【8/2特辑】今日热点漏洞速速自查!
【8/2特辑】今日热点漏洞速速自查! 安恒研究院 安恒信息CERT 2024-08-02 20:27 漏洞导览 · EKing-管理易存在任意文件上传漏洞 · EKing-管理易存在任意文件上传漏洞 · 金和OA存在任意用户添加漏洞 · 九思OA存在任意文件上传漏洞 · 方正全媒体采编系统存在任意文件读取漏洞 漏洞概况 在当前网络攻防演练中, 安恒信息 CERT正紧密关注近期曝光的安全漏洞,持续进
继续阅读标签: 信息泄露
对“黑客”而言,合适的漏洞奖励和安全披露
对“黑客”而言,合适的漏洞奖励和安全披露 管窥蠡测 安在 2024-08-02 19:29 漏洞赏金是一种企业将自己的安全漏洞发现业务众包出去的项目。现实中,白帽可以通过参与不同的漏洞赏金活动来获得丰厚的报酬。《第四届年度黑客驱动安全报告》指出,全球黑客社区的规模和深度在持续增强,该平台有来自不同国家的9名白帽收入已超100万美元。 通过发布漏洞赏金活动,企业能够充分发挥外部白帽资源的作用。在收到
继续阅读【HW漏洞】致远互联FE协作办公平台apprvaddNew存在SQL注入漏洞
【HW漏洞】致远互联FE协作办公平台apprvaddNew存在SQL注入漏洞 小白菜安全 小白菜安全 2024-08-02 18:46 漏洞描述 致远互联FE协作办公平台apprvaddNew.jsp存在SQL注入漏洞,未经身份验证的攻击者可以通过此漏洞获取数据库敏感信息。 资产信息 body=”li_plugins_download” 漏洞复现 延时注入3秒 POST /
继续阅读【漏洞预警】用友NC Cloud SQL注入漏洞(CNVD-2024-34169)
【漏洞预警】用友NC Cloud SQL注入漏洞(CNVD-2024-34169) 原创 聚焦网络安全情报 安全聚 2024-08-02 18:41 预警公告 高危 近日,安全聚实验室监测到用友网络科技股份有限公司 NC Cloud 存在SQL注入漏洞,编号为:CNVD-2024-34169,漏洞评分:8 此漏洞允许攻击者构造特殊的请求,以获取数据库敏感信息。 01 漏洞描述 NC Cloud
继续阅读39个关键硬件漏洞隐患盘点
39个关键硬件漏洞隐患盘点 原创 陈发明 数世咨询 2024-08-02 16:00 2018年1月,计算机行业因Meltdown和Spectre两大处理器漏洞而陷入高度警戒。这两个漏洞打破了操作系统内核与用户空间内存之间的基本安全界限。这一缺陷源于现代CPU的性能特点——推测执行,要解决这个问题,全球范围内展开了历史上规模最大的补丁协调工作,涉及CPU制造商、设备制造商以及操作系统供应商。 Me
继续阅读HW2024汇总-8.1(漏洞数173)
HW2024汇总-8.1(漏洞数173) 小白菜安全 小白菜安全 2024-08-01 21:58 漏洞清单 DAY-20240801 1.用友NC Cloud queryPsnInfo SQL注入 2.【0day】致远互联FE协作办公平台apprvaddNew存在sql注入漏洞 3.FOG敏感信息泄露(CVE-2024-41108) 4.TOTOLINK-A3700R未授权访问漏洞 5.TOTO
继续阅读漏洞挖掘 | edusrc挖掘的骚技巧
漏洞挖掘 | edusrc挖掘的骚技巧 网安探索员 2024-08-01 20:00 码领资料 获网安教程 本文由掌控安全学院 – Tobisec 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 这里主要还是介绍下新手入门edusrc漏洞挖掘以及在漏洞挖掘的过程中信息收集的部分哈!(主要给小白看的,大佬就当看个热闹了)
继续阅读【8/1特辑】今日热点漏洞速递
【8/1特辑】今日热点漏洞速递 安恒研究院 安恒信息CERT 2024-08-01 19:24 漏洞导览 · 浪潮云财务系统存在远程命令执行漏洞 · 浪潮云财务系统存在远程命令执行漏洞 · 亿赛通新一代电子安全管理文档存在SQL注入漏洞 · 用友U8CLOUD存在任意文件读取漏洞 · 用友U8CLOUD存在SQL注入漏洞 · 赛蓝企业管理系统存在身份验证绕过漏洞 漏洞概况 在当前网络攻防演练中,
继续阅读【安全圈】苹果修复了iOS和macOS中的数十个漏洞
【安全圈】苹果修复了iOS和macOS中的数十个漏洞 安全圈 2024-08-01 19:01 关键词 安全漏洞 Apple 发布了安全性更新,以应对 iOS、macOS、tvOS、visionOS、watchOS 和 Safari 中的多个漏洞。这家 IT 巨头发布了 iOS 17.6 和 iPadOS 17.6 以解决数十个安全漏洞,包括身份验证和策略绕过、信息泄露和拒绝服务 (DoS) 问题
继续阅读TOP10 漏洞详解
TOP10 漏洞详解 零漏安全 白帽子社区团队 2024-07-30 22:14 本文仅用于技术研究学习,请遵守相关法律,禁止使用本文所提及的相关技术开展非法攻击行为,由于传播、利用本文所提供的信息而造成任何不良后果及损失,与本账号及作者无关。 关于无问社区 无问社区致力于打造一个面向于网络安全从业人员的技术综合服务社区,可免费获取安全技术资料,社区内技术资料知识面覆盖全面,功能丰富。 特色功能:
继续阅读新课已完结!零基础入门Android漏洞挖掘-入门篇
新课已完结!零基础入门Android漏洞挖掘-入门篇 釉子 看雪学苑 2024-07-30 17:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。对于个人而言,掌
继续阅读上周关注度较高的产品安全漏洞(20240722-20240728)
上周关注度较高的产品安全漏洞(20240722-20240728) 国家互联网应急中心CNCERT 2024-07-30 09:46 一、境外厂商产品漏洞 1、PDF-XChange Editor栈缓冲区溢出漏洞(CNVD-2024-33502) PDF-XChange Editor是PDF-XChange公司的一个运行在Microsoft Windows系统中的PDF文件查看软件。PDF-XCh
继续阅读2024hvv最新漏洞威胁情报7.29
2024hvv最新漏洞威胁情报7.29 Z2O安全攻防 2024-07-29 20:56 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失
继续阅读安全热点周报:黑客利用 Twilio Authy 漏洞窃取数百万用户信息
安全热点周报:黑客利用 Twilio Authy 漏洞窃取数百万用户信息 奇安信 CERT 2024-07-29 20:01 安全资讯导视 • 国家发改委《电力监控系统安全防护规定》公开征求意见 • 乌克兰一城市供暖系统遭网络攻击被关闭,部分居民在寒冬下停暖近2天 • 墨西哥ERP软件巨头云泄露超7亿条记录,内含密钥等敏感信息 PART01 新增在野利用 1.Twilio Authy 信息泄露漏
继续阅读帆软报表ReportServer接口 SQL注入漏洞导致RCE
帆软报表ReportServer接口 SQL注入漏洞导致RCE 小白菜安全 小白菜安全 2024-07-28 23:23 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范
继续阅读【漏洞预警】Apache HTTP Server敏感信息泄露漏洞(CVE-2024-40725)
【漏洞预警】Apache HTTP Server敏感信息泄露漏洞(CVE-2024-40725) 原创 聚焦网络安全情报 安全聚 2024-07-28 19:30 预警公告 中危 近日,安全聚实验室监测到 Apache HTTP Server 存在敏感信息泄露漏洞,编号为:CVE-2024-40725 该漏洞在某些间接请求文件的情况下该漏洞可能导致Apache将源代码(如PHP脚本)发送给客户端
继续阅读「漏洞复现」汇智ERP filehandle.aspx 任意文件读取漏洞
「漏洞复现」汇智ERP filehandle.aspx 任意文件读取漏洞 冷漠安全 冷漠安全 2024-07-28 17:07 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读【泛微】漏洞利用PoC整理
【泛微】漏洞利用PoC整理 原创 F1rstb100d 智佳网络安全 2024-07-27 14:45 unsetunset泛微E-Mobile系列unsetunset E-mobile lang2sql接口任意文件上传漏洞 title=”移动管理平台-企业管理” POST /emp/lang2sql?client_type=1&lang_tag=1 HTTP/1.
继续阅读天问物业ERP系统VacantDiscountDownLoad存在任意文件读取漏洞
天问物业ERP系统VacantDiscountDownLoad存在任意文件读取漏洞 小白菜安全 小白菜安全 2024-07-27 14:21 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除
继续阅读2024HVV漏洞整合
2024HVV漏洞整合 小白菜安全 2024-07-27 14:21 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 这几天的已公开和未公开漏洞清单**** DAY 1 1、(暂无
继续阅读CVE-2024-39676:Apache Pinot 存在敏感数据泄露漏洞
CVE-2024-39676:Apache Pinot 存在敏感数据泄露漏洞 flyme 独眼情报 2024-07-27 11:27 Apache Pinot 是一个实时分析开源平台,可提供闪电般的洞察力、轻松的扩展和具有成本效益的数据驱动决策,最近披露了一个严重的安全漏洞 (CVE-2024-39676)。此漏洞可能允许未经授权的参与者访问敏感的系统信息,从而可能导致数据泄露和安全漏洞。 该漏洞
继续阅读WhatsApp中的双重释放漏洞如何转变为RCE
WhatsApp中的双重释放漏洞如何转变为RCE 3bytes 3072 2024-07-27 11:00 演示 步骤如下: – 0:16 攻击者通过任意渠道向用户发送GIF文件 其中之一可以是通过WhatsApp发送文档(即按下回形针按钮并选择文档以发送损坏的GIF) 如果攻击者在用户的联系人列表中(即朋友),损坏的GIF会在没有任何用户交互的情况下自动下载。 0:24 用户想要向他
继续阅读LangChain曝关键漏洞,数百万AI应用面临攻击风险
LangChain曝关键漏洞,数百万AI应用面临攻击风险 疯狂冰淇淋 FreeBuf 2024-07-27 09:31 左右滑动查看更多 LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日,来自Palo
继续阅读【安全圈】某些版本的 Docker Engine 存在一个关键漏洞,在特定情况下可被利用来绕过授权插件 (AuthZ)。
【安全圈】某些版本的 Docker Engine 存在一个关键漏洞,在特定情况下可被利用来绕过授权插件 (AuthZ)。 安全圈 2024-07-26 19:00 关键词 安全漏洞 在某些版本的 Docker 引擎中,被跟踪为 CVE-2024-41110(CVSS 评分为 10.0)的漏洞可允许攻击者在特定情况下绕过授权插件 (AuthZ)。 Moby Project 维护者发布的公告中写道:
继续阅读【安全圈】LangChain曝关键漏洞,数百万AI应用面临攻击风险
【安全圈】LangChain曝关键漏洞,数百万AI应用面临攻击风险 安全圈 2024-07-26 19:00 关键词 安全漏洞 LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日,来自Palo Alto
继续阅读专题·漏洞治理 | 防微杜渐,加强漏洞治理的应急响应环节
专题·漏洞治理 | 防微杜渐,加强漏洞治理的应急响应环节 长亭科技 2024-07-26 18:33 文 | 北京长亭科技有限公司 王昱 徐泽伟 当前,随着新技术和互联网的迅猛发展,网络安全威胁呈现出前所未有的复杂性和严峻性。新应用、新场景的不断增多,软件供应链生命周期长、环节复杂、暴露面多,使得网络安全攻防的核心——“漏洞”的问题更加突出。 根据中国信息安全测评中心 2023 年牵头编写的《全球
继续阅读安全认证相关漏洞挖掘 | 高级攻防01
安全认证相关漏洞挖掘 | 高级攻防01 迪哥讲事 2024-07-25 22:30 本文约3027字,阅读约需8分钟。 拿到一个系统后,很多情况下只有一个登录入口。如果想进一步得到较为高危的漏洞,只能去寻找权限校验相关的漏洞,再结合后台洞,最终得到一个较为满意的漏洞。 这里列出一些较为常见的安全认证配置: Spring Security Apache Shiro 服务器本身(Tomcat、Ngin
继续阅读2024年HW漏洞专项
2024年HW漏洞专项 simeon的文章 小兵搞安全 2024-07-25 18:34 今天做漏洞情报收集时,找到一个不错的站,推荐给大家,网站地址: http://kpanda.wiki/#/navbar/hw 7-25漏洞合集 2024-07-25 A36-1Apache-CloudStack-PermissionAC C14-1创客13星-零售商城系统-任意文件上传 F26-1飞讯云
继续阅读记一次任意文件读取漏洞的挖掘
记一次任意文件读取漏洞的挖掘 迪哥讲事 2024-07-24 22:35 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 本文由 @天明 师傅原创投稿,记录的是 一种别样的任意文件读取玩法,感谢分享 ! 0x01 挖掘
继续阅读2024 HW漏洞威胁情报合集
2024 HW漏洞威胁情报合集 进击的HACK 2024-07-24 21:49 0x01 亿赛通数据泄露防护系统NetSecConfigAjax接口存在SQL注入漏洞 POST /CDGServer3/NetSecConfigAjax;Service HTTP/1.1 Host: Content-Type: application/x-www-form-urlencoded command=u
继续阅读