【漏洞预警】JumpServer 多漏洞安全风险通告
【漏洞预警】JumpServer 多漏洞安全风险通告 原创 网星安全 网星安全 2024-04-01 19:32 01 漏洞介绍 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。其开源、零门槛等特性帮助大量客户实现企业服务器用户授权、运维管理、安全审计等需求。 近日,网星安全团队从JumpServer官方Github监测到,有用户反馈发现JumpServer
继续阅读标签: 信息泄露
上周关注度较高的产品安全漏洞(20240325-20240331)
上周关注度较高的产品安全漏洞(20240325-20240331) 原创 CNVD CNVD漏洞平台 2024-04-01 17:02 一、境外厂商产品漏洞 1、 Apache Superset资源管理错误漏洞(CNVD-2024-14775) Apache Superset 是美国阿帕奇( Apache )基金会的一个数据可视化和数据探索平台。 Apache Superset 2.1.2 及之前
继续阅读【复现】JumpServer 后台模板注入漏洞(CVE-2024-29202)的风险通告
【复现】JumpServer 后台模板注入漏洞(CVE-2024-29202)的风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-04-01 10:56 赛博昆仑漏洞安全通告- JumpServer 后台模板注入漏洞(CVE-2024-29202)的风险通告 漏洞描述 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer 帮助企
继续阅读(互联网未公开)海康威视综合安防存在文件上传漏洞
(互联网未公开)海康威视综合安防存在文件上传漏洞 DC1安全实验室 DC1安全实验室 2024-03-31 23:08 0x01 阅读须知 文章中涉及的敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担
继续阅读【安全圈】微软重发 Edge 浏览器 123 稳定版:修复兼容性问题和 4 个零日漏洞
【安全圈】微软重发 Edge 浏览器 123 稳定版:修复兼容性问题和 4 个零日漏洞 安全圈 2024-03-31 19:00 关键词 漏洞 微软公司近日重新发布了 Microsoft Edge 123 稳定版更新,在修复了此前报告的某些企业配置兼容性问题之外,还修复了 4 个零日漏洞。 IT 之家翻译 Edge 123.0.2420.65 更新日志内容如下: 修复了各种错误和性能问题: 修复了
继续阅读明晚19点直播课!欢迎报名《系统0day安全-Windows平台漏洞挖掘(第2期)》
明晚19点直播课!欢迎报名《系统0day安全-Windows平台漏洞挖掘(第2期)》 看雪课程 看雪学苑 2024-03-30 18:00 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安
继续阅读Linux “wall” 漏洞已存在十年之久,可制造虚假的SUDO 提示并窃取密码
Linux “wall” 漏洞已存在十年之久,可制造虚假的SUDO 提示并窃取密码 Bill Toulas 代码卫士 2024-03-29 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 作为Linux 操作系统一部分的util-linux 包的 wall 命令中存在一个漏洞 (CVE-2024-28085),可导致攻击者窃取密码或更改受害者的剪贴板。 该漏洞被称为 “WallE
继续阅读SRC漏洞挖掘–并发
SRC漏洞挖掘–并发 迪哥讲事 2024-03-28 20:30 简介 并发漏洞是一类涉及多线程、多用户或多进程环境下的安全漏洞,其独特性质在于攻击者能够利用系统同时处理多个请求的特点,以获取未授权访问、篡改数据或实施拒绝服务攻击。相较于传统漏洞,它们的复杂性在于在同一时间内处理多个请求可能导致数据不一致性和竞争条件。 危害 数据不一致性 并发漏洞可能导致系统中的数据不一致性。当多个请
继续阅读【已复现】泛微E-Office10远程代码执行漏洞
【已复现】泛微E-Office10远程代码执行漏洞 长亭应急 黑伞安全 2024-03-28 18:12 泛微E-Office10是一款企业级办公自动化系统,主要用于优化和管理企业的文档、信息流转、协作与沟通工作流程。2024年3月,互联网上披露泛微E-Office10存在远程代码执行漏洞,攻击者可利用该漏洞获取服务器控制权限。该漏洞利用简单,无需前置条件,建议受影响的客户尽快修复漏洞。 漏洞描述
继续阅读谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day
谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day Sergiu Gatlan 代码卫士 2024-03-28 17:29 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,谷歌修复了 Chrome web浏览器中的7个漏洞,其中两个是在 Pwn2Own 2024温哥华大赛中发现。 第一个0day是 CVE-2024-2887,是位于开放标准 WebAssembl
继续阅读【漏洞复现】通天星CMS安全监控云平台任意文件读取漏洞
【漏洞复现】通天星CMS安全监控云平台任意文件读取漏洞 Mr.Song 蚁剑安全实验室 2024-03-28 16:56 大家可以把蚁剑安全实验室“设为星标 ”,这样就可以及时看到我们最新发布的“漏洞预警”及“漏洞复现”的安全内容啦! 免责声明:该文章仅用于技术讨论与学习。请勿利用文章所提供的相关技术从事非法测试,若利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负
继续阅读创宇安全智脑 | Adobe Coldfusion pms 任意文件读取(CVE-2024-20767)等19个漏洞可检测
创宇安全智脑 | Adobe Coldfusion pms 任意文件读取(CVE-2024-20767)等19个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-03-28 16:48 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、
继续阅读0328-新型僵尸网络感染全球88个国家/地区-主流AI算力框架漏洞威胁全球数千大模型-印度国防部等机构被黑客打穿
0328-新型僵尸网络感染全球88个国家/地区-主流AI算力框架漏洞威胁全球数千大模型-印度国防部等机构被黑客打穿 网络盾牌 网络盾牌 2024-03-28 16:21 点击上方蓝色文字关注我们 今日全球网安资讯摘要**** 特别关注 新型僵尸网络感染全球88个国家/地区,超6千台华硕路由器遭攻击 主流AI算力框架漏洞威胁全球数千大模型 印度国防部等机构被黑客打穿,泄露 8.8GB 数据 特别关注
继续阅读要闻 | 主流 AI 算力框架漏洞威胁全球数千大模型
要闻 | 主流 AI 算力框架漏洞威胁全球数千大模型 内生安全联盟 2024-03-28 15:37 近日,知名网络安全公司Oligo Security发现人工智能行业主流算力框架Ray的一个未修复安全漏洞正被黑客野外大规模利用,攻击AI工作负载并窃取敏感(生产)数据和算力。 包括亚马逊、Uber、OpenAI等数以千计的人工智能企业受到影响,数百个集群已经遭到攻击,超过10亿美元算力遭到“劫持”
继续阅读主流AI算力框架漏洞威胁全球数千大模型
主流AI算力框架漏洞威胁全球数千大模型 网络安全应急技术国家工程中心 2024-03-28 15:14 近日,知名网络安全公司Oligo Security发现人工智能行业主流算力框架Ray的一个未修复安全漏洞正被黑客野外大规模利用,攻击AI工作负载并窃取敏感(生产)数据和算力。 包括亚马逊、字节跳动、Uber、OpenAI等数以千计的人工智能企业受到影响,数百个集群已经遭到攻击,超过10亿美元算力
继续阅读10 大 Web 应用程序漏洞
10 大 Web 应用程序漏洞 点击关注👉 马哥网络安全 2024-03-28 12:01 为了帮助公司应对 Web 应用程序漏洞并保护自己的 Web 应用程序,开放 Web 应用程序安全项目 (OWASP) 在线社区创建了 OWASP 前十排行榜。当我们跟踪他们的排名时,我们注意到我们对主要漏洞的排名方式有所不同。出于好奇,我们决定找出差异到底有多大。这就是为什么我们建立了自己的排名,该排名反映
继续阅读漏洞挖掘 | SRC中信息收集姿势分享
漏洞挖掘 | SRC中信息收集姿势分享 原创 zkaq-杳若 掌控安全EDU 2024-03-28 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – 杳若 投稿 前言 前前后后挖了四个月的EDUSRC,顺利从路人甲升到了网络安全专家,从提交的内容来看大部分还是以中低危为主,主打的就是弱口令和未授权。 在这过程中还是比较浮躁的,因此接下来的时间还是要好好沉淀一下自身的技术,学习
继续阅读【漏洞通告】Adobe ColdFusion任意文件读取漏洞CVE-2024-20767
【漏洞通告】Adobe ColdFusion任意文件读取漏洞CVE-2024-20767 深瞳漏洞实验室 深信服千里目安全技术中心 2024-03-28 11:59 漏洞名称: Adobe ColdFusion 任意文件读取漏洞(CVE-2024-20767) 组件名称: Adobe ColdFusion 影响范围: Adobe ColdFusion 2023 ≤ Update 6 Adobe C
继续阅读可能吗?CISA竟想“彻底终结”SQL漏洞
可能吗?CISA竟想“彻底终结”SQL漏洞 小薯条 FreeBuf 2024-03-27 18:58 左右滑动查看更多 3月25日(本周一),网络安全与基础设施安全局(CISA)和联邦调查局(FBI)发布了 “安全设计 “警报。他们将 SQL 注入漏洞(SQLi)归入”不可饶恕的 “一类漏洞。 警报指出:尽管在过去二十年中,人们普遍了解并记录了 SQ
继续阅读TeamCity身份验证绕过漏洞分析(CVE-2024-23917、CVE-2024-27198、CVE-2024-27199)
TeamCity身份验证绕过漏洞分析(CVE-2024-23917、CVE-2024-27198、CVE-2024-27199) 原创 元亨-blckder02 中孚安全技术研究 2024-03-27 18:16 前言 1-1. 简介 TeamCity是一款由JetBrains开发的持续集成和持续交付(CI/CD)服务器。它提供了一个强大的平台,用于自动化构建、测试和部署软件项目。TeamCity
继续阅读开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源
开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源 Bill Toulas 代码卫士 2024-03-27 17:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 名为 “ShadowRay” 的攻击活动利用热门开源 AI 框架 Ray 中的0day 从数千家公司劫持算力并泄露敏感数据。 Oligo 公司发布报告称,攻击至少始于2023年9月5日,针对的是教育、密币、生物制药等行
继续阅读【漏洞通告】Adobe ColdFusion任意文件读取漏洞安全风险通告
【漏洞通告】Adobe ColdFusion任意文件读取漏洞安全风险通告 嘉诚安全 2024-03-27 15:57 漏洞背景 近日,嘉诚安全监测到Adobe ColdFusion发布新版本,修复了一个任意文件读取漏洞, 漏洞编号为:CVE-2024-20767。 Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台,包括集成开发环境和脚本语言。 鉴于漏洞危害较
继续阅读漏洞预警 | 用友UFIDA-NC任意文件下载漏洞
漏洞预警 | 用友UFIDA-NC任意文件下载漏洞 网络威胁数据联盟 2024-03-27 15:41 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC以“全球化集团管控、行业化解决方案、全程化电子商务、平台化应用集成”的管理业务理念而设计,采用J2EE架构和先进开放的集团级开发平台UAP,形成了集团管控8大领域15大行业68个细
继续阅读【红队】Spring漏洞利用工具
【红队】Spring漏洞利用工具 sspsec 贝雷帽SEC 2024-03-27 00:00 免责声明 本公众号所提供的文字和信息仅供学习和研究使用, 请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任 。 工具来自网络,安全性自测,如有侵权请联系删除。 工具介绍 ssp是一个一个用于探测和利用Spring框架中常见漏洞的工具,使用G
继续阅读实战 | 黑盒摸鱼意外挖到的0day
实战 | 黑盒摸鱼意外挖到的0day 渗透安全团队 2024-03-26 23:05 前言 ## 一、前言 本文所涉及的漏洞已提交至CNVD并归档,涉及站点的漏洞已经修复,敏感信息已全部打码。## 二、漏洞挖掘过程 随手摸鱼,开局fofa搜一波系统管理然后海选,相中了这个xx系统管理中… 本文所涉及的漏洞已提交至CNVD并归档,涉及站点的漏洞已经修复,敏感信息已全部打码。 二、漏洞挖掘
继续阅读【已复现】Adobe ColdFusion 任意文件读取漏洞(CVE-2024-20767)安全风险通告
【已复现】Adobe ColdFusion 任意文件读取漏洞(CVE-2024-20767)安全风险通告 奇安信 CERT 2024-03-26 19:33 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Adobe ColdFusion 任意文件读取漏洞 漏洞编号 QVD-2024-9389,CVE-2024-20767 公开时间 2024-03-12 影响量级 十万级 奇安
继续阅读学硬核技术!系统0day安全-二进制漏洞攻防(第3期)
学硬核技术!系统0day安全-二进制漏洞攻防(第3期) 小雪 看雪学苑 2024-03-26 18:00 好消息!好消息! 系统0day安全-二进制漏洞攻防(第3期)火热开课啦! 想要深入了解二进制漏洞攻防的知识和实践经验吗?想要掌握模糊测试、AFL原**** 理、ASAN原理、网络协议漏洞挖掘、Linux内核漏洞挖掘、AOSP漏洞挖掘以及CodeQL代码审计等多个方面的技能吗? 预售期间享75折
继续阅读CISA督促软件开发人员消除SQL注入漏洞
CISA督促软件开发人员消除SQL注入漏洞 Sergiu Gatlan 代码卫士 2024-03-26 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA 和 FBI 督促技术制造企业管理层对所在组织机构的软件提起正式审计并执行缓解措施,在软件交付前消除SQL注入 (SQLi) 漏洞。 在SQL注入攻击中,威胁行动者将恶意构造的 SQL 查询“注入”数据库查询中所使用的字段
继续阅读上周关注度较高的产品安全漏洞(20240318-20240324)
上周关注度较高的产品安全漏洞(20240318-20240324) 国家互联网应急中心CNCERT 2024-03-26 14:51 一、境外厂商产品漏洞 1、Apache Tomcat输入验证错误漏洞 Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。Apache Tomcat存
继续阅读【漏洞复现】用友-畅捷通T+-RRATableController-命令执行
【漏洞复现】用友-畅捷通T+-RRATableController-命令执行 原创 rain 知黑守白 2024-03-26 06:00 免责声明 此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们! 0x01 产品简介 用友畅捷通 T+是一款基于互联网的新型企业管理软件,
继续阅读