友数聚 CPAS审计管理系统V4 getCurserIfAllowLogin SQL注入漏洞 Superhero nday POC 2025-01-25 10:26 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权
继续阅读CVE-2024-43451 Windows NTLM 漏洞,允许攻击者使用恶意快捷方式强制身份验证并捕获 NTLM 哈希 Ots安全 2025-01-25 10:20 描述 – 名称:CVE-2024-43451 CVSSv3 评分:6.5 受影响的版本:2024 年 11 月补丁之前的所有 Microsoft Windows 版本 CVE-2024-43451 是 Microsof
继续阅读CVE-2024-43468 :通过 PoC 代码揭示 Microsoft Configuration Manager 漏洞 Ots安全 2025-01-25 10:20 Synacktiv 的安全研究员 Mehdi Elyassa 公布了 Microsoft Configuration Manager (MCM) 中一个严重漏洞的技术细节和概念验证 (PoC) 漏洞代码,该漏洞编号为 CVE-2
继续阅读别错过!“系统0day安全”课程,带你精通漏洞挖掘技巧 看雪课程 看雪学苑 2025-01-25 09:59 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握二进制漏
继续阅读友数聚 CPAS审计管理系统V4 downPlugs 任意文件读取漏洞 Superhero nday POC 2025-01-25 09:50 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读知名车企漏洞:只需车牌号,就能远程监控劫持数百万辆车 网络安全与人工智能研究中心 2025-01-25 05:21 攻击者可以利用最基本的车主信息,访问斯巴鲁汽车星链管理系统,进行定位或远程操作。 安全内参1月24日消息,安全研究员Sam Curry和Shubham Shah发现了斯巴鲁(Subaru)汽车星链管理系统中的一个漏洞。通过该漏洞,攻击者仅凭借基本的客户信息,如姓氏、邮政编码、电子邮件
继续阅读思科曝9.9分关键权限提升漏洞 老布 FreeBuf 2025-01-25 02:02 近日,思科发布软件更新,解决影响会议管理的关键安全漏洞。该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。漏洞编号为CVE – 2025 – 20156,CVSS评分为9.9(满分10.0),是思科会议管理REST API中的权限提升漏洞。 思科周三在公告中称:“此漏
继续阅读5th域安全微讯早报【20250125】022期 网空闲话 网空闲话plus 2025-01-25 01:02 2025-01-25 星期六Vol-2025-022 今日热点导读 1. 巴基斯坦加强社交媒体监管, VPN 与审查制度成焦点 PCLOB 政治化或威胁美欧关键数据隐私协议 Pwn2Own Automotive 2025 黑客大赛落幕: 49 个零日漏洞获 88.6 万美元奖金 4.
继续阅读RANsacked:LTE 和 5G 网络实施中发现 100 多个安全漏洞 会杀毒的单反狗 军哥网络安全读报 2025-01-25 01:01 导读 研究人员披露了影响 LTE 和 5G 实施的 100 多个安全漏洞的详细信息,这些漏洞可能被攻击者利用来破坏服务访问,甚至进入蜂窝核心网络。 据佛罗里达大学和北卡罗来纳州立大学的研究人员称,这119 个漏洞被分配了 97 个唯一的 CVE 标识符,涵
继续阅读漏洞预警 | 红帆OA SQL 注入漏洞 浅安 浅安安全 2025-01-25 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 红帆OA是红帆科技基于微软.NET最新技术开发的信息管理平台,红帆oa系统为医院提供oA功能,完成信息发布、流程审批、公文管理、日程管理、工作安排、文件传递、在线沟通等行政办公业务。 0x03 漏洞详
继续阅读『漏洞复现』XXL-JOB 默认 accessToken 身份绕过 RCE 漏洞分析及复现 sec0nd安全 2025-01-24 15:01 点击蓝字 关注我们 日期:2025 年 1 月 23 日 作者:hdsec 介绍:XXL-JOB 默认 accessToken 身份认证绕过造成 RCE 漏洞。 0x00 前言 XXL-JOB 是一个分布式任务调度平台,常用于定时任务管理和调度。acces
继续阅读YongYouNcTool-一款高效利用用友NC系列漏洞检测利用工具 原创 track 泷羽Sec-track 2025-01-24 12:43 声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!! 公众号后台回复25124 即可获取 往期推荐: 2024Goby红队版工具-附2024年poc合集,支持导入自定义poc库 一款功能
继续阅读phpMyAdmin 触发 XSS 攻击的安全漏洞 网安百色 2025-01-24 11:30 点击上方 蓝字 关注我们吧~ 漏洞详情 phpMyAdmin 作为一个开源的数据库管理工具,允许用户通过web界面进行数据库的管理操作。安全研究人员发现,在该工具的一些功能中,输入参数未经过充分验证,从而为潜在的攻击者提供了通过网页注入恶意JavaScript代码的机会。 恶意代码可以在目标用户的浏览器
继续阅读【安全圈】思科曝9.9分关键权限提升漏洞 安全圈 2025-01-24 11:01 关键词 安全漏洞 近日,思科发布软件更新,解决影响会议管理的关键安全漏洞。 该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。 漏洞编号为CVE – 2025 – 20156,CVSS评分为9.9(满分10.0),是思科会议管理REST API中的权限提升漏洞。 思科周三
继续阅读【安全圈】斯巴鲁汽车漏洞让黑客利用 Starlink 远程控制数百万辆汽车 安全圈 2025-01-24 11:01 关键词 安全漏洞 去年年底,斯巴鲁 STARLINK 车联网服务被发现存在严重漏洞,导致美国、加拿大和日本的数百万辆汽车和客户账户面临潜在的网络攻击。 斯巴鲁以其全轮驱动汽车、高安全评级和在赛车运动中的强大影响力而闻名。Outback 和 Forester 等热门车型为其在美国销量
继续阅读Oracle 2025年1月补丁日多产品高危漏洞安全风险通告 代码卫士 2025-01-24 11:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2025年1月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2025-01-22 影响对象数量级 百万级 奇安信评级 高危 利用可能性 中 P
继续阅读斯巴鲁曝关键漏洞,凭车牌号可远程入侵汽车 Zicheng FreeBuf 2025-01-24 10:42 据Cyber Security News消息,斯巴鲁STARLINK互联汽车服务中心在2024年底被发现一个关键漏洞,美国、加拿大和日本的数百万辆汽车和车主账户可能受到网络攻击。 该安全漏洞允许攻击者使用最少的信息(如姓氏和邮政编码、电子邮件地址、电话号码或车牌)远程访问敏感的车辆和个人数据
继续阅读每周蓝军技术推送(2025.1.18-1.24) 原创 天元实验室 M01N Team 2025-01-24 10:01 Web安全 Cookie Sandwich:新型HttpOnly Cookie窃取技术 https://portswigger.net/research/stealing-httponly-cookies-with-the-cookie-sandwich-technique C
继续阅读ChatGPT又全球大面积宕机,AI助手暂时”失联”;斯巴鲁系统漏洞曝光,数百万车辆面临远程解锁并启动风险 | 牛览 安全牛 2025-01-24 09:30 点击蓝字·关注我们 / aqniu 新闻速览 美国希望拥有TikTok 50%股份,商务部回应 ChatGPT又全球大面积宕机,AI助手暂时”失联” 人工智能辅助网络犯罪活动升级,Ghos
继续阅读新的 Cleo 零日 RCE 漏洞在数据盗窃攻击中被利用 邑安科技 邑安全 2025-01-24 07:43 更多全球网络安全资讯尽在邑安全 黑客正在积极利用 Cleo 托管文件传输软件中的零日漏洞来破坏公司网络并进行数据盗窃攻击。 该漏洞存在于该公司的安全文件传输产品 Cleo LexiCom、VLTrader 和 Harmony 中,该漏洞允许不受限制地上传和下载文件,从而导致远程代码执行。
继续阅读SonicWall 呼吁立即修补可能被利用的严重 CVE-2025-23006 缺陷 邑安科技 邑安全 2025-01-24 07:43 更多全球网络安全资讯尽在邑安全 SonicWall 提醒客户注意一个影响其安全移动访问 (SMA) 1000 系列设备的严重安全漏洞,它表示该漏洞可能已被作为零日漏洞在野外利用。该漏洞被跟踪为 CVE-2025-23006,在 CVSS 评分系统上被评为 9.8
继续阅读新的 UEFI 安全启动漏洞使系统暴露于 bootkit 胡金鱼 嘶吼专业版 2025-01-24 06:01 即使安全启动保护处于活动状态,也可能会利用一个新的 UEFI 安全启动绕过漏洞(编号为 CVE-2024-7344)影响 Microsoft 签名的应用程序来部署 bootkit,多个第三方软件开发商的多个实时系统恢复工具中存在易受攻击的 UEFI 应用程序。 Bootkit 是一种难以
继续阅读【漏洞通告】字符串定位器 <= 2.6.6 – 未经身份验证的 PHP 对象注入 (CVE-2024-10936) 安迈信科应急响应中心 2025-01-24 04:12 01 漏洞概况 WordPress的String定位插件存在PHP对象注入漏洞,该漏洞存在于所有版本至包括2.6.6版本。漏洞出现在’recursive_unserialize_replace
继续阅读黑客在 Pwn2Own Automotive 2025 第一天利用了 16 个0day漏洞 龙猫 星尘安全 2025-01-24 02:01 点击上方 蓝字 关注我们 在 Pwn2Own Automotive 2025 的第一天,安全研究人员利用了 16 个独特的零日漏洞,并获得了 382,750 美元的现金奖励。 Fuzzware.io 利用基于堆栈的缓冲区溢出和源站验证错误漏洞入侵了 Aute
继续阅读【漏洞预警】AdForest <= 5.1.8 — 身份验证绕过 cexlife 飓风网络安全 2025-01-23 13:42 漏洞描述: WordPress的AdForest主题在直至并包括5.1.8版本中存在认证绕过漏洞,这是因为插件在登录用户之前没有正确验证用户的身份,这使得未经身份验证的攻击者只要通过手机号码配置了OTP登录,就可以作为任何用户进行身份验证。 修复建议:建议您更新当
继续阅读SonicWall SMA 1000 系列设备面临严重漏洞,亟需立即修补(CVE-2025-23006) 锋刃科技 2025-01-23 12:57 SonicWall 的 Secure Mobile Access (SMA) 1000 系列设备是专为提供企业级安全远程访问解决方案设计的硬件平台。它允许用户通过 SSL VPN 和 HTML5 Web 应用程序网关等技术从任何地点安全地连接到公司网
继续阅读从靶场到实战–双一流高校多个高危漏洞 原创 大白 蚁景网络安全 2025-01-23 12:05 本文结合其它用户案例分析讲解挖掘某双一流站点的过程,包含日志泄露漏洞深入利用失败,到不弱的弱口令字典进入后台,再到最后偶遇一个貌似只在靶场遇到过的高危漏洞。 信息搜集: web站点的话从域名,ip等入手范围太大了,于是决定直接从小程序入手。 微信搜索学校名称,便直接可以通过公众号,小程序寻
继续阅读Windows 文件资源管理器权限提升漏洞 (CVE-2024-38100) 网安百色 2025-01-23 11:28 点击上方 蓝字 关注我们吧~ 漏洞利用详情 该漏洞存在于Windows文件资源管理器进程中的分布式组件对象模型(DCOM)对象。 具体来说,ShellWindows DCOM对象(CLSID {9BA05972-F6A8-11CF-A442-00A0C90A8F39})被配置为
继续阅读7-Zip Mark-of-the-Web 绕过漏洞 [CVE-2025-0411] – POC Ots安全 2025-01-23 05:04 CVE-2025-0411 详细信息 “此漏洞(CVSS SCORE 7.0)允许远程攻击者绕过受影响的 7-Zip 安装上的 Mark-of-the-Web 保护机制。利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。特定缺陷存在
继续阅读