Apache 修复严重的 OFBiz 远程代码执行漏洞
Apache 修复严重的 OFBiz 远程代码执行漏洞 Sergiu Gatlan 代码卫士 2024-09-06 17:02 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache 修复了 OFBiz 软件中的一个严重漏洞,可导致攻击者在易受攻击的 Linux 和 Windows 服务器上执行任意代码。 OFBiz 是一款客户关系管理 (CRM) 和企业资源规划 (ERP) 商业应用
继续阅读标签: 命令执行
SpEL表达式注入漏洞总结
SpEL表达式注入漏洞总结 Mi1k7ea 猪猪谈安全 2024-09-05 21:00 原文于:http://www.mi1k7ea.com/2020/01/10/SpEL%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%80%BB%E7%BB%93/#0x02-SpEL%E8%A1%A8%E8%BE%BE%E5
继续阅读超高危 WordPress RCE漏洞 CVE-2024-5932 全网资产 5W+ 附POC
超高危 WordPress RCE漏洞 CVE-2024-5932 全网资产 5W+ 附POC 合规渗透 合规渗透 2024-09-05 20:05 poc见最下方阅读原文,欢迎关注。最新漏洞持续推送中 CVE-2024-5932:GiveWP PHP 对象注入漏洞是一个可以 远程代码执行和未经授权文件删除的漏洞 漏洞描述: WordPress 的 GiveWP 捐赠插件和筹款平台插件在 3.14
继续阅读思科修复已有 PoC 的根提权漏洞
思科修复已有 PoC 的根提权漏洞 Sergiu Gatlan 代码卫士 2024-09-05 17:24 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科已修复 PoC 已公开的一个命令注入漏洞 (CVE-2024-20469),它可导致攻击者在易受攻击系统上的权限提升至根。 该漏洞位于思科的身份服务引擎 (ISE) 解决方案中。ISE 是基于身份的网络访问控制和策略执行软件,供用户在
继续阅读公开的隐秘:CVE-2024-30051在野提权漏洞研究
公开的隐秘:CVE-2024-30051在野提权漏洞研究 原创 威胁情报中心 奇安信威胁情报中心 2024-09-05 17:01 综述 CVE-2024-30051 漏洞最早由卡巴斯基发现,但是最初卡巴发现的并不是在野样本,而是该漏洞的简单分析报告被传到 vt 上去了,之后我们通过相关报告中漏洞的特征,找到了 QakBot 利用的实际样本(c4dd780560091c8d2da429c7c689
继续阅读【漏洞通告】Apache OFBiz服务端请求伪造漏洞 (CVE-2024-45507)
【漏洞通告】Apache OFBiz服务端请求伪造漏洞 (CVE-2024-45507) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-09-05 16:04 漏洞名称: Apache OFBiz服务端请求伪造漏洞(CVE-2024-45507) 组件名称: Apache-ofbiz 影响范围: Apache OFBiz < 18.12.16 漏洞类型: 服务器端伪造请求(SSRF)
继续阅读某防火墙存在远程命令执行漏洞
某防火墙存在远程命令执行漏洞 原创 儒道易行 儒道易行 2024-09-04 20:03 有谁说做人容易?人生就是挣扎生存,就因为多灾多难,所以才有意思 漏洞描述 某防火墙存在命令执行漏洞,/cgi-bin/kerbynet 页面,x509type 参数过滤不严格,导致攻击者可执行任意命令 漏洞实战 访问漏洞url: 构造payload访问漏洞url: 漏洞证明: 漏洞利用poc: 漏洞证明: 文
继续阅读【安全圈】尽快更新!Zyxel 路由器曝出 OS 命令注入漏洞,影响多个版本
【安全圈】尽快更新!Zyxel 路由器曝出 OS 命令注入漏洞,影响多个版本 安全圈 2024-09-04 19:00 关键词 安全漏洞 近日,Zyxel 发布安全更新,以解决影响其多款商用路由器的关键漏洞,该漏洞可能允许未经认证的攻击者执行操作系统命令注入。 该漏洞被追踪为 CVE-2024-7261,CVSS v3 得分为 9.8,是一个输入验证故障,由用户提供的数据处理不当引起,允许远程攻击
继续阅读合勤提醒注意路由器中的严重OS命令注入漏洞
合勤提醒注意路由器中的严重OS命令注入漏洞 Bill Toulas 代码卫士 2024-09-04 17:18 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 合勤科技发布安全更新,修复了影响多款商业路由器中的一个严重漏洞 (CVE-2024-7261),可能导致未认证攻击者执行OS命令注入。 该漏洞的CVSSv3评分为9.8,是一个因用户提供数据处理不当引发的输入验证漏洞,可导致远程攻击者
继续阅读D-Link 不打算修复 DIR-846W 路由器中的这四个RCE漏洞
D-Link 不打算修复 DIR-846W 路由器中的这四个RCE漏洞 Bill Toulas 代码卫士 2024-09-04 17:18 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 D-Link 提醒称,DIR-846W 路由器的所有硬件和固件版本均受四个远程代码执行 (RCE) 漏洞影响,不过由于该产品已达生命周期,因此不予修复。 这四个RCE漏洞中,其中三个是“严重”级别,无需认证
继续阅读恶意软件利用零日漏洞感染报废的AVTECH IP 摄像机
恶意软件利用零日漏洞感染报废的AVTECH IP 摄像机 关键基础设施安全应急响应中心 2024-09-04 16:20 基于 Corona Mirai 的恶意软件僵尸网络通过 AVTECH IP 摄像机中存在 5 年之久的远程代码执行 (RCE) 零日漏洞进行传播,目前这些摄像机已停产多年,不会收到补丁。 该漏洞由 Akamai 的 Aline Eliovich 发现,编号为 CVE-2024-
继续阅读【漏洞预警】vim代码执行漏洞(CVE-2024-45306)
【漏洞预警】vim代码执行漏洞(CVE-2024-45306) cexlife 飓风网络安全 2024-09-03 21:47 漏洞描述: Vim是一个开源的命令行文本编辑器,补丁v9.1.0038优化了光标位置的计算方式,并移除了一个循环,该循环验证光标位置始终指向一行内的某个位置,并且不会因指向行尾之外而变得无效,当时我们认为这个循环是不必要的。然而,这个更改使得光标位置可能保持无效,并指向行
继续阅读Adobe ColdFusion (CVE-2023-26360 入侵了美国联邦民事执行局)漏洞分析,实现反弹思路,
Adobe ColdFusion (CVE-2023-26360 入侵了美国联邦民事执行局)漏洞分析,实现反弹思路, 原创 赛赛 W啥都学 2024-09-03 21:36 这个漏洞分析挺有意思的,也浪费了我不少时间去研究 后面会分享一下我的反弹思路 事件 在2023年12月5日美国网络安全和基础设施安全局 (CISA)发出警告称,黑客利用 Adobe ColdFusion (CVE-2023-2
继续阅读漏洞推送|用友U8C reservationcomplete存在sql注入可RCE
漏洞推送|用友U8C reservationcomplete存在sql注入可RCE 原创 小白菜安全 小白菜安全 2024-09-02 23:31 漏洞描述 用友U8CRM-/bgt/reservationcomplete.php存在SQL注入漏洞,攻击者可通过此漏洞进行命令执行并且可通过该漏洞绕过登录访问后台。 资产信息 FOFA: title=”用友U8CRM” 漏洞复
继续阅读MSI 文件漏洞的探索
MSI 文件漏洞的探索 Ti TIPFactory情报工厂 2024-09-02 19:12 我们经常遇到 MSI 文件。开发者使用它们来提供和打包自己的程序。此格式比标准 EXE 格式更方便,原因如下: – 能够恢复、安装某些组件 数据存储在结构化的表中,可以通过 API 轻松访问 通过 SCCM、WEB 端点轻松分发 MSI 文件内部可能存在各种漏洞,大部分漏洞都会导致权限提升,既
继续阅读研究员利用SQL注入漏洞绕过机场的TSA安全审查
研究员利用SQL注入漏洞绕过机场的TSA安全审查 Sergiu Gatlan 代码卫士 2024-09-02 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员在一个关键的航空运输安全系统中发现一个漏洞,可被未授权人员用于绕过机场的安全检查并获得对飞机驾驶舱的访问权限。 研究人员 Ian Carroll 和 Sam Curry 在基于web的第三方服务 FlyCASS 中
继续阅读CVE-2024-21413 Microsoft Outlook远程代码执行漏洞 附POC
CVE-2024-21413 Microsoft Outlook远程代码执行漏洞 附POC 原创 合规渗透 合规渗透 2024-09-01 20:11 CVE-2024-21413 是影响 Microsoft Outlook 的关键远程代码执行 (RCE) 漏洞。 这个零日漏洞也称为“MonikerLink”错误,允许攻击者在受害者的机器上执行任意代码,而无需任何用户交互。 该漏洞是由恶意制作的电
继续阅读2024年最新新小剧场短剧影视系统代码审计(RCE)
2024年最新新小剧场短剧影视系统代码审计(RCE) 原创 Mstir 星悦安全 2024-09-01 16:49 点击上方 蓝字关注我们 并设为 星标 0x00 前言 **2024年最新新版小剧场短剧影视小程序源码+风口项目 ,短剧APP 小程序源码 风口项目 ,短剧app 小程序 H5 多端程序 对接了易支付,修复了众多BUG 目前已知BUG全部修复,看了下没有uniapp只有编译后的,
继续阅读人工智能AI漏洞扫描工具PRO版SmartScanner-1.23.0-Pro版补丁更新|漏洞检测
人工智能AI漏洞扫描工具PRO版SmartScanner-1.23.0-Pro版补丁更新|漏洞检测 原创 城北 渗透安全HackTwo 2024-09-01 12:12 前言 自动渗透测试 SmartScanner提供的自动渗透测试简化了评估计算机系统安全性的过程。本质上,它进行授权的模拟网络攻击,以评估系统对潜在威胁的防御能力。 使用SmartScanner,启动渗透测试毫不费力。只需输入您的网
继续阅读开源软件中的加密漏洞
开源软件中的加密漏洞 GRCC IoVSecurity 2024-09-01 11:28 点击上方 蓝色字体,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 特斯拉安全漏洞的发现过程.ppt 车联网安全漏洞挖掘 了解软件漏洞生命周期.ppt
继续阅读韩国黑客利用WPS零日漏洞开展大规模间谍活动
韩国黑客利用WPS零日漏洞开展大规模间谍活动 GoUpSec 商密君 2024-08-31 19:50 近日,ESET安全研究人员发现韩国网络间谍组织APT-C-60利用WPS Office Windows版本中的一个零日代码执行漏洞(CVE-2024-7262),在东亚地区的目标系统中安装了名为SpyGlace的后门程序。 WPS Office是中国金山软件公司开发的一款生产力套件,在亚洲地区拥
继续阅读反序列化漏洞和fastjson实际漏洞分析
反序列化漏洞和fastjson实际漏洞分析 LemonSec 2024-08-31 14:11 简介 FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象分别通过toJSONString和parseObject/parse来实现序列化和反序列化。 使用 对于序列化的方法toJSONString()
继续阅读朝鲜威胁行为者利用 Chromium 中的零日漏洞 CVE-2024-7971
朝鲜威胁行为者利用 Chromium 中的零日漏洞 CVE-2024-7971 Ots安全 2024-08-31 12:31 2024 年 8 月 19 日,微软发现一名朝鲜威胁行为者利用 Chromium 中的零日漏洞(现标识为CVE-2024-7971)来获取远程代码执行 (RCE)。我们高度确信,观察到的 CVE-2024-7971 利用可归因于针对加密货币领域以获取经济利益的朝鲜威胁行为者
继续阅读【安全圈】黑客利用未修补的 AVTECH IP 摄像机漏洞进行僵尸网络攻击
【安全圈】黑客利用未修补的 AVTECH IP 摄像机漏洞进行僵尸网络攻击 安全圈 2024-08-30 19:02 关键词 僵尸网络 影响 AVTECH IP 摄像机的多年前高度严重性漏洞已被恶意行为者用作零日漏洞,以将其引入僵尸网络。 CVE-2024-7029(CVSS 评分:8.7)是“在 AVTECH 闭路电视 (CCTV) 摄像机的亮度功能中发现的命令注入漏洞,允许远程代码执行 (RC
继续阅读【漏洞通告】Ivanti Avalanche XXE漏洞(CVE-2024-38653)
【漏洞通告】Ivanti Avalanche XXE漏洞(CVE-2024-38653) 启明星辰安全简讯 2024-08-30 18:37 一、漏洞概述 漏洞名称 Ivanti Avalanche XXE漏洞(CVE-2024-38653) CVE ID CVE-2024-38653 漏洞类型 XXE 发现时间 2024-08-14 漏洞评分 8.2 漏洞等级 高危 攻击向量 网络
继续阅读某系统多款产品存在命令执行漏洞
某系统多款产品存在命令执行漏洞 原创 儒道易行 儒道易行 2024-08-30 18:00 我不是没有尝试过,尝试安分守己,拼命干活,挣那么一点点钱,我试过,但是外面那些人,外面那些人,他们懂建筑懂盖楼吗?他们只是拿出一点点钱出来,花一点点时间,把房价炒高不断的赚大钱。你去问问他们,随便问一个人,他们的答案很简单:只是想要一间很普通很普通的房子,为什么他们要用一辈子的时间去供一间房子呢?因为那些有
继续阅读谷歌再提高 Chrome 漏洞赏金数额,最高可达25万美元
谷歌再提高 Chrome 漏洞赏金数额,最高可达25万美元 关键基础设施安全应急响应中心 2024-08-30 15:42 近日,谷歌公司宣布通过其漏洞奖励计划报告的Google Chrome单一漏洞的最高奖励金额已超过25万美元。 从8月28日起,谷歌将根据研究人员报告的漏洞质量来对内存损坏漏洞加以区分。奖励金额将从展示Chrome内存损坏和堆栈跟踪的基线报告显著提升至通过功能性漏洞展示远程代码
继续阅读Chrome ipcz TOCTOU 漏洞分析与利用
Chrome ipcz TOCTOU 漏洞分析与利用 3bytes 3072 2024-08-29 22:44 在这篇博客文章中,我们将深入探讨Chrome中新的IPC机制ipcz的一个有趣的漏洞,并看看如何从一个被攻破的渲染器中利用这个漏洞逃离Chrome的沙盒。以下分析和描述的利用技术基于Chromium 113.0.5672.77。 背景 漏洞代码是在2022年11月加入Chrome时引入的
继续阅读基于人工智能的网络漏洞扫描器 | SmartScanner 1.21
基于人工智能的网络漏洞扫描器 | SmartScanner 1.21 渗透安全团队 2024-08-29 22:25 智能网络漏洞扫描器 SmartScanner 是一款基于人工智能的网络漏洞扫描器,使测试过程更加愉快和可靠。 人工智能 每个网站和网络应用程序都是独一无二的,并且一种方法并不适合所有情况。SmarScanner 利用机器学习和人工智能方法来调整其方法以适应目标的行为。因此,与其他
继续阅读