上周关注度较高的产品安全漏洞(20240513-20240519)
上周关注度较高的产品安全漏洞(20240513-20240519) 国家互联网应急中心CNCERT 2024-05-21 14:08 一、境外厂商产品漏洞 1、 Apache James MIME4J输入验证错误漏洞 Apache James MIME4J 是美国阿帕奇( Apache )基金会的一个库。可用于解析纯 rfc822 和 MIME 格式的电子邮件消息流,并构建电子邮件消息的树表示。
继续阅读标签: 命令执行
Gradio component_server存在任意文件读取漏洞复现(CVE-2024-1561)CVE-2024-1561
Gradio component_server存在任意文件读取漏洞复现(CVE-2024-1561)CVE-2024-1561 南风徐来 南风漏洞复现文库 2024-05-20 23:07 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1.
继续阅读安全热点周报:谷歌、微软等厂商发布紧急补丁,防范本周新增的七个在野利用漏洞
安全热点周报:谷歌、微软等厂商发布紧急补丁,防范本周新增的七个在野利用漏洞 奇安信 CERT 2024-05-20 19:42 安全资讯导视 • 国家安全部:境外一非政府组织非法搜集窃取我国自然保护区核心敏感数据 • 因供应商被黑,欧洲银行巨头桑坦德银行所有员工和多国客户数据泄露 • 美国CISA等多国机构发布公民社会网络安全指南 PART01 漏洞情报 1.Google Chrome V8类型
继续阅读【漏洞通告】Sonatype Nexus Repository3 任意文件下载漏洞CVE-2024-4956
【漏洞通告】Sonatype Nexus Repository3 任意文件下载漏洞CVE-2024-4956 深瞳漏洞实验室 深信服千里目安全技术中心 2024-05-20 18:27 漏洞名称: Sonatype Nexus Repository3 任意文件下载漏洞(CVE-2024-4956) 组件名称: Sonatype-Nexus 影响范围: Sonatype Nexus < 3.6
继续阅读安全动态回顾 | 16项网络安全国家标准获批发布 D-Link EXO AX4800路由器中的RCE零日漏洞PoC漏洞发布
安全动态回顾 | 16项网络安全国家标准获批发布 D-Link EXO AX4800路由器中的RCE零日漏洞PoC漏洞发布 胡金鱼 嘶吼专业版 2024-05-20 14:06 2024.5.6—5.12安全动态周回顾 2024.4.29—5.5安全动态周回顾 2024.4.22—4.28安全动态周回顾 2024.4.15—4.21安全动态周回顾 2024.4.8—4.14安全动态周回顾 2024
继续阅读D-Link NAS 未授权RCE
D-Link NAS 未授权RCE 可可 巢安实验室 2024-05-19 23:00 0x01 产品介绍 D-Link 网络存储 (NAS)是中国友讯(D-link)公司的一款统一服务路由器。 0x 0 2 漏洞威胁 D-Link NAS nas_sharing.cgi接口存在命令执行漏洞,该漏洞存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响其 HTTP GET 请求处理
继续阅读CVE-2023-35001 – nf_tables – LPE – Pwn2Own Vancouver 2023
CVE-2023-35001 – nf_tables – LPE – Pwn2Own Vancouver 2023 原创 星盟@Achilles 星盟安全 2024-05-19 20:09 简介 阅读本篇文章前,读者需要了解nf_tables中的虚拟机构成和执行过程。 漏洞存在于nf_tables模块的byteorder表达式执行过程,可导致栈溢出。 内核版本5
继续阅读CVE-2024-0517分析心得
CVE-2024-0517分析心得 XiaozaYa 看雪学苑 2024-05-19 17:59 Error Fold Allocations in VisitFindNonDefaultConstructorOrConstruct 这个漏洞发生在MaglevGraphBuilder::VisitFindNonDefaultConstructorOrConstruct 函数中,考虑之前分析的CVE
继续阅读【高危漏洞】亿赛通数据泄露防护(DLP)系统存在SQL注入漏洞
【高危漏洞】亿赛通数据泄露防护(DLP)系统存在SQL注入漏洞 皓月当空w 2024-05-19 12:20 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称:亿赛通数据泄露防护(DLP)系统存在SQL注入漏洞 漏洞出现时间:2024年5月19日 影响等级:高危 漏洞说明: 北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏
继续阅读Thinkphp框架的图形化漏洞扫描工具 — Tp_Attack_GUI(5月16日更新)
Thinkphp框架的图形化漏洞扫描工具 — Tp_Attack_GUI(5月16日更新) XiLitter Web安全工具库 2024-05-18 22:03 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责
继续阅读JDBC反序列化漏洞
JDBC反序列化漏洞 原创 joyboy fly的渗透学习笔记 2024-05-18 17:58 免责声明: 本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除整改并向您致以歉意。谢谢! JDBC简介: JDBC
继续阅读从未经身份验证的存储型 XSS 到 RCE
从未经身份验证的存储型 XSS 到 RCE Ots安全 2024-05-18 13:24 发现的漏洞导致 HESK (MFH)版本 2019.1.0 和低至版本 3.1.0 (2017 年 6 月 28 日)的Mods 出现三个不同的 CVE – CVE-2020-13992 :: 多个存储的 XSS 问题允许未经身份验证的远程攻击者滥用帮助台用户的登录会话 CVE-2020-1399
继续阅读【热点播报】利用以太坊安全漏洞,麻省理工两学生12秒窃取1.8亿元
【热点播报】利用以太坊安全漏洞,麻省理工两学生12秒窃取1.8亿元 皓月当空w 2024-05-18 10:52 皓月当空,明镜高悬 文末可体验bugSearch系统哦~漏洞,热点,新闻,应有尽有 曼哈顿的联邦检察官指控,24岁的Anton Peraire-Bueno和28岁的James Peraire-Bueno犯有欺诈和洗钱罪。调查人员表示,在几个月的时间内,两人利用以太坊的安全漏洞策划、实施
继续阅读【高危漏洞】网锐捷网络技术有限公司EG3210存在命令执行漏洞
【高危漏洞】网锐捷网络技术有限公司EG3210存在命令执行漏洞 皓月当空w 2024-05-18 10:52 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称:网锐捷网络技术有限公司EG3210存在命令执行漏洞 漏洞出现时间:2024年5月18日 影响等级:高危 漏洞说明: 北京星网锐捷网络技术有限公司EG3210存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。 影响版本:
继续阅读自动化漏洞挖掘工具,集合Nuclei + Subfinder + Gau + Paramspider + httpx
自动化漏洞挖掘工具,集合Nuclei + Subfinder + Gau + Paramspider + httpx Mr.x 黑客白帽子 2024-05-18 08:31 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 🌟简介 NucleiScanner是一个强大的自动化工具,用于检测Web应用程序中的未知漏洞。
继续阅读CVE-2024-34220
CVE-2024-34220 A___bandon 漏洞猎人 2024-05-18 08:02 免责声明:本文所涉及的信息安全技术知识仅供参考和学习之用,并不构成任何明示或暗示的保证。读者在使用本文提供的信息时,应自行判断其适用性,并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做出的任何行为或决定不承担任何责任。在任何情况下,本文作者不对因使用本文内容而导致的任何直接、间接、特殊或
继续阅读CVE-2024-27130|QNAP 存在未经身份验证的RCE漏洞(POC)
CVE-2024-27130|QNAP 存在未经身份验证的RCE漏洞(POC) alicy 信安百科 2024-05-17 21:56 0x00 前言 QNAP 命名源自于高质量网络设备制造商(Quality Network Appliance Provider)。 QNAP 专注于储存、网络及智能影音产品创新,透过软件订阅制及多元化服务管道建构崭新的科技生态圈。 在 QNAP 的企业蓝图中,NA
继续阅读【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞
【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞 云弈安全 2024-05-17 18:01 01 漏洞信息 瑞友天翼应用虑拟化系统是基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。 近日,云
继续阅读【漏洞预警】mlflow信息泄露漏洞(CVE-2024-3848)
【漏洞预警】mlflow信息泄露漏洞(CVE-2024-3848) cexlife 飓风网络安全 2024-05-17 17:02 漏洞描述: mlflоԝ/mlflоԝ版本2.11.0中存在一个路径遍历漏洞,该漏洞被识别为先前解决的CVE-2023-6909的绕过,该漏洞源于应用程序对工件URL的处理,其中可以使用“#”字符将路径插入片段,从而有效地跳过验证,这允许攻击者构建一个URL,该URL
继续阅读由LFI所导致的RCE
由LFI所导致的RCE nullsub 迪哥讲事 2024-05-16 20:30 正文 创建博客/文章/文件功能出现问题。 原请求: POST /blog/new/ HTTP/1.1 Host: target.com User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:33.0) Gecko/20100101 Firefox/33.0 Accept: t
继续阅读攻击者正在利用Foxit PDF Reader漏洞传播恶意软件
攻击者正在利用Foxit PDF Reader漏洞传播恶意软件 安全客 安全客 2024-05-16 16:38 Check Point Research 发现 PDF 漏洞正在广泛传播,主要针对 Foxit Reader 用户。通过触发安全警告,毫无戒心的用户可能会被欺骗执行有害命令。 许多攻击者已经在利用该漏洞,该漏洞利用了“福昕阅读器(Foxit Reader)中警告消息的设计缺陷”。 尽管
继续阅读漏洞挖掘|一次在线商城漏洞挖掘
漏洞挖掘|一次在线商城漏洞挖掘 迪哥讲事 2024-05-15 20:30 点击下方名片即可关注,只更高质量文章**** 0x01 前言 最近事情比较多,一直没啥时间挖洞,正好今天简单挖点漏洞,并且讲一下思路原理,漏洞简单,没有RCE,目标是一个在线商城,本次信息收集采用互联网信息收集(包括不限于:shodan、fofa、hunter、google等)及本地灯塔信息收集(灯塔停止维护了、此处默哀2
继续阅读微软Outlook通杀0Day漏洞:黑客开价1,700,000美元
微软Outlook通杀0Day漏洞:黑客开价1,700,000美元 关键基础设施安全应急响应中心 2024-05-15 14:59 一个名为“Cvsp”的威胁参与者宣布出售所谓的Outlook远程代码执行 (RCE) 0day漏洞。这一所谓的漏洞旨在攻击跨x86和x64架构的各种Microsoft Office版本(2016、2019、LTSC 2021、365 Apps for Enterpri
继续阅读上周关注度较高的产品安全漏洞(20240429-20240512)
上周关注度较高的产品安全漏洞(20240429-20240512) CNVD漏洞平台 2024-05-13 17:16 一、境外厂商产品 漏洞 1、F5 BIG-IP Next Central Manager中间人攻击漏洞(CNVD-2024-22213) F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP Next Cen
继续阅读50000多个小型代理服务器容易受到关键的RCE缺陷的影响
50000多个小型代理服务器容易受到关键的RCE缺陷的影响 网络安全应急技术国家工程中心 2024-05-13 15:51 最近披露的一个关键远程代码执行 (RCE) 缺陷显示,近 52000 个暴露在互联网上的 Tinyproxy 实例容易受到 CVE-2023-49606 的影响。 Tinyproxy 是一个开源 HTTP 和 HTTPS 代理服务器,旨在快速、小型和轻量级。它专为类 UNIX
继续阅读雷神众测漏洞周报2024.05.06-2024.05.12
雷神众测漏洞周报2024.05.06-2024.05.12 原创 雷神众测 雷神众测 2024-05-13 15:30 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读H3C两个漏洞的划水
H3C两个漏洞的划水 原创 SXdysq 南街老友 2024-05-12 21:41 产品介绍 H3C用户自助服务平台是一种基于云计算和自动化技术的管理平台,旨在提供自助式、智能化的网络设备和服务管理解决方案。该平台通过集成多种功能和工具,帮助企业用户更高效地管理和维护其网络设备,并提供更好的用户体验。 漏洞简介 H3C用户自助服务平台 dynamiccontent.properties.xhtm
继续阅读Android Deep Link 问题和 WebView 漏洞利用
Android Deep Link 问题和 WebView 漏洞利用 8ksec Ots安全 2024-05-12 12:10 在过去的几年里,Android 智能手机已经变得无处不在。我们有数百万用户依靠这些设备进行商务和个人通信、娱乐和工作。随着 Android 智能手机使用量的增加,应用程序中的安全漏洞数量大幅增加,这些漏洞可能使用户的个人数据面临风险。 Android 深度链接和 Andr
继续阅读Weblogic-CVE-2023-21839 漏洞解析
Weblogic-CVE-2023-21839 漏洞解析 船山信安 2024-05-12 00:01 一、漏洞概述 RCE漏洞,该漏洞允许未经身份验证的远程,通过T3/IIOP协议网络访问并破坏WebLogic服务器,成功利用此漏洞可导致Oracle WebLogic服务器被接管,通过 rmi/ldap远程协议进行远程命令执行,,当 JDK 版本过低或本地存在小工具(javaSerialized
继续阅读