【安全圈】谷歌修补Pixel漏洞,CISA发现可能被商业间谍软件供应商利用
【安全圈】谷歌修补Pixel漏洞,CISA发现可能被商业间谍软件供应商利用 安全圈 2024-03-10 19:00 关键词 安全漏洞 美国网络安全机构CISA周二将影响Pixel手机和Sunhillo软件的漏洞添加到其已知利用漏洞(KEV)目录中。 被利用的 Pixel 漏洞被跟踪为 CVE-2023-21237。谷歌在 2023 年 6 月修补该漏洞时警告说,它已经意识到“有限的、有针对性的漏
继续阅读标签: 信息泄露
【安全圈】VM虚拟机重大漏洞!立即升级
【安全圈】VM虚拟机重大漏洞!立即升级 安全圈 2024-03-09 19:00 关键词 安全漏洞 虚拟化产品供应商 VMware 发布了一份安全公告,披露了四个高风险漏洞。这些漏洞允许黑客或恶意软件绕过沙盒和虚拟机管理器的防护,从而危及宿主机的安全。特别是其中的两个漏洞,彻底颠覆了 VMware 产品的基本使命:它们让恶意软件能够直接逃脱并感染宿主机,对其他宿主机、内部网络以及其他虚拟机构成了严
继续阅读JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)-附py
JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)-附py Y1_K1NG Yi安全 2024-03-09 16:56 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感信息均 已
继续阅读Java实战篇-XXE漏洞利用从潜到深
Java实战篇-XXE漏洞利用从潜到深 进击安全 2024-03-09 16:02 目标 经典渗透场景 – 登录框(授权合法渗透) 初步挖掘 发现某 JSP路径返回包泄露了代码信息,且疑似存在XXE漏洞 通过泄露的代码构造出 post请求包 测试,漏洞存在 Poc: <?xml version="1.0" encoding="UTF-8"?>
继续阅读CISA警告:JetBrains TeamCity漏洞被利用
CISA警告:JetBrains TeamCity漏洞被利用 THN 知机安全 2024-03-09 10:02 The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Thursday added a critical security flaw impacting JetBrains TeamCity On-Pre
继续阅读【安全通告】VMware ESXi 释放后使用漏洞等多个漏洞通告
【安全通告】VMware ESXi 释放后使用漏洞等多个漏洞通告 深瞳漏洞实验室 深信服千里目安全技术中心 2024-03-08 18:03 漏洞名称: VMware ESXi 释放后使用漏洞等多个漏洞 组件名称: VMware ESXi 安全公告链接: https://www.vmware.com/security/advisories/VMSA-2024-0006.html 官方解决方案:
继续阅读思科修补 VPN 产品中的高严重性漏洞
思科修补 VPN 产品中的高严重性漏洞 安全客 2024-03-08 11:54 思科发布了针对 Secure Client 中两个高严重性漏洞的补丁,Secure Client 是一款企业 VPN 应用程序,还包含安全和监控功能。 第一个漏洞被追踪为 CVE-2024-20337,影响 Secure Client 的 Linux、macOS 和 Windows 版本,并且可以在不进行身份验证的情
继续阅读Reporter内置报表管理系统敏感信息泄露+远程RCE漏洞
Reporter内置报表管理系统敏感信息泄露+远程RCE漏洞 NT-V NightmareV 2024-03-08 07:00 声明: 请勿使用本文档提供的相关 操作及工具 开展任何违法犯罪活动 。 本技术类文档与工具仅支持学习安全技术使用,他用造成严重后果,请自行负责!!! 一、 漏洞名称 Reporter内置报表管理系统敏感信息泄露+远程RCE漏洞 二、 漏洞概述 Reporter内置报表管理
继续阅读Aim Web API 远程代码执行
Aim Web API 远程代码执行 原创 Jacky jacky安全 2024-03-07 20:28 摘要 漏洞类型:远程代码执行(RCE) 产品:目标 版本:>= 3.0.0(afaik) 受影响的端点: /api/runs/search/run/ 严重性:临界 描述 在aim 项目中发现了一个关键的远程代码执行漏洞,特别是在/api/runs/search/run/ 端点中。该漏洞
继续阅读【安全圈】Android发布3月更新,解决了38个漏洞
【安全圈】Android发布3月更新,解决了38个漏洞 安全圈 2024-03-07 19:00 关键词 安全更新 周一宣布的 Android 安全更新解决了 38 个漏洞,包括系统组件中的两个严重性问题。 这两个严重缺陷会影响 Android 12、12L、13 和 14,并被跟踪为 CVE-2024-0039 和 CVE-2024-23717,分别可能导致远程代码执行和权限提升。 “这些问题中
继续阅读更新VMware!多个漏洞可导致沙箱逃逸
更新VMware!多个漏洞可导致沙箱逃逸 看雪学苑 看雪学苑 2024-03-07 17:59 3月5日,虚拟化巨头VMware针对虚拟机逃逸漏洞发布了紧急安全更新,漏洞影响范围包括VMware的ESXi、Workstation、Fusion和Cloud Foundation。 据VMware公告,四个漏洞中有两个(CVE-2024-22252、CVE-2024-22253,CVSS评分皆为9.3
继续阅读【漏洞复现】CVE-2024-2074
【漏洞复现】CVE-2024-2074 原创 fgz AI与网安 2024-03-07 07:01 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Mini-Tmall SQL注入漏洞 02 — 漏洞影响 <= 20231017版本 03 —
继续阅读【漏洞预警】VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252)
【漏洞预警】VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252) cexlife 飓风网络安全 2024-03-06 22:54 漏洞描述: VMware是一家提供虚拟化解决方案的软件公司,它提供了多个虚拟化产品,其中包括VMware ESXi虚拟化操作系统、VMware Workstation、VMware vSphe
继续阅读逻辑漏洞测试系列-水平越权漏洞
逻辑漏洞测试系列-水平越权漏洞 糖果 信安404 2024-03-06 20:16 **** **阅读须知** **本文所述之信息,只作为网络安全人员对自己所负责的网站及服务器进行检测和维护等运维行为的参考。未经合法授权请勿使用本文中的工具、技术及资料,对任何计算机系统进行入侵活动。利用本文所提供的信息所造成的直接或间接后果,及其所引发的损失,均由使用者承担。本文所提供的工具及方法仅用于学习,禁止
继续阅读信息安全漏洞周报(2024年第10期)
信息安全漏洞周报(2024年第10期) 网安百色 2024-03-06 19:40 点击蓝字 关注我们 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年2月26日至2024年3月3日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞962个。 接报漏洞情况 本周CNNVD接报漏洞13157个,其中信息技术产品漏洞(通用型漏洞)291个,网络信息系统漏洞(事件型漏洞)86个,漏
继续阅读【漏洞通告】VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252)
【漏洞通告】VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252) 网安百色 2024-03-06 19:40 一、漏洞概述 漏洞名称 VMware ESXi & Workstation & Fusion释放后使用漏洞 CVE ID CVE-2024-22252、CVE-2024-22253 漏洞
继续阅读【安全圈】未落实网络安全,存在安全漏洞,北京5家公司被罚!
【安全圈】未落实网络安全,存在安全漏洞,北京5家公司被罚! 安全圈 2024-03-06 19:01 关键词 黑客勒索 近期,北京市公安局网安部门加大对不履行网络安全保护义务违法行为的打击力度,切实压紧压实网络运营者的主体责任,对未建立管理制度、不履行网络信息安全管理义务的多家违法企业依法给予行政处罚。 01 北京某科技信息服务有限责任公司所属网站内出现涉赌违法信息。 该公司官网为静态页面,涉事服
继续阅读TangGo测试平台|逻辑漏洞测试系列-水平越权漏洞
TangGo测试平台|逻辑漏洞测试系列-水平越权漏洞 糖果 无糖反网络犯罪研究中心 2024-03-06 18:29 **** **阅读须知** **本文所述之信息,只作为网络安全人员对自己所负责的网站及服务器进行检测和维护等运维行为的参考。未经合法授权请勿使用本文中的工具、技术及资料,对任何计算机系统进行入侵活动。利用本文所提供的信息所造成的直接或间接后果,及其所引发的损失,均由使用者承担。本文
继续阅读VMware修复多个严重的ESXi 沙箱逃逸漏洞
VMware修复多个严重的ESXi 沙箱逃逸漏洞 Ryan Naraine 代码卫士 2024-03-06 15:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,虚拟化技术厂商 VMware 紧急修复企业级产品 ESXi、Workstation、Fusion 和 Cloud Foundation 产品中的多个严重漏洞。 VMware 公司发布了四个漏洞,并提醒称其中最严重的漏洞
继续阅读CVE-2024-25735漏洞复现(附POC)
CVE-2024-25735漏洞复现(附POC) 原创 fgz AI与网安 2024-03-06 07:01 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 WyreStorm Apollo VX20 信息泄露漏洞 02 — 漏洞影响 WyreSt
继续阅读【漏洞预警】JetBrains TeamCity身份验证绕过漏洞(CVE-2024-27198)
【漏洞预警】JetBrains TeamCity身份验证绕过漏洞(CVE-2024-27198) cexlife 飓风网络安全 2024-03-05 19:21 漏洞描述: TeamCity是JetBrains旗下的一款功能强大的持续集成(Continuous Integration,简称CI)工具,包括服务器端和客户端。默认情况下,TeamCity 通过 HTTP 端口8111公开Web 服务器
继续阅读浅析常见WEB安全漏洞及其防御措施
浅析常见WEB安全漏洞及其防御措施 学网安的face_all 安安是个小妹妹 2024-03-05 19:04 文章目录 一 背景概述 二 本文目的 三 Web漏洞 1 SQL注入 2 XSS漏洞 3 文件上传 4 CSRF漏洞 5 SSRF漏洞 四 总结归纳五 参考内容 一 背景概述 在网络攻防中,Web系统通常是攻击者的首选目标,攻击者大都通过Web打点的方式,先拿到边界Web服务器的权限,再
继续阅读【安全圈】JetBrains TeamCity On-Premises 软件出现新安全漏洞,可被利用控制系统
【安全圈】JetBrains TeamCity On-Premises 软件出现新安全漏洞,可被利用控制系统 安全圈 2024-03-05 19:01 关键词 安全漏洞 JetBrains TeamCity On-Premises 软件中披露了一对新的安全漏洞,威胁参与者可能会利用这些漏洞来控制受影响的系统。 追踪为 CVE-2024-27198(CVSS 评分:9.8)和 CVE-2024-27
继续阅读【安全圈】未定期检查网站安全,存在安全漏洞,新乡3家公司被罚!
【安全圈】未定期检查网站安全,存在安全漏洞,新乡3家公司被罚! 安全圈 2024-03-05 19:01 关键词 网络安全 近期,河南新乡市公安局网安部门加大对网络运营者不履行网络安全保护义务违法行为的打击力度,切实压紧压实属地互联网平台企业的主体责任,对不落实网络安全等级保护制度,未履行安全保护义务的多家企业依法给予了行政处罚。 1、封丘县某电子衡器有限公司门户网站存在HTML信息泄露和Sour
继续阅读更新第六章:代码审计之实战查找微软内核模块漏洞-0day2期欢迎报名
更新第六章:代码审计之实战查找微软内核模块漏洞-0day2期欢迎报名 看雪课程 看雪学苑 2024-03-05 17:59 通知:录播课更新- 6.1 实战挖掘内核漏洞 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学
继续阅读CI/CD工具—TeamCity被曝出两个严重漏洞
CI/CD工具—TeamCity被曝出两个严重漏洞 安全客 2024-03-05 16:17 JetBrains 修复了两个影响 TeamCity On-Premises 的严重安全漏洞(CVE-2024-27198、CVE-2024-27199),并敦促客户立即修补它们。 “Rapid7 最初发现并向我们报告了这些漏洞,并选择严格遵守自己的漏洞披露政策。这意味着他们的团队将在收到通知后 24 小
继续阅读上周关注度较高的产品安全漏洞(20240226-20240303)
上周关注度较高的产品安全漏洞(20240226-20240303) 国家互联网应急中心CNCERT 2024-03-05 14:39 一、境外厂商产品漏洞 1、 Mozilla Firefox拒绝服务漏洞(CNVD-2024-10435) Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在拒绝服务漏洞,该漏洞是由于在macOS上应用更
继续阅读【漏洞新情报 | 附POC】蓝凌EIS智慧协同平台SQL注入
【漏洞新情报 | 附POC】蓝凌EIS智慧协同平台SQL注入 原创 4Zen 划水但不摆烂 2024-03-04 01:37 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 产品简介 蓝凌EIS智慧协同平台现集合了非常丰富的模块,满足组织企业在知识,协同,项目管理系统建设等需求。 漏
继续阅读CVE-2024-25419
CVE-2024-25419 原创 fgz AI与网安 2024-03-03 10:48 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 flusity-2.33 CSRF漏洞 02 — CSRF漏洞原理 终于遇到一个热乎的CSRF漏洞,虽然覆盖面
继续阅读相对来说还算比较全及时的漏洞库
相对来说还算比较全及时的漏洞库 原创 自然嗨 嗨嗨安全 2024-03-02 20:46 声明 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 滑至文末,获取“ 渗透测试工具库 ”下载链接! 一、前情提要 一切都是为了方便,更加方便,效率而服务。 二、漏洞库 htt
继续阅读