漏洞预警|浙江大华城市安防监控DSS系统存在信息泄露漏洞
漏洞预警|浙江大华城市安防监控DSS系统存在信息泄露漏洞 鲲鹏实验室 天防安全 2024-08-22 11:28 漏洞介绍 近日,天防安全“ 鲲鹏实验室”监测到浙江大华技术股份有限公司 城市安防监控DSS系统存在 信息泄露漏洞,攻击者可利用该漏洞获取所有用户信息。 漏洞编号 CNVD-2024-25769 漏洞评分 5.0 (CVSS v2.0) 影响产品 城市安防监控DSS系统 修复方案 厂商已
继续阅读标签: 信息泄露
微软Copilot Studio存在严重的信息泄露漏洞
微软Copilot Studio存在严重的信息泄露漏洞 鹏鹏同学 黑猫安全 2024-08-22 11:27 微软Copilot Studio存在严重的安全漏洞,CVE-2024-38206编号,CVSS评分8.5分。攻击者可以利用漏洞访问敏感信息。漏洞是一种信息泄露漏洞,源于服务器端请求 forgery(SSRF)攻击。微软发布的安全通报中写道:“已认证的攻击者可以绕过Microsoft Cop
继续阅读「 典型安全漏洞系列 」08.文件上传漏洞详解
「 典型安全漏洞系列 」08.文件上传漏洞详解 原创 筑梦网安 全栈安全 2024-08-21 21:16 往期回顾 「 典型安全漏洞系列 」07.OS命令注入详解 「 典型安全漏洞系列 」06.路径遍历(Path Traversal)详解 「 典型安全漏洞系列 」05.XML外部实体注入XXE详解 「 典型安全漏洞系列 」04.服务器端请求伪造SSRF详解 「 典型安全漏洞系列 」03.跨站请求
继续阅读让XSS漏洞无处遁形!0x1
让XSS漏洞无处遁形!0x1 迪哥讲事 2024-08-21 20:53 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 背景 安全小白团 今天我将讨论使用不同技术的多种跨站脚本(XSS) 攻击,这是我在参与各种漏洞赏金计划时发现的。 XSS:(跨站脚本)是一种安全漏洞,当攻击者向其他用户查看的网页中注入恶意脚本时,这种漏
继续阅读【安全圈】适用于macOS的多个微软应用程序发现库注入漏洞,用户数据安全受威胁
【安全圈】适用于macOS的多个微软应用程序发现库注入漏洞,用户数据安全受威胁 安全圈 2024-08-21 19:01 关键词 安全漏洞 根据 Cisco Talos 的最新研究,macOS 上的八个微软应用程序容易受到库注入攻击,有可能让攻击者劫持应用程序的权限并泄露敏感数据。 受影响的微软应用程序包括 Microsoft Teams、Outlook、PowerPoint 和 Word 等流行
继续阅读漏洞分析 | Apache Tomcat 信息泄露漏洞 (CVE-2024-21733)
漏洞分析 | Apache Tomcat 信息泄露漏洞 (CVE-2024-21733) 塞讯安全验证 2024-08-21 18:16 Apache Tomcat 信息泄露漏洞 (CVE-2024-21733),影响范围包括 Tomcat 9.0.0-M11 至 9.0.43 版本及 8.5.7 至 8.5.63 版本。当受影响版本的 Tomcat 无法正确处理 POST 请求的 Content
继续阅读Atlassian Bamboo Data Center and Server中存在RCE漏洞
Atlassian Bamboo Data Center and Server中存在RCE漏洞 DO SON 代码卫士 2024-08-21 18:08 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Atlassian 公司发布 Bamboo Data Center and Server 产品安全公告,修复了一个高危的远程代码执行 (RCE) 漏洞CVE-2024-21689,CVSS评分
继续阅读CISA:严重的 Jenkins 漏洞已被用于勒索攻击
CISA:严重的 Jenkins 漏洞已被用于勒索攻击 THN 代码卫士 2024-08-21 18:08 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 将影响Jenkins的一个严重漏洞 (CVE-2024-23897) 纳入其“已知已遭利用漏洞 (KEV)”分类表中,原因是该漏洞已被用于勒索攻击中。 该漏洞的CVSS评分为9.8,是一个路径遍
继续阅读印度国家支付系统部分中断:因供应商高风险漏洞迟迟不修后被黑
印度国家支付系统部分中断:因供应商高风险漏洞迟迟不修后被黑 关键基础设施安全应急响应中心 2024-08-21 16:10 图:National Payments Corporation of India / Facebook Jenkins官方在今年1月修复CVE-2024-23897漏洞时POC已公开,距今已有半年多时间,但是C-Edge Technologies并没有及时修复,以至于遭到攻击
继续阅读警惕!工业企业生产网核心系统接口发现漏洞,生产设备可被操控
警惕!工业企业生产网核心系统接口发现漏洞,生产设备可被操控 盛邦安全WebRAY 2024-08-19 19:15 近日,盛邦安全技术团队在为某工业企业进行网络安全保障过程中,发现其生产控制区域监管调度系统存在API接口漏洞,可能导致其生产数据发生泄露,甚至可能出现生产设备被控的严重风险,盛邦安全第一时间为用户进行了风险评估,并采用专用的API安全防护设备强化了监测与防护方案。此次事件为用户敲响了
继续阅读「推安早报」0819 | Chrome、Zabbix等漏洞、红队工具更新
「推安早报」0819 | Chrome、Zabbix等漏洞、红队工具更新 bggsec 甲方安全建设 2024-08-19 17:32 # 2024-08-19 「红蓝热点」每天快人一步 > 1. 推送「新、热、赞」,帮部分人阅读提效 2. 学有精读浅读深读,艺有会熟精绝化,觉知此事重躬行。推送只在浅读预览 3. 机读为主,人工辅助,每日数万网站,10w推特速读 4. 推送可能大众或小众,不
继续阅读安全热点周报:SolarWinds 和 Microsoft 漏洞被在野利用,立即应用补丁
安全热点周报:SolarWinds 和 Microsoft 漏洞被在野利用,立即应用补丁 奇安信 CERT 2024-08-19 17:30 安全资讯导视 • 美国NIST正式发布首批3项后量子加密标准 • 伊朗遭遇大规模网络攻击,银行系统瘫痪 • 巴黎奥运会期间共发生超140起网络攻击事件 PART01 漏洞情报 1.Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞安全风险通告
继续阅读上周关注度较高的产品安全漏洞(20240812-20240818)
上周关注度较高的产品安全漏洞(20240812-20240818) 原创 CNVD CNVD漏洞平台 2024-08-19 17:17 一、境外厂商产品漏洞 1、DerbyNet racerid参数跨站脚本漏洞 DerbyNet是一个简易的比赛转播项目代码。DerbyNet racerid参数存在跨站脚本漏洞,该漏洞是由于photo-thumbs.php脚本对用户提供的输入验证不当造成的。攻击者可
继续阅读关于防爬虫及服务器漏洞扫描相关问题的探讨| 总第258周
关于防爬虫及服务器漏洞扫描相关问题的探讨| 总第258周 原创 群秘 君哥的体历 2024-08-19 16:01 0x1本周话题 话题一:大家防爬虫有啥好方法么?有几个接口每天定点频率很低的来爬,每个 ip 就查询 1-2 次,查询条件精准输入,绕过了网易盾的验证码,阿里云 waf 也没防住。 A1:限制非登录用户的访问。 A2:是需要登陆后访问的,这基本的条件是有的。是微信小程序、
继续阅读最高15万美元!盘点2024年11大漏洞赏金计划
最高15万美元!盘点2024年11大漏洞赏金计划 GoUpSec 2024-08-19 10:30 2024年,漏洞赏金计划已经成为企业网络安全的关键工具,在安全策略中的重要性继续提升。通过漏洞赏金计划,企业能吸引全球各地的黑客、网络安全专家和研究人员,及时发现软件和系统中的安全漏洞,防止潜在恶意攻击。本文将总结2024年漏洞赏金计划的关键趋势和最值得关注的11个计划。 漏洞赏金的七大趋势:奖金飙
继续阅读24HVV漏洞威胁最新情报(全)
24HVV漏洞威胁最新情报(全) 原创 LHACK安全 LHACK安全 2024-08-19 10:01 免责声明 本文所提供的技术、信息或工具仅供学习和参考使用。 请不要将这些信息用于任何非法或不当行为。 使用本文内容引起的任何损失或后果,完全由使用者负责,作者不承担任何责任。 使用这些信息即表示您同意本免责声明,并承诺遵守所有相关法律法规和道德规范。 HVV专项漏洞情报**** K35-1开源
继续阅读Windows TCP/IP 远程执行代码漏洞 CVE-2024-38063
Windows TCP/IP 远程执行代码漏洞 CVE-2024-38063 云梦DC 云梦安全 2024-08-19 09:32 漏洞背景 2024年8月13日,微软发布了一个高危的安全漏洞公告,涉及Windows操作系统中的TCP/IP协议栈。该漏洞被标识为CVE-2024-38063,属于远程代码执行(RCE)漏洞,具有极高的攻击潜力。这一漏洞使得攻击者能够通过网络发送特制的数据包,从而在目
继续阅读挖漏洞经验分享,挖漏洞赚取生活费,7天收益近2200,教你从零基础挖漏洞的正确姿势!
挖漏洞经验分享,挖漏洞赚取生活费,7天收益近2200,教你从零基础挖漏洞的正确姿势! 编程技术栈 2024-08-17 15:35 经常有小伙伴问我。 为什么自己总是挖不到漏洞呢? 渗透到底是什么样的流程呢? 所以全网最详细的渗透测试流程来了!!! 全篇文章内容较长,请耐心观看! 渗透测试 渗透测试其实就是通过一些手段来找到网站,APP,网络服务,软件,服务器等网络设备和应用的漏洞,告诉管理员有哪
继续阅读微软警告六个Windows零日漏洞正在被积极利用
微软警告六个Windows零日漏洞正在被积极利用 原创 hackerson 黑客联盟l 2024-08-17 15:32 微软的安全响应团队发布了有关Windows及其操作系统组件的近90个漏洞的文档,并标记了几个被积极利用的缺陷类别。 微软周二警告称,六个Windows安全缺陷正在被积极利用,突显出其旗舰操作系统在零日攻击方面的持续挑战。 Redmond的安全响应团队发布了有关Windows及操
继续阅读预装应用漏洞导致数百万Google Pixel 手机用户面临风险
预装应用漏洞导致数百万Google Pixel 手机用户面临风险 flyme 独眼情报 2024-08-17 14:18 iVerify 的网络安全研究人员与 Palantir Technologies 和 Trail of Bits 合作,发现全球数百万台 Google Pixel 设备存在严重漏洞。该漏洞源自预装的“Showcase.apk”应用程序包,存在严重的安全风险,允许网络犯罪分子执行
继续阅读【1day | 漏洞复现】某在线团队协作工具存在SQL注入漏洞
【1day | 漏洞复现】某在线团队协作工具存在SQL注入漏洞 小明同学 小明信安 2024-08-17 13:55 0x01 免责声明 disclaimer 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收集于互联网,真实性及安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若
继续阅读漏洞预警 | 用友U8Cloud反序列化和SQL注入漏洞
漏洞预警 | 用友U8Cloud反序列化和SQL注入漏洞 浅安 浅安安全 2024-08-17 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友U8Cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。 0x03 漏洞详情 漏洞类型: 反序列化 影响: 执行任意命令 简述: 用友
继续阅读漏洞预警 | 中成科信票务管理系统SQL注入漏洞
漏洞预警 | 中成科信票务管理系统SQL注入漏洞 浅安 浅安安全 2024-08-17 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 中成科信票务管理系统是专注于演出剧院、体育场馆、旅游景区、游乐园、场地活动的票务管理系统,并为特殊客户量身定制票务应用解决方案,可根据用户的要求采用不同的技术载体实现门票的防伪。 0x03 漏
继续阅读Sonatype Nexus Repository3 任意文件下载漏洞(CVE-2024-4956)
Sonatype Nexus Repository3 任意文件下载漏洞(CVE-2024-4956) 船山信安 2024-08-17 05:00 0x01 组件介绍 Sonatype Nexus Repository 3(通常简称为Nexus3)是一个由Sonatype开发的仓库管理工具,用于管理和托管各种软件构件(如Maven构件、Docker镜像等),它提供了一种集中化的方式来存储、管理和分发
继续阅读微软2024年8月份于周二补丁日针对90个漏洞发布安全补丁
微软2024年8月份于周二补丁日针对90个漏洞发布安全补丁 何威风 河南等级保护测评 2024-08-17 00:17 八月份的周二,微软发布了修复程序,修复了总共达 90 个安全漏洞 ,包括 10 个零日漏洞,其中 6 个已在野外遭到积极利用。 在这 90 个漏洞中,9 个被评为“严重”,80 个被评为“重要”,1 个被评为“中等”。此外,自上个月以来,这家科技巨头还解决了 Edge 浏览器中的
继续阅读据称 EduSports 存在漏洞,泄露了 70K 行数据
据称 EduSports 存在漏洞,泄露了 70K 行数据 SOC 赛欧思安全研究实验室 2024-08-16 10:44 – 据称 EduSports 存在漏洞,泄露了 70K 行数据 威胁者声称韩国职业网站数据库遭入侵 据称,韩国著名职业平台 career.go.kr 的数据库遭到威胁者入侵,160 万用户的个人信息泄露。这次入侵暴露了大量敏感数据,包括用户名、加密密码、联系信息、
继续阅读【漏洞复现】某时空社会化商业ERP系统 user/online 身份认证绕过漏洞
【漏洞复现】某时空社会化商业ERP系统 user/online 身份认证绕过漏洞 Superhero Nday Poc 2024-08-16 10:10 0x00 免责声明 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章
继续阅读微软2024年8月发布补丁,解决88个CVE漏洞问题
微软2024年8月发布补丁,解决88个CVE漏洞问题 原创 Tenable SRT Tenable安全 2024-08-16 09:18 微软解决了88个CVE漏洞,其中有7个关键漏洞和10个零日漏洞,其中6个已经被恶意利用 背景 微软在2024年8月发布的“补丁星期二”补丁中修补了88个漏洞,其中7个被评为严重漏洞,80个被评为高危漏洞,1个被评为中危漏洞。。 本月的更新包括以下修补程序: &#
继续阅读【8/15特辑】今日热点漏洞新鲜出炉
【8/15特辑】今日热点漏洞新鲜出炉 安恒研究院 安恒信息CERT 2024-08-15 18:57 漏洞导览 · 通达OA存在SQL注入漏洞 · JeecgBoot-企业级低代码平台存在任意用户注册漏洞 · 用友U8 CRM存在SQL注入 · 用友U8 CRM存在SQL注入 · 明赋云设备管理系统存在任意文件读取漏洞 · 明赋云设备管理系统存在命令执行漏洞 · WookTeam存在SQL注入漏洞
继续阅读【已复现】Zabbix远程执行代码漏洞风险通告
【已复现】Zabbix远程执行代码漏洞风险通告 你信任的 亚信安全 2024-08-15 17:33 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,披露了Zabbix远程执行代码漏洞(CVE-2024-22116)。该漏洞发生在监控主机部分的脚本执行功能中,由于脚本参数缺乏默认转义,具有受限权限的管理员可以通过 ping 脚本执行任意代码,从而破坏基础架构。 目前厂商官方已发布修复版本
继续阅读