聚焦纽创信安 | 上海ICCAD 2024-Expo
聚焦纽创信安 | 上海ICCAD 2024-Expo 原创 OSR市场部 纽创信安 2024-12-12 16:06 2024年12月11日至12日, “上海集成电路2024年度产业发展论坛暨第三十届集成电路设计业展览会”(ICCAD-Expo 2024)在上海世博展览馆成功举办,本届大会以“智慧上海,芯动世界”为主题,设置1场高峰论坛+9场分论坛,行业300多家企业参展,近万名集成电路业界精英人
继续阅读标签: 复现
广联达OA系统漏洞批量检测工具 – GlodonScan
广联达OA系统漏洞批量检测工具 – GlodonScan LemonSec 2024-12-12 16:01 01 项目地址 https://github.com/OracleNep/GlodonScan 02 项目介绍 广联达OA系统漏洞批量检测工具 可检测的漏洞列表: 广联达OA EmailAccountOrgUserService SQL注入漏洞 广联达OA GetUserByE
继续阅读Palo零日漏洞凸显面向互联网的接口风险不断上升
Palo零日漏洞凸显面向互联网的接口风险不断上升 原创 何威风 祺印说信安 2024-12-12 16:01 最近的报告证实,针对 Palo Alto Networks 的下一代防火墙 (NGFW) 管理接口的严重零日漏洞正受到积极利用。虽然 Palo Alto 的快速建议和缓解指南为补救措施提供了起点,但此类漏洞的广泛影响需要全球组织予以关注。 针对面向互联网的管理界面的攻击激增凸显了不断演变的
继续阅读大众和斯柯达汽车存在漏洞,导致发动机故障和车主数据被盗
大众和斯柯达汽车存在漏洞,导致发动机故障和车主数据被盗 很近也很远 网络研究观 2024-12-12 15:59 PCAutomotive 的研究人员发现了斯柯达和大众汽车中的多个漏洞。 这些漏洞可能允许攻击者访问敏感系统、禁用车辆或提取用户数据。 安全研究人员在对斯柯达 Superb III 2022 (3V3) 2.0 TDI 车型进行详细分析时发现了这些漏洞。 斯柯达和大众汽车的漏洞 htt
继续阅读「漏洞复现」电子图书阅读平台 downFile.aspx SQL注入漏洞
「漏洞复现」电子图书阅读平台 downFile.aspx SQL注入漏洞 冷漠安全 冷漠安全 2024-12-12 13:41 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关
继续阅读【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677)
【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677) 原创 聚焦网络安全情报 安全聚 2024-12-12 13:14 严 重 公 告 近日,安全聚实验室监测到 Apache Struts 中存在文件上传漏洞 ,编号为:CVE-2024-53677,CVSS:9.5 此漏洞允许未经身份验证的攻击者可以操纵文件上传参数以启用路径遍历,这可能导致上传可用于执行远程代码
继续阅读发现关键漏洞获得 $4,000 赏金奖励
发现关键漏洞获得 $4,000 赏金奖励 迪哥讲事 2024-12-12 12:30 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 文章原文:https://gugesay.com/archives/XXXX **不想错过任何消息?设置星标↓ ↓ ↓ 目录 子域枚举 发现 测试应用程序
继续阅读【安全圈】Windows 远程桌面服务漏洞允许攻击者执行远程代码
【安全圈】Windows 远程桌面服务漏洞允许攻击者执行远程代码 安全圈 2024-12-12 11:00 关键词 安全漏洞 2024 年 12 月 10 日,微软披露了Windows 远程桌面服务中的一个严重漏洞,能够让攻击者在受影响的系统上执行远程代码,从而对系统机密性、完整性和可用性构成严重威胁。 该漏洞被跟踪为 CVE-2024-49115,CVSS 评分为 8.1,由昆仑实验室的研究员
继续阅读【安全圈】知名企业级文件传输产品存在漏洞,正在被黑客利用
【安全圈】知名企业级文件传输产品存在漏洞,正在被黑客利用 安全圈 2024-12-12 11:00 关键词 安全漏洞 网络安全公司 Huntress 在周一警告称,影响企业软件制造商 Cleo 多个文件传输产品的漏洞未正确修补,并在过去至少一周内被利用。Cleo 是一家总部位于伊利诺伊州的公司,为超过 4200 家组织提供供应链和 B2B 集成解决方案。 该漏洞影响 Cleo 的LexiCom 、
继续阅读微软 MFA 中存在AuthQuake 漏洞,可导致无限次暴力攻击
微软 MFA 中存在AuthQuake 漏洞,可导致无限次暴力攻击 代码卫士 2024-12-12 10:09 聚焦源代码安全,网罗国内外最新资讯! 作者:Ravie Lakshmanan 编译:代码卫士 网络安全研究员在微软的多因素认证 (MFA) 实现中发现了一个严重漏洞,可导致攻击者轻易绕过防御措施,越权访问受害者账户。 Oasis 安全公司的研究人员 Elad Luz 和 Tal Haso
继续阅读即将开班!“系统0day安全”系列课程:掌握漏洞挖掘重要技能
即将开班!“系统0day安全”系列课程:掌握漏洞挖掘重要技能 看雪课程 看雪学苑 2024-12-12 10:01 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握
继续阅读高危!Apache Struts文件上传漏洞安全风险通告
高危!Apache Struts文件上传漏洞安全风险通告 应急响应中心 亚信安全 2024-12-12 09:52 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Apache官方披露(CVE-2024-53677)Apache Struts FileUploadInterceptor 文件上传漏洞。在受影响版本中,若代码中使用了FileUploadInterceptor ,则可能在进行
继续阅读创宇安全智脑 | Mitel MiCollab 企业协作平台任意文件读取(CVE-2024-41713)等80个漏洞可检测
创宇安全智脑 | Mitel MiCollab 企业协作平台任意文件读取(CVE-2024-41713)等80个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-12 09:30 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、
继续阅读Shiro框架漏洞看了你就会了(含靶场复现)
Shiro框架漏洞看了你就会了(含靶场复现) 工作室-Lin 马哥网络安全 2024-12-12 09:01 一、shiro简介 Shiro是一个功能强大且易于使用的Java安全框架,旨在简化Java应用程序的安全开发。 它提供了身份认证(登录)、授权(访问控制)、加密、会话管理以及与Web集成的功能,可以应用于从小型移动应用到大型Web和企业应用的多种场景。 Shiro既可以独立运行,也可以与其
继续阅读【风险通告】Apache Struts存在文件上传漏洞(CVE-2024-53677)
【风险通告】Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒CERT评级 2级 CVSS3.1评分 8.1 CVE编号 CVE-2024-53677 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT
继续阅读关于防范Zabbix软件SQL注入超危漏洞的风险提示
关于防范Zabbix软件SQL注入超危漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2024-12-12 08:23 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源软件 Zabbix 存在 SQL 注入超危漏洞。 Zabbix 是一款开源网络监控软件,广泛用于监控网络设备、服务器和应用程序的状态。由于 Zabbix 软件未对用户输入数据进行严格验证和转
继续阅读安全简讯(2024.12.12)
安全简讯(2024.12.12) 启明星辰安全简讯 2024-12-12 07:56 1. Cleo文件传输软件零日漏洞遭黑客利用进行数据盗窃攻击 12月10日,黑客正在积极利用Cleo管理文件传输软件中的新发现的零日漏洞,侵入全球数千家公司网络,包括Target、沃尔玛等知名企业,进行数据盗窃攻击。该漏洞存在于Cleo LexiCom、VLTrader和Harmony产品中,允许不受限制的文件上
继续阅读【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274)
【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274) 启明星辰安全简讯 2024-12-12 07:56 一、漏洞概述 漏洞名称 GitLab Kubernetes Proxy Response NEL头注入漏洞 CVE ID CVE-2024-11274 漏洞类型 注入、信息泄露 发现时间 2024-12-12 漏洞
继续阅读Zabbix SQL 注入 CVE-2024-42327 POC已公开
Zabbix SQL 注入 CVE-2024-42327 POC已公开 剁椒鱼头没剁椒 2024-12-12 07:37 Zabbix SQL注入漏洞 CVE-2024-42327 的 PoC 发布(CVSS 评分 9.9) 安全研究员 Alejandro Ramos 发布了 CVE-2024-42327 的详细技术分析和PoC。 CVE-2024-42327 是一个影响 Zabbix 的 SQL
继续阅读Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告
Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告 奇安信 CERT 2024-12-12 07:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Struts 文件上传漏洞 漏洞编号 QVD-2024-50398,CVE-2024-53677 公开时间 2024-12-11 影响量级 十万级 奇安信评级 高危 CVSS 3.
继续阅读(0day)杜特网上订单管理系统getUserImage存在SQL注入漏洞
(0day)杜特网上订单管理系统getUserImage存在SQL注入漏洞 原创 websec WebSec 2024-12-12 06:43 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致
继续阅读【漏洞通告】ProFTPD 权限提升漏洞(CVE-2024-48651)
【漏洞通告】ProFTPD 权限提升漏洞(CVE-2024-48651) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 ProFTPD在1.3.9rc2之前的版本中存在一个权限提升漏洞。经过身份验证的用户如果没有明确得加入任何附加组,会错误地从父进程继承附加组GID 0(root)。攻击者可以利用该漏洞将普通用户权限提升至root权限,严重可导致服务器失陷。02
继续阅读【漏洞通告】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)
【漏洞通告】ProjectSend 身份认证绕过漏洞(CVE-2024-11680) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 ProjectSend 存在身份认证绕过漏洞,未授权的攻击者可以利用该漏洞修改应用程序的配置,执行任意命令,导致服务器失陷。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称ProjectSend身份认证绕过漏洞漏洞编号CVE编号CV
继续阅读探索开源 C2 框架中的漏洞
探索开源 C2 框架中的漏洞 原创 Vipersec SecretTeam安全团队 2024-12-12 00:01 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把 SecretTeam安全团队 “设为星标 ”, 否则可能就看不到了啦! 免责声明 “本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适当授权的情况下使用这些
继续阅读漏洞预警 | Progress WhatsUp Gold远程代码执行漏洞
漏洞预警 | Progress WhatsUp Gold远程代码执行漏洞 浅安 浅安安全 2024-12-12 00:00 0x00 漏洞编号 – CVE-2024-8785 0x01 危险等级 – 高危 0x02 漏洞概述 WhatsUp Gold是美国Progress Software公司开发的一款网络监控软件,可监控整个网络基础设施,迅速定位并解决网络中的问题,提高网
继续阅读工具 | ShiroEXP
工具 | ShiroEXP 浅安 浅安安全 2024-12-12 00:00 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介 ShiroEXP是一款Shiro漏洞利用工具。**** 0x01 功能说明 – 爆破key及加密方式 漏洞验证 爆破回显链 命令执行 Shell模式 注入内存马 全局代理 0
继续阅读Cleo文件传输软件爆严重漏洞,黑客组织Termite或已发动大规模勒索攻击!
Cleo文件传输软件爆严重漏洞,黑客组织Termite或已发动大规模勒索攻击! 原创 Hankzheng 技术修道场 2024-12-11 23:56 紧急速报 近日,文件传输软件巨头Cleo的产品爆出严重安全漏洞,允许未经身份验证的攻击者远程执行代码。安全公司Huntress发现,黑客组织Termite疑似利用该漏洞,已对全球多家企业发动攻击,并植入勒索软件。 漏洞详情 – 漏洞
继续阅读【edu 0day预警】某公司教育教学监测与保障系统存在信息泄露漏洞
【edu 0day预警】某公司教育教学监测与保障系统存在信息泄露漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-11 22:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **某公司是一家长期专注于高等教育教学质量保障领域研究及产品开发的高新技术企业,公司旨在通过技术创新和优质的服务让高校教学管理工作更科学、更高效、更容易
继续阅读微软2024年12月份于周二补丁日针对72漏洞发布安全补丁
微软2024年12月份于周二补丁日针对72漏洞发布安全补丁 原创 何威风 祺印说信安 2024-12-11 13:19 微软完成了 2024 年补丁星期二更新,修复了其软件产品组合中 总共 72 个安全漏洞 ,其中包括一个据称已被野蛮利用的漏洞。 在这 72 个漏洞中,17 个被评为严重,54 个被评为重要,1 个被评为中等严重程度。其中 31 个漏洞是远程代码执行漏洞,27 个漏洞允许提升权限。
继续阅读Ivanti最严重的 CSA 认证绕过漏洞曝光
Ivanti最严重的 CSA 认证绕过漏洞曝光 老布 FreeBuf 2024-12-11 12:06 12月11日,Ivanti 向客户发出警告,提醒其 Cloud Services Appliance (CSA)解决方案存在一个新的最高严重性的认证绕过漏洞。 这个安全漏洞(编号 CVE-2024-11639)能够使远程攻击者在运行 Ivanti CSA 5.0.2 或更早版本的易受攻击设备上获
继续阅读