【已复现】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告第二次更新 奇安信 CERT 2024-11-15 16:50 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiManager 身份认证绕过漏洞 漏洞编号 QVD-2024-43936,CVE-2024-47575 公开时间 2024-1
继续阅读2023年最易被利用的漏洞 何威风 河南等级保护测评 2024-11-15 16:00 根据五眼情报联盟政府机构的数据,2023年最常被利用的漏洞大多最初都是以零日漏洞的形式被利用的。 一份汇总数据 的 咨询报告显示 ,与上一年相比 ,2023年利用零日漏洞攻击企业网络的情况显著增加。上一年,被利用的顶级漏洞中只有不到一半是以零日漏洞的形式被发现的。 数据显示,威胁行为者在漏洞公开披露后的两年内继
继续阅读微软2024年11月份于周二补丁日针对90漏洞发布安全补丁 何威风 河南等级保护测评 2024-11-15 16:00 微软周二透露,影响 Windows NT LAN 管理器 ( NTLM ) 和任务计划程序的两个安全漏洞已被广泛利用。 – 52 个远程代码执行 (RCE) 漏洞 :这些漏洞允许攻击者在易受攻击的系统上远程执行任意代码。 26 特权提升 (EoP) 漏洞 :这些漏
继续阅读大语言语言模型安全攻击以及AI供应链漏洞 渊龙Sec安全团队 2024-11-15 11:28 01 简要说明 人工智能和人工智能的安全性正在以惊人的速度发展,AI模型供应链中使用的工具,用于构建机器学习模型,会使AI应用程序容易受到独特的安全威胁。 这些工具是开源的,这意味着它们开箱即用时可能存在漏洞,这些漏洞可直接导致完整的系统接管,例如未经身份验证的远程代码执行或本地文件包含。这意味着什么?
继续阅读【漏洞分享】edu通杀 新中小学智慧校园信息管理系统 Upload 任意文件上传 Undoubted Security 2024-11-15 11:00 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 漏洞复现 fofa查询语句: body="/Login/IndexMobi" 利用脚本进行检测:
继续阅读【漏洞复现】某平台-testdb-info-leak信息泄露漏洞 原创 南极熊 SCA御盾 2024-11-15 10:58 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接
继续阅读(0day)微信公众号商家收银台小程序系统存在前台任意文件上传漏洞 原创 Mstir 星悦安全 2024-11-15 04:00 点击上方 蓝字关注我们 并设为 星标 0x00 前言 微信公众号程序,必须微信认证服务号,微信支付商家 客户扫码,打开商家定义支付页面,输入金额和对应定义信息,提交微信支付,实现快速付款 支持创建多个店铺,各个店铺自定义不同自定义表单。通过自定义表单实现订单自定义明细
继续阅读谷歌AI平台存在漏洞,可泄露企业的专有LLMs 代码卫士 2024-11-14 17:52 聚焦源代码安全,网罗国内外最新资讯! 作者:Elizabeth Montalbano 编译:代码卫士 谷歌修复了用于定制大语言模型 (LLMs) 开发和部署的平台 Vertex AI 中的两个漏洞,它们可导致攻击者从系统中提取企业的专有模型。该漏洞再次凸显了AI技术遭恶意操纵后给业务用户带来的危险。 Pal
继续阅读FBI、CISA和NSA公布2023年利用最频繁的15个漏洞 Sergiu Gatlan 代码卫士 2024-11-14 17:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 FBI、NSA和五眼联盟的网络安全当局发布了2023年利用最频繁的15个漏洞清单。 周二,这些机构发布该清单,呼吁全球范围内的组织机构立即修复这些漏洞并不糊打补丁管理系统,将攻击风险降至最低。 这些机构提醒称,“
继续阅读【SRC】未授权访问漏洞引发的惨案……. 朱厌安全 2024-11-14 17:50 喜欢就关注我吧! 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 1前言 本文记录了最近的一次src漏洞挖掘,并成功
继续阅读马自达警报:黑客利用未补漏洞发动攻击,你的汽车安全吗? 数世咨询 2024-11-14 16:01 自2022年底以来,随着生成式人工智能的兴起,网络安全领域遭遇了前所未有的挑战。仅在2023年,勒索软件的支付金额就飙升至超过11亿美元。 多款马自达汽车型号的信息娱乐系统存在漏洞,可能允许黑客以根权限执行任意代码,趋势科技的零日漏洞计划(ZDI)警告称。 ZDI 解释说,这些问题存在是因为马自达连
继续阅读Apache ZooKeeper Admin Server 身份验证绕过漏洞 CVE-2024-51504 永恒之锋实验室 Eonian Sharp 2024-11-14 15:11 1 漏洞描述 Apache ZooKeeper 是开源的分布式应用程序协调服务,IPAuthenticationProvider 是其身份验证提供器,用于基于客户端 IP 地址进行身份验证。 受影响版本的 ZooKe
继续阅读2023年被利用最多的15个漏洞 原创 再说安全 再说安全 2024-11-14 15:04 FBI、NSA 和五眼联盟网络安全机构于2024年11月12日联合发布了一份警示通报, 揭示了 2023 年最常被利用的 15 个漏洞,其中大多数最初都是以零日漏洞的形式被滥用。这凸显了网络攻击的复杂性和隐蔽性正日益增强,全球网络安全形势面临严峻挑战。 该机构警告称,与 2022 年相比,2023 年恶意
继续阅读springboot环境下的写文件RCE 原创 珂字辈 珂技知识分享 2024-11-14 14:49 一、 java特性加载类文件 传统的ssh key/任务计划就不说了,介绍一下已经流行开来的几种java特性加载类文件。 1,charsets.jar LandGrey首发 https://landgrey.me/blog/22/复现过程 https://mp.weixin.qq.com/
继续阅读以色列支付系统遭大规模网络攻击,全国加油站和商超一度瘫痪;Citrix录制管理器曝零日漏洞,未经验证即可实现远程代码执行 |牛览 安全牛 2024-11-14 12:07 点击蓝字·关注我们 / aqniu 新闻速览 •NSA联合发布六项工业控制系统安全原则,强化关键基础设施防护 •MOVEit事件影响仍未平息,亚马逊、汇丰等巨头企业近500万员工信息或泄露 •以色列支付系统遭受大规模网络攻击
继续阅读【海外SRC漏洞挖掘】参数FUZZ工具Bug修复+实战利用案例(任意用户接管) 原创 fkalis fkalis 2024-11-14 11:17 海外SRC赏金挖掘专栏 在学习SRC,漏洞挖掘,外网打点,渗透测试,攻防打点等的过程中,我很喜欢看一些国外的漏洞报告,总能通过国外的赏金大牛,黑客分享中学习到很多东西,有的是一些新的信息收集方式,又或者是一些骚思路,骚姿势,又或者是苛刻环境的漏洞利用。
继续阅读【漏洞通告】Ivanti Endpoint Manager SQL注入漏洞安全风险通告 嘉诚安全 2024-11-14 10:49 漏洞背景 近日,嘉诚安全监测到Ivanti官方修复了一个Ivanti Endpoint Manager SQL注入漏洞,漏洞编号为:CVE-2024-50330。 Ivanti Endpoint Manager(EPM)是由Ivanti公司开发的一款综合性端点管理解决
继续阅读【漏洞通告】微软11月多个安全漏洞 网安百色 2024-11-13 19:28 点击上方 蓝字 关注我们吧~ 一、漏洞概述 2024年11月13日,启明星辰集团VSRC监测到微软发布了11月安全更新,本次更新共修复了91个漏洞(不包括之前修复的Edge漏洞),漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。 本次安全更新中修复了4个0 day漏
继续阅读nacos身份绕过漏洞 原创 剑豪321 网络安全学习爱好者 2024-11-13 18:54 漏洞描述 Nacos是一个易于使用的平台,专为动态服务发现和配置以及服务管理而设计。可以帮助您轻松构建云原生应用程序和微服务平台。 Nacos 身份认证绕过漏洞(QVD-2023-6271),开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过
继续阅读Microsoft 11 月 CVE 漏洞预警 网新安服 2024-11-13 18:31 点击上方蓝字关注我们,获取最新消息 1 基本情况 11 月份,Microsoft 发布了 89 个漏洞补丁,解决了 Microsoft Office 和 Office 组件、 Azure、.NET 和 Visual Studio、 LightGBM、 Exchange Server、SQL Server、T
继续阅读2024-11微软漏洞通告 火绒安全 火绒安全 2024-11-13 18:02 微软官方发布了2024年11月的安全更新。 本月更新公布了425个漏洞, 包含52个远程执行代码漏洞、28个特权提升漏洞、4个拒绝服务漏洞、3个身份假冒漏洞、2个安全功能绕过漏洞、1个信息泄露漏洞、1个深度防御漏洞,其中4个漏洞级别为“Critical”(高危),85个为“Important”(严重)。建议用户及时使
继续阅读微软11月补丁星期二值得关注的漏洞 综合编译 代码卫士 2024-11-13 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在本月补丁星期二中修复了91个漏洞,含四个0day漏洞,其中两个正遭活跃利用。 微软本次修复的漏洞如下: 26个提权漏洞 2个安全特性绕过漏洞 52个远程代码执行漏洞 1个信息泄露漏洞 4个拒绝服务漏洞 3个欺骗漏洞 此外,微软还在11月7日修复了两个
继续阅读刚刚,Citrix 修复两个易遭利用的0day漏洞 Jai Vijayan 代码卫士 2024-11-13 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 在漏洞被公开披露后,Citrix 公司终于非常迅速地发布补丁,修复了位于 Citrix Virtual Apps and Desktop 技术中的两个漏洞(CVE-2024-8068和CVE-2024-8069),它们可导致远
继续阅读Apache OFBiz 命令执行漏洞分析(CVE-2024-45195、CVE-2024-45507) 原创 元亨-blckder02 中孚安全技术研究 2024-11-13 17:31 环境搭建 下载地址: https://archive.apache.org/dist/ofbiz/ 解压后用 IDEA 打开,点击右侧栏 Gradle 中的 build 之后会生成一个 biuld 目录,该目录
继续阅读原创 Paper | Vigor3900 固件仿真及漏洞分析(CVE-2024-44844、CVE-2024-44845) 原创 404实验室 知道创宇404实验室 2024-11-13 15:36 作者:fan@知道创宇404实验室 时间:2024年11月13日 1.前言 参考资料 我在日常跟踪漏洞情报的过程中,看到 Vigor3900 最新版本固件 1.5.1.6 存在多处后台命令注入漏洞
继续阅读首届“数证杯”电子数据取证分析大赛报名启动;Epson打印机设备曝严重安全漏洞,攻击者可创建恶意管理员账户 | 牛览 安全牛 2024-11-13 13:23 点击蓝字·关注我们 / aqniu 新闻速览 •工信部:发展低空产业 安全是重要前提 •首届“数证杯”电子数据取证分析大赛报名启动 •新型勒索软件Ymir现身,与RustyStealer组成危险攻击联盟 •Remcos RAT新型变种
继续阅读为何1/3企业安全事件源头没法追溯,审视网络安全管理的6大漏洞 安全牛 2024-11-13 13:23 。 许多CSO对其所在组织近期遭遇的安全事件原因可能一无所知,就算同样的网络攻击再来一遍,他们可能还是跟第一次一样束手无策 。 究其原因,客观上来讲,是网络攻击变得更加复杂和多样化;主观上来讲,则是企业信息安全管理中普遍存在的六大关键漏洞。 检测入侵原因变得更加复杂 Foundry/CSO发布
继续阅读微软11月补丁日多个产品安全漏洞风险通告:2个在野利用、4个紧急漏洞 奇安信 CERT 2024-11-13 09:02 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年11月补丁日多个产品安全漏洞 影响产品 Windows Kerberos、Windows DWM、Microsoft Exchange Server等。 公开时间 2024-11-13 影响对象数
继续阅读D-Link多款产品account_mgr.cgi接口存在远程命令执行漏洞CVE-2024-10914 附POC 南风漏洞复现文库 2024-11-12 22:17 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. D-Link简介 微信
继续阅读【漏洞预警】kanboard代码执行漏洞(CVE-2024-51747) cexlife 飓风网络安全 2024-11-12 22:08 漏洞描述: Kаnbоаrd是一个专注于看板方法论的项目管理系统,经过身份验证的Kаnbоаrd管理员可以从服务器读取和删除任意文件,在Kаnbоаrd中可查看或下载的文件附件,是通过其在рrојесt_hаѕ_filеѕSQLitе数据库中的раth条目解析的
继续阅读