Web安全之Nginx常见漏洞解析
Web安全之Nginx常见漏洞解析 学习网络安全到 开源聚合网络空间安全研究院 2024-03-01 17:20 网 安 教 育 培 养 网 络 安 全 人 才 技 术 交 流 、 学 习 咨 询 什么是中间件?什么是中间件漏洞? 中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。但是在开发使用
继续阅读标签: 复现
【漏洞通告】Apache OFBiz目录遍历漏洞CVE-2024-25065
【漏洞通告】Apache OFBiz目录遍历漏洞CVE-2024-25065 深瞳漏洞实验室 深信服千里目安全技术中心 2024-03-01 11:50 漏洞名称: Apache OFBiz目录遍历漏洞(CVE-2024-25065) 组件名称: Apache OFBiz 影响范围: Apache OFBiz ≤ 18.12.12 漏洞类型: 目录遍历 利用条件: 1、用户认证:未知 2、前置条件
继续阅读【漏洞预警】Apache OFBiz 路径遍历漏洞CVE-2024-25065
【漏洞预警】Apache OFBiz 路径遍历漏洞CVE-2024-25065 cexlife 飓风网络安全 2024-02-29 20:21 漏洞描述: Apache OFBiz是一个开源的企业级应用程序框架,旨在提供一个单一的、集成的解决方案,以管理公司的所有业务流程,从订单处理到财务报告,从供应链管理到客户关系管理。它由Apache软件基金会维护,是一个基于Java EE(现在称为Jakar
继续阅读【安全圈】WordPress 插件存在安全漏洞,500 万网站面临严重风险
【安全圈】WordPress 插件存在安全漏洞,500 万网站面临严重风险 安全圈 2024-02-29 19:00 关键词 安全漏洞 WordPress 的 LiteSpeed Cache 插件中披露了一个安全漏洞,未经身份验证的用户可能会利用该漏洞升级其权限。 该漏洞被跟踪为 CVE-2023-40000,已于 2023 年 10 月在版本 5.7.0.1 中得到解决。 “这个插件存在未经身份
继续阅读TangGo|逻辑漏洞测试系列-拒绝服务漏洞
TangGo|逻辑漏洞测试系列-拒绝服务漏洞 糖果 无糖反网络犯罪研究中心 2024-02-29 18:29 
继续阅读漏洞快报 | Spring Framework解析不当漏洞、Node.js 权限提升漏洞……
漏洞快报 | Spring Framework解析不当漏洞、Node.js 权限提升漏洞…… 梆梆安全 2024-02-29 18:15 近日,梆梆安全专家整理发布安全漏洞报告,主要涉及以下产品/组件: Internet、GitLab、Spring Framework、Node.js, 建议相关 用户及时采取措施做好资产自查与预防工作。 Windows Internet
继续阅读AI模型可被劫持,Hugging Face转换服务存在高风险漏洞
AI模型可被劫持,Hugging Face转换服务存在高风险漏洞 看雪学苑 看雪学苑 2024-02-29 18:08 网络安全公司HiddenLayer上周三在一份报告中表示,他们发现Hugging Face Safetensors转换工具存在着漏洞,可能被利用来劫持AI模型并发动供应链攻击。 Hugging Face是一家从事人工智能(AI)、自然语言处理(NLP)和机器学习(ML)的科技公司
继续阅读创宇安全智脑 | 金蝶云星空 ServiceGateway 反序列化远程代码执行等33个漏洞可检测
创宇安全智脑 | 金蝶云星空 ServiceGateway 反序列化远程代码执行等33个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-02-29 17:21 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精
继续阅读【漏洞通告】Spring Security 访问控制错误漏洞
【漏洞通告】Spring Security 访问控制错误漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-02-29 15:13 01 漏洞概况 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。 Spring Security版本 6.1.x – 6.1.7之前、6.2.x – 6.2.2 之前,当应用程序直接使
继续阅读【漏洞通告】WordPress Bricks Builder远程命令执行漏洞
【漏洞通告】WordPress Bricks Builder远程命令执行漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-02-29 15:13 01 漏洞概况 Bricks Builder主题是一个创新的、社区驱动的、可视化的WordPress网站构建器Bricks Builder(高级版)主题目前拥有约25,000个有效安装。 WordPress Brick Buil
继续阅读CVE-2024-21732
CVE-2024-21732 原创 fgz AI与网安 2024-02-29 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 FlyCms 安全漏洞(CVE-2024-21732) 02 — 漏洞影响 FlyCms v1.0版本 开源项
继续阅读CVE-2024-1918
CVE-2024-1918 原创 fgz AI与网安 2024-02-29 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 北京百绰智能S42管理平台userattestation.php无限制上传 漏洞 02 — 漏洞影响 北京百招智
继续阅读蓝凌OA wechatLoginHelper存在SQL注入漏洞 附POC软件
蓝凌OA wechatLoginHelper存在SQL注入漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-28 22:58 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 蓝凌OA wechatLoginHelper简介
继续阅读【漏洞预警】Apache Camel ExchangeCreatedEvent 信息泄漏CVE-2024-22371
【漏洞预警】Apache Camel ExchangeCreatedEvent 信息泄漏CVE-2024-22371 cexlife 飓风网络安全 2024-02-28 22:50 漏洞描述:ApacheCamel是开源的系统间数据交互集成框架。EventFactory是ApacheCamel中的一个组件,用于创建和发布事件,由于未对 EventFactory 和 ExchangeCreatedE
继续阅读【漏洞预警】Apache James MIME4J HTTP头注入CVE-2024-21742
【漏洞预警】Apache James MIME4J HTTP头注入CVE-2024-21742 cexlife 飓风网络安全 2024-02-28 22:50 漏洞描述:Apache James 提供 在 JVM 上运行的完整、稳定、安全和可扩展的邮件服务器,当使用MIME4J的DOM来构建消息时,由于不恰当的输入验证,导致了HTTP头注入漏洞,攻击者能够在MIME消息中插入意外的头信息,以此发起
继续阅读【Web渗透】若依框架漏洞合集
【Web渗透】若依框架漏洞合集 Whoami 晨曦安全团队 2024-02-28 22:29 首先上若依官网下载源码,官网地址: https://gitee.com/y_project/RuoYi 我选择下载使用的ruoyi V4.5 1、安装MySQL数据库。 在本地安装MySQL数据库,我使用的是MySQL8.0.23版本,建议使用新版MySQL,使用MySQL5.几的版本导入若依sql文件会
继续阅读[未公开]亿赛通某接口存在SQL注入漏洞
[未公开]亿赛通某接口存在SQL注入漏洞 qT 晴天安全 2024-02-28 19:58 0x01 漏洞简述 — 亿赛通电子文档管理系统是一款专业的文档管理工具,集成了多种功能:包括文档存储、检索、共享、权限控制等,帮助用户高效管理海量文档。系统支持多种文件格式,如文本、图片、视频等,可通过关键字快速检索目标文档,实现信息快速定位。同时,系统提供灵活的权限设置,确保文档安全性。用户可以进行在线预
继续阅读Windows SmartScreen安全功能绕过漏洞(含CVE-2024-21412复现)
Windows SmartScreen安全功能绕过漏洞(含CVE-2024-21412复现) 原创 网络保安29 红蓝攻防研究实验室 2024-02-28 19:40 前言 2024 年 2 月微软发布了一个 Internet 快捷方式文件安全功能绕过漏洞( CVE-2024-21412 ),互联网上未经身份验证的攻击者可以向目标用户发送旨在绕过显示的安全检查的特制文件,诱导用户点击实现恶意代码执
继续阅读TangGo|逻辑漏洞测试系列-支付逻辑漏洞
TangGo|逻辑漏洞测试系列-支付逻辑漏洞 糖果 无糖反网络犯罪研究中心 2024-02-28 18:29 
继续阅读安全情报,aiohttp存在目录遍历漏洞(CVE-2024-23334)!!!
安全情报,aiohttp存在目录遍历漏洞(CVE-2024-23334)!!! 原创 Ax 极星信安 2024-02-28 18:01 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,禁止私自转载。如需转载,请联系作者!!!! 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关!!!!! 漏洞介绍 aiohttp是
继续阅读WordPress 插件 LiteSpeed 漏洞影响500万个站点
WordPress 插件 LiteSpeed 漏洞影响500万个站点 THN 代码卫士 2024-02-28 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 插件 LiteSpeed Cache 中存在一个漏洞,可导致未认证用户提升权限。该漏洞的编号是CVE-2023-40000,已在2023年10月的5.7.0.1版本中修复。 Patchstack 公司的研
继续阅读24年1月必修安全漏洞清单|腾讯安全威胁情报中心
24年1月必修安全漏洞清单|腾讯安全威胁情报中心 腾讯威胁情报中心 腾讯安全威胁情报中心 2024-02-28 16:54 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合
继续阅读腾讯安全威胁情报中心推出2024年1月必修安全漏洞清单
腾讯安全威胁情报中心推出2024年1月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2024-02-28 11:49 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2024年1月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读CVE-2024-1709
CVE-2024-1709 原创 fgz AI与网安 2024-02-28 07:02 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 ConnectWise ScreenConnect使用备用路径或通道绕过身份验证 漏洞 02 — 漏洞影响 Co
继续阅读【漏洞预警】aiohttp 路径遍历漏洞CVE-2024-23334
【漏洞预警】aiohttp 路径遍历漏洞CVE-2024-23334 cexlife 飓风网络安全 2024-02-27 22:08 漏洞描述: aiohttp是一个基于asyncio库实现的HTTP客户端/服务器框架,它支持高性能和高并发的HTTP通信。aiohttp用于编写异步的Web服务器、Web应用程序或HTTP客户端,以提供对Web和HTTP资源的访问和操作。近日监测到aiohttp目录
继续阅读【安全圈】WordPress:严重 SQLi 漏洞威胁 200K+ 网站
【安全圈】WordPress:严重 SQLi 漏洞威胁 200K+ 网站 安全圈 2024-02-27 19:02 关键词 安全漏洞 一个名为 Ultimate Member 的流行 WordPress 插件中披露了一个严重的安全漏洞,该插件拥有超过 200,000 个活跃安装。 该漏洞被跟踪为 CVE-2024-1071,CVSS 得分为 9.8(满分 10 分)。安全研究员克里斯蒂安·斯维尔斯
继续阅读【安全圈】台湾合勤科技证实,Zyxel 修补防火墙产品中的远程代码执行错误
【安全圈】台湾合勤科技证实,Zyxel 修补防火墙产品中的远程代码执行错误 安全圈 2024-02-27 19:02 关键词 黑客勒索 台湾网络设备制造商合勤科技(Zyxel)针对其防火墙和接入点产品中的多个缺陷推出了补丁,并警告说未打补丁的系统存在远程代码执行攻击的风险。 Zyxel是一家一直在努力解决软件安全问题的公司,它记录了至少四个漏洞,这些漏洞使企业面临代码执行、命令注入和拒绝服务利用的
继续阅读【复现】aiohttp 路径遍历漏洞(CVE-2024-23334)的风险通告
【复现】aiohttp 路径遍历漏洞(CVE-2024-23334)的风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-02-27 18:58 赛博昆仑漏洞安全通告- aiohttp 路径遍历漏洞(CVE-2024-23334)的风险通告 漏洞描述 aiohttp是一个为Python提供异步HTTP 客户端/服务端编程,基于 asyncio(Python用于支持异步编程的标准库) 的
继续阅读CVE-2024-25600:WordPress Bricks Builder远程命令执行漏洞通告
CVE-2024-25600:WordPress Bricks Builder远程命令执行漏洞通告 原创 360CERT 三六零CERT 2024-02-27 18:34 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-711 报告来源:360CERT 报告作者:360CERT 更新日期:2024-02-27 1 漏洞简述 2024年02月27日,360CERT监测发现WordPr
继续阅读漏洞通告 | aiohttp路径遍历漏洞
漏洞通告 | aiohttp路径遍历漏洞 原创 微步情报局 微步在线研究响应中心 2024-02-27 15:09 漏洞概况 aiohttp是一个用于异步网络编程的Python库,支持客户端和服务器端的网络通信。它利用Python的asyncio库来实现异步IO操作,这意味着它可以处理大量并发网络连接,而不会导致线程阻塞或性能下降。aiohttp常用于需要高性能网络通信的应用程序,如高频交易平台、
继续阅读