CVE-2024-22024
CVE-2024-22024 原创 fgz AI与网安 2024-02-27 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。 01 — 漏洞名称 Ivanti Pulse Connect S
继续阅读标签: 复现
cve漏洞搜索工具 — cvemap
cve漏洞搜索工具 — cvemap 吾爱破解 黑客白帽子 2024-02-27 07:00 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 0x01 工具介绍 ProjectDiscovery组织开发的CVEMap 是一个开源命令行界面 (CLI) 工具,可让您探索常见漏洞。它旨在提供一个简化且用户友
继续阅读致远OA rest接口重置密码漏洞分析
致远OA rest接口重置密码漏洞分析 船山信安 2024-02-27 00:00 复现环境 致远 V7.1SP1 补丁分析 致远官方在2023年8月发布了rest接口重置密码漏洞补丁,补丁链接https://service.seeyon.com/patchtools/tp.html#/patchList?type=%E5%AE%89%E5%85%A8%E8%A1%A5%E4%B8%81&
继续阅读【漏洞预警】ConnectWise ScreenConnect身份验证绕过漏洞(CVE-2024-1709)
【漏洞预警】ConnectWise ScreenConnect身份验证绕过漏洞(CVE-2024-1709) cexlife 飓风网络安全 2024-02-26 21:13 漏洞描述: ConnectWise ScreenConnect是一款快速、灵活且安全的远程桌面和访问软件,可随时随地连接到任何设备,近日监测到ConnectWise ScreenConnect中修复了一个身份验证绕过漏洞(CV
继续阅读鸿运(通天星CMSV6车载)主动安全监控云平台存在任意文件读取漏洞 附POC软件
鸿运(通天星CMSV6车载)主动安全监控云平台存在任意文件读取漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-26 20:42 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 鸿运(通天星CMSV6车载)主动安全监控云平
继续阅读鸿运(通天星CMSV6车载)主动安全监控云平台存在敏感信息泄露漏洞 附POC软件
鸿运(通天星CMSV6车载)主动安全监控云平台存在敏感信息泄露漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-26 20:42 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 鸿运(通天星CMSV6车载)主动安全监控云平
继续阅读记一次逻辑漏洞挖洞经历
记一次逻辑漏洞挖洞经历 小安 迪哥讲事 2024-02-26 20:30 前言 前几天在网上冲浪的时候无意间看到了一个Edu的站点,是一个很常见的类似MOOC的那种在线学习系统,对外开放,同时有注册和登录功能。对于我这种常年低危的菜鸡来说,这是最愿意看到的,因为一个Web网站有了登录功能,就代表其网站必须要有权限划分,而有了权限划分,在这里的开发就容易出现很多问题,越权便是一种常见的问题。经过测试
继续阅读G.O.S.S.I.P 阅读推荐 2024-02-26 寻觅文件劫持漏洞
G.O.S.S.I.P 阅读推荐 2024-02-26 寻觅文件劫持漏洞 原创 G.O.S.S.I.P 安全研究GoSSIP 2024-02-26 20:26 看完上面这段话,有没有感觉到一种深深的绝望和恐惧?这里面涉及的就是我们今天要讨论的文件劫持漏洞(File Hijacking Vulnerability,FHVuln)。在今天分享的NDSS 2024论文File Hijacking Vul
继续阅读【安全圈】注意!ScreenConnect 漏洞正被广泛利用于恶意软件传播
【安全圈】注意!ScreenConnect 漏洞正被广泛利用于恶意软件传播 安全圈 2024-02-26 19:02 关键词 安全漏洞 影响 ConnectWise 的 ScreenConnect 远程桌面访问产品的严重漏洞已被广泛利用来传播勒索软件和其他类型的恶意软件。 ConnectWise 于 2 月 19 日通知客户,它已发布针对关键身份验证绕过缺陷和高严重性路径遍历问题的补丁。该安全漏洞
继续阅读雷神众测漏洞周报2024.2.19-2024.2.25
雷神众测漏洞周报2024.2.19-2024.2.25 原创 雷神众测 雷神众测 2024-02-26 15:39 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读新的 Linux glibc 漏洞可使网络攻击者获得主要发行版 root 权限
新的 Linux glibc 漏洞可使网络攻击者获得主要发行版 root 权限 网络安全应急技术国家工程中心 2024-02-26 15:04 非特权攻击者可以利用 GNU C 库 (glibc) 中新披露的本地权限提升 (LPE) 漏洞,在默认配置下获得多个主要 Linux 发行版的 root 访问权限。 该安全漏洞被追踪为CVE-2023-6246,是在 glibc 的 __vsyslog_i
继续阅读新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔”;
新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔”; 网安百色 2024-02-25 19:39 新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔”; 网络安全研究人员发现,在安卓、Linux 和 ChromeOS 设备的开源 Wi-Fi 软件中存在两个身份验证绕过漏洞。据悉,安全漏洞可能诱使用户加入合法网络的恶意“克隆”,允许威胁攻击者在没有密码的
继续阅读【安全圈】警告!ConnectWise 漏洞正被广泛利用,数千台服务器面临危险
【安全圈】警告!ConnectWise 漏洞正被广泛利用,数千台服务器面临危险 安全圈 2024-02-25 19:00 关键词 安全漏洞 ConnectWise 周二表示,一个严重的 ConnectWise ScreenConnect 漏洞正在被广泛利用,该漏洞使数千台服务器面临被接管的风险。 ConnectWise周一发布了 ScreenConnect 23.9.7 的安全修复程序,披露了两个
继续阅读[经验分享]-SRC漏洞挖掘之道
[经验分享]-SRC漏洞挖掘之道 点击关注👉 马哥网络安全 2024-02-25 18:00 一个 SRC 混子挖 SRC 的半年经验分享~, 基本都是文字阐述,希望能给同样在挖洞的师傅们带来一点新收获。 前期信息收集 还是那句老话, 渗透测试的本质是信息收集,对于没有 0day 的弱鸡选手来说,挖 SRC 感觉更像是对企业的资产梳理,我们往往需要花很长的时间去做信息收集,收集与此公司相关的信息,
继续阅读万户协同办公平台ezoffice text2Html接口存在任意文件读取漏洞 附POC软件
万户协同办公平台ezoffice text2Html接口存在任意文件读取漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-25 13:53 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 万户协同办公平台ezoffice简
继续阅读[漏洞复现-101] 免费星球它来了-马赛克安全情报共享(限免)
[漏洞复现-101] 免费星球它来了-马赛克安全情报共享(限免) 原创 马赛克安全实验室 马赛克安全实验室 2024-02-25 13:29 0x00免责声明 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读【漏洞情报 | 新】WordPres Bricks Builder 前台RCE漏洞(CVE-2024-25600)
【漏洞情报 | 新】WordPres Bricks Builder 前台RCE漏洞(CVE-2024-25600) Ts3a 划水但不摆烂 2024-02-25 07:31 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 产品简介 Bricks Builder是一款用于WordPre
继续阅读用友U8 Cloud smartweb2.RPC.d xxe漏洞
用友U8 Cloud smartweb2.RPC.d xxe漏洞 原创 fgz AI与网安 2024-02-25 07:27 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 先介绍下什么是XXE漏洞? XXE漏洞全称XML External Entity Inject
继续阅读实战中遇到的一些莫名其妙的漏洞
实战中遇到的一些莫名其妙的漏洞 船山信安 2024-02-25 00:00 前言 真实案例,文中所写漏洞现已经被修复,厚码分享也是安全起见,请各位大佬见谅哈! 案例一:奇怪的找回密码方式 某次漏洞挖掘的过程中,遇到某单位的登录框,按以往的流程测试了一下发现并没有挖掘出漏洞,在我悻悻地点开找回密码的功能并填入了基础信息之后,我发现他的业务流程与常见的安全的找回密码的方式并没有什么区别,都是需要接收到
继续阅读Edusoho网络课堂cms存在任意文件读取漏洞 附POC软件
Edusoho网络课堂cms存在任意文件读取漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-24 23:08 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Edusoho网络课堂cms简介 微信公众号搜索:南风漏洞复现
继续阅读某CMS的通用漏洞挖掘过程 | 干货
某CMS的通用漏洞挖掘过程 | 干货 ShawnDing 渗透安全团队 2024-02-24 22:28 前言 本文所涉及的漏洞已提交CNVD且厂商已完成漏洞修复,请勿用于非授权测试!!! 现在比较严格,目标名称均以某CMS指代,见谅。 前言 本来计划在cnvd公开这个小漏洞的时候就把这篇小作文写了,最近一忙给整忘了,现在补上。 某次项目中遇到这个cms,进行了常规黑盒测试后没发现什么大问题,检查
继续阅读「深蓝洞察」2023 年度最死而不僵的漏洞
「深蓝洞察」2023 年度最死而不僵的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-24 20:18 回顾 Android 的发展历程,各种反序列化相关的漏洞曾多次被公开披露和修复。 其中最具代表性的当属 Bundle Mismatch 相关的漏洞,它即是深蓝洞察去年发布的 2022 年度最“不可赦”的漏洞利用 所揭示的,堪称史上最大规模的在野攻击所利用的核心漏洞。 Google 引入了
继续阅读【安全圈】Joomla 发现5个漏洞可执行任意代码
【安全圈】Joomla 发现5个漏洞可执行任意代码 安全圈 2024-02-24 19:00 关键词 安全漏洞 在Joomla内容管理系统中发现了五个漏洞,可用于在易受攻击的网站上执行任意代码。开发人员已通过在版本5.0.3和4.4.3中发布CMS修复程序来解决这些影响Joomla多个版本的安全问题。 1. CVE-2024-21722 :当用户的多重身份验证 (MFA) 方法发生更改时, MFA
继续阅读在看 | 周报:华莱士系统漏洞被薅羊毛;16人买卖100万条个人信息;2中国公民骗5000台iPhone被抓
在看 | 周报:华莱士系统漏洞被薅羊毛;16人买卖100万条个人信息;2中国公民骗5000台iPhone被抓 管窥蠡测 安在 2024-02-24 18:05 热点事件,政策法规,产业要闻,资讯报告,尽在「网安周报」。与网安发展同步,采业界资讯共赏,天天见闻,周周必报。 安全事件 1、华莱士系统漏洞致储值套餐券免费领取 据称,原本属于储值用户专享的免费套餐券,疑似出现故障,被免费发放给了广大非储值
继续阅读“虚拟号码”场景下的逻辑漏洞挖掘(全网原创首发)
“虚拟号码”场景下的逻辑漏洞挖掘(全网原创首发) 原创 庆尘qc Daylight庆尘 2024-02-24 14:51 引言 由于最近挖洞遇到的虚拟号码场景比较多,且都存在各种各样的问题,所以本篇文章来总结一下在该场景下应该如何有效地,快速地进行逻辑漏洞挖掘(文章中涉及真实信息,所以厚码,见谅) 一、漏洞分析 这里要讲的虚拟号码场景,应该不少师傅也都遇到过,一般流程如下 某些功能需要
继续阅读漏洞复现-用友U8-OA协同工作系统doUpload.jsp任意文件上传(附poc
漏洞复现-用友U8-OA协同工作系统doUpload.jsp任意文件上传(附poc Y1_K1NG Yi安全 2024-02-24 14:49 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感信息均 已做多层打马处
继续阅读新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔”
新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔” 小王斯基 FreeBuf 2024-02-24 09:30 左右滑动查看更多 网络安全研究人员发现,在安卓、Linux 和 ChromeOS 设备的开源 Wi-Fi 软件中存在两个身份验证绕过漏洞。据悉,安全漏洞可能诱使用户加入合法网络的恶意“克隆”,允许威胁攻击者在没有密码的情况下加入可信网络。 安全研究人员对 wpa_
继续阅读ScreenConnect 漏洞(“SlashAndGrab”)被广泛利用于恶意软件传播
ScreenConnect 漏洞(“SlashAndGrab”)被广泛利用于恶意软件传播 军哥网络安全读报 2024-02-24 09:00 导读 影响 ConnectWise 的 ScreenConnect 远程桌面访问产品的严重漏洞已被广泛利用来传播勒索软件和其他类型的恶意软件。 ConnectWise 于 2 月 19 日通知客户,它已发布针对关键身份验证绕过缺陷和高严重性路径遍历问题的补丁
继续阅读最新Invicti-Professional-v24.2.0.43677漏洞扫描器下载
最新Invicti-Professional-v24.2.0.43677漏洞扫描器下载 原创 城北 渗透安全HackTwo 2024-02-24 00:00 前言 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 Invicti Professional Edition 是一款
继续阅读【0day漏洞】Internet快捷方式文件安全特性绕过漏洞(CVE-2024-21412)安全风险通告
【0day漏洞】Internet快捷方式文件安全特性绕过漏洞(CVE-2024-21412)安全风险通告 原创 QAX CERT 奇安信 CERT 2024-02-24 00:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Internet快捷方式文件安全特性绕过漏洞 漏洞编号 QVD-2024-6259,CVE-2024-21412 公开时间 2024-02-14 影响
继续阅读