PbootCMS V3.2.9前台SQL注入漏洞(上)
PbootCMS V3.2.9前台SQL注入漏洞(上) 原创 烽火台实验室 Beacon Tower Lab 2024-12-17 09:30 0x01 前言 PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的PHP CMS源码,能够满足各类企业网站开发建设的需要。系统采用简单到想哭的模板标签,只要懂HTML就可快速开发企业网站。官方提
继续阅读标签: 信息泄露
CVSS漏洞评分系统曝出严重缺陷
CVSS漏洞评分系统曝出严重缺陷 GoUpSec 2024-12-17 02:19 随着漏洞披露量的持续增长和攻击复杂性的提升,准确的风险评估对于企业防御和漏洞修复至关重要。在近日举行的Black Hat欧洲大会上,金融巨头摩根大通的网络安全专家发出警告:当前广泛使用的漏洞严重性评估系统——通用漏洞评分系统(CVSS)存在重大缺陷,可能导致安全团队对漏洞风险误判,从而延长漏洞的暴露时间,增加组织面
继续阅读上周关注度较高的产品安全漏洞(20241209-20241215)
上周关注度较高的产品安全漏洞(20241209-20241215) 国家互联网应急中心CNCERT 2024-12-17 02:02 一、境外厂商产品漏洞 1、IBM Cognos Controller跨站请求伪造漏洞 IBM Cognos Controller是美国国际商业机器(IBM)公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。 参考链接:h
继续阅读利用GitLab漏洞,美国比特币ATM巨头Byte Federal数据泄露
利用GitLab漏洞,美国比特币ATM巨头Byte Federal数据泄露 汇能云安全 2024-12-17 01:30 12月17日,星期二,您好!中科汇能与您分享信息安全快讯: 01 利用GitLab漏洞,美国比特币ATM巨头Byte Federal数据泄露 近期,美国最大的比特币ATM运营商Byte Federal披露了数据泄露事件,黑客利用GitLab漏洞入侵系统,泄露了58000名客户数
继续阅读【漏洞预警】蓝凌OA-thirdimsyncforkkwebservice-文件读取
【漏洞预警】蓝凌OA-thirdimsyncforkkwebservice-文件读取 原创 马赛克安全实验室 马赛克安全实验室 2024-12-17 01:07 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用
继续阅读文件传输平台Cleo零日漏洞,Clop团伙声称对数据盗窃攻击负责
文件传输平台Cleo零日漏洞,Clop团伙声称对数据盗窃攻击负责 E安全 2024-12-17 01:02 E安全消息,Clop勒索软件团伙已向BleepingComputer证实,他们是最近Cleo数据盗窃攻击的幕后黑手,利用零日漏洞入侵公司网络并窃取数据。 Cleo是管理文件传输平台Cleo Harmony、VLTrader和LexiCom的开发商,企业使用这些平台与商业伙伴安全地交换文件。
继续阅读以色列公司 Cellebrite 利用安卓 0day漏洞进行间谍软件攻击
以色列公司 Cellebrite 利用安卓 0day漏洞进行间谍软件攻击 会杀毒的单反狗 军哥网络安全读报 2024-12-17 01:00 导读 研究人员发现了一个安卓 0day 漏洞,该漏洞被用于悄悄部署针对塞尔维亚记者的定制监控间谍软件。调查显示,该技术与以色列取证供应商 Cellebrite 有关。 在周一发布的一份技术报告中,该组织详细介绍了一种名为“NoviSpy”的新间谍软件感染记者
继续阅读主动安全策略的 3 个组成部分
主动安全策略的 3 个组成部分 三沐 三沐数安 2024-12-17 00:30 您的组织可能已部署了多种网络安全防御措施,但仅靠防御措施不足以保护您免受当今多方面的网络攻击。主动添加一层攻击性安全评估和测试有助于您在系统漏洞被利用之前找出漏洞。主动安全措施可帮助您通过以下方式领先于攻击者: – 识别环境中的漏洞和潜在攻击路径 – 量化它们对重要资产造成的风险 –
继续阅读漏洞预警 | Mitel MiCollab身份验证绕过漏洞
漏洞预警 | Mitel MiCollab身份验证绕过漏洞 浅安 浅安安全 2024-12-17 00:00 0x00 漏洞编号 – # CVE-2024-41713 0x01 危险等级 – 高危 0x02 漏洞概述 Mitel MiCollab是一个企业协作平台,它将各种通信工具整合到一个应用程序中,提供语音和视频通话、消息传递、状态信息、音频会议、移动支持和团队协作功能
继续阅读HOST碰撞漏洞挖掘技巧,可以解决日常99%的问题!
HOST碰撞漏洞挖掘技巧,可以解决日常99%的问题! 原创 牛叫瘦 HACK之道 2024-12-17 00:00 引言 在网络安全领域,各种漏洞的挖掘与防护始终是攻防双方关注的焦点。其中,HOST碰撞漏洞(也称为主机名冲突漏洞或HTTP Host头注入漏洞)作为一种常见的网络攻击手段,因其能够绕过访问控制、访问未经授权的资源等特性,备受攻击者青睐。本文将从HOST碰撞漏洞的原理、可能存在的地方、
继续阅读电子资料管理系统 ImageUpload.ashx 任意文件上传漏洞
电子资料管理系统 ImageUpload.ashx 任意文件上传漏洞 Superhero nday POC 2024-12-16 18:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即
继续阅读未来五年网络安全最具潜力的十大方向
未来五年网络安全最具潜力的十大方向 原创 承影 兰花豆说网络安全 2024-12-16 16:01 关注兰花豆,探讨网络安全 网络安全问题是一个不断变化的命题,受技术迭代、业务场景变化、客户需求及政策等多种因素的影响。无论从攻防对抗的角度,还是从保障业务的角度来看,网络安全都在动态演进中寻找平衡与突破。在未来五年,以下十大方向可能成为网络安全领域最具潜力的重点。 AI安全 人工智能(AI)正推动第
继续阅读某数AnyShare信息泄露漏洞检测脚本(12月16日更新)
某数AnyShare信息泄露漏洞检测脚本(12月16日更新) Bu0uCat 网络安全者 2024-12-16 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
继续阅读【漏洞预警】Menlo Security Menlo On-Premise Appliance安全漏洞
【漏洞预警】Menlo Security Menlo On-Premise Appliance安全漏洞 cexlife 飓风网络安全 2024-12-16 14:16 漏洞描述: 在MеnlоOn-Prеmise Aррliаnсе的2.88版本之前,网络策略可能无法一致地正确应用于故意构造的畸形客户端请求,这个问题在2.88.2+、2.89.1+和2.90.1+版本中已修复。 Menlo On-
继续阅读【安全圈】iOS和macOS系统曝关键漏洞,可破坏TCC框架
【安全圈】iOS和macOS系统曝关键漏洞,可破坏TCC框架 安全圈 2024-12-16 11:00 关键词 安全漏洞 近日,苹果iOS和macOS系统中被曝光一个关键的安全漏洞,若被成功利用,可能会绕过透明度、同意和控制(TCC)框架,导致用户敏感信息被未经授权访问。漏洞编号CVE-2024-44131,存在于文件提供组件中,苹果通过在iOS 18、iPadOS 18和macOS Sequoi
继续阅读每周网安资讯 (12.10-12.16)|7-zip存在整数下溢或超界折返漏洞
每周网安资讯 (12.10-12.16)|7-zip存在整数下溢或超界折返漏洞 交大捷普 2024-12-16 10:14 2024[ 每周网安资讯 ]12.10-12.16 网安资讯 1、中国计算机学会首届中国数字金融大会开幕 2024年12月7日,由中国计算机学会(CCF)主办,CCF数字金融分会、同济大学、上海立信会计金融学院联合承办的CCF首届中国数字金融大会在上海开幕,以“创新·融合·安
继续阅读警惕!微软Azure MFA漏洞曝光:数百万用户面临安全风险
警惕!微软Azure MFA漏洞曝光:数百万用户面临安全风险 安全客 2024-12-16 09:51 最近,Oasis Security的研究团队揭示了一个严重的漏洞,影响了微软Azure的多因素身份验证(MFA)系统,可能使数百万用户的敏感信息面临被攻击的风险。该漏洞允许攻击者在没有用户交互或通知的情况下,轻松获得对Outlook电子邮件、OneDrive文件、Teams聊天和Azure云服务
继续阅读【漏洞文章】JeecgBoot 任意用户密码重置
【漏洞文章】JeecgBoot 任意用户密码重置 1ang 小羊安全屋 2024-12-16 06:23 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PART 漏洞
继续阅读玩儿转网站备份泄漏漏洞
玩儿转网站备份泄漏漏洞 原创 xazlsec 信安之路 2024-12-16 02:49 在网站的使用过程中,往往需要对网站中的文件进行修改、升级。此时就需要对网站整站或者其中某一页面进行备份。当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站 web 目录下,而该目录又没有设置访问权限时,便有可能导致备份文件或者编辑器的缓存文件被下载,导致敏感信息泄露,给服务器的安全埋下隐患。 该漏洞的
继续阅读【十步”杀”一车】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
【十步”杀”一车】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 原创 红岸基地赵小龙 暗影网安实验室 2024-12-16 02:02 事件经过 近期,安全研究人员发现大众旗下斯柯达部分车型的车载信息娱乐系统存在多个漏洞,这些漏洞可能被攻击者利用以远程控制特定功能并追踪汽车位置。PCAutomotive在黑帽欧洲大会(Black Hat Europe)上披露了
继续阅读实战渗透-某金融众测价值3k的漏洞(附SRC报告合集免费下载)
实战渗透-某金融众测价值3k的漏洞(附SRC报告合集免费下载) 原创 sspsec SSP安全研究 2024-12-16 00:57 在本次金融系统安全测试中,我们从一个日志泄露问题入手,逐步挖掘并利用了系统弱口令和越权访问漏洞,最终实现了对后台系统的高权限接管。本次分享将带您全程回顾漏洞挖掘过程及系统安全的防护建议。 🔍 1. 日志泄露 – 敏感信息曝光 漏洞描述 我们使用自研的Sp
继续阅读漏洞预警 | 用友NC SQL注入漏洞
漏洞预警 | 用友NC SQL注入漏洞 浅安 浅安安全 2024-12-16 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。 0x0
继续阅读漏洞预警 | 大华DSS数字监控系统任意文件读取漏洞
漏洞预警 | 大华DSS数字监控系统任意文件读取漏洞 浅安 浅安安全 2024-12-16 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 大华DSS-平安城市解决方案是大华技术提供的一套全面、可靠的智能安防解决方案,以技术创新为驱动力,致力于提升城市整体安全水平。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏
继续阅读微软 MFA 现 AuthQuake 漏洞, 允许无限次暴力破解!
微软 MFA 现 AuthQuake 漏洞, 允许无限次暴力破解! 原创 技术修道场 技术修道场 2024-12-15 23:54 漏洞速递 Oasis Security 的安全研究人员发现微软多因素身份验证 (MFA) 机制存在一个严重漏洞,允许攻击者绕过 MFA 保护, unauthorized access 受害者账户。 漏洞详情 – 漏洞名称: AuthQuake 漏洞描
继续阅读如何有效防范勒索软件攻击?最新漏洞与防御策略
如何有效防范勒索软件攻击?最新漏洞与防御策略 原创 ITIL之家 信息安全动态 2024-12-15 22:22 点击进入信息安全资料库 一、勒索软件攻击现状解析 (一)近年攻击趋势概述 近年来,勒索软件攻击呈现出愈发严峻的态势,在数量、频次以及危害程度等方面都发生了显著变化。 从攻击数量和频次来看,呈爆发式增长趋势。据不完全统计,Ransomfeed勒索论坛数据显示,2021年至2024年,暗网
继续阅读网络钓鱼是数据泄露的无声前兆
网络钓鱼是数据泄露的无声前兆 原创 何威风 祺印说信安 2024-12-15 16:00 网络钓鱼不仅仅是一种滋扰,它是破坏性数据泄露的可怕前兆。 网络钓鱼是当今网络威胁领域中最普遍的策略、技术和程序 (TTP) 之一。它通常是数据泄露的门户,可能对组织和个人造成毁灭性后果。例如, 2021 年的 Colonial Pipeline 网络攻击始于与网络钓鱼相关的入侵,导致勒索软件攻击,扰乱了美国各
继续阅读CVE-2024-11053 (CVSS 9.1):Curl 漏洞在重定向中暴露用户凭证
CVE-2024-11053 (CVSS 9.1):Curl 漏洞在重定向中暴露用户凭证 独眼情报 2024-12-15 02:41 流行的 curl 命令行工具和库中最近发现了一个漏洞,编号为 CVE-2024-11053,CVSS 评分为 9.1,可能导致用户凭据意外泄露。该漏洞源于使用.netrc文件存储凭据与 curl 对 HTTP 重定向的处理之间的交互。 在特定情况下,当 curl 配
继续阅读实战 | 记一次双排渗透测试漏洞复盘
实战 | 记一次双排渗透测试漏洞复盘 原创 Abin/zuohua 神农Sec 2024-12-15 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 某天晚上和源哥进行技术交流,期间一起合作对一个站点进行测试,主要就是测试一下能不能出点货。就有了下面的双排渗透测试哈
继续阅读每周网安态势概览【20241215】050期
每周网安态势概览【20241215】050期 网空闲话 网空闲话plus 2024-12-15 00:19 编者按 2024年12月9日至12月15日,网空闲话关注并分享的国际网络安全领域的热点事件,以及每日国际网络安全态势一览。 本周热点 :上市电力公司遭勒索、美国与菲律宾成功举行海上网络安全和化学品安全演习、Lynxa勒索软件团队浮出 ,等等 。 每日热点追踪 俄罗斯两黑客组织瞄准了美、加、澳
继续阅读某阅读器支付逻辑漏洞
某阅读器支付逻辑漏洞 进击的HACK 2024-12-14 23:55 扫码领资料 获网安教程 本文由掌控安全学院 – 小渣渣 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 公司:北京某某教育科技有限公司 奇安信搜索:icp.name=”北京某某教育科技有限公司” 补天不收录上传型XSS漏洞,但是感觉有些必要,当做学习思路,也一
继续阅读