【未公开】无铭科技存在lang前台任意文件读取漏洞
【未公开】无铭科技存在lang前台任意文件读取漏洞 我吃饼干 2024-07-06 19:44 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。 任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。 使用本文所提
继续阅读标签: 复现
【未公开】无铭科技存在money前台水平越权漏洞
【未公开】无铭科技存在money前台水平越权漏洞 我吃饼干 2024-07-06 19:44 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。 任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。 使用本文所提供
继续阅读【安全圈】新的 OpenSSH 漏洞可能导致 Linux 系统以 Root 身份进行 RCE
【安全圈】新的 OpenSSH 漏洞可能导致 Linux 系统以 Root 身份进行 RCE 安全圈 2024-07-06 19:01 关键词 系统漏洞 OpenSSH 维护人员发布了安全更新,以修复一个严重的安全漏洞,该漏洞可能导致基于 glibc 的 Linux 系统中以 root 权限执行未经身份验证的远程代码。 该漏洞代号为 regreSSHion,CVE 标识符为 CVE-2024-63
继续阅读信息安全漏洞月报(2024年6月)
信息安全漏洞月报(2024年6月) CNNVD CNNVD安全动态 2024-07-06 18:16 点击蓝字 关注我们 本期导读 漏洞态势 根据国家信息安全漏洞库(CNNVD)统计,2024年6月采集安全漏洞共3075个。 本月接报漏洞1089个,其中信息技术产品漏洞(通用型漏洞)941个,网络信息系统漏洞(事件型漏洞)148个。漏洞平台推送漏洞27043个。**** 重大漏洞通报 PHP 操作
继续阅读需要紧急修补!三菱电机软件存重大漏洞
需要紧急修补!三菱电机软件存重大漏洞 首席安全官 2024-07-06 18:02 点击上方“ 蓝字”,发现更多精彩。 三菱电机的GENESIS64和MC Works64软件被发现存在多个漏洞,对工业控制系统构成重大的安全风险。 三菱电机的这些漏洞涉及一系列严重问题,包括不受限制的资源分配、不当的数字签名验证以及对文件搜索路径的控制不足。这些弱点可能会导致拒绝服务 (DoS) 攻击和未经授权的程
继续阅读【漏洞实例】某咖啡站点通过IDOR接管6k美元的账户
【漏洞实例】某咖啡站点通过IDOR接管6k美元的账户 EnhancerSec 2024-07-06 18:01 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 在浏览某咖啡站点时,我注意到一个页面加载了来自第三方网站的内容。让我们称此网站为example.com ,以免披露。当我在这个网站上做一些研究时,我在
继续阅读【漏洞复现】CVE-2024-30088 Windows内核提权漏洞 | 附poc
【漏洞复现】CVE-2024-30088 Windows内核提权漏洞 | 附poc 原创 loser 网安鲲为帝 2024-07-06 17:13 0x00免责声明 ! 本 文 仅 用 于 技 术 讨 论 与 学 习 , 利 用 此 文 所 提 供 的 信 息 而 造 成 的 任 何 直 接 或 者 间 接 的 后 果 及 损 失 , 均 由 使 用 者 本 人 负 责 , 文 章 作 者 及 本
继续阅读某付费短剧影视小程序后端审计(0day)
某付费短剧影视小程序后端审计(0day) 原创 Mstir 星悦安全 2024-07-06 16:03 0x00 前言 █ 远山起风又起雾,无人知我来时路 █ 公网上的后端较少,一般都在二级目录下,搜索引擎找不到,实战中可通过小程序查到后端 Fofa:”无铭科技” 框架:Thinkphp 5.0.24,Fastadmin Debug:True 0x01 前台任意文件读取 框
继续阅读CVE-2022-24785 MomentJS 路径遍历的工作原理:详细的漏洞利用指南
CVE-2022-24785 MomentJS 路径遍历的工作原理:详细的漏洞利用指南 Ots安全 2024-07-06 13:45 CVE-2022-24785 描述 Moment.js 是一个 JavaScript 日期库,用于解析、验证、操作和格式化日期。路径遍历漏洞会影响 1.0.1和版本之间的 Moment.js npm(服务器)用户 2.29.1,尤其是当直接使用用户提供的语言环境字符
继续阅读「漏洞复现」宏景eHR sduty/getSdutyTree SQL注入漏洞
「漏洞复现」宏景eHR sduty/getSdutyTree SQL注入漏洞 冷漠安全 冷漠安全 2024-07-06 11:45 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台
继续阅读CVE-2024-36991 漏洞复现 POC
CVE-2024-36991 漏洞复现 POC 原创 fgz AI与网安 2024-07-06 11:29 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Splunk Enterprise for Windows 任意文件读取漏洞 02 — 影响
继续阅读工控威胁预警,罗克韦尔(Rockwell)设备存在两个重大漏洞
工控威胁预警,罗克韦尔(Rockwell)设备存在两个重大漏洞 疯狂冰淇淋 FreeBuf 2024-07-06 09:30 近日,微软在 Rockwell PanelView Plus 设备中发现并披露了两个重大漏洞,未经身份认证的攻击者可远程利用这些漏洞执行远程代码和发起拒绝服务(DoS)攻击。 微软的调查结果揭露了在广泛使用这些人机界面(HMI)图形终端的工业领域存在的严重安全漏洞,凸显了在
继续阅读FreeBuf 周报 | Juniper Networks曝身份验证漏洞;Xbox全球瘫痪
FreeBuf 周报 | Juniper Networks曝身份验证漏洞;Xbox全球瘫痪 疯狂冰淇淋 FreeBuf 2024-07-06 09:30 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 谷歌拟允许独立 Web应用访问敏感的USB设备 WebUSB 是一种 Ja
继续阅读【 1day | 漏洞复现】锐明技术Crocus系统 Service.do 任意文件读取漏洞
【 1day | 漏洞复现】锐明技术Crocus系统 Service.do 任意文件读取漏洞 小明同学 小明信安 2024-07-06 09:00 0x01 免责声明 disclaimer 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收集于互联网,真实性及安全性自测,如有侵权请联系删
继续阅读【安全圈】已发布补丁!微软披露 Rockwell PanelView Plus 两大漏洞
【安全圈】已发布补丁!微软披露 Rockwell PanelView Plus 两大漏洞 安全圈 2024-07-05 19:00 关键词 系统漏洞 近日,微软在 Rockwell PanelView Plus 设备中发现并披露了两个重大漏洞,未经身份认证的攻击者可远程利用这些漏洞执行远程代码和发起拒绝服务(DoS)攻击。 微软的调查结果揭露了在广泛使用这些人机界面(HMI)图形终端的工业领域存在
继续阅读【成功复现】D-Link GO-RT-AC750 安全漏洞(CVE-2024-22853)
【成功复现】D-Link GO-RT-AC750 安全漏洞(CVE-2024-22853) 原创 弥天安全实验室 弥天安全实验室 2024-07-05 18:55 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍D-Link GO-RT-AC750是中国友讯(D-Link)公司的一款无线双频简易路由器。D-
继续阅读命令执行无回显利用总结 附工具
命令执行无回显利用总结 附工具 两年半网安练习生 2024-07-05 18:32 免责声明 安全圈子我最菜(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止
继续阅读XXL-JOB默认accessToken身份认证绕过RCE
XXL-JOB默认accessToken身份认证绕过RCE 原创 Arvin Timeline Sec 2024-07-05 18:30 关注我们❤️,添加星标🌟,一起学安全!作者:Arvin@Timeline Sec 本文字数:2867阅读时长:2~4min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 XXL-JOB 是一款开源的分布式任务调度平台,用于实现大规模任务
继续阅读【成功复现】GeoServer 远程代码执行漏洞(CVE-2024-36401)
【成功复现】GeoServer 远程代码执行漏洞(CVE-2024-36401) cexlife 飓风网络安全 2024-07-04 20:51 漏洞描述: GeoServer是一款开源地图服务器,主要用于发布、共享和处理各种地理空间数据,其依赖GeoTools库来处理地理空间数据,受影响版本的 GeoTools 库 API 在处理要素类型的属性名称时,会将这些属性名称不安全地传递给commons
继续阅读[含POC]宏景eHR LoadOtherTreeServlet SQL注入漏洞
[含POC]宏景eHR LoadOtherTreeServlet SQL注入漏洞 原创 漏洞预警机器人 安全光圈 2024-07-04 20:39 宏景eHR LoadOtherTreeServlet SQL注入漏洞 免责声明:本文内容为机器人搜集最新漏洞及POC分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关
继续阅读【0day】金斗云HKMP智慧商业软件
【0day】金斗云HKMP智慧商业软件 原创 shuxi 黑白防线 2024-07-04 19:24 作者 | 书汐 一、金斗云HKMP智慧商业软件介绍: 金斗云智慧商业软件是一款功能强大、易于使用的智慧管理系统,通过智能化的管理工具,帮助企业实现高效经营、优化流程、降低成本,并提升客户体验。 二、漏洞描述: 01.逻辑漏洞: 登录时输入任意用户,然后抓包替换返回包如下即可登录后台 HTTP/1.
继续阅读CVE-2024-0044,致使 Android 12/13 提权那些事
CVE-2024-0044,致使 Android 12/13 提权那些事 原创 Yang2635 小杨学安全 2024-07-04 19:09 前言 最近在倒腾 Android 逆向相关,期间了解了一个比较有意思的漏洞(CVE_2024_0044),这个漏洞可以突破 Android 12/13 系统提权备份应用数据(例如:提取微信数据,难怪最近各厂家先后突破 Android 12/13 提权备份,
继续阅读【安全圈】黑客利用 D-Link DIR-859 路由器严重漏洞窃取密码,必须更换设备避免受害
【安全圈】黑客利用 D-Link DIR-859 路由器严重漏洞窃取密码,必须更换设备避免受害 安全圈 2024-07-04 19:01 关键词 信息泄露 黑客正在利用影响所有 D-Link DIR-859 WiFi 路由器的严重漏洞来从设备收集帐户信息,包括密码。 该安全问题于一月份披露,目前编号为CVE-2024-0769 (严重程度评分为 9.8),这是一个导致信息泄露的路径遍历漏洞。
继续阅读【安全圈】Microsoft MSHTML 漏洞被利用来传播 MerkSpy 间谍软件工具
【安全圈】Microsoft MSHTML 漏洞被利用来传播 MerkSpy 间谍软件工具 安全圈 2024-07-04 19:01 关键词 漏洞 据观察,未知黑客组织利用 Microsoft MSHTML 中现已修补的安全漏洞传播名为MerkSpy的间谍软件监视工具,主要针对加拿大、印度、波兰和美国目标。 Fortinet FortiGuard Labs 研究员 Cara Lin在上周发布的一份
继续阅读【安全圈】最高可达 25 万美元!谷歌为 KVM 零日漏洞计划支付巨额奖金
【安全圈】最高可达 25 万美元!谷歌为 KVM 零日漏洞计划支付巨额奖金 安全圈 2024-07-04 19:01 关键词 系统漏洞 2023 年 10 月,为提高基于内核的虚拟机(KVM)管理程序的安全性,谷歌推出一项新的漏洞奖励计划(VRP)——kvmCTF。 据悉,KVM 是一个开源管理程序,目前已有超过 17 年的发展历史,是消费者和企业环境中的一个重要组件,为安卓和谷歌云平台提供动力。
继续阅读「漏洞复现」Geoserver JXPath表达式注入致远程代码执行漏洞(CVE-2024-36401)
「漏洞复现」Geoserver JXPath表达式注入致远程代码执行漏洞(CVE-2024-36401) 冷漠安全 冷漠安全 2024-07-04 18:35 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学
继续阅读验证码漏洞利用技巧总结
验证码漏洞利用技巧总结 原创 W 千寻安服 2024-07-04 18:21 验证码漏洞利用技巧总结 验证码的设计初衷是为了防止恶意自动操作,如批量注册、暴力破解密码、刷票、垃圾评论等行为,从而保障服务的正常运行和数据的真实性。 由于开发人员开发不规范,攻击者可以绕过或者破解验证码,这些漏洞的存在对网络安全构成了严重威胁。 验证码漏洞不仅会导致个人隐私泄露、账户被盗用,还可能被用于大规模的网络犯罪
继续阅读afrog-漏洞扫描(挖洞)工具【了解安装使用详细】
afrog-漏洞扫描(挖洞)工具【了解安装使用详细】 原创 大象只为你 大象只为你 2024-07-04 18:20 ★★ 免责声明★★ 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 1、afrog介绍 afrog 是一款性能卓越、快速稳定、PoC可定制的漏洞扫描(挖洞)工具,PoC涉及CVE
继续阅读Boofuzz在二进制IOT漏洞挖掘中的简单运用
Boofuzz在二进制IOT漏洞挖掘中的简单运用 pureGavin 看雪学苑 2024-07-04 18:06 环境 Ubuntu 20.04 Python、pip、qemu之类的直接用apt-get下载安装就好。 binwalk里有需要用到sasquatch程序,需要手动下载一下,命令如下: tenda AC15 CVE-2018-5767 环境问题 使用binwalk解包以后可以在bin文件
继续阅读【已复现】GeoServer 存在远程代码执行漏洞(CVE-2024-36401)
【已复现】GeoServer 存在远程代码执行漏洞(CVE-2024-36401) 安恒研究院 安恒信息CERT 2024-07-04 17:44 漏洞概述 漏洞名称 GeoServer 存在远程代码执行漏洞(CVE-2024-36401) 安恒CERT评级 严重 CVSS3.1评分 9.8 CVE编号 CVE-2024-36401 CNVD编号 未分配 CNNVD编号 CNNVD-202407-
继续阅读