【风险通告】Apache Struts存在文件上传漏洞(CVE-2024-53677)
【风险通告】Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒CERT评级 2级 CVSS3.1评分 8.1 CVE编号 CVE-2024-53677 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT
继续阅读标签: 命令执行
安全简讯(2024.12.12)
安全简讯(2024.12.12) 启明星辰安全简讯 2024-12-12 07:56 1. Cleo文件传输软件零日漏洞遭黑客利用进行数据盗窃攻击 12月10日,黑客正在积极利用Cleo管理文件传输软件中的新发现的零日漏洞,侵入全球数千家公司网络,包括Target、沃尔玛等知名企业,进行数据盗窃攻击。该漏洞存在于Cleo LexiCom、VLTrader和Harmony产品中,允许不受限制的文件上
继续阅读【漏洞通告】Apache Struts 2远程代码执行漏洞(CVE-2024-53677)
【漏洞通告】Apache Struts 2远程代码执行漏洞(CVE-2024-53677) 启明星辰安全简讯 2024-12-12 07:56 一、漏洞概述 漏洞名称 Apache Struts 2远程代码执行漏洞 CVE ID CVE-2024-53677 漏洞类型 路径遍历、文件上传 发现时间 2024-12-12 漏洞评分 9.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用
继续阅读CNNVD关于Apache Struts安全漏洞的通报
CNNVD关于Apache Struts安全漏洞的通报 原创 CNNVD CNNVD安全动态 2024-12-12 07:31 点击蓝字 关注我们 漏洞情况**** 近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts安全漏洞(CNNVD-202412-1393、CVE-2024-53677)情况的报送。成功利用漏洞的攻击者,可以操纵文件上传参数来启用路径遍历,进而上传可用于执
继续阅读Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告
Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告 奇安信 CERT 2024-12-12 07:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Struts 文件上传漏洞 漏洞编号 QVD-2024-50398,CVE-2024-53677 公开时间 2024-12-11 影响量级 十万级 奇安信评级 高危 CVSS 3.
继续阅读Apache Struts FileUploadInterceptor 目录遍历与文件上传漏洞(CVE-2024-53677)
Apache Struts FileUploadInterceptor 目录遍历与文件上传漏洞(CVE-2024-53677) 风险通告 阿里云应急响应 2024-12-12 06:11 2024年12月,Apache 官方披露 CVE-2024-53677 Apache Struts FileUploadInterceptor 文件上传漏洞。 01 风险描述 Apache Struts 是一个
继续阅读探索开源 C2 框架中的漏洞
探索开源 C2 框架中的漏洞 原创 Vipersec SecretTeam安全团队 2024-12-12 00:01 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把 SecretTeam安全团队 “设为星标 ”, 否则可能就看不到了啦! 免责声明 “本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适当授权的情况下使用这些
继续阅读工具 | ShiroEXP
工具 | ShiroEXP 浅安 浅安安全 2024-12-12 00:00 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介 ShiroEXP是一款Shiro漏洞利用工具。**** 0x01 功能说明 – 爆破key及加密方式 漏洞验证 爆破回显链 命令执行 Shell模式 注入内存马 全局代理 0
继续阅读【漏洞通告】微软12月多个安全漏洞
【漏洞通告】微软12月多个安全漏洞 启明星辰安全简讯 2024-12-11 07:39 一、漏洞概述 2024年12月11日,启明星辰集团VSRC监测到微软发布了12月安全更新,本次更新共修复了71个漏洞(不包括之前修复的Edge漏洞),漏洞类型包括特权提升漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。 本次安全更新中修复了1个已经公开披露且已发现被积极利用的0 day漏洞: C
继续阅读【漏洞通告】Ivanti Cloud Services Application身份验证绕过漏洞(CVE-2024-11639)
【漏洞通告】Ivanti Cloud Services Application身份验证绕过漏洞(CVE-2024-11639) 启明星辰安全简讯 2024-12-11 07:39 一、漏洞概述 漏洞名称 Ivanti Cloud Services Application身份验证绕过漏洞 CVE ID CVE-2024-11639 漏洞类型 身份验证绕过 发现时间 2024-12-11 漏
继续阅读.NET 一款内网渗透中清理日志服务的工具
.NET 一款内网渗透中清理日志服务的工具 原创 专攻.NET安全的 dotNet安全矩阵 2024-12-11 00:21 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁
继续阅读【未公开1day】某科网威anysec安全网关arping存在远程命令执行漏洞
【未公开1day】某科网威anysec安全网关arping存在远程命令执行漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-10 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **某科网威科技有限公司是一家专注于网络安全产品研发和生产的高新技术企业。凭借多年对用户需求的潜心研究与技术创新,首创基于内核底层技术嵌入式
继续阅读Palo Alto Networks PAN-OS存在远程命令执行漏洞CVE-2024-9474 附POC
Palo Alto Networks PAN-OS存在远程命令执行漏洞CVE-2024-9474 附POC 2024-12-10更新 南风漏洞复现文库 2024-12-10 15:50 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. P
继续阅读信息安全漏洞周报【第001期】
信息安全漏洞周报【第001期】 零零捌信安观察 银天信息 2024-12-10 06:21 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读[漏洞挖掘与防护] 05.CVE-2018-12613:phpMyAdmin 4.8.1后台文件包含缺陷复现及防御措施
[漏洞挖掘与防护] 05.CVE-2018-12613:phpMyAdmin 4.8.1后台文件包含缺陷复现及防御措施 原创 Eastmount 娜璋AI安全之家 2024-12-10 02:51 24年4月28日是Eastmount的安全星球 —— 『网络攻防和AI安全之家』正式创建和运营的日子,并且已坚持5个月每周7更。该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI
继续阅读美国顶级红队演练,只用了个Nday?
美国顶级红队演练,只用了个Nday? 原创 ThreatBook 微步在线 2024-12-10 00:28 前不久,美国网络安全和基础设施安全局 (CISA),对美国关键基础设施行业某组织进行了一次红队演练,以此评估组织的网络安全检测和响应能力。演练期间,红队的渗透路径如下所示。 由于防守方存在诸多偏离了安全基线的配置,并且在策略上忽略了针对网络流量和账户活动的深度检测,因此未能有效限制红队利用
继续阅读49套.NET系统漏洞威胁情报(12.10更新)
49套.NET系统漏洞威胁情报(12.10更新) 专攻.NET安全的 dotNet安全矩阵 2024-12-10 00:20 49 某环保监管系统文件SQL注入 49.1 漏洞概述 某 环保监管平台依托创新的物联网电力传感技术,实时采集企业总用电、生产设备及环保治理设备用电数据,该系统某个接口存在注入风险。 GET /Main**r/GetEnterprise***Id?EnterpriseId=
继续阅读见证无限可能!火山引擎冬季 Force 大会开发者论坛来袭
见证无限可能!火山引擎冬季 Force 大会开发者论坛来袭 字节跳动技术团队 2024-12-09 18:02 如果 AI 技术是新时代的魔法工具,那么大模型就是赋予这一工具无限可能的超级魔法棒。随着大模型技术的快速崛起,开发者正迈入一个由 AI 引领的“大模型时代”。在这个时代,AI 会如何助力开发者? 12 月 19 日,火山引擎冬季 FORCE 原动力大会开发者论坛即将开启 。从火山方舟平台
继续阅读「漏洞复现」Mitel MiCollab 企业协作平台 任意文件读取漏洞(CVE-2024-41713)
「漏洞复现」Mitel MiCollab 企业协作平台 任意文件读取漏洞(CVE-2024-41713) 冷漠安全 冷漠安全 2024-12-09 13:40 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读漏洞马拉松2024 | 积分赛阶段冲刺ing,半区见真章!
漏洞马拉松2024 | 积分赛阶段冲刺ing,半区见真章! 漏洞盒子VulBox 漏洞盒子VulBox 2024-12-09 11:59 燃起来了! 距离漏洞马拉松积分赛结束还有7天! 赛区记者挖蛙带来前线赛况! 截止至12月9日, 雷霆战区,YangYY以615分位居第一, 超神战区,O神以460分同样稳居榜首! 各区12强的角逐进入白热化阶段, 第三弹SRC活动 也快马加鞭地到达战场 祝大家乘
继续阅读【安全圈】需要采取紧急行动:ABB ASPECT 漏洞使建筑物面临网络攻击
【安全圈】需要采取紧急行动:ABB ASPECT 漏洞使建筑物面临网络攻击 安全圈 2024-12-09 11:02 关键词 安全漏洞 ABB 针对其楼宇能源管理平台 ASPECT 系统发布了重要网络安全公告。该公告于2024年12月5日发布,详细描述了多个漏洞,这些漏洞可能允许攻击者远程控制该系统并执行恶意代码。 这些漏洞影响到 ASPECT 的不同版本,包括未经授权的访问和远程代码执行,以及跨
继续阅读SonicWall 修复Secure Access Gateway 中的6个漏洞
SonicWall 修复Secure Access Gateway 中的6个漏洞 Ionut Arghire 代码卫士 2024-12-09 10:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 最近,SonicWall 公司修复了位于 SMA100 SSL-VPN安全访问网关中的多个漏洞,包括可导致远程代码执行的高危漏洞。 在这些漏洞中,最严重的是两个缓冲溢出漏洞,它们影响 web
继续阅读X情报社区漏洞奖励计划收录扩大!提供本地环境再享额外20%奖金加成!
X情报社区漏洞奖励计划收录扩大!提供本地环境再享额外20%奖金加成! 乌鸦安全 2024-12-09 10:04 微步X情报社区漏洞奖励计划,收录扩大,高价收洞。 奖励计划 活动时间 2024/11/20-2024/12/31 奖励计划 活动亮点 0day收录范围扩大,不再受限于往期活动范围。 非0day开放收录,且新增以下两类收录: 新增收录二进制非0day收录:收录范围包括Windows、Li
继续阅读安全热点周报:新的 Windows 零日漏洞暴露 NTLM 凭据,已获得非官方补丁
安全热点周报:新的 Windows 零日漏洞暴露 NTLM 凭据,已获得非官方补丁 奇安信 CERT 2024-12-09 10:04 安全资讯导视 • 中共中央办公厅、国务院办公厅公布《关于推进新型城市基础设施建设打造韧性城市的意见》 • 欧洲理事会通过两项新法案加强网络安全 • 严重损害数据安全,湖南一IT公司被罚20万元 PART01 漏洞情报 1.SonicWall SMA100 SSL
继续阅读建议收藏!这15个命令让你的效率提升3倍
建议收藏!这15个命令让你的效率提升3倍 原创 VlangCN HW安全之路 2024-12-09 09:24 引言 在当今技术驱动的世界中,Linux系统扮演着至关重要的角色。据统计,47%的专业开发者使用Linux操作系统,这个数字充分说明了Linux的重要性。无论是系统管理员、开发人员、运维工程师还是安全专家,掌握Linux命令都是不可或缺的基本技能。 本文将分享一系列实用的Linux命令和
继续阅读上周关注度较高的产品安全漏洞(20241125-20241201)
上周关注度较高的产品安全漏洞(20241125-20241201) 金瀚信安 2024-12-09 08:12 一、境外厂商产品漏洞 1、 Google Pixel gsc_gsa.c文件缓冲区溢出漏洞 Google Pixel是美国谷歌(Google)公司的一款智能手机。Google Pixel存在缓冲区溢出漏洞,该漏洞源于gsc_gsa.c的gsc_gsa_rescue中边界检查不正确,攻击者
继续阅读[含POC]CyberPanel upgrademysqlstatus 远程命令执行漏洞(CVE-2024-51567)
[含POC]CyberPanel upgrademysqlstatus 远程命令执行漏洞(CVE-2024-51567) 原创 漏洞预警机器人 安全光圈 2024-12-09 05:44 CyberPanel upgrademysqlstatus 远程命令执行漏洞(CVE-2024-51567) 免责声明:本文内容为机器人搜集最新漏洞及POC分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织
继续阅读网安牛马碰见WAF如何凑出渗透报告漏洞数量?
网安牛马碰见WAF如何凑出渗透报告漏洞数量? Jie安全 2024-12-09 03:47 前言 网安牛马数载,蓦然回首,不过是些许风霜罢了…… 遥想熊猫当年,面向WAF防护的渗透网站满眼惆怅,在当初内卷严重的牛马市场,如果你提交的渗透测试报告漏洞数量太少,再多借口也没用,只能被迫接受“菜鸡”称号,沦为测评、驻场的主要工作者,从此告别渗透、攻防……
继续阅读无补丁,I-O Data路由器0Day漏洞被利用
无补丁,I-O Data路由器0Day漏洞被利用 天唯科技 天唯信息安全 2024-12-09 03:00 日本计算机紧急响应小组(CERT)警告称 ,黑客正在利用I-O Data路由器设备中的零日漏洞来修改设备设置、执行命令,甚至关闭防火墙。 I-O Data在其网站上发布的安全公告中承认确实存在三个零日漏洞,但目前暂无完整的修复补丁,预计将在2024年12月18日发布,因此在此之前用户将面临比
继续阅读重生之我在推特逛漏洞
重生之我在推特逛漏洞 jylove 神农Sec 2024-12-09 02:45 扫码领资料 获网安教程 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关 原文链接:https://zone.huoxian.cn/d/2956 作者:jylove 0x1 前言 今天刚好闲着没事,逛了一下推特,刚好看到一个漏洞有关Keyc
继续阅读