【安全圈】Fortinet安全产品出现高危零日漏洞,已被恶意组织积极利用
【安全圈】Fortinet安全产品出现高危零日漏洞,已被恶意组织积极利用 安全圈 2024-10-27 19:01 关键词 安全漏洞 网络安全公司 Fortinet 日前披露了自家软件产品 FortiManager 存在的一个关键零日漏洞,能够允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。目前该漏洞已在野外被积极利用。 根据 Fortinet 10月23日发布的报告,该漏洞被追踪为
继续阅读标签: 信息泄露
CVE-2024-47575|Fortinet FortiManager身份验证不当漏洞
CVE-2024-47575|Fortinet FortiManager身份验证不当漏洞 alicy 信安百科 2024-10-26 20:00 0x00 前言 Fortinet是唯一一家提供集中统一管理的供应商,可在复杂的混合环境中设置一致的安全性。集中统一的管理涵盖在本地和云中部署FortiGate下一代防火墙,以及安全SD-WAN、安全WLAN/LAN、Universal ZTNA和Fort
继续阅读CVE-2024-9264|Grafana SQL表达式允许远程代码执行(POC)
CVE-2024-9264|Grafana SQL表达式允许远程代码执行(POC) alicy 信安百科 2024-10-26 20:00 0x00 前言 Grafana是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示,并及时通知。用Go语言开发的开源数据可视化工具,可以做数据监控和数据统计,带有告警功能。目前使用grafana的公司有很多,如paypal、eba
继续阅读易宝OA GetProductInv SQL注入漏洞
易宝OA GetProductInv SQL注入漏洞 Superhero Nday Poc 2024-10-26 15:16 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉。谢
继续阅读【PoC】Wi-Fi 联盟测试套件中存在命令注入 0day漏洞CVE-2024-41992
【PoC】Wi-Fi 联盟测试套件中存在命令注入 0day漏洞CVE-2024-41992 独眼情报 2024-10-26 10:45 一个影响 Wi-Fi 测试套件的安全漏洞可能使未经身份验证的本地攻击者能够以提升的权限执行任意代码。 计算机应急响应中心(CERT/CC)表示,这个被追踪为 CVE-2024-41992 的漏洞涉及 Wi-Fi 联盟的易受攻击代码,该代码已在 Arcadyan F
继续阅读多款云存储平台存在安全漏洞,影响超2200万用户
多款云存储平台存在安全漏洞,影响超2200万用户 老布 FreeBuf 2024-10-26 09:30 据苏黎世联邦理工学院研究人员Jonas Hofmann和Kien Tuong Turong的发现,端到端加密(E2EE)云存储平台存在一系列安全问题,可能会使用户数据暴露给恶意行为者。在通过密码学分析后,研究人员揭示了Sync、pCloud、Icedrive、Seafile和Tresorit服
继续阅读易宝OA ExecuteQueryForDataSetBinary SQL注入漏洞复现
易宝OA ExecuteQueryForDataSetBinary SQL注入漏洞复现 Superhero Nday Poc 2024-10-25 20:21 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时
继续阅读苹果创建 Private Cloud Compute VM 助力漏洞挖掘
苹果创建 Private Cloud Compute VM 助力漏洞挖掘 Ionut Ilascu 代码卫士 2024-10-25 17:40 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果创建了一个虚拟研究环境,供研究员测试其Private Cloud Compute(PCC,私有云计算)系统的安全,并发布一些“关键组件”的源代码,帮助研究员分析该脚骨的隐私和安全特性。 苹果公司还希
继续阅读【公告】中通安全应急响应中心漏洞评分标准V4.0正式发布
【公告】中通安全应急响应中心漏洞评分标准V4.0正式发布 中通安全应急响应中心 2024-10-25 09:22 为适应公司业务范围调整的变化 同时有效提升 中通SRC白帽师傅与平台的体验, 中通安全应急响应中心漏洞评分标准V4.0(试运行版)已 正式发布 (文末点击阅读原文可见完整内容) 为方便大家快速了解 现就本次更新的主要内容进行重点展示 业务系数说明 随着中通内部业务的发展变化,本次更新调
继续阅读深入分析自己曾经挖掘到的有趣的XSS漏洞
深入分析自己曾经挖掘到的有趣的XSS漏洞 迪哥讲事 2024-10-24 23:58 Part1 前言 大家好,我是ABC_123 。最近翻看之前的笔记,发现曾经有一段时间特别热衷于挖掘各式各样的XSS漏洞,于是挑选了几个比较有意思的XSS漏洞案例,重新整理一下分享给大家。重新整理笔记,也是一个学习与提升的过程,改正了之前笔记的一些错误。 Part2 技术研究过程 利用宽字节吃掉转义字符 这个案例
继续阅读企业SRC简单漏洞挖掘
企业SRC简单漏洞挖掘 原创 青春计协 青春计协 2024-10-24 22:57 GRADUATION 点击蓝字 关注我们 前言: 企业SRC简单漏洞挖掘,几个例子分享 A、短信轰炸: XX小程序——主页——注册用户——手机号——获取验证码(重复进行这一步,可重复获取) B、验证码/不失效可爆破: C、信息泄露: 1、没注销之前: 2、注销再次注册: 3、新用户登录: (历史订单记录依旧存在)
继续阅读【漏洞通告】Fortinet FortiManager 身份验证漏洞(CVE-2024-47575)
【漏洞通告】Fortinet FortiManager 身份验证漏洞(CVE-2024-47575) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-24 17:55 漏洞名称: Fortinet FortiManager 身份验证漏洞(CVE-2024-47575) 组件名称: Fortinet-FortiManager 影响范围: FortiManager 7.6.07.4.0 ≤
继续阅读【在野利用】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告
【在野利用】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告 奇安信 CERT 2024-10-24 11:23 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiManager 身份认证绕过漏洞 漏洞编号 QVD-2024-43936,CVE-2024-47575 公开时间 2024-10-23
继续阅读第106篇:深入分析自己曾经挖掘到的有趣的XSS漏洞
第106篇:深入分析自己曾经挖掘到的有趣的XSS漏洞 原创 abc123info 希潭实验室 2024-10-24 00:10 Part1 前言 大家好,我是ABC_123 。最近翻看之前的笔记,发现曾经有一段时间特别热衷于挖掘各式各样的XSS漏洞,于是挑选了几个比较有意思的XSS漏洞案例,重新整理一下分享给大家。重新整理笔记,也是一个学习与提升的过程,改正了之前笔记的一些错误。 Part2 技术
继续阅读高校人力资源管理服务平台系统ReportServer接口存在敏感信息泄露漏洞 附POC
高校人力资源管理服务平台系统ReportServer接口存在敏感信息泄露漏洞 附POC 2024-10-23更新 南风漏洞复现文库 2024-10-23 23:13 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 高校人力资源管理服务平
继续阅读时空智友企业流程化管控系统uploadStudioFile接口存在任意文件上传漏洞 -老漏洞
时空智友企业流程化管控系统uploadStudioFile接口存在任意文件上传漏洞 -老漏洞 南风漏洞复现文库 2024-10-23 23:13 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 时空智友企业流程化管控系统简介 微信公众号
继续阅读警惕!泛微E-Office漏洞引发数据泄露风险
警惕!泛微E-Office漏洞引发数据泄露风险 长风实验室 2024-10-23 21:17 在数字化时代,企业信息安全已成为企业运营的重中之重。然而,近期泛微E-Office系统被发现存在信息泄露漏洞,这一事件再次为我们敲响了警钟。今天,我们就来深入探讨这一漏洞的细节、案例分析以及如何采取有效措施来防范此类风险。 案例分析 告警数据来源 某项目在2024年10月22日的日常监控发现外网39.xx
继续阅读【安全圈】高通64款芯片存在0Day漏洞
【安全圈】高通64款芯片存在0Day漏洞 安全圈 2024-10-23 19:00 关键词 安全漏洞 近日,高通公司发布了一项重要的安全警告,揭示了其多达64款芯片组存在严重的“ 0Day漏洞”。这一漏洞被标识为CVE-2024-43047,影响广泛,波及多个搭载骁龙芯片的Android智能手机和平板电脑、物联网设备等多个领域。 所谓“ 0Day漏洞”,是指那些尚未被软件厂商或操作系统供应商知晓的
继续阅读Jetpack 修复了 2016 年以来存在的关键信息泄露漏洞
Jetpack 修复了 2016 年以来存在的关键信息泄露漏洞 胡金鱼 嘶吼专业版 2024-10-23 14:00 WordPress 插件 Jetpack 本月发布了一个重要的安全更新,解决了允许登录用户访问该网站其他访问者提交的表单的漏洞。 Jetpack 是 Automattic 推出的一款流行的 WordPress 插件,提供增强网站功能、安全性和性能的工具。据供应商称,该插件已安装在
继续阅读美国海关执法局间谍软件项目被叫停,将接受白宫合规审查;新型Spectre漏洞变种持续威胁Intel和AMD处理器安全性 | 牛览
美国海关执法局间谍软件项目被叫停,将接受白宫合规审查;新型Spectre漏洞变种持续威胁Intel和AMD处理器安全性 | 牛览 安全牛 2024-10-23 13:23 新闻速览 •美国海关执法局间谍软件合同被叫停,将接受白宫审查 •澳大利亚发布首份商业AI产品使用隐私指南 •北京市新增12款已完成备案的生成式人工智能服务 •《网络安全标准实践指南》文件管理办法、标准参与单位管理办法等2项制度文
继续阅读WhatsApp 的多设备加密漏洞可导致设备指纹识别
WhatsApp 的多设备加密漏洞可导致设备指纹识别 原创 很近也很远 网络研究观 2024-10-22 21:19 WhatsApp 设备识别机制中存在重大隐私漏洞,攻击者可以利用该漏洞通过 WhatsApp 的端到端加密 (E2EE) 协议获取用户设备操作系统的指纹。 安全研究员 Tal Be’ery 发现,这些漏洞会泄露用户设备信息,从而帮助攻击者进行侦察。 隐私问题源于 Wha
继续阅读【安全圈】多款云存储平台存在安全漏洞,影响超2200万用户
【安全圈】多款云存储平台存在安全漏洞,影响超2200万用户 安全圈 2024-10-22 19:01 关键词 数据安全 据苏黎世联邦理工学院研究人员Jonas Hofmann和Kien Tuong Turong的发现,端到端加密(E2EE)云存储平台存在一系列安全问题,可能会使用户数据暴露给恶意行为者。在通过密码学分析后,研究人员揭示了Sync、pCloud、Icedrive、Seafile和Tr
继续阅读谷歌云漏洞奖励计划发布,最高赏金101010美元
谷歌云漏洞奖励计划发布,最高赏金101010美元 Ionut Arghire 代码卫士 2024-10-22 17:27 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌云发布新的漏洞奖励计划 (VRP),如研究员能发现相关产品和服务的漏洞,则最高可获得101010美元的奖励。 这项新的VRP涵盖了460多款产品和服务,研究人员将与谷歌云安全工程师直接交流,使漏洞能够更快地被诊断、复现和
继续阅读智领未来,安全共生 | 360漏洞云亮相“S创上海2024”,共探AI安全发展
智领未来,安全共生 | 360漏洞云亮相“S创上海2024”,共探AI安全发展 360漏洞云 2024-10-22 16:35 近日,S创上海2024科技创新大会在上海西岸艺术中心成功举办。本届大会汇聚了 逾200位全球科技领袖、140+创新企业、1500+投资人及11000+观众,通过主题演讲、圆桌对话、炉边畅谈等多元化形式,深入探讨尖端科技议题和创新理念,旨在引导个人、企业及行业以全新视角审视
继续阅读雷神众测漏洞周报2024.10.14-2024.10.20
雷神众测漏洞周报2024.10.14-2024.10.20 原创 雷神众测 雷神众测 2024-10-22 15:33 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Palo Alto Networks 警告公众利用防火墙劫持漏洞
Palo Alto Networks 警告公众利用防火墙劫持漏洞 胡金鱼 嘶吼专业版 2024-10-22 14:01 Palo Alto Networks 近期提醒客户尽快修补安全漏洞(使用公开的漏洞利用代码),因为这些漏洞可以被链接起来让攻击者劫持 PAN-OS 防火墙。 这些漏洞是在 Palo Alto Networks 的 Expedition 解决方案中发现的,该解决方案有助于从其他 C
继续阅读【漏洞情报】北大方正电子有限公司方正畅享全媒体新闻采编系统存在SQL注入漏洞
【漏洞情报】北大方正电子有限公司方正畅享全媒体新闻采编系统存在SQL注入漏洞 cexlife 飓风网络安全 2024-10-21 23:55 漏洞描述: 北大方正电子有限公司是跨媒体信息传播领域技术、产品和服务的领先提供商,方正畅享全媒体新闻采编系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。官方解决方案:厂商已发布了漏洞修复程序,请及时关注更新:http://www.founder
继续阅读Edusrc证书·实战分享|逻辑缺陷漏洞才是最好挖的高危!
Edusrc证书·实战分享|逻辑缺陷漏洞才是最好挖的高危! 原创 zangcc Eureka安全 2024-10-21 23:09 点击上方 蓝字 关注我们 0x01 前言 网络攻与防的技术迭代很快,曾经经典的sql注入,xss之类的漏洞变得越来越少,从前年开始,我就对逻辑缺陷类漏洞非常着迷,因为它总能给我制造惊喜,像是水平/垂直越权,业务逻辑缺陷(账户余额,积分,打卡等绕过)这种反而是我最擅长的
继续阅读明源云ERP报表服务GetErpConfig.aspx接口存在敏感信息泄露漏洞 附POC
明源云ERP报表服务GetErpConfig.aspx接口存在敏感信息泄露漏洞 附POC 2024-10-21更新 南风漏洞复现文库 2024-10-21 21:56 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 明源云ERP报表服务
继续阅读「漏洞复现」明源云ERP报表服务 GetErpConfig.aspx 信息泄露漏洞
「漏洞复现」明源云ERP报表服务 GetErpConfig.aspx 信息泄露漏洞 冷漠安全 冷漠安全 2024-10-21 20:59 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读