引导加载程序存在高危漏洞,影响思科100多个交换机机型
引导加载程序存在高危漏洞,影响思科100多个交换机机型 Ionut Arghire 代码卫士 2024-12-06 09:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,思科宣布修复了位于 NX-OS 软件引导加载程序中的一个高危漏洞 (CVE-2024-20397),可导致攻击者绕过镜像签名验证。 该漏洞是因为不安全的引导加载程序设置导致的,可导致攻击者执行特定指令,绕过验证
继续阅读标签: 复现
微步协助统信修复提权漏洞
微步协助统信修复提权漏洞 原创 微步情报局 微步在线研究响应中心 2024-12-06 09:06 漏洞概况 统信 UOS 是统信软件技术有限公司开发的国产化操作系统发行版,结合国内用户的需求进行了深度定制和优化。它支持多种处理器架构(包括x86、ARM等),兼容各种硬件平台。 近日,微步情报局发现统信桌面专业版的系统管理器deepin-system-monitor存在提权漏洞(https://x
继续阅读【漏洞通告】Mitel MiCollab身份验证绕过漏洞(CVE-2024-41713)
【漏洞通告】Mitel MiCollab身份验证绕过漏洞(CVE-2024-41713) 启明星辰安全简讯 2024-12-06 09:02 一、漏洞概述 漏洞名称 Mitel MiCollab身份验证绕过漏洞 CVE ID CVE-2024-41713 漏洞类型 路径遍历 发现时间 2024-12-06 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互
继续阅读【漏洞通告】SonicWall SMA100 SSL-VPN缓冲区溢出漏洞(CVE-2024-45318)
【漏洞通告】SonicWall SMA100 SSL-VPN缓冲区溢出漏洞(CVE-2024-45318) 启明星辰安全简讯 2024-12-06 09:02 一、漏洞概述 漏洞名称 SonicWall SMA100 SSL-VPN缓冲区溢出漏洞 CVE ID CVE-2024-45318 漏洞类型 缓冲区溢出 发现时间 2024-12-06 漏洞评分 8.1 漏洞等级 高危 攻击向量 网络
继续阅读漏洞预警 灵当 CRM uploadxx.php 文件上传漏洞
漏洞预警 灵当 CRM uploadxx.php 文件上传漏洞 by 融云安全-sm 融云攻防实验室 2024-12-06 06:52 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用
继续阅读Apache-HertzBeat开源实时监控系统存在默认口令漏洞【漏洞复现|附nuclei-POC】
Apache-HertzBeat开源实时监控系统存在默认口令漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2024-12-06 06:40 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: Apache-HertzBeat开源实时监
继续阅读zabbix SQL注入漏洞(CVE-2024-42327)
zabbix SQL注入漏洞(CVE-2024-42327) 原创 菜鸟学渗透 菜鸟学渗透 2024-12-06 03:59 一、漏洞描述 Zabbix 前端上具有默认用户角色或任何其他授予 API 访问权限的角色的非管理员用户账户均可利用此漏洞。addRelatedObjects 函数中的 CUser 类中存在 SQLi,此函数由 CUser.get 函数调用,每个具有 API 访问权限的用户均
继续阅读数百台思科交换机受启动加载程序漏洞影响
数百台思科交换机受启动加载程序漏洞影响 鹏鹏同学 黑猫安全 2024-12-06 03:47 思科发布了安全补丁,修复了一个漏洞(追踪为CVE-2024-20397,CVSS评分为5.2),该漏洞存在于NX-OS软件的启动加载程序中,攻击者可能利用此漏洞绕过镜像签名验证。通告中写道:“思科NX-OS软件启动加载程序中的漏洞可能允许未经身份验证的攻击者通过物理访问受影响的设备,或具有管理员凭据的经过
继续阅读【漏洞复现】彩讯邮件系统5.0.0版本存在逻辑缺陷修改用户密码
【漏洞复现】彩讯邮件系统5.0.0版本存在逻辑缺陷修改用户密码 什么安全 什么安全 2024-12-06 03:20 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 产品介绍 Richmail是亚太本土最大的电子邮件系统 提供
继续阅读【漏洞复现】某平台-taillog-readfile任意文件读取漏洞
【漏洞复现】某平台-taillog-readfile任意文件读取漏洞 原创 南极熊 SCA御盾 2024-12-06 03:17 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的
继续阅读英国电信巨头BT集团遭遇勒索攻击,500GB敏感数据恐遭窃取;流行移动安全测试工具曝XSS漏洞,文件名成为攻击新途径 | 牛览
英国电信巨头BT集团遭遇勒索攻击,500GB敏感数据恐遭窃取;流行移动安全测试工具曝XSS漏洞,文件名成为攻击新途径 | 牛览 安全牛 2024-12-06 02:35 点击蓝字·关注我们 / aqniu 新闻速览 •首份欧盟网络安全状况报告发布:DoS和勒索软件成为头号安全隐患 •警惕!错误配置的WAF系统导致企业后端服务器直接暴露 •英国电信巨头BT集团遭遇勒索攻击,500GB敏感数据恐遭
继续阅读思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用
思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 汇能云安全 2024-12-06 01:30 12月6日,星期五,您好!中科汇能与您分享信息安全快讯: 01 构建 “数字监狱”?苹果公司被控非法监控员工个人设备和通讯 一名在职苹果员工于2024年12月1日在加利福尼亚州法院提起诉讼,指控苹果公司实施侵入性监控行为,过度监控员工个人生活。 自2020年起担任苹果数
继续阅读【漏洞复现】赛普EAP企业适配管理平台Upload任意文件上传漏洞
【漏洞复现】赛普EAP企业适配管理平台Upload任意文件上传漏洞 原创 清风 白帽攻防 2024-12-06 01:09 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 赛普EAP企业适配管理平台是为房地产企业量身定制的数字化管理系统,旨在优化业务流程、提升
继续阅读黑客利用 MOONSHINE 漏洞和 DarkNimbus 后门攻击
黑客利用 MOONSHINE 漏洞和 DarkNimbus 后门攻击 会杀毒的单反狗 军哥网络安全读报 2024-12-06 01:00 导读 趋势科技在一篇分析报告中表示: “Earth Minotaur 使用 MOONSHINE 将 DarkNimbus 后门传送到 Android 和 Windows 设备,使其成为跨平台威胁。” “MOONSHINE 利用基于 Chromium 的浏览器和应
继续阅读Jolokia logback JNDI RCE漏洞复现
Jolokia logback JNDI RCE漏洞复现 原创 浩凯Security 浩凯信安 2024-12-06 00:31 免责声明浩凯信安(本公众号)的技术文章仅供参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!! 漏洞原理: 1.直接访问可触发漏洞的URL
继续阅读48套.NET系统漏洞威胁情报(12.05更新)
48套.NET系统漏洞威胁情报(12.05更新) 专攻.NET安全的 dotNet安全矩阵 2024-12-06 00:20 48 某景ERP系统文件读取漏洞 48.1 漏洞概述 某景ERP是一款功能全面、高度集成、易于扩展的企业管理软件,能够帮助制造企业实现智能化、精益化管理,提升企业的竞争力和盈利能力。 GET /api/Down***/File?File**=/../web.config&a
继续阅读POC集合,框架nday漏洞利用
POC集合,框架nday漏洞利用 Awrrays 夜组安全 2024-12-06 00:02 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!! 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把
继续阅读漏洞预警 | WordPress Elementor PDF生成器任意文件下载漏洞
漏洞预警 | WordPress Elementor PDF生成器任意文件下载漏洞 浅安 浅安安全 2024-12-06 00:00 0x00 漏洞编号 – CVE-2024-9935 0x01 危险等级 – 高危 0x02 漏洞概述 WordPress Elementor页面生成器插件PDF生成器是一个专为WordPress网站设计的插件,特别适配Elementor页面构
继续阅读漏洞预警 | 海信智能公交企业管理系统SQL注入漏洞
漏洞预警 | 海信智能公交企业管理系统SQL注入漏洞 浅安 浅安安全 2024-12-06 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 海信智能公交企业管理系统是一款专为公交企业打造的智能化管理平台,旨在提升公交运营效率和服务质量。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 海信智能
继续阅读【0day】圣乔ERP系统uploadFile存在任意文件上传漏洞
【0day】圣乔ERP系统uploadFile存在任意文件上传漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-05 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **杭州圣乔科技有限公司成立于2007年02月27日,注册地位于浙江省杭州市拱墅区和睦路555号201幢116室,法定代表人为张鹏。经营范围包括计算机软硬
继续阅读「漏洞复现」用友NC yerfile/down SQL注入漏洞(XVE-2024-34596)
「漏洞复现」用友NC yerfile/down SQL注入漏洞(XVE-2024-34596) 冷漠安全 冷漠安全 2024-12-05 21:28 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用
继续阅读万能门店小程序管理系统 doPageGetFormList SQL注入漏洞
万能门店小程序管理系统 doPageGetFormList SQL注入漏洞 Superhero nday POC 2024-12-05 13:03 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们
继续阅读渤海证券基于互联网环境的漏洞主动防护方案探索与实践
渤海证券基于互联网环境的漏洞主动防护方案探索与实践 青藤云安全 2024-12-05 10:44 来源:中国金融电脑 作者:渤海证券股份有限公司信息技术总部 刘洋 伴随互联网业务的蓬勃发展,证券行业成为黑客进行网络攻击的重要目标之一,网络攻击的形式也变得愈发多样且复杂。网络攻击如同悬于行业之上的达摩克利斯之剑,为行业机构的信息安全带来严峻挑战。在这些攻击方式中,漏洞攻击尤为棘手,它们瞄准系统、应用
继续阅读大模型的反序列化导致的RCE漏洞
大模型的反序列化导致的RCE漏洞 sule01u 黑伞安全 2024-12-05 10:04 大模型的反序列化导致的RCE漏洞 话说最近字节实习生通过编写、篡改代码等形式恶意攻击团队研究项目模型训练任务的事闹的沸沸扬扬,那气氛都到这了,我们来聊聊大模型的rce漏洞吧 引言 这可以从今年的CVE-2024-3568开始聊聊, CVE-2024-3568是Huggingface的Transformer
继续阅读创宇安全智脑 | 大华 DSS 数字监控系统 adminOperate 信息泄露等79个漏洞可检测
创宇安全智脑 | 大华 DSS 数字监控系统 adminOperate 信息泄露等79个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-05 09:47 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精
继续阅读日本CERT提醒:IO-Data 路由器中的多个0day已遭利用
日本CERT提醒:IO-Data 路由器中的多个0day已遭利用 Bill Toulas 代码卫士 2024-12-05 09:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 日本应急响应中心 (CERT) 提醒称,黑客正在利用 I-O Data 路由器设备中的多个0day漏洞,修改设备设置、执行命令、甚至关闭防火墙。 I-O Data 公司在网站发布安全通告,证实了这些漏洞的存在。然
继续阅读微步获评工信部NVDB通用漏洞库“三星级技术支撑单位”
微步获评工信部NVDB通用漏洞库“三星级技术支撑单位” 微步在线 2024-12-05 09:05 12月3日,在2024年(第十三届)电信和互联网行业网络安全年会主论坛上,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)通用网络产品安全漏洞专业库(以下简称“通用漏洞库”)发布2024-2025年度技术支撑单位名单并举行授牌仪式。鉴于 2024年在漏洞报送、研判和协同处置等工作中的突出表现
继续阅读美英加澳新在堪培拉联合开展“网络哨兵”战术演习
美英加澳新在堪培拉联合开展“网络哨兵”战术演习 原创 奇安侦察兵 奇安网情局 2024-12-05 07:19 编者按 澳大利亚国防军举行第二届年度“网络哨兵”战术演习,并召集“五眼”联盟国家参加,旨在加强军事网络能力、弹性和训练。 此次演习于9月16日至27日在澳大利亚堪培拉举行,测试了澳大利亚、美国、英国、加拿大和新西兰参演者的作战准备情况,聚焦保护关键基础设施免受复杂威胁。演习期间,参演战术
继续阅读【漏洞分享】通达 OA getdata RCE 通达OA 命令执行漏洞 通杀漏洞
【漏洞分享】通达 OA getdata RCE 通达OA 命令执行漏洞 通杀漏洞 Undoubted Security 2024-12-05 06:28 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 漏洞复现 fofa查询语句: app="通达OA网络智能办公系统" 利用脚本进行检测:
继续阅读Zscaler CEO抨击虚假SASE方案严重误导用户;思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 | 牛览
Zscaler CEO抨击虚假SASE方案严重误导用户;思科发布紧急预警:10年前的ASA系统漏洞正遭黑客积极利用 | 牛览 安全牛 2024-12-05 06:25 点击蓝字·关注我们 / aqniu 新闻速览 •强化关基设施防护,美国三大安全机构联合发布通信基础设施防护指南 •构建”数字监狱”?苹果公司被控非法监控员工个人设备和通讯 •Zscaler CEO抨击虚假
继续阅读