【漏洞复现】Palo Alto PAN-OS身份认证绕过CVE-2024-0012及命令执行漏洞CVE-2024-9474 原创 清风 白帽攻防 2024-12-09 01:34 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 Palo Alto Networ
继续阅读CVE-2023-6553 WordPress存在的远程命令执行漏洞 TtTeam 2024-12-09 01:33 一、漏洞概述与影响范围: Backup Migration插件是WordPress中一个自动备份类的插件,可帮助管理员自动将网站备份到本地存储或Google Drive账户上,目前有超过9万次安装。本次排查的漏洞出现在Backup Migration 1.3.7及之前的所有版本,插
继续阅读X漏洞奖励计划收录扩大!高价收洞!(文末抽奖) X情报社区 CKCsec安全研究院 2024-12-09 01:00 活动时间 2024/11/20-2024/12/31 活动亮点 1、0day收录范围扩大,不再受限于往期活动范围。 2、非0day开放收录,且新增以下两类收录: a.新增收录二进制非0day收录: 收录范围包括Windows、Linux、Chrome; b.新增收录公开时间在一年内
继续阅读用可命令执行的大模型进行偷家 原创 银空飞羽 飞羽技术工坊 2024-12-08 17:40 PortSwigger 大模型安全靶场的第二篇记录,学习大模型安全的思路。 靶场地址: https://portswigger.net/web-security/all-labs#web-llm-attacks 题目介绍 考点:利用大模型API的漏洞攻击 场景:这是一个包含系统命令注入执行API漏洞的靶场
继续阅读一文看懂安卓JSB风险漏洞挖掘 原创 比心皮卡丘 暴暴的皮卡丘 2024-12-08 05:16 JSB基础 JavaScript Bridge(简称 JSB)是一种在移动端开发中广泛使用的技术,用于实现 JavaScript 与本地代码(如 Java 或 Kotlin)之间的通信。虽然 JSB 为混合开发提供了强大的能力,但其不当使用可能导致严重的安全问题。 本文将围绕以下内容展开: 1. JS
继续阅读Spring Properties 远程代码执行 srcincite securitainment 2024-12-07 15:54 Remote Code Execution with Spring Properties Spring Properties 远程代码执行 最近,一位以前的学生向我展示了一个非常有趣的 Spring 应用程序中的未经身份验证的漏洞,他们在利用这个漏洞时遇到了困难。上
继续阅读网安瞭望台第10期:开源机器学习框架存在漏洞、GammaDrop 恶意软件 原创 扬名堂 东方隐侠安全团队 2024-12-07 13:35 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 研究人员发现流行开源机器学习框架存在漏洞 网络安全研究人员披露了多个影响开源机器学习(ML)工具和框架(如 MLflow、H2O、
继续阅读CVE-2024-53908|Django Oracle SQL注入漏洞 alicy 信安百科 2024-12-07 11:00 0x00 前言 Django是一个高级的Python Web框架,可以快速开发安全和可维护的网站。由经验丰富的开发者构建,Django负责处理网站开发中麻烦的部分,可以专注于编写应用程序,而无需重新开发。它是免费和开源的,有活跃繁荣的社区,丰富的文档,以及很多免费和付费
继续阅读Windows 7 至 Windows 11 中存在新的 0 Day NTLM 哈希泄露漏洞 原创 很近也很远 网络研究观 2024-12-07 10:02 0patch 的研究人员发现了一个零日漏洞,该漏洞影响所有受支持的 Windows Workstation 和 Server 版本,从 Windows 7 和 Server 2008 R2 到最新的 Windows 11(v24H2)和 Se
继续阅读Windows 中存在严重0day,可导致用户凭据泄露 独眼情报 2024-12-07 06:15 我们的研究人员发现了一个影响从Windows 7和Server 2008 R2到最新的Windows 11 v24H2和Server 2022的所有Windows工作站和服务器版本的安全漏洞。攻击者只需让用户在Windows资源管理器中查看恶意文件,就可以获取用户的NTLM凭据 – 例如
继续阅读新的 Windows 零日漏洞暴露 NTLM 凭据,已获得非官方补丁 Ots安全 2024-12-07 05:09 发现了一个新的零日漏洞,攻击者只需诱骗目标查看 Windows 资源管理器中的恶意文件即可捕获 NTLM 凭据。 该漏洞由为 Windows 旧版本提供非官方支持的平台 0patch 团队发现,并已报告给微软。但目前尚未发布官方修复程序。 据 0patch 称,该问题目前没有 CVE
继续阅读漏洞分析 | 挖掘 .NET SqlSugar 框架SQL注入 原创 专攻.NET安全的 dotNet安全矩阵 2024-12-07 01:10 01 阅读须知 此文所节选自国内最专业的 [ .NET 代码审计 ] 体系化学习社区,主要 内容有 涉及 .NET代码审计体系化星球包括但不限于OWASP十大漏洞类型,涉及SQL注入漏洞、文件上传下载漏洞、任意文件操作漏洞、XML外部实体注入漏洞、跨站脚
继续阅读代码审计 | Jump Server堡垒机历史漏洞审计 原创 长风安全 长风安全 2024-12-06 16:14 往期推荐 JS渗透逆向入门 |4100字深度解析 招聘 |渗透岗 总结 本文主要介绍Jumpserver代码审计的环境搭建以及历史漏洞审计的过程。详细阐述如何构建JumpServer审计环境及历史漏洞审计,预计阅读时间40分钟。 原文已上传wave实战能力知识库: http:/
继续阅读【漏洞复现】CVE-2024-41713 原创 混子Hacker 混子Hacker 2024-12-06 15:46 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 总有一天你会明白,真正能治愈你的,从来不是时间,而是你心里的那段释怀和格局
继续阅读Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (下) 原创 Heihu577 Heihu Share 2024-12-06 12:25 前言 本篇文章是 《Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (上)》的后续部分, 由于篇幅问题, 故分为两部分, 请大家衔接阅读… 《Java 安全 | 从 Shiro 底层源码看 Shiro 漏洞 (上)
继续阅读【安全圈】I-O Data路由器0Day漏洞被利用,无修复补丁 安全圈 2024-12-06 11:00 关键词 安全漏洞 日本计算机紧急响应小组(CERT)警告称 ,黑客正在利用I-O Data路由器设备中的零日漏洞来修改设备设置、执行命令,甚至关闭防火墙。 I-O Data在其网站上发布的安全公告中承认确实存在三个零日漏洞,但目前暂无完整的修复补丁,预计将在2024年12月18日发布,因此在此
继续阅读[漏洞] CVE-2024-44308:Apple Safari JavaScriptCore 远程代码执行漏洞 Ots安全 2024-12-06 10:09 概括: – CVE 编号:CVE-2024-44308 目标软件:Apple Safari(iOS、visionOS、macOS) 受影响的版本:iOS 17.7.1、18.1、visionOS 2.1、macOS Sequoi
继续阅读Veeam修复了关键的服务提供商控制台 (VSPC) 漏洞 鹏鹏同学 黑猫安全 2024-12-06 03:47 Veeam发布了针对服务提供商控制台 (VSPC) 关键漏洞的安全更新,该漏洞追踪编号为CVE-2024-42448(CVSS评分为9.9)。成功利用此漏洞可能导致在易受攻击的安装上执行远程代码。 Veeam服务提供商控制台 (VSPC) 是一款为提供备份、灾难恢复和云服务的服务提供商
继续阅读.NET 安全攻防知识交流社区 小嘟 安全洞察知识图谱 2024-12-06 03:18 01 欢迎加入社区 为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。 02 .NET攻防社区简介 目前
继续阅读英国电信巨头BT集团遭遇勒索攻击,500GB敏感数据恐遭窃取;流行移动安全测试工具曝XSS漏洞,文件名成为攻击新途径 | 牛览 安全牛 2024-12-06 02:35 点击蓝字·关注我们 / aqniu 新闻速览 •首份欧盟网络安全状况报告发布:DoS和勒索软件成为头号安全隐患 •警惕!错误配置的WAF系统导致企业后端服务器直接暴露 •英国电信巨头BT集团遭遇勒索攻击,500GB敏感数据恐遭
继续阅读Jolokia logback JNDI RCE漏洞复现 原创 浩凯Security 浩凯信安 2024-12-06 00:31 免责声明浩凯信安(本公众号)的技术文章仅供参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!! 漏洞原理: 1.直接访问可触发漏洞的URL
继续阅读48套.NET系统漏洞威胁情报(12.05更新) 专攻.NET安全的 dotNet安全矩阵 2024-12-06 00:20 48 某景ERP系统文件读取漏洞 48.1 漏洞概述 某景ERP是一款功能全面、高度集成、易于扩展的企业管理软件,能够帮助制造企业实现智能化、精益化管理,提升企业的竞争力和盈利能力。 GET /api/Down***/File?File**=/../web.config&a
继续阅读POC集合,框架nday漏洞利用 Awrrays 夜组安全 2024-12-06 00:02 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!! 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把
继续阅读谷歌浏览器类型混淆漏洞让攻击者能够执行远程代码 Zicheng FreeBuf 2024-12-05 11:20 据Cyber Security News消息,最近,独立研究人员在谷歌Chrome 的 V8 JavaScript 引擎中发现了一个严重性较高的类型混淆漏洞。 该漏洞被追踪为 CVE-2024-12053,当程序为一种数据类型分配内存,却错误地将其视为另一种数据类型时,就会出现类型混淆
继续阅读【安全圈】谷歌浏览器类型混淆漏洞让攻击者能够执行远程代码 安全圈 2024-12-05 11:01 关键词 安全漏洞 据Cyber Security News消息,最近,独立研究人员在谷歌Chrome 的 V8 JavaScript 引擎中发现了一个严重性较高的类型混淆漏洞。 该漏洞被追踪为 CVE-2024-12053,当程序为一种数据类型分配内存,却错误地将其视为另一种数据类型时,就会出现类型
继续阅读大模型的反序列化导致的RCE漏洞 sule01u 黑伞安全 2024-12-05 10:04 大模型的反序列化导致的RCE漏洞 话说最近字节实习生通过编写、篡改代码等形式恶意攻击团队研究项目模型训练任务的事闹的沸沸扬扬,那气氛都到这了,我们来聊聊大模型的rce漏洞吧 引言 这可以从今年的CVE-2024-3568开始聊聊, CVE-2024-3568是Huggingface的Transformer
继续阅读CVE-2024-42448 (CVSS 9.9):Veeam VSPC 中的严重 RCE 漏洞 Ots安全 2024-12-05 09:53 知名备份和灾难恢复解决方案提供商 Veeam Software 已发布紧急安全更新,以解决其服务提供商控制台 (VSPC) 中的两个严重漏洞。其中一个漏洞被标识为 CVE-2024-42448,CVSS 评分为 9.9,可能允许远程攻击者在易受攻击的系统上
继续阅读创宇安全智脑 | 大华 DSS 数字监控系统 adminOperate 信息泄露等79个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-05 09:47 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精
继续阅读日本CERT提醒:IO-Data 路由器中的多个0day已遭利用 Bill Toulas 代码卫士 2024-12-05 09:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 日本应急响应中心 (CERT) 提醒称,黑客正在利用 I-O Data 路由器设备中的多个0day漏洞,修改设备设置、执行命令、甚至关闭防火墙。 I-O Data 公司在网站发布安全通告,证实了这些漏洞的存在。然
继续阅读