解锁+监控!最新安卓间谍软件NoviSpy植入疑利用了高通零日漏洞
解锁+监控!最新安卓间谍软件NoviSpy植入疑利用了高通零日漏洞 网空闲话 网空闲话plus 2024-12-16 22:56 BleepingComputer12月16日的跟踪报道表明,塞 尔维亚政府被指利用高通芯片的多个零日漏洞,通过名为NoviSpy的间谍软件监视活动人士、记者和抗议者。关键漏洞之一是CVE-2024-43047,该漏洞于2024年10月被Google Project Ze
继续阅读标签: 复现
【未公开】泛微e-cology 9 x.FileDownloadLocation接口存在SQL注入漏洞导致Getshell
【未公开】泛微e-cology 9 x.FileDownloadLocation接口存在SQL注入漏洞导致Getshell 原创 xiachuchunmo 银遁安全团队 2024-12-16 18:34 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **泛微E-COLOGY是一款由中国泛微软件系统股份有限公司开发的企业协同管理软件,为中大型组织创
继续阅读电子资料管理系统 ImageUpload.ashx 任意文件上传漏洞
电子资料管理系统 ImageUpload.ashx 任意文件上传漏洞 Superhero nday POC 2024-12-16 18:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即
继续阅读Eyoucms的sql注入复现
Eyoucms的sql注入复现 船山信安 2024-12-16 16:02 本cms的漏洞已经提交过cnvd已修复了。更新到最新版本即可 0x01 漏洞复现 这里我是本地搭建的eyoucms环境演示 默认安装完成后,我先是访问如下url http://127.0.0.1:8081/eyoucms/?m=home&c=View&a=index&aid=89 然后开启b
继续阅读【已复现】Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告第二次更新
【已复现】Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告第二次更新 奇安信 CERT 2024-12-16 16:02 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Struts 文件上传漏洞 漏洞编号 QVD-2024-50398,CVE-2024-53677 公开时间 2024-12-11 影响量级 十万级 奇安信评级
继续阅读未来五年网络安全最具潜力的十大方向
未来五年网络安全最具潜力的十大方向 原创 承影 兰花豆说网络安全 2024-12-16 16:01 关注兰花豆,探讨网络安全 网络安全问题是一个不断变化的命题,受技术迭代、业务场景变化、客户需求及政策等多种因素的影响。无论从攻防对抗的角度,还是从保障业务的角度来看,网络安全都在动态演进中寻找平衡与突破。在未来五年,以下十大方向可能成为网络安全领域最具潜力的重点。 AI安全 人工智能(AI)正推动第
继续阅读新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击
新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击 Rhinoer 犀牛安全 2024-12-16 16:00 黑客正在积极利用 Cleo 管理文件传输软件中的零日漏洞来入侵公司网络并进行数据盗窃攻击。 该漏洞存在于该公司的安全文件传输产品 Cleo LexiCom、VLTrader 和 Harmony 中,该漏洞允许不受限制的文件上传和下载,从而导致远程代码执行。 Cleo MFT 漏洞影响
继续阅读【漏洞预警】Menlo Security Menlo On-Premise Appliance安全漏洞
【漏洞预警】Menlo Security Menlo On-Premise Appliance安全漏洞 cexlife 飓风网络安全 2024-12-16 14:16 漏洞描述: 在MеnlоOn-Prеmise Aррliаnсе的2.88版本之前,网络策略可能无法一致地正确应用于故意构造的畸形客户端请求,这个问题在2.88.2+、2.89.1+和2.90.1+版本中已修复。 Menlo On-
继续阅读某科云连erp存在sql注入漏洞
某科云连erp存在sql注入漏洞 原创 Kokoxca安全 Kokoxca安全 2024-12-16 12:45 0x01.技术文章仅供参考学习,请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文所提供的技术信息或代码工具仅供于学习,一切不良后果与文章作者无关。使用者应
继续阅读【安全圈】iOS和macOS系统曝关键漏洞,可破坏TCC框架
【安全圈】iOS和macOS系统曝关键漏洞,可破坏TCC框架 安全圈 2024-12-16 11:00 关键词 安全漏洞 近日,苹果iOS和macOS系统中被曝光一个关键的安全漏洞,若被成功利用,可能会绕过透明度、同意和控制(TCC)框架,导致用户敏感信息被未经授权访问。漏洞编号CVE-2024-44131,存在于文件提供组件中,苹果通过在iOS 18、iPadOS 18和macOS Sequoi
继续阅读每周网安资讯 (12.10-12.16)|7-zip存在整数下溢或超界折返漏洞
每周网安资讯 (12.10-12.16)|7-zip存在整数下溢或超界折返漏洞 交大捷普 2024-12-16 10:14 2024[ 每周网安资讯 ]12.10-12.16 网安资讯 1、中国计算机学会首届中国数字金融大会开幕 2024年12月7日,由中国计算机学会(CCF)主办,CCF数字金融分会、同济大学、上海立信会计金融学院联合承办的CCF首届中国数字金融大会在上海开幕,以“创新·融合·安
继续阅读警惕!微软Azure MFA漏洞曝光:数百万用户面临安全风险
警惕!微软Azure MFA漏洞曝光:数百万用户面临安全风险 安全客 2024-12-16 09:51 最近,Oasis Security的研究团队揭示了一个严重的漏洞,影响了微软Azure的多因素身份验证(MFA)系统,可能使数百万用户的敏感信息面临被攻击的风险。该漏洞允许攻击者在没有用户交互或通知的情况下,轻松获得对Outlook电子邮件、OneDrive文件、Teams聊天和Azure云服务
继续阅读【已复现】Apache Struts存在文件上传漏洞(CVE-2024-53677)
【已复现】Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒研究院 安恒信息CERT 2024-12-16 09:27 漏洞概述 漏洞名称 Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒CERT评级 2级 CVSS3.1评分 8.1 CVE编号 CVE-2024-53677 CNVD编号 未分配 CNNVD编号 CNNVD-20241
继续阅读安全热点周报:新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击
安全热点周报:新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击 奇安信 CERT 2024-12-16 09:20 安全资讯导视 • 国家发改委公布《电力监控系统安全防护规定》修订版 • 美商务部发布ICTS最终规则,确保信息与通信技术和服务供应链安全 • 国内最大IT社区CSDN被挂马,CDN可能是罪魁祸首 PART01 漏洞情报 1.Apache Struts文件上传漏洞安全风险通告
继续阅读74cms v4.2.1 v4.2.129 后台getshell漏洞
74cms v4.2.1 v4.2.129 后台getshell漏洞 闻人语默 老鑫安全 2024-12-16 08:04 点击蓝字 关注我们 漏洞描述 厂商:74cms下载地址: http://www.74cms.com/download/index.html 关于版本:新版的74cms采用了tp3.2.3重构了,所以可知底层是tp,74cms新版升级是后台升级的,所以先将将升级方法。注:此漏洞
继续阅读Exp-Tools:一款集成高危漏洞EXP的实用工具
Exp-Tools:一款集成高危漏洞EXP的实用工具 海底天上月 海底生残月 2024-12-16 07:51 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底生残月及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 海底生残月 “ 设为星标 ”, 否则可能就看不到了啦 !
继续阅读(0day)月子会所ERP某接口存在文件读取漏洞
(0day)月子会所ERP某接口存在文件读取漏洞 原创 websec WebSec 2024-12-16 06:41 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!
继续阅读【漏洞文章】JeecgBoot 任意用户密码重置
【漏洞文章】JeecgBoot 任意用户密码重置 1ang 小羊安全屋 2024-12-16 06:23 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PART 漏洞
继续阅读CVE-2024-45337:Golang 加密库存在缺陷,存在授权绕过风险
CVE-2024-45337:Golang 加密库存在缺陷,存在授权绕过风险 Ots安全 2024-12-16 06:15 Golang 加密库中发现了一个严重安全漏洞,编号为 CVE-2024-45337(CVSS 9.1)。此漏洞源于对ServerConfig.PublicKeyCallback 函数的滥用,可能导致应用程序和库中的授权绕过。 问题的根源: PublicKeyCallback函
继续阅读CVE-2024-38819:Spring 框架路径遍历 PoC 漏洞已发布
CVE-2024-38819:Spring 框架路径遍历 PoC 漏洞已发布 Ots安全 2024-12-16 06:15 Spring Framework 中一个严重漏洞(编号为 CVE-2024-38819,CVSS 评分为 7.5)已被公开披露,同时还披露了一个概念验证 (PoC) 漏洞。此漏洞允许攻击者进行路径遍历攻击,从而可能授予他们访问托管受影响 Spring 应用程序的服务器上的敏感
继续阅读【Poc】-Spring Framework路径遍历漏洞(CVE-2024-38819)
【Poc】-Spring Framework路径遍历漏洞(CVE-2024-38819) 原创 宬室司阍 埋藏酱油瓶 2024-12-16 05:38 【🔔】互联网资料/工具,安全性未知,需要自行研判安全性。 CVE-2024-38819: PoC Poc: curl http://localhost:8080/static/link/%2e%2e/etc/passwd Poc环境验证 1. 构建
继续阅读CVE-2024-38819:Spring Framework 路径遍历漏洞 PoC 发布
CVE-2024-38819:Spring Framework 路径遍历漏洞 PoC 发布 独眼情报 2024-12-16 04:34 Spring Framework 中一个严重漏洞(编号为 CVE-2024-38819,CVSS 评分为 7.5)已被公开披露,同时还披露了一个概念验证 (PoC) 漏洞。此漏洞允许攻击者进行路径遍历攻击,从而可能授予他们访问受影响 Spring 应用程序所在服务
继续阅读【0day】某州数码DCME-320存在前台任意文件读取漏洞
【0day】某州数码DCME-320存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2024-12-16 04:23 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 DCME-320是北京神州数码云科信息技术有限公司采用MIPS多核高性能处理器,针对多用户数、多流量、多业务种类的业务需求而推出的新一代高性能互联网出口网关。 Fofa指纹:”style/blue/css/d
继续阅读九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞
九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞 Superhero nday POC 2024-12-16 03:18 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章
继续阅读【漏洞复现】某平台-Template-readfile-任意文件读取漏洞
【漏洞复现】某平台-Template-readfile-任意文件读取漏洞 原创 南极熊 SCA御盾 2024-12-16 02:53 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造
继续阅读【漏洞预警】Cloudlog 电台日志系统 SQL 注入漏洞
【漏洞预警】Cloudlog 电台日志系统 SQL 注入漏洞 原创 马赛克安全实验室 马赛克安全实验室 2024-12-16 02:28 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读昂捷CRM cwsfiledown.asmx 任意文件读取漏洞
昂捷CRM cwsfiledown.asmx 任意文件读取漏洞 Superhero nday POC 2024-12-16 02:11 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读【十步”杀”一车】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵
【十步”杀”一车】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 原创 红岸基地赵小龙 暗影网安实验室 2024-12-16 02:02 事件经过 近期,安全研究人员发现大众旗下斯柯达部分车型的车载信息娱乐系统存在多个漏洞,这些漏洞可能被攻击者利用以远程控制特定功能并追踪汽车位置。PCAutomotive在黑帽欧洲大会(Black Hat Europe)上披露了
继续阅读【MalDev红队开发】笔记阶段汇总
【MalDev红队开发】笔记阶段汇总 原创 玄鹄安全 高级红队专家 2024-12-16 02:00 1-前言 首先感谢各位大佬客官的支持和鼓励,目前【MalDev红队开发】系列已经完成前两部分共8个章节的实战笔记梳理,基本完全复现教材中的内容,教材中缺失的命令也进行了补全,笔记章节如下: 【MalDev-00】学习环境准备 【MalDev-01】基础入门 【MalDev-02】注入基础与实战 【
继续阅读