【已复现】Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)安全风险通告 代码卫士 2024-08-05 18:23 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache OFBiz 授权不当致代码执行漏洞 漏洞编号 QVD-2024-35284,CVE-2024-38856 公开时间 2024-08-04 影响量级 万级 奇安信评级 高危
继续阅读XML 基础知识 && XXE 漏洞原理解析及实验 编码安全研究 2024-08-05 17:07 XML 介绍 XXE全称XML外部实体注入,所以在介绍XXE漏洞之前,先来说一说什么是XML以及为什么使用XML进而再介绍一下XML的结构。 XML全称 可拓展标记语言,与HTML相互配合后: – HMTL用来显示数据 HTML的焦点在于数据的外观(如何显示数据) XML
继续阅读安全热点周报:本周新增四个在野利用漏洞,企业安全面临新威胁 奇安信 CERT 2024-08-05 16:25 安全资讯导视 • 自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》 • 美国白宫发布《联邦风险和授权管理计划现代化》备忘录 • 史上最高!一财富50强企业向勒索软件支付了超5.4亿元赎金 PART01 新增在野利用 1.VMware ESXi 身份认证绕过漏洞(CV
继续阅读【已复现】CVE-2024-38856 Apache OFbiz未授权RCE漏洞 青藤实验室 青藤实验室 2024-08-05 16:02 >>>> 漏洞名称: CVE-2024-38856 Apache OFbiz未授权RCE漏洞 >>>> 组件名称: Apache OFbiz >>>> 漏洞类型: 远程代码执行漏洞 >
继续阅读信呼OA系统index接口处nickname参数存在SQL注入漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2024-08-05 15:35 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 信呼OA系统index接口处nickname参数存在
继续阅读Pixel7/8 Pro 安卓 14 内核漏洞利用 原创 骨哥说事 骨哥说事 2024-08-05 13:56 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ 目录 背景介绍漏洞详情gpu_pi
继续阅读[漏洞分析]LiveBos文件上传漏洞复现及绕过分析 原创 zzz 良月安全 2024-08-05 12:37 免责声明 本公众号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。 前言 最近看到了LiveBos的文件上传,发现他的绕
继续阅读CVE-2024-38100:Leaked Wallpaper漏洞使Windows用户面临权限提升攻击的风险 flyme 独眼情报 2024-08-05 11:38 在最近的安全公告中,微软披露了 Windows 文件资源管理器中的一个严重漏洞,编号为 CVE-2024-38100 ,CVSS 评分为 7.8 。该漏洞由 Semperis 的 Andrea Pierini 发现,允许攻击者通过特权
继续阅读CVE-2024-38856:Apache OFBiz 存在未经授权的代码执行漏洞 flyme 独眼情报 2024-08-05 11:38 Apache OFBiz 是广泛采用的开源企业资源规划 (ERP) 平台,最近发现一个漏洞,由于可能存在未经授权的代码执行,因此引发了紧急安全警告。该漏洞的编号为 CVE-2024-38856 ,级别为“ 重要 ”,但安全专家警告各组织应立即采取行动,因为 E
继续阅读Calibre 电子书软件存在严重安全漏洞 flyme 独眼情报 2024-08-05 11:38 Calibre 是一款流行的跨平台电子书管理软件,存在三个重大安全漏洞。STAR Labs SG Pte. Ltd. 的研究人员发现这些漏洞可能会使数百万用户面临各种网络威胁。 图片:Starlabs 第一个漏洞被追踪为 CVE-2024-7008 (CVSS 5.3) ,它 使 攻击者能够将恶意
继续阅读「漏洞复现」方天云智慧平台系统 Upload.ashx 任意文件上传漏洞 冷漠安全 冷漠安全 2024-08-05 10:33 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读CVE-2024-38100 Fake potato LPE漏洞分析 3072 2024-08-05 10:07 在探索“SilverPotato”滥用的DCOM对象时,我偶然发现了“ShellWindows” DCOM应用程序。这个应用程序和“ShellBrowserWindows”一样,在进攻性安全社区中广为人知,可以通过远程实例化这些对象并具有管理员权限来进行横向移动。 然而,我好奇是否普通
继续阅读【漏洞复现】某天云智慧平台系统 Upload.ashx 任意文件上传漏洞 原创 Superhero Nday Poc 2024-08-05 09:48 0x01 产品简介 某天云智慧平台系统,作为方天科技公司的重要产品,是一款面向企业全流程的业务管理功能平台,集成了ERP(企业资源规划)、MES(车间执行系统)、APS(先进规划与排程)、PLM(产品生命周期)、CRM(客户关系管理)等多种功能模块
继续阅读Panalog 日志审计系统 SQL 注入漏洞【XVE-2024-5232】 小酸弟 小酸弟信安 2024-08-05 09:28 01 简介及指纹 Panalog大数据日志审计系统是一款专注于大数据日志管理和审计的系统,旨在帮助企业和组织有效地管理、分析和审计大量日志数据。 资产检索 FOFA:body=”Maintain/cloud_index.php” 02 漏洞概述
继续阅读干货 | vCenter 漏洞利用总结 安小圈 2024-08-05 08:45 安小圈 第467期 vCenter 漏洞_总结 免责声明: 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。**** 1 vSphere 背景介绍 vSphere,ESXi 和 vCenter 辨析: VMware Inc
继续阅读漏洞预警 用友 NC querypsninfo SQL注入漏洞 by 融云安全-sm 融云攻防实验室 2024-08-04 22:28 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用
继续阅读【新】IP网络广播服务平台任意文件上传漏洞 原创 小白菜安全 小白菜安全 2024-08-04 21:00 漏洞描述 IP网络广播服务平台 upload接口存可未授权访问显示任意文件上传。 资产信息 hunter=:web.icon==”9091011a03bffd9898d79fc589a2c65d” 漏洞复现 POST /api/v2/remote-upgrade/up
继续阅读喰星云-数字化餐饮服务系统not_finish.php存在SQL注入漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息. 2. 漏洞复现 GET /logistics/home_warning/
继续阅读喰星云-数字化餐饮服务系统not_out_depot.php存在SQL注入漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息. 2. 漏洞复现 GET /logistics/home_warni
继续阅读润乾报表InputServlet接口存在任意文件上传漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 润乾报表是一个纯JAVA的企业级报表工具,支持对J2EE系统的嵌入式部署,无缝集成。服务器端支持各种常见的操作系统,支持各种常见的关系数据库和各类J2 EE的应用服务器,客户端采用标准纯html方式展现,支持ie和netscape, 润乾报表是领先的
继续阅读喰星云-数字化餐饮服务系统shelflife.php存在SQL注入漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息. 2. 漏洞复现 GET /logistics/home_warning/p
继续阅读润乾报表InputServlet接口存在任意文件读取漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 润乾报表是一个纯JAVA的企业级报表工具,支持对J2EE系统的嵌入式部署,无缝集成。服务器端支持各种常见的操作系统,支持各种常见的关系数据库和各类J2 EE的应用服务器,客户端采用标准纯html方式展现,支持ie和netscape, 润乾报表是领先的
继续阅读喰星云-数字化餐饮服务系统stock.php存在SQL注入漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息. 2. 漏洞复现 GET /logistics/home_warning/php/s
继续阅读润乾报表dataSphereServlet接口存在任意文件上传漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 润乾报表是一个纯JAVA的企业级报表工具,支持对J2EE系统的嵌入式部署,无缝集成。服务器端支持各种常见的操作系统,支持各种常见的关系数据库和各类J2 EE的应用服务器,客户端采用标准纯html方式展现,支持ie和netscape, 润乾报
继续阅读润乾报表dataSphereServlet接口存在任意文件读取漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 润乾报表是一个纯JAVA的企业级报表工具,支持对J2EE系统的嵌入式部署,无缝集成。服务器端支持各种常见的操作系统,支持各种常见的关系数据库和各类J2 EE的应用服务器,客户端采用标准纯html方式展现,支持ie和netscape, 润乾报
继续阅读内核漏洞学习记录(CVE-2021-22555) pureGavin 看雪学苑 2024-08-03 17:59 看雪的二进制课程已经学习结束了,此篇是考核内容,顺便检测一下我对课程内容的理解程度。 参考内容 https://www.anquanke.com/post/id/254027 https://arttnba3.cn/2022/04/01/CVE-0X07-CVE-2021-22555/
继续阅读[企业安全运维] 海康威视现新0day 可未授权致RCE 速查! 合规渗透 2024-08-03 14:37 H14-11海康威视-iSecure Center综合安防管理平台-RCE 漏洞描述: 海康威视综合安防管理平台 /portal/cas/login/ajax/licenseExpire.do 存在远程命令执行漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码。 fofa语法
继续阅读CVE-2024-6980 Bitdefender GravityZone 存在严重漏洞 flyme 独眼情报 2024-08-03 11:54 Bitdefender GravityZone 更新服务器中发现了一个漏洞。该漏洞可能允许攻击者在目标更新服务器上执行服务器端请求伪造 (SSRF)。该漏洞 (CVE-2024-6980) 的 CVSS 4.0 评分为 9.2(满分 10 分)。 描述:
继续阅读IP广播服务平台未授权文件上传getshell-0Day附批量POC 原创 Ting丶 Ting的安全笔记 2024-08-03 11:51 web.icon==”9091011a03bffd9898d79fc589a2c65d” 复现详细步骤 POST /api/v2/remote-upgrade/upload HTTP/1.1 Host: User-Agent: Moz
继续阅读「漏洞复现」百易云资产管理运营系统 comfileup.php 文件上传漏洞(XVE-2024-18154) 冷漠安全 冷漠安全 2024-08-03 11:23 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅
继续阅读