 8 月底向 Perforce 报告了这些漏洞,其中一个漏洞被评为严
继续阅读【漏洞预警】Zabbix代码执行漏洞CVE-2023-32727 cexlife 飓风网络安全 2023-12-19 21:42 漏洞简述:Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等,近日监测到Zabbix中修复了一个icmpping()代码执行漏洞(CVE-2023-32727),其CVSS评分为6.8。有权配置
继续阅读【复现】 金蝶天燕未授权远程代码执行漏洞风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2023-12-19 20:25 赛博昆仑漏洞安全通告- 金蝶天燕未授权远程代码执行漏洞风险通告 漏洞描述 金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款标准、安全、高效、集成并具丰富功能的企业级应用服务器软件,全面支持JakartaEE8/9的技术规范,提供
继续阅读任意文件下载漏洞的利用思考 WIN哥学安全 2023-12-19 20:21 0x01 前言 任意文件下载漏洞作为最常见的WEB漏洞之一,在平常的渗透测试中经常遇到,但是很多人却并没有深入去想该如何利用这种漏洞,导致忽略了一些细节的信息。 0x02传统利用 1) 下载配置文件连数据库 通过任意文件下载漏洞下载网站配置文件,利用数据库配置信息远程连接数据库。 php:通过读取当前页面源码反向查找数据
继续阅读云时空社会化商业ERP系统任意文件上传漏洞 原创 安全透视镜 网络安全透视镜 2023-12-19 19:56 一、漏洞描述 云时空商业ERP以大型集团供应链系统为支撑,是基于互联网技术的多渠道模式营销服务管理体系,可以整合线上和线下交易模式,覆盖企业经营管理应用各个方面。有效掌控全流程情况,敏捷捕捉消费者需求,快速响应市场变化,规避经营风险,以市场为导向,优化部署营销资源,协同产销、供应与服务,
继续阅读新南威尔士大学 | DeepWukong-基于图神经网络的软件漏洞静态检测方法 原创 soda 安全学术圈 2023-12-19 19:24 原文标题:DeepWukong: Statically Detecting Software Vulnerabilities Using Deep Graph Neural Network原文作者:XIAO CHENG, HAOYU WANG, JIAYI
继续阅读【安全圈】微软审查发现Perforce Helix Core Server四个漏洞 安全圈 2023-12-19 19:00 关键词 安全漏洞 最近,Perforce Helix Core Server 披露了四个安全漏洞,其中一个被评定为“关键级别”的漏洞。 4个漏洞—— CVE-2023-5759(CVSS 评分 7.5):通过滥用 RPC 标头,实现未经身份验证 (DoS)。 CVE-202
继续阅读S2-045远程代码执行漏洞(CVE-2017-5638) 巢安实验室 巢安实验室 2023-12-19 18:04 漏洞简介 S2-045(CVE-2017-5638)是指Apache Struts 2框架中存在的一个严重的安全漏洞,该漏洞允许攻击者通过精心构造的恶意请求执行远程代码。这个漏洞的原理涉及到Apache Struts 2框架的文件上传组件(FileUploadInterceptor
继续阅读微软:热门源代码管理平台 Perforce Helix Core Server 中存在RCE漏洞 Bill Toulas 代码卫士 2023-12-19 17:47 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 微软在游戏、政府、军队和技术行业都在使用的源代码管理平台 Perforce Helix Core Server 上发现了四个漏洞,其中一个是严重等级。 微软公司的分析师对该
继续阅读新3年旧3年又3年,堪比 Spring4Shell 的 GWT RCE 漏洞仍无补丁 Becky Bracken 代码卫士 2023-12-19 17:47 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 距离第一次被发现过了超过8年后,游荡在热门开源应用框架 Google Web Toolkit (GWT) 中的未认证 Java 反序列化漏洞至今仍未被修复,易受攻击的应用可能需要根
继续阅读漏洞通告 | 金蝶Apusic应用服务器远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-12-19 16:59 01 漏洞概况**** 金蝶Apusic应用服务 器(Kingdee Apusic Application Server)是金蝶软件推出的一款企业级Java应用服务器。它提供了一个稳定、高效、可扩展的运行环境,用于部署和管理企业级Java应用程序。 微步漏洞团队监测到
继续阅读上周关注度较高的产品安全漏洞(20231211-20231217) 国家互联网应急中心CNCERT 2023-12-19 15:40 一、境外厂商产品漏洞 1、 Linux kernel nft_dynset_init函数拒绝服务漏洞 Linux kernel 是美国 Linux 基金会的开源操作系统 Linux 所使用的内核。 Linux kernel 存在拒绝服务漏洞,该漏洞源于函数 nft_
继续阅读Xstream反序列化漏洞 白帽子 2023-12-19 00:00 Xstream简介 XStream是Java类库,用来将对象序列化成XML (JSON)或 反序列化 为对象。 说白了就是我们可以将Java对象转换为XML,也可以将XML字符串转换为Java对象。 Xstream反序列化原理 XStream实现了一套序列化和反序列化机制,核心是通过Converter转换器来将XML和对象之间进
继续阅读【Web渗透】暴力破解漏洞 Whoami 晨曦安全团队 2023-12-18 23:59 “暴力破解 ”是一种攻击手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具进行自动化操作。理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间
继续阅读I Doc View在线文档预览系统存在任意文件读取漏洞 附POC 南风漏洞复现文库 2023-12-18 23:33 I Doc View在线文档预览系统存在任意文件读取漏洞 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. I Do
继续阅读思福迪Logbase运维安全管理系统test_qrcode_b接口存在远程命令执行漏洞 附POC 南风漏洞复现文库 2023-12-18 23:33 @[toc] 思福迪Logbase运维安全管理系统test_qrcode_b接口存在远程命令执行漏洞 附POC 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人
继续阅读Windows客户端漏洞挖掘(红队角度) 渗透安全团队 2023-12-18 22:56 0x01 前言 周五的时候看了key佬的演讲受益良多呀,来水水,写下目前针对Windows客户端类程序的部分挖掘入口吧,然后分享一下随手挖的很简单很简单的案例。 传统客户端 监听类的: 这里说的监听类的,指的就是安装客户端后启动的端口服务,这个思路WEB、设备类的0Click几乎都是这样,Windows客户端
继续阅读【漏洞通告】Apache Dubbo多个漏洞安全通告 深瞳漏洞实验室 深信服千里目安全技术中心 2023-12-18 20:30 漏洞名称: Apache Dubbo多个漏洞安全通告 组件名称: Apache Dubbo 安全公告链接: https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77 https://lists.ap
继续阅读[CTF复现计划]2023强网杯初赛 thinkshop[ping] Dest0g3 Team 2023-12-18 18:47 前言 “大头SEC”公众号专注于CTF、AWD、AWD Plus、RDG等竞赛题目复现。 在“大头SEC”公众号正式开始运营以前,“CTF复现计划”已经运营了一段时间,“CTF复现计划”旨在解决各位CTFer在赛后因平台关闭导致无法复现的问题。截止10月18日,“CTF
继续阅读【高危漏洞预警】Apache Dubbo 反序列化漏洞CVE-2023-29234 cexlife 飓风网络安全 2023-12-18 18:29 漏洞描述: Apache Dubbo 是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力,使应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成,Apache Dubbo 某些版本在解码恶意包时存在反序
继续阅读CVE-2023-25157:GeoServer OGC Filter SQL注入漏洞 原创 lyc Timeline Sec 2023-12-18 18:10 关注我们❤️,添加星标🌟,一起学安全!作者:lyc@Timeline Sec 本文字数:1296 阅读时长:2~4min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 GeoServer是OpenGIS Web
继续阅读Apache Dubbo多个反序列化漏洞安全风险通告 奇安信 CERT 2023-12-18 17:04 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Dubbo多个反序列化漏洞 漏洞编号 CVE-2023-29234、CVE-2023-46279 公开时间 2023-12-15 影响对象数量级 十万级 奇安信评级 高危 CVSS 评分 7.7、8.1 威胁类型
继续阅读