朗速ERP FileUploadApi.ashx 任意文件上传漏洞
朗速ERP FileUploadApi.ashx 任意文件上传漏洞 Superhero nday POC 2025-02-09 08:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读标签: 命令执行
【安全圈】微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷
【安全圈】微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷 安全圈 2025-02-08 11:02 关键词 恶意软件 科技媒体 bleepingcomputer 昨日(2 月 6 日)发布博文,报道称微软发出示警,有攻击者正利用网上公开的 ASP.NET 静态密钥,通过 ViewState 代码注入攻击部署恶意软件。 微软威胁情报专家近期发现,一些开发者在软件开发中使用了
继续阅读招生中!系统0day安全-IOT设备漏洞挖掘(第6期)
招生中!系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-02-08 09:59 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。 然而,随着IoT设备的普及,安全问题也日益凸显。 IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureNexu
继续阅读Apache Calcite Avatica 远程代码执行 CVE-2022-36364
Apache Calcite Avatica 远程代码执行 CVE-2022-36364 原创 标准云 蚁景网络安全 2025-02-08 09:31 前段时间看到Apache Calcite Avatica远程代码执行漏洞 CVE-2022-36364 在网上搜索也没有找到相关的分析和复现文章,于是想着自己研究一下,看能不能发现可以利用的方法。 首先利用一下最近比较热门的 Deepseek ,询
继续阅读jeecg boot queryFieldBySql RCE漏洞分析
jeecg boot queryFieldBySql RCE漏洞分析 原创 kkk 漏洞推送 2025-02-08 08:59 环境搭建 后端 源码地址: https://github.com/jeecgboot/JeecgBoot 找到v3.5.3的commit,创建一个分支 安装Maven依赖 数据库配置文件: jeecg-module-system/jeecg-system-start/sr
继续阅读Confluence未授权漏洞分析(CVE-2023-22515)
Confluence未授权漏洞分析(CVE-2023-22515) 蚁景网安 2025-02-08 08:30 0x01 漏洞描述 Confluence 是由 Atlassian 开发的企业级协作软件。2023年10月,Atlassian 官方披露 CVE-2023-22515 Atlassian Confluence Data Center & Server 权限提升漏洞。攻击者可构造恶
继续阅读信息安全漏洞周报(2025年第4期)
信息安全漏洞周报(2025年第4期) 原创 CNNVD CNNVD安全动态 2025-02-08 06:19 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月20日至2025年1月26日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞875个。 接报漏洞情况 本周CNNVD接报漏洞13934个,其中信息技术产品漏洞(通用型漏洞)27
继续阅读信息安全漏洞周报(2025年第5期)
信息安全漏洞周报(2025年第5期) 原创 CNNVD CNNVD安全动态 2025-02-08 06:19 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月27日至2025年2月2日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞750个。 接报漏洞情况 本周CNNVD接报漏洞8296个,其中信息技术产品漏洞(通用型漏洞)15个,网络信息
继续阅读[随手分享]Web-Chains在Java赛题中的利用
[随手分享]Web-Chains在Java赛题中的利用 原创 DatouYoo 大头SEC 2025-02-08 05:20 项目地址 地址如下: – https://github.com/Java-Chains/web-chains 安装命令: docker run -d \ –name web-chains \ –restart=always \ -p 8011:8011
继续阅读锐捷系统auth接口处存在远程命令执行漏洞【漏洞复现|附nuclei-POC】
锐捷系统auth接口处存在远程命令执行漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2025-02-08 02:50 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 锐捷系统auth接口处存在远程命令执行漏洞。 攻击者 可能利用此
继续阅读网神SecFox运维安全管理与审计系统 FastJson反序列化RCE漏洞
网神SecFox运维安全管理与审计系统 FastJson反序列化RCE漏洞 Superhero nday POC 2025-02-08 01:54 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们
继续阅读.NET 通过代码审计发现 ERP 系统中两个任意文件上传漏洞
.NET 通过代码审计发现 ERP 系统中两个任意文件上传漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-08 01:35 文件上传功能是 Web 应用中非常重要且敏感的部分,如果缺乏完善的安全控制,极易成为攻击者利用的突破口。本文通过对 .NET 某 ERP 系统的两个文件上传功能进行代码审计与漏洞分析,揭示了潜在的任意文件上传风险及其危害。 01. 漏洞代码审计 在渗透测
继续阅读Solr 文件上传路径遍历漏洞(CVE-2024-52012)分析漏洞成因
Solr 文件上传路径遍历漏洞(CVE-2024-52012)分析漏洞成因 原创 安全圈我最菜wu 安全圈我最菜wu 2025-02-07 16:24 该漏洞影响运行于 Windows 系统 的 Solr 实例,核心问题在于其 configset 上传 API 对上传的 ZIP 文件未进行严格的路径合法性校验。攻击者可通过构造包含 相对路径(如 ../ ) 的恶意 ZIP 文件,将文件写入系
继续阅读黑客利用 Aviatrix Controller RCE 关键漏洞发起攻击
黑客利用 Aviatrix Controller RCE 关键漏洞发起攻击 Rhinoer 犀牛安全 2025-02-07 16:00 攻击者正在利用 Aviatrix Controller 实例中一个严重的远程命令执行漏洞(CVE-2024-50603)来安装后门和加密矿工。 Aviatrix 控制器是 Aviatrix 云网络平台的一部分,可增强多云环境的网络、安全性和运营可视性。它可供企业、
继续阅读Microsoft Outlook高危在野漏洞正被积极利用
Microsoft Outlook高危在野漏洞正被积极利用 SecHaven 赛哈文 2025-02-07 13:04 Microsoft Outlook 中的一个严重漏洞(跟踪为 CVE-2024-21413)正在被广泛利用,对全球组织构成重大威胁。此漏洞的 CVSS 评分为 9.8 分(满分 10 分),允许攻击者远程执行任意代码,只需用户打开恶意电子邮件即可。 该漏洞由 Check Poin
继续阅读【漏洞预警】Apache Struts2代码注入漏洞
【漏洞预警】Apache Struts2代码注入漏洞 cexlife 飓风网络安全 2025-02-07 11:39 漏洞详情: Nginx官方发布安全公告,披露了Nginx Plus和Nginx Open Source中存在的一处凭证管理不当漏洞,该漏洞是由于当基于名称的虚拟主机配置为使用TLS 1.3和OpenSSL共享相同的IP地址和端口组合时,先前经过身份验证的攻击者可以使用会话恢复来绕过
继续阅读【2025-02-07】黑客新闻摘要——“Cisco漏洞修复:Java序列化的‘坑’填平了!”
【2025-02-07】黑客新闻摘要——“Cisco漏洞修复:Java序列化的‘坑’填平了!” 知机安全 知机安全 2025-02-07 10:39 1. 2025年领导力议程中PAM的角色——网络安全转型 随着PAM(特权访问管理)在现代网络安全战略中的地位日益凸显,从技术需求转变为关键支柱,组织在该领域的投资预计到2037年将达到429.6亿美元。PAM的转型性影响不仅在于其增强安全和合规,还
继续阅读CVE-2024-6387 OpenSSH 任意代码执行漏洞 PoC 漏洞发布
CVE-2024-6387 OpenSSH 任意代码执行漏洞 PoC 漏洞发布 Ots安全 2025-02-07 10:22 针对严重 OpenSSH 漏洞 CVE-2024-6387(也称为“regreSSHion”)的概念验证 (PoC) 漏洞已发布,引起了整个网络安全社区的警惕。 该漏洞影响全球数百万台 OpenSSH 服务器,允许未经身份验证的远程攻击者在特定条件下以 root 权限执行任
继续阅读本周更新:虚拟机镜像调试 | 系统0day安全(第7期)
本周更新:虚拟机镜像调试 | 系统0day安全(第7期) 看雪课程 看雪学苑 2025-02-07 09:59 本周更新: 3.9 虚拟机镜像调试(1) https://www.kanxue.com/book-140-4993.htm 3.10 虚拟机镜像调试(2) https://www.kanxue.com/book-140-4994.htm 3.11 虚拟机镜像调试(3) https://w
继续阅读微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷
微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷 看雪学苑 看雪学苑 2025-02-07 09:59 微软近期发出重要安全示警,指出攻击者正在利用网上公开的ASP.NET静态密钥,通过ViewState代码注入攻击部署恶意软件。 微软威胁情报专家发现,一些开发者在软件开发中使用了在代码文档和代码库平台上公开的ASP.NET validationKey和decryption
继续阅读Ivanti Connect Secure栈溢出漏洞(CVE-2025-0282)分析与复现
Ivanti Connect Secure栈溢出漏洞(CVE-2025-0282)分析与复现 原创 烽火台实验室 Beacon Tower Lab 2025-02-07 07:08 漏洞概述 Ivanti Connect Secure、Ivanti Policy Secure和Ivanti Neurons for ZTA gateways 是Ivanti 公司提供的远程访问和安全连接解决方案,主
继续阅读某渐变头像合成网站系统存在任意文件上传漏洞(RCE)
某渐变头像合成网站系统存在任意文件上传漏洞(RCE) 原创 Mstir 星悦安全 2025-02-07 04:36 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 源码介绍 : 渐变头像合成网站的操作简单便捷,用户只需上传自己的头像,选择喜欢的头像框,点击一键合成即可生成专属定制头像。网站提供了167种不同风格的头像框供选择,用户也可以自己添加素材。生成后的头像可以直接下载保存到手机上,还
继续阅读上周关注度较高的产品安全漏洞(20250120-20250126)
上周关注度较高的产品安全漏洞(20250120-20250126) 中国电信安全 2025-02-07 04:01 一、境外厂商产品漏洞 1、Adobe InDesign越界读取漏洞**** Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe InDesign存在越界读取漏洞,攻击者可利用该漏洞导致敏感内存泄露。 参考链接: https://www.cnv
继续阅读【漏洞复现】XXL-JOB-Admin 前台api未授权 hessian2反序列化
【漏洞复现】XXL-JOB-Admin 前台api未授权 hessian2反序列化 孤独成诗 Sec探索者 2025-02-07 01:13 点击下方名片,关注公众号,一起探索网络安全技术 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢! 01 漏洞描
继续阅读codeql 之 SSRF 漏洞自动化 寻找
codeql 之 SSRF 漏洞自动化 寻找 真爱和自由 安全洞察知识图谱 2025-02-07 00:30 免责声明 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全洞察知识图谱及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1详细介绍 作者:Arcueid(先知社区) 原文:https:
继续阅读01 漏洞从哪里来?——综述
01 漏洞从哪里来?——综述 原创 Richard 方桥安全漏洞防治中心 2025-02-07 00:00 漏洞从哪里来? 漏洞从每一个你想得到和想不到的地方来。 本系列文章拟从 “设计缺陷、编程习惯、认知局限、体系痼疾(制度化)、视而不见(风险偏好)、引狼入室(供应链)、乌合之众(你没错,我没错,咱俩在一起就是错)、技术进步”等8个方面浅析各种导致安全漏洞的直接原因。姑且称为“八方来洞”。 咱们
继续阅读思科披露两个严重的身份服务引擎漏洞
思科披露两个严重的身份服务引擎漏洞 跳舞的花栗鼠 FreeBuf 2025-02-06 11:02 思科公司披露了其身份服务引擎(ISE)软件中的两个关键漏洞,CVE-2025-20124和CVE-2025-20125,CVSS评分分别为9.9和9.1,严重性评级极高。这两个漏洞可能允许已认证的攻击者执行以下操作:远程任意命令执行、系统权限提升以及配置参数篡改。 截至目前,思科产品安全事件响应团队
继续阅读HVV实战课程与超值福利
HVV实战课程与超值福利 原创 ZPZ安全团队 ZeroPointZero安全团队 2025-02-06 10:23 P ART.01/ 课程简介 欢迎加入HVV行动实战课程,这是一门为网络安全爱好者和安全从业者量身打造的高端课程,专注于红蓝对抗技能的深入学习和实践应用。无论你是刚刚踏入网络安全领域的初学者,还是经验丰富的专业人士,这门课程都将带你深入探索网络攻防的精髓,为你提供从基础知识到高级技
继续阅读Grafana 已全面支持 VictoriaMetrics 体系
Grafana 已全面支持 VictoriaMetrics 体系 原创 小斐Lab 网络小斐 2025-02-06 08:28 大家好,我是小斐呀。 关于监控告警这块的我之前几乎都是推荐使用 VictoriaMetrics 时序数据库,但是在 Grafana 下使用 VictoriaMetrics 时序库的时候需要单独安装 VictoriaMetrics 数据源插件,要么使用 Victor
继续阅读