【安全圈】CVE-2024-21182: 针对严重 WebLogic 漏洞发布 PoC 漏洞利用代码 安全圈 2025-01-05 11:00 关键词 安全漏洞 一名安全研 究人员针对 Oracle WebLogic Server 中的一个关键漏洞 CVE-2024-21182 发布了一个概念验证 (PoC) 漏洞利用程序。 该漏洞被评为 CVSS 7.5 级,受影响系统将面临潜在的破坏性后果,包
继续阅读【漏洞复现】内训宝 SCORM 模块存在任意文件上传漏洞 FL_Clover 网络安全007 2025-01-05 08:26 漏洞介绍 在当今复杂多变的网络安全环境中, 近期发现内训宝 SCORM 模块存在任意文件上传漏洞,该漏洞允许未经授权的用户绕过正常文件上传限制,上传恶意文件。此漏洞影响范围广,会导致安全风险、信息泄露等危害。建议采取紧急修复、加强安全防护、监控检测以及培训教育等措施。 建
继续阅读【安全圈】开源终端工具曝重大安全漏洞,输入信息可能被窃取! 安全圈 2025-01-04 11:00 关键词 漏洞 近日,知名开源终端模拟器的一项安全问题引发关注:其 SSH 集成功能存在关键漏洞,可能导致用户的输入和输出记录被写入远程主机的 /tmp/framer.txt 文件。更为严重的是,该文件对远程主机上的其他用户可见,存在数据泄露风险。 受影响版本 此次漏洞影响范围包括以下版本: 
继续阅读FreeBuf周报 | 超过300万台未加密的邮件服务器暴露;WPA3协议存在安全漏洞 Zicheng FreeBuf 2025-01-04 02:02 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 用户集体起诉Siri“偷听” 1月3日消息,科技巨头苹果公司同意支付950
继续阅读漏洞预警 | 卓软计量业务管理平台任意文件读取漏洞 浅安 浅安安全 2025-01-04 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 卓软计量业务管理平台是一款专为计量测试检定机构设计的信息化管理系统。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: 卓软计量业务管理平台的/HuameiMeas
继续阅读漏洞预警 | 博斯外贸管理软件SQL注入漏洞 浅安 浅安安全 2025-01-04 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 博斯外贸管理软件是一款专为外贸行业设计的企业管理系统,旨在帮助外贸企业优化业务流程,提高工作效率,并实现信息化管理。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 窃取敏感信息 简述: 博斯
继续阅读【oscp】Tr0ll 靶机全系列(1-3),FTP被玩坏了 原创 仙草里没有草噜丶 泷羽Sec 2025-01-03 23:44 ~ 历遍山河,仍觉人间值得 ~ Tr0ll level 1 这里是综合的,前两篇已经发过了1和2,可以直接跳过这里,看level 3,,当然也可以回顾回顾思路,考试的时候指不定就忘了 靶机1,主要是利用了ftp匿名登录 image-20241224010611985
继续阅读大华智能物联综合管理平台RCE远程代码执行漏洞-影响资产8000+| 漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2025-01-03 16:00 0x01 产品简介 大华智能物联综合管理平台,作为浙江大华技术股份有限公司推出的一款集成了多项业务管理功能的平台软件,该平台主要面向智能园区、商业综合体等多种应用场景,旨在提供一个全面、高效的解决方案,为客户提供一套集成、
继续阅读当黑客那些年之帐户接管系列漏洞-案例一斩获1000$ 迪哥讲事 2025-01-03 15:27 当黑客那些年之帐户接管系列漏洞-案例一斩获1000$ 这篇文章将介绍作者在 Hackerone 的私人项目中发现的一个漏洞,该漏洞允许我接管任何用户的账户。 在开始之前,我想先提供一些关于 Host 头的小基础知识。 什么是 HTTP Host 头? HTTP Host 头是 HTTP/1.1 中的必
继续阅读【已复现】Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞(CVE-2024-49113)安全风险通告 奇安信 CERT 2025-01-03 14:18 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows 轻量级目录访问协议 (LDAP) 拒绝服务漏洞 漏洞编号 QVD-2024-50137,CVE-2024-49113 公开时间 2024-12-1
继续阅读大量 Four-Faith 路由器因严重漏洞面临远程攻击风险 河北镌远 河北镌远网络科技有限公司 2025-01-03 10:29 点击“蓝字” 一起来关注我们吧 近日,网络安全公司VulnCheck揭露了一项针对四信(Four-Faith)工业路由器的高风险漏洞,该漏洞被标识为CVE-2024-12856。这一操作系统命令注入错误允许远程攻击者在特定条件下执行任意命令,具体来说,只有当攻击者能够
继续阅读2024年度网络安全热点事件盘点 原创 Hackernews 安全威胁纵横 2025-01-03 09:06 随着2024年的落幕,全球网络安全领域经历了一系列深刻变化和挑战。这一年,我们见证了网络攻击的规模和复杂性达到了前所未有的水平,从勒索软件的全球肆虐到数据泄露事件的惊人规模,网络安全事件的频发不仅考验了各国的安全防御能力,也暴露了数字化世界中的脆弱性。AI技术的双刃剑效应愈发明显,一方面,
继续阅读关于防范Apache Struts2任意文件上传超危漏洞的风险提示 CSTIS 网络安全威胁和漏洞信息共享平台 2025-01-03 09:04 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源应用框架 Apache Struts2 存在任意文件上传超危漏洞,可被恶意利用实现远程代码执行,导致敏感数据泄露和系统受控。 Apache Struts2 是一款开源 Jav
继续阅读[漏洞复现]大*智能物联平台GetClassValue命令执行漏洞 原创 zzz 良月安全 2025-01-03 08:32 免责声明 本公众号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。 漏洞分析 漏洞挺简单的,直接用 Cla
继续阅读文件读取漏洞实战利用 WIN哥学安全 2025-01-03 06:50 点击上方蓝字关注我们 申明:文章仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关。 本文由subjcw师傅发表在奇安信攻防社区 文章地址:https://forum.butian.net/share/4017 Nginx配置文件利用 第一处文件读取,严
继续阅读LDAPNightmare:SafeBreach Labs 发布了 CVE-2024-49113 的第一个概念验证漏洞 Ots安全 2025-01-03 06:49 作者:Or Yair,安全研究团队负责人 | Shahak Morag,研究负责人 Active Directory 域控制器 (DC) 被视为组织计算机网络中的珍宝之一。在 DC 中发现的漏洞通常比在普通工作站中发现的漏洞更为严重。
继续阅读信息安全漏洞周报【第004期】 零零捌信安观察 银天信息 2025-01-03 05:59 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读一省政务信息化项目建设办法印发:风评、密评结果不合格不得申请竣工验收 祺印说信安 2025-01-03 01:46 省政府办公厅关于印发江苏省 省级政务信息化项目建设管理办法的通知 (苏政办发〔2024〕38号) 各市、县(市、区)人民政府,省各委办厅局,省各直属单位: 《江苏省省级政务信息化项目建设管理办法》已经省人民政府同意,现印发给你们,请认真贯彻落实。 江苏省人民政府办公厅 2024年1
继续阅读赛克安全本周漏洞推送(12.28-1.3)涉及致翔 OA、校盈家财务管理平台、明源云-售楼管理系统v5.0、平升水库系统漏洞 原创 马赛克安全实验室 马赛克安全实验室 2025-01-03 01:14 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系
继续阅读上周关注度较高的产品安全漏洞(20241223-20241229) 金瀚信安 2025-01-03 00:45 一、境外厂商产品漏洞 1、 Adobe Animate空指针解引用漏洞(CNVD-2024-48894) Adobe Animate是美国奥多比(Adobe)公司的一套Flash动画制作软件。Adobe Animate存在空指针解引用漏洞,攻击者可利用该漏洞在当前用户的环境中执行任意代码
继续阅读7-Zip 零日漏洞据称已在网上泄露 铸盾安全 河南等级保护测评 2025-01-03 00:10 据称,一名在 X 上使用别名“NSA_Employee39”的黑客泄露了一个严重的 7-Zip 零日漏洞,当受害者的机器使用最新版本的 7-Zip 打开或解压时,该漏洞可允许攻击者在受害者的机器上执行任意代码。 这一披露带来了重大的网络安全风险,特别是在信息窃取恶意软件扩散和潜在供应链攻击载体的背景
继续阅读【漏洞复现】朗速ERP后台管理系统FileUploadApi接口文件存在文件上传漏洞||附POC FL_Clover 网络安全007 2025-01-03 00:01 漏洞介绍 在当今复杂多变的网络安全环境中,朗速ERP后台管理系统中的FileUploadApi接口文件存在文件上传漏洞,攻击者可利用该漏洞上传恶意文件,进而控制服务器或窃取企业敏感信息。为保障系统安全,请尽快对该接口进行修复,并加强
继续阅读漏洞预警 | Adobe ColdFusion反序列化漏洞 浅安 浅安安全 2025-01-03 00:00 0x00 漏洞编号 – # CVE-2024-53961 0x01 危险等级 – 高危 0x02 漏洞概述 Adobe ColdFusion是一个快速应用程序开发平台,其运行的CFML针对Web应用的一种脚本语言。 0x03 漏洞详情 CVE-2024-53961
继续阅读漏洞预警 | 用友BIP信息泄露漏洞 浅安 浅安安全 2025-01-03 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友BIP是以数智平台+十大领域的场景服务+大规模生态为基本产品形态的融合服务群。 0x03 漏洞详情 漏洞类型: 信息泄露 影响: 获取敏感信息 简述: 用友BIP的/bi/api/Portal/Get
继续阅读漏洞预警 | 用友NC XML实体注入漏洞 浅安 浅安安全 2025-01-03 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。 0
继续阅读超300万台未加密邮件服务器暴露,用户数据面临严重威胁! 原创 网空闲话 网空闲话plus 2025-01-02 23:09 据BleepingComputer网站2025年1月2日引述网络安全监控平台ShadowServer报告的数据,称报告揭示了一个令人震惊的事实:全球超过300万台未启用TLS加密的POP3和IMAP邮件服务器暴露在互联网上,用户数据正面临严重的嗅探攻击风险。这些服务器在传输
继续阅读【活动】你没看错,通用漏洞全年3倍奖励! 原创 邀您全年专测的 京东安全应急响应中心 2025-01-02 12:00 2025 JSRC白帽成长体系 奖励已上线! 快去JSRC官网看看,你是什么等级守卫? 🐍 蛇年新气象,开工大吉!🐍 🚀 活动风暴,即刻来袭!🚀 🌟 三倍惊喜,全年狂欢! 🌟 2025JSRC下血本啦! 活动时间 2025年1月2日 20:00 – 12月31日 24
继续阅读新的“DoubleClickjacking”漏洞可绕过网站的劫持保护 老布 FreeBuf 2025-01-02 11:54 安全专家揭示了一种新型的“普遍存在的基于时间的漏洞”,该漏洞通过利用双击操作来推动点击劫持攻击及账户接管,几乎波及所有大型网站。这一技术已被安全研究员Paulos Yibelo命名为“DoubleClickjacking”。 Yibelo指出:“它并非依赖单一点击,而是利用
继续阅读防范XXE漏洞:XXE攻击详解与应对策略 原创 todobest SDL安全 2025-01-02 11:48 一、XXE 漏洞概述 XML(可扩展标记语言)是一种用于标记电子文件的结构化语言,它能够对数据进行标记并定义数据类型。XML允许用户自定义标记语言,因此在数据交换和存储中被广泛使用。 1.1 XML 文档结构 XML文档的基本结构包括以下几个部分: 1. XML 声明 :指定 XML 的
继续阅读【安全圈】新的“DoubleClickjacking”漏洞可绕过网站的劫持保护 安全圈 2025-01-02 11:00 关键词 安全漏洞 安全专家揭示了一种新型的“普遍存在的基于时间的漏洞”,该漏洞通过利用双击操作来推动点击劫持攻击及账户接管,几乎波及所有大型网站。这一技术已被安全研究员Paulos Yibelo命名为“DoubleClickjacking”。 Yibelo指出:“它并非依赖单一
继续阅读