CVE-2024-4367 & CVE-2024-34342:PDF.js 中的任意 JavaScript 执行 LOURC0D3 Ots安全 2024-05-25 12:35 处理 PDF.js 中的字体时缺少类型检查,这将允许在 PDF.js 上下文中执行任意 JavaScript。此漏洞会影响 Firefox < 126、Firefox ESR < 115.11 和 Th
继续阅读【高危漏洞】金同方科技有限公司月子会所ERP管理云平台存在SQL注入漏洞 皓月当空w 2024-05-25 09:37 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称: 金同方科技有限公司月子会所ERP管理云平台存在SQL注入漏洞 漏洞出现时间:2024年5月25日 影响等级:高危 漏洞说明: 武汉金同方科技有限公司月子会所ERP管理云平台存在SQL注入漏洞,攻击者可利用该漏洞
继续阅读漏洞预警 | Zabbix SQL注入漏洞 浅安 浅安安全 2024-05-25 08:00 0x00 漏洞编号 – # CVE-2024-22120 0x01 危险等级 – 高危 0x02 漏洞概述 Zabbix是开源的网络监控工具,用于监控网络服务、服务器和网络设备的性能和可用性。 0x03 漏洞详情 CVE-2024-22120 漏洞类型: SQL注入 影响: 获取敏
继续阅读狗屎运~Atlassian Confluence CVE-2024-21683 RCE漏洞复现(附EXP) 原创 AW 阿无安全 2024-05-24 23:59 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 现在只对常
继续阅读任意JavaScript代码执行(小核弹) 迪哥讲事 2024-05-24 22:50 简介 本文详细介绍了CVE-2024-4367,这是由Codean Labs发现的PDF.js中的一个漏洞。 PDF.js是一个由Mozilla维护的基于JavaScript的PDF查看器。此漏洞允许攻击者在打开恶意PDF文件时执行任意JavaScript代码。由于Firefox使用PDF.js来显示PDF文件
继续阅读RuoYi 4.7.8 执行任意SQL语句导致RCE漏洞 原创 0Fs47 Timeline Sec 2024-05-24 19:30 关注我们 ❤️,添加星标 🌟,一起学安全!作者:0Fs47@Timeline Sec 本文字数:1392 阅读时长:2~4 mins声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 RuoYi 是一个后台管理系统,基于经典技术组合(Sprin
继续阅读CORS跨域资源共享漏洞 原创 young SDL安全 2024-05-24 19:24 CORS(Cross-Origin Resource Sharing)是一种浏览器安全机制,它允许 Web 应用程序从不同源加载所需的 Web 资源。由于浏览器的同源策略限制,Web 应用程序只能访问与其自身源相同的资源,因此需要 CORS 来解决跨域资源访问的问题。CORS 是通过 HTTP 头来进行控制的
继续阅读CVE-2024-21683 Confluence RCE 分析(译) Pearce 3072 2024-05-24 18:03 关于漏洞 这是一个在 Atlassian Confluence 中需要权限的远程代码执行漏洞 CVE-2024-21683。 描述 这个高严重性的 RCE(远程代码执行)漏洞是在 Confluence Data Center 和 Server 的 5.2 版本中引入的。
继续阅读CVE-2024-21683|Atlassian Confluence远程代码执行漏洞(POC) alicy 信安百科 2024-05-24 17:56 0x00 前言 Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。 0x01 漏洞描述 经过身份验证的攻击者可构造恶
继续阅读CVE-2024-4367|Mozilla PDF.js代码执行漏洞(POC) alicy 信安百科 2024-05-24 17:56 POC: https://github.com/LOURC0D3/CVE-2024-24787-PoC import sys def generate_payload(payload): return f""" %PDF-1.4 %D
继续阅读CVE-2024-4985|GitHub Enterprise Server身份验证绕过漏洞(POC) alicy 信安百科 2024-05-24 17:56 0x00 前言 GitHub Enterprise Server 是企业内软件开发的一个自承载平台。你的团队可以使用 GitHub Enterprise Server 通过 Git 版本控制、强大的 API、生产力和协作工具及集成生成和交付
继续阅读GitLab 高危漏洞可导致账号遭接管 Sergiu Gatlan 代码卫士 2024-05-24 17:24 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab 修复了一个高危漏洞,它可导致未认证攻击者在跨站点脚本攻击中接管用户账户。 该漏洞的编号是CVE-2024-4835,是位于VS 代码编辑器 (Web IDE)中的一个XSS弱点,可导致威胁行动者使用恶意构造的页面窃取受限
继续阅读Ivanti 修复Endpoint Manager 中的严重RCE漏洞 THN 代码卫士 2024-05-24 17:24 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,Ivanti 公司修复了位于 Endpoint Manager (EPM) 中的多个严重漏洞,在某些情况下可用于实现远程代码执行。 Ivanti 本次共修复10个漏洞,其中6个即编号为从CVE-2024-29822
继续阅读红队视角!2024国家级攻防演练100+必修高危漏洞合集 你信任的 亚信安全 2024-05-24 17:03 90% ! 2023攻防演练期间 暴露的web漏洞占比90% 覆盖VPN、远程工具、办公软件 OA系统、聊天工具、安全产品等全路径 100% ! 隐藏在暗处的高危漏洞 一旦被利用,被攻陷率近100% 很多企业为此导致整个防御体系被突破 从而 遗憾出局 2024国家级攻防演练在即,亚信安全
继续阅读PDF.js中任意JavaScript代码执行(小核弹) 原创 110hacker 一个不正经的黑客 2024-05-23 23:34 简介 本文详细介绍了CVE-2024-4367,这是由Codean Labs发现的PDF.js中的一个漏洞。 PDF.js是一个由Mozilla维护的基于JavaScript的PDF查看器。此漏洞允许攻击者在打开恶意PDF文件时执行任意JavaScript代码。由
继续阅读通过路径遍历所实现的RCE 原创 Richardo1o1 迪哥讲事 2024-05-23 23:00 漏洞原理 路径遍历:这种类型的安全漏洞允许攻击者访问应用程序本不打算公开的文件和目录。通过构造特殊的输入,如使用../(向上遍历目录)的序列,攻击者可以逃离受限的目录,访问文件系统上的其他位置。 利用GitLab包注册API:攻击者通过向GitLab的包注册API发送特殊构造的请求,利用路径遍历漏
继续阅读听说PDF.js插件漏洞很火? 巢安实验室 巢安实验室 2024-05-23 21:50 0x00 前言 PDF.js 是一个使用 HTML5 构建的便携式文档格式查看器。 pd f.js 是社区驱动的,并由 Mozilla 支持。 我们的目标是为解析和呈现 PDF 创建一个通用的、基于 Web 标准的平台。 0x01 漏洞描述 在font_loader.js中存在代码注入漏洞,当PDF.js配置
继续阅读Confluence Data Center and Server认证后RCE(CVE-2024-21683)漏洞分析 原创 W01fh4cker 追梦信安 2024-05-23 21:09 一、漏洞调试环境搭建 以8.9.0和8.9.1为例: https://product-downloads.atlassian.com/software/confluence/downloads/atlassi
继续阅读漏洞预警 | Git 远程代码执行(CVE-2024-32002)漏洞复现与分析 源鲁安全实验室 2024-05-23 20:53 此文章原创作者为源鲁安全实验室,转载请注明出处!此文章中所涉及的技术、思路和工具仅供网络安全学习为目的,不得以盈利为目的或非法利用,否则后果自行承担! 0x00 简介 Git是一款免费开源的分布式版本控制系统,支持在多个系统中安装运行,广泛用于协作开发和管理软件项目。
继续阅读【已复现】Sonatype Nexus Repository 3 存在路径遍历漏洞(CVE-2024-4956) 安恒研究院 安恒信息CERT 2024-05-23 18:32 漏洞概述 漏洞名称 Sonatype Nexus Repository 3 存在路径遍历漏洞(CVE-2024-4956) 安恒CERT评级 2级 CVSS3.1评分 7.5 CVE编号 CVE-2024-4956 CNV
继续阅读【已复现】Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956)安全风险通告 奇安信CERT 代码卫士 2024-05-23 17:31 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Sonatype Nexus Repository 3 路径遍历漏洞 漏洞编号 QVD-2024-18749,CVE-2024-4956 公开时间 2
继续阅读手把手玩转路由器漏洞挖掘系列 – COAP协议分析 原创 nil 山石网科安全技术研究院 2024-05-23 15:17 1. 基本介绍 1.1 概要 – 轻量化HTTP协议 CoAP(Constrained Application Protocol)是一种专为受限环境下的物联网设备设计的轻量级通信协议。它基于UDP协议,旨在提供一种简单、高效的通信方式,适用于资源受限的
继续阅读代码审计-某人工智能语音系统多处文件上传+命令执行 原创 月金剑客 剑客古月的安全屋 2024-05-22 22:41 🌟 ❤️ 作者:yueji0j1anke 首发于公号:剑客古月的安全屋 字数:801 阅读时间: 10min 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。合
继续阅读开源数据大屏AJ-Report远程命令执行漏洞 小白菜安全 小白菜安全 2024-05-22 22:17 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围 漏洞复现 p
继续阅读Zabbix zbx_auditlog_global_script SQL注入漏洞(CVE-2024-22120) 原创 simeon的文章 小兵搞安全 2024-05-22 22:16 Zabbix是一个开源的监控软件工具,旨在帮助IT专业人士实时监控和确保各种网络服务、服务器及应用程序的稳定性和性能。它为监控IT基础设施提供了全面的解决方案,从网络设备、服务器、数据库到云服务和虚拟机均涵盖在内
继续阅读信息安全漏洞周报(2024年第21期) 网安百色 2024-05-22 19:34 点击蓝字 关注我们 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年5月13日至2024年5月19日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1632个。 接报漏洞情况 本周CNNVD接报漏洞7076个,其中信息技术产品漏洞(通用型漏洞)176个,网络信息系统漏洞(事件型漏洞)21个,
继续阅读CVE-2024-4367 PDF.js RCE 分析(译) 3bytes 3072 2024-05-22 18:45 CVE-2024-4367 – PDF.js中的任意JavaScript执行 摘要 本文详细介绍了由Codean Labs发现的PDF.js中的CVE-2024-4367漏洞。PDF.js是由Mozilla维护的基于JavaScript的PDF查看器。这个漏洞允许攻击者在打开恶意
继续阅读Veeam:Backup Enterprise Manager 中存在严重的认证绕过漏洞 Sergiu Gatlan 代码卫士 2024-05-22 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Veeam 提醒客户称修复一个严重漏洞,它可导致未认证攻击者通过 Veeam Backup Enterprise Manager (VBEM) 登录任何账户。 VBEM 是一款基于 w
继续阅读漏洞通告 | 猎鹰安全终端安全系统 V9 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-05-22 16:30 漏洞概况 猎鹰安全终端安全系统V9 是专门为政府、军工、能源、教育、医疗及集团化企业设计的终端安全管理平台。 近日,微步漏洞团队获取到两个猎鹰安全终端安全系统V9 远程代码执行漏洞情报(https://x.threatbook.com/v5/vul/XVE-2023
继续阅读