微步获评工信部NVDB通用漏洞库“三星级技术支撑单位”
微步获评工信部NVDB通用漏洞库“三星级技术支撑单位” 微步在线 2024-12-05 09:05 12月3日,在2024年(第十三届)电信和互联网行业网络安全年会主论坛上,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)通用网络产品安全漏洞专业库(以下简称“通用漏洞库”)发布2024-2025年度技术支撑单位名单并举行授牌仪式。鉴于 2024年在漏洞报送、研判和协同处置等工作中的突出表现
继续阅读标签: 命令执行
【漏洞分享】通达 OA getdata RCE 通达OA 命令执行漏洞 通杀漏洞
【漏洞分享】通达 OA getdata RCE 通达OA 命令执行漏洞 通杀漏洞 Undoubted Security 2024-12-05 06:28 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 漏洞复现 fofa查询语句: app="通达OA网络智能办公系统" 利用脚本进行检测:
继续阅读Zscaler CEO抨击虚假SASE方案严重误导用户;思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 | 牛览
Zscaler CEO抨击虚假SASE方案严重误导用户;思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 | 牛览 安全牛 2024-12-05 06:25 点击蓝字·关注我们 / aqniu 新闻速览 •强化关基设施防护,美国三大安全机构联合发布通信基础设施防护指南 •构建”数字监狱”?苹果公司被控非法监控员工个人设备和通讯 •Zscaler CEO抨击虚假
继续阅读9个超级实用BurpSuite插件,SRC漏洞挖掘利器打包推荐
9个超级实用BurpSuite插件,SRC漏洞挖掘利器打包推荐 Mstir 星悦安全 2024-12-05 04:52 点击上方 蓝字 关注我们 并设为 星标 part 01 一、前言 BETTER 工具打包下载地址在文末,不想看介绍直接拉到底下查看即可 前段时间自己在做项目的时候,需要用到一些漏洞扫描工具,以及一些被动扫描的工具,其中BurpSuite中的几个插件起到了关键性的作用,其实在实际
继续阅读CVE-2024-31317 复现
CVE-2024-31317 复现 原创 腹黑 白帽100安全攻防实验室 2024-12-05 03:30 前言 前两天看到JD的公众号发了篇CVE-2024-31317漏洞的分析,通篇看下来感觉还是比较有意思,且车机目前主流方案均为安卓系统且都在该漏洞的有限范围内,遂开始复现。因为是用户态的提权,需先获取对应用户权限。因此在车联网场景下存在一定的限制,目前主流做法是限制未知签名的APK安卓且无法
继续阅读Lorex 2K 安全摄像头存在五个漏洞 可让黑客完全控制,已有可用 PoC
Lorex 2K 安全摄像头存在五个漏洞 可让黑客完全控制,已有可用 PoC 独眼情报 2024-12-05 03:11 Rapid7 的最新研究揭示了 Lorex 2K 室内 Wi-Fi 安全摄像头中的一系列严重漏洞,这引起了消费者对安全的严重担忧。这些漏洞是在 2024 年 Pwn2Own IoT 竞赛期间发现的,攻击者可以利用这些漏洞入侵设备,可能访问实时信息并远程执行恶意代码。 Rapid
继续阅读暗网犯罪份子常用通讯软件 uTox 被曝 0day
暗网犯罪份子常用通讯软件 uTox 被曝 0day 独眼情报 2024-12-05 03:11 大水冲了龙王庙呀 一个知名暗网论坛可能正在出售针对 uTox 即时通讯客户端 0.18.1 版本的远程代码执行(RCE)0-day漏洞。 这一公告凸显了依赖该平台进行安全通讯的用户可能面临的潜在风险。 此类漏洞的出售可能带来严重后果,因为远程代码执行漏洞使攻击者能够在目标系统上执行任意代码,可能导致数据
继续阅读通知 | 事件型漏洞收录范围调整
通知 | 事件型漏洞收录范围调整 补天平台 2024-12-05 02:41 事件型漏洞收录范围调整 为了鼓励更多的白帽子积极上发现的漏洞,帮助更多的企业维护产品安全性,补天收录范围更新, 取消权重的限制门槛,同时增加奖励形式。 01 事件型漏洞收录范围更新 补天漏洞响应平台将事件型漏洞收录范围进一步扩大,同时漏洞奖励形式增设荣誉币,旨在激励更多白帽子积极发现并上报漏洞,帮助更多的企业发现并修复漏
继续阅读网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇)
网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇) 进击的HACK 2024-12-04 23:55 前言 前些天写了那个凑数量的漏洞文章,貌似效果不错…… 当初熊猫刚入行的时候,新接个渗透项目,起手就是awvs、sqlmap、xray、appscan、owaspzap等等的一系列扫描器莽怼,碰碰运气,结果惨败在waf拦截之下…… 对于小白来说,工具
继续阅读【漏洞复现】WordPress ElementorPageBuilder插件存在文件读取漏洞(CVE-2024-9935)
【漏洞复现】Wordpress ElementorPageBuilder插件存在文件读取漏洞(CVE-2024-9935) xiachuchunmo 银遁安全团队 2024-12-04 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **WordPress是一款免费开源的内容管理系统(CMS),最初是一个博客平台,但后来发展成为一个功能
继续阅读【漏洞复现】CVE-2024-9935
【漏洞复现】CVE-2024-9935 混子Hacker 混子Hacker 2024-12-04 13:17 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 道阻且长,行则将至;行而不辍,未来可期 —— CVE-2024-9935 Word
继续阅读Veeam 针对服务提供商控制台中的严重 RCE 漏洞发布补丁
Veeam 针对服务提供商控制台中的严重 RCE 漏洞发布补丁 信息安全大事件 2024-12-04 11:53 Veeam 发布了安全更新,以解决影响服务提供商控制台 (VSPC) 的关键缺陷,该缺陷可能为在易受攻击的实例上远程执行代码铺平道路。 该漏洞被跟踪为 CVE-2024-42448,CVSS 评分为 9.9 分(满分 10.0 分)。该公司指出,该错误是在内部测试期间发现的。 Veea
继续阅读信息安全漏洞周报(2024年第49期)
信息安全漏洞周报(2024年第49期) 原创 CNNVD CNNVD安全动态 2024-12-04 11:25 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周2024年11月25日至2024年12月1日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞483个。 接报漏洞情况 本周CNNVD接报漏洞50088个,其中信息技术产品漏洞(通用型漏洞)320
继续阅读网安瞭望台第9期:0day 情报,OAuth 2.0授权流程学习
网安瞭望台第9期:0day 情报,OAuth 2.0授权流程学习 原创 扬名堂 东方隐侠安全团队 2024-12-04 11:00 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 Veeam 修补服务提供商控制台关键 RCE 漏洞 Veeam 发布了安全更新以解决影响服务提供商控制台(VSPC)的一个关键漏洞,该漏洞可
继续阅读Veeam 提醒注意VSPC中的严重RCE漏洞
Veeam 提醒注意VSPC中的严重RCE漏洞 Sergiu Gatlan 代码卫士 2024-12-04 10:26 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Veeam 发布安全更新,修复了在内部测试过程中发现的两个 Service Provider Console (VSPC) 漏洞,其中一个是严重的远程代码执行 (RCE) 漏洞。 Veeam 提到,VSPC 是一款远程管理 B
继续阅读【漏洞通告】Progress WhatsUp Gold远程代码执行漏洞(CVE-2024-8785)
【漏洞通告】Progress WhatsUp Gold远程代码执行漏洞(CVE-2024-8785) 启明星辰安全简讯 2024-12-04 08:51 一、漏洞概述 漏洞名称 Progress WhatsUp Gold远程代码执行漏洞 CVE ID CVE-2024-8785 漏洞类型 RCE 发现时间 2024-12-04 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权
继续阅读【漏洞通告】Veeam Service Provider Console远程代码执行漏洞(CVE-2024-42448)
【漏洞通告】Veeam Service Provider Console远程代码执行漏洞(CVE-2024-42448) 启明星辰安全简讯 2024-12-04 08:51 一、漏洞概述 漏洞名称 Veeam Service Provider Console远程代码执行漏洞 CVE ID CVE-2024-42448 漏洞类型 RCE 发现时间 2024-12-04 漏洞评分 9.9 漏洞等级
继续阅读360漏洞云情报月度合集-2024年11月期
360漏洞云情报月度合集-2024年11月期 360漏洞云 2024-12-04 08:36 01 前言 本报告聚焦于 2024 年 11 月(11.1 – 11.30)期间360漏洞云监测到的各类新兴网络安全隐患,同时对该月份全球及本土涌现的重大安全事故展开全面梳理与剖析,旨在迅速传递网络安全领域的实时态势以及前沿热点动态,诚挚邀请行业专家和从业者共同探讨交流、提出宝贵意见,携手推动
继续阅读Java 反序列化之 XStream 反序列化
Java 反序列化之 XStream 反序列化 蚁景网安 2024-12-04 08:30 0x01 XStream 基础 XStream 简介 XStream 是一个简单的基于 Java 库,Java 对象序列化到 XML,反之亦然(即:可以轻易的将 Java 对象和 XML 文档相互转换)。 使用 XStream 实现序列化与反序列化 下面看下如何使用 XStream 进行序列化和反序列化操作
继续阅读雷神众测漏洞周报2024.11.25-2024.12.01
雷神众测漏洞周报2024.11.25-2024.12.01 原创 雷神众测 雷神众测 2024-12-04 07:44 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读推荐 10 个漏洞管理工具,漏洞猎手必备!
推荐 10 个漏洞管理工具,漏洞猎手必备! 原创 wljslmz瑞哥 网络技术联盟站 2024-12-04 07:15 公众号:网络技术联盟站 随着网络攻击的日益复杂,漏洞管理已经成为保障信息安全和保护企业资产的核心环节。漏洞管理工具能够有效地帮助企业及时发现、评估、修复系统中的安全漏洞,从而降低数据泄露、网络攻击等风险。漏洞管理不仅仅是一个技术层面的任务,它涉及到企业的各项安全操作,包括资产发
继续阅读四大行业协会同日发布安全提示声明:审慎采购美国芯片;Safari浏览器零日漏洞或已遭利用,多个Apple应用平台被波及 | 牛览
四大行业协会同日发布安全提示声明:审慎采购美国芯片;Safari浏览器零日漏洞或已遭利用,多个Apple应用平台被波及 | 牛览 安全牛 2024-12-04 05:23 点击蓝字·关注我们 / aqniu 新闻速览 •四大行业协会同日发布安全提示声明:审慎采购美国芯片 •《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》等2项国家标准公开征求意见 •欧洲理事会通过新法案加强
继续阅读一文学会fastjson漏洞
一文学会fastjson漏洞 simple学安全 simple学安全 2024-12-04 02:55 目录 漏洞简介 fastjson是一个高性能的json解析器和生成器,广泛用于Java项目中。fastjson允许开发者自定义反序列化行为,以便可以根据json中的不同字段自动创建不同类型的对象。 在Java中,反序列化是将字节数据(通常是json格式)转化回对象的过程。然而,fastjson在
继续阅读Veeam 警告服务提供商控制台中存在严重 RCE 漏洞
Veeam 警告服务提供商控制台中存在严重 RCE 漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-04 01:00 导读 Veeam 今天发布了安全更新,以解决两个服务提供商控制台 (VSPC) 漏洞,其中包括在内部测试期间发现的严重远程代码执行 (RCE)。 该公司将 VSPC 描述为远程管理的 BaaS(后端即服务)和 DRaaS(灾难恢复即服务)平台,服务提供商控制台用来监控客户备
继续阅读【神兵利器】Jeecg综合漏洞利用工具
【神兵利器】Jeecg综合漏洞利用工具 MInggongK 七芒星实验室 2024-12-03 23:05 项目介绍 Jeecg综合漏洞利用工具程序采用javafx开发,环境JDK 1.8 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规 漏洞支持 – jeecg-boot queryFieldBySql远程命令执行漏洞 jeecg-boot testConnec
继续阅读searchsploit漏洞辅助利用工具
searchsploit漏洞辅助利用工具 原创 simeon的文章 小兵搞安全 2024-12-03 15:04 在提权过程中需要通过掌握的信息来对系统、软件等存在的漏洞进行搜索,获取其利用的poc,通过编译后,实施提权。searchsploit提供漏洞本地和在线查询,是渗透测试中提权的重要武器。 1.1searchsploit简介 Exploit Database(https://github.
继续阅读GitLab漏洞汇总
GitLab漏洞汇总 实战安全研究 2024-12-03 14:37 本文首发于freebuf,原文地址: https://www.freebuf.com/vuls/411902.html 申明:本文仅供技术交流,请自觉遵守网络安全相关法律法规,切勿利用文章内的相关技术从事非法活动,如因此产生的一切不良后果与文章作者无关。 0x00 介绍 GitLab是一款Ruby开发的Git项目管理平台,主要针
继续阅读年末冲刺!2024漏洞马拉松『美团站』正式启动
年末冲刺!2024漏洞马拉松『美团站』正式启动 美团安全应急响应中心 2024-12-03 10:30 活动范围 美团及旗下开放在互联网的应用系统 (美团控股公司漏洞视情况收取,暂停收录系统见平台公告) 提交地址 https://security.meituan.com 活动规则 漏洞标题必须标注【漏洞马拉松2024】前缀,否则无法享受活动奖励;本活动不与平台其他活动同享。 注意事项 1.当发现入
继续阅读docker历史上的第一个漏洞:关于shocker的一切
docker历史上的第一个漏洞:关于shocker的一切 原创 王磊 华为安全应急响应中心 2024-12-03 10:10 1 基本信息 Item Details Note Project docker — CVE-ID CVE-2014-3519(OpenVZ) 公开时docker已部分修复,未分配CVE Vuln's Author Sebastian Krahmer — CVSS 9
继续阅读