CVE-2024-31317 复现
CVE-2024-31317 复现 原创 腹黑 白帽100安全攻防实验室 2024-12-05 03:30 前言 前两天看到JD的公众号发了篇CVE-2024-31317漏洞的分析,通篇看下来感觉还是比较有意思,且车机目前主流方案均为安卓系统且都在该漏洞的有限范围内,遂开始复现。因为是用户态的提权,需先获取对应用户权限。因此在车联网场景下存在一定的限制,目前主流做法是限制未知签名的APK安卓且无法
继续阅读标签: 复现
Zabbix 漏洞CVE-2024-42327 (CVSS 9.9)的 PoC 发布
Zabbix 漏洞CVE-2024-42327 (CVSS 9.9)的 PoC 发布 独眼情报 2024-12-05 03:11 安全研究员 Alejandro Ramos 发布了针对 CVE-2024-42327 的详细技术分析和概念验证 (PoC) 漏洞利用代码,CVE-2024-42327 是一个影响 Zabbix(一种广泛使用的开源企业网络和应用程序监控平台)的严重 SQL 注入漏洞。该漏
继续阅读Veeam 备份和复制漏洞曝光:高危漏洞使数据面临风险
Veeam 备份和复制漏洞曝光:高危漏洞使数据面临风险 独眼情报 2024-12-05 03:11 知名备份、恢复和数据管理解决方案提供商 Veeam Software 发布了 安全更新,以解决其 Veeam Backup & Replication 软件中的多个漏洞。这些漏洞可能允许经过身份验证的攻击者执行恶意代码、未经授权访问敏感信息并破坏连接系统的完整性。 这些漏洞中最严重的漏洞 C
继续阅读Lorex 2K 安全摄像头存在五个漏洞 可让黑客完全控制,已有可用 PoC
Lorex 2K 安全摄像头存在五个漏洞 可让黑客完全控制,已有可用 PoC 独眼情报 2024-12-05 03:11 Rapid7 的最新研究揭示了 Lorex 2K 室内 Wi-Fi 安全摄像头中的一系列严重漏洞,这引起了消费者对安全的严重担忧。这些漏洞是在 2024 年 Pwn2Own IoT 竞赛期间发现的,攻击者可以利用这些漏洞入侵设备,可能访问实时信息并远程执行恶意代码。 Rapid
继续阅读【漏洞复现】某平台-webservice-GetUDEFStreamID-delay-sql注入漏洞
【漏洞复现】某平台-webservice-GetUDEFStreamID-delay-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-05 02:55 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操
继续阅读【漏洞复现】金华迪加现场大屏系统存在任意文件上传getshell漏洞
【漏洞复现】金华迪加现场大屏系统存在任意文件上传getshell漏洞 原创 清风 白帽攻防 2024-12-05 01:07 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 金华迪加现场大屏互动系统是一种创新的互动展示解决方案,融合了先进的技术与创意设计,旨在
继续阅读Oracle 警告 Agile PLM 文件泄露漏洞可能被积极利用
Oracle 警告 Agile PLM 文件泄露漏洞可能被积极利用 Rhinoer 犀牛安全 2024-12-05 01:04 Oracle 已修复 Oracle Agile 产品生命周期管理 (PLM) 中一个未经身份验证的文件泄露漏洞,该漏洞编号为 CVE-2024-21287,有人利用该漏洞作为零日漏洞下载文件。 Oracle Agile PLM 是一个软件平台,使企业能够管理产品数据、流程
继续阅读思科10年老漏洞,影响ASA软件WebVPN登录页面
思科10年老漏洞,影响ASA软件WebVPN登录页面 E安全 2024-12-05 01:00 E安全消息,12月2日,思科(Cisco)发布有关CVE-2014-2120漏洞的更新安全公告,该漏洞影响思科安全设备ASA软件的WebVPN登录页面。 此漏洞最初于2014年披露,使未经身份验证的远程攻击者对WebVPN用户执行跨站点脚本 (XSS) 攻击。 Cisco 的最新公告证实了此漏洞正在被积
继续阅读微软修复 AI、云计算和 ERP 安全漏洞,其中一个已被用于攻击
微软修复 AI、云计算和 ERP 安全漏洞,其中一个已被用于攻击 原创 技术修道场 技术修道场 2024-12-05 00:04 微软近日修复了四个影响其人工智能 (AI)、云计算、企业资源规划 (ERP) 和合作伙伴中心产品的安全漏洞,其中一个漏洞已被用于实际攻击。 图片来源于网络 已被利用的漏洞 被标记为“已检测到利用”的漏洞是 CVE-2024-49035(CVSS 评分:8.7),这是一个
继续阅读API安全漏洞靶场crapi漏洞复现
API安全漏洞靶场crapi漏洞复现 进击的HACK 2024-12-04 23:55 项目介绍 crAPI 应用程序被建模为 B2C 应用程序,允许任何用户让汽车修理工完成他们的汽车维修。用户可以在 WebApp 上创建帐户、管理他/她的汽车、搜索汽车修理工、提交任何汽车的服务请求以及从供应商处购买汽车配件。WebApp 还有一个社区部分,用户可以在其中贡献博客文章和评论。 crAPI 应用程序
继续阅读网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇)
网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇) 进击的HACK 2024-12-04 23:55 前言 前些天写了那个凑数量的漏洞文章,貌似效果不错…… 当初熊猫刚入行的时候,新接个渗透项目,起手就是awvs、sqlmap、xray、appscan、owaspzap等等的一系列扫描器莽怼,碰碰运气,结果惨败在waf拦截之下…… 对于小白来说,工具
继续阅读大模型安全漏洞:AI时代的“隐形炸弹”(附下载)
大模型安全漏洞:AI时代的“隐形炸弹”(附下载) 原创 说安全 如何安全 说安全 如何安全 2024-12-04 23:32 在这个日新月异的AI时代,大模型作为智能技术的核心驱动力,正以前所未有的速度改变着我们的生活和工作方式。从智能客服到自动驾驶,从医疗诊断到金融风控,大模型的应用场景越来越广泛,其背后所蕴含的巨大潜力和商业价值也愈发凸显。然而,在享受AI带来的便捷与高效的同时,你是否意识到,
继续阅读5th域安全微讯早报【20241205】292期
5th域安全微讯早报【20241205】292期 网空闲话 网空闲话plus 2024-12-04 23:13 2024-12-05 星期四Vol-2024-292 今日热点导读 **1. CISA发布网络监控指南,加强通信基础设施安全 2. Jatoba和Naumen SMP:国产解决方案的理想组合 3. ENISA发布首份欧盟网络安全状况报告,网络威胁水平“相当高” 4. 国际联合行动成功捣毁
继续阅读思科ASA漏洞CVE-2014-2120当前正在被利用攻击
思科ASA漏洞CVE-2014-2120当前正在被利用攻击 鹏鹏同学 黑猫安全 2024-12-04 23:01 思科警告表示,CVE-2014-2120 ASA漏洞已经在野生攻击中被活跃攻击,并建议客户查看更新的安全通告。该漏洞存在于Cisco Adaptive Security Appliance(ASA)软件的WebVPN登录页面,因为未经身份验证的远程攻击者可以通过跨站脚本(XSS)攻击对
继续阅读【漏洞复现】WordPress ElementorPageBuilder插件存在文件读取漏洞(CVE-2024-9935)
【漏洞复现】Wordpress ElementorPageBuilder插件存在文件读取漏洞(CVE-2024-9935) xiachuchunmo 银遁安全团队 2024-12-04 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **WordPress是一款免费开源的内容管理系统(CMS),最初是一个博客平台,但后来发展成为一个功能
继续阅读Zabbix api_jsonrpc.php接口存在SQL注入漏洞CVE-2024-42327 附POC
Zabbix api_jsonrpc.php接口存在SQL注入漏洞CVE-2024-42327 附POC 2024-12-4更新 南风漏洞复现文库 2024-12-04 15:08 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Zab
继续阅读【漏洞复现】CVE-2024-9935
【漏洞复现】CVE-2024-9935 混子Hacker 混子Hacker 2024-12-04 13:17 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 道阻且长,行则将至;行而不辍,未来可期 —— CVE-2024-9935 Word
继续阅读「漏洞复现」同享人力资源管理系统-TXEHR V15 ActiveXConnector 信息泄露漏洞
「漏洞复现」同享人力资源管理系统-TXEHR V15 ActiveXConnector 信息泄露漏洞 冷漠安全 冷漠安全 2024-12-04 12:20 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读信息安全漏洞月报(2024年11月)
信息安全漏洞月报(2024年11月) 原创 CNNVD CNNVD安全动态 2024-12-04 11:25 点击蓝字 关注我们 漏洞态势 根据国家信息安全漏洞库(CNNVD)统计,2024年11月采集安全漏洞共3920个。 本月接报漏洞1825个,其中信息技术产品漏洞(通用型漏洞)1287个,网络信息系统漏洞(事件型漏洞)538个。漏洞平台推送漏洞93384个。 重大漏洞通报 Palo Alto
继续阅读信息安全漏洞周报(2024年第49期)
信息安全漏洞周报(2024年第49期) 原创 CNNVD CNNVD安全动态 2024-12-04 11:25 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周2024年11月25日至2024年12月1日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞483个。 接报漏洞情况 本周CNNVD接报漏洞50088个,其中信息技术产品漏洞(通用型漏洞)320
继续阅读思科安全设备ASA十年老漏洞正在被利用
思科安全设备ASA十年老漏洞正在被利用 老布 FreeBuf 2024-12-04 11:03 近期,思科系统公司(Cisco Systems)更新了关于CVE-2014-2120的安全公告,警告客户该漏洞已在野外被利用。CVE-2014-2120是一个影响思科自适应安全设备(ASA)软件的WebVPN登录页面的跨站脚本(XSS)漏洞。该漏洞最初于2014年披露,它允许未经身份验证的远程攻击者对W
继续阅读网安瞭望台第9期:0day 情报,OAuth 2.0授权流程学习
网安瞭望台第9期:0day 情报,OAuth 2.0授权流程学习 原创 扬名堂 东方隐侠安全团队 2024-12-04 11:00 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 Veeam 修补服务提供商控制台关键 RCE 漏洞 Veeam 发布了安全更新以解决影响服务提供商控制台(VSPC)的一个关键漏洞,该漏洞可
继续阅读【安全圈】思科安全设备ASA十年老漏洞正在被利用
【安全圈】思科安全设备ASA十年老漏洞正在被利用 安全圈 2024-12-04 11:00 关键词 安全漏洞 近期,思科系统公司(Cisco Systems)更新了关于CVE-2014-2120的安全公告,警告客户该漏洞已在野外被利用。CVE-2014-2120是一个影响思科自适应安全设备(ASA)软件的WebVPN登录页面的跨站脚本(XSS)漏洞。该漏洞最初于2014年披露,它允许未经身份验证的
继续阅读第十五期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示
第十五期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示 原创 安钥 方桥安全漏洞防治中心 2024-12-04 10:01 锤炼安全金钥,共筑安全防线 安钥®「漏洞处置标准作业程序(SOP)」征文启示 第15期 12月04日 – 12月14日 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补
继续阅读用友NC workflowService SQL注入1day代码分析
用友NC workflowService SQL注入1day代码分析 原创 island 深白网安 2024-12-04 09:17 免责声明:文章中内容来源于互联网,涉及的所有内容仅供安全研究与教学之用,读者将其信息做其他用途而造成的任何直接或者间接的后果及损失由用户承担全部法律及连带责任。文章作者不承担任何法律及连带责任!如有侵权烦请告知,我们会立即删除整改并向您致以歉意。 0x00.漏洞描述
继续阅读【漏洞通告】Progress WhatsUp Gold远程代码执行漏洞(CVE-2024-8785)
【漏洞通告】Progress WhatsUp Gold远程代码执行漏洞(CVE-2024-8785) 启明星辰安全简讯 2024-12-04 08:51 一、漏洞概述 漏洞名称 Progress WhatsUp Gold远程代码执行漏洞 CVE ID CVE-2024-8785 漏洞类型 RCE 发现时间 2024-12-04 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权
继续阅读360漏洞云情报月度合集-2024年11月期
360漏洞云情报月度合集-2024年11月期 360漏洞云 2024-12-04 08:36 01 前言 本报告聚焦于 2024 年 11 月(11.1 – 11.30)期间360漏洞云监测到的各类新兴网络安全隐患,同时对该月份全球及本土涌现的重大安全事故展开全面梳理与剖析,旨在迅速传递网络安全领域的实时态势以及前沿热点动态,诚挚邀请行业专家和从业者共同探讨交流、提出宝贵意见,携手推动
继续阅读推荐 10 个漏洞管理工具,漏洞猎手必备!
推荐 10 个漏洞管理工具,漏洞猎手必备! 原创 wljslmz瑞哥 网络技术联盟站 2024-12-04 07:15 公众号:网络技术联盟站 随着网络攻击的日益复杂,漏洞管理已经成为保障信息安全和保护企业资产的核心环节。漏洞管理工具能够有效地帮助企业及时发现、评估、修复系统中的安全漏洞,从而降低数据泄露、网络攻击等风险。漏洞管理不仅仅是一个技术层面的任务,它涉及到企业的各项安全操作,包括资产发
继续阅读