蓝凌OA WebService kmImeetingBookWebService 任意文件读取漏洞 Superhero nday POC 2025-01-08 12:53 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章
继续阅读【漏洞预警】Gogit Go-Git 未授权表达式注入漏洞 (CVE-2025-21613) cexlife 飓风网络安全 2025-01-08 12:15 漏洞详情:go-git发布v5.13版本,新版本中修复了一个参数注入漏洞,该漏洞源于go-git库在使用文件传输协议时,未能正确处理或验证通过URL字段传入的输入,导致攻击者可能注入恶意参数到本地调用的git二进制文件中,攻击者可利用该漏洞修
继续阅读【安全圈】CISA 警告称,Oracle 和 Mitel 在攻击中被利用了关键漏洞 安全圈 2025-01-08 11:01 关键词 安全漏洞 CISA 警告美国联邦机构确保其系统安全,防止 Oracle WebLogic Server 和 Mitel MiCollab 系统中的关键漏洞被攻击利用。 该网络安全机构将在 Mitel 的 MiCollab 统一通信平台的 NuPoint Unifie
继续阅读「漏洞复现」以柔资讯-D-Security终端文件保护系统 logFileName 任意文件读取漏洞 冷漠安全 冷漠安全 2025-01-08 10:55 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读【国际视野】卡巴斯基:EAGERBEE后门变种瞄准中东 原创 天极智库 天极智库 2025-01-08 10:00 “ 天极按 近日,卡巴斯基发布对EAGERBEE后门调查的相关分析,详细分析了EAGERBEE 后门的功能,重点关注服务注入器、插件编排器模块和相关插件。同时还探讨了EAGERBEE 后门与CoughingDown 威胁组织的潜在联系。 在最近对 EAGERBEE后门的调查中,发现中
继续阅读Apache Struts 2 再曝远程代码执行漏洞 CVE-2024-53677 看雪学苑 看雪学苑 2025-01-08 09:59 近日,Apache Struts 2框架被曝出存在一项严重的远程代码执行漏洞,漏洞编号为CVE-2024-53677。 这一漏洞对使用该框架开发的Java Web应用程序构成了巨大威胁,攻击者可能通过精心构造的请求,在受影响的服务器上远程执行任意代码,进而导致敏
继续阅读更新第1章!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期) 看雪课程 看雪学苑 2025-01-08 09:59 本周更新:第一章 固件安全基础 1.1 固件/镜像定义 1.2 软件工具环境 1.3 交叉编译环境 1.4 硬件工具环境 限时优惠:¥21000 近些年来不论是HVV行动还是各种红蓝对抗中,边界设备或者企业级网络设备被当作是进入内网的最快目标,因此对于这些类型的设备安全问题开
继续阅读绕过加密防线!微软已修补的 BitLocker 漏洞仍存在被攻击风险 安全客 2025-01-08 08:57 近日,一项新的研究发现,Windows BitLocker 磁盘加密功能中一个先前已修补的漏洞仍然存在安全隐患,黑客可以利用该漏洞解密信息。BitLocker 是微软 Windows 操作系统中的一项磁盘加密功能,主要用于保护存储在硬盘上的数据不被未授权访问。 在德国最近举行的混沌通信大
继续阅读【漏洞预警】蓝凌EIS智慧协同平台SQL注入 原创 1ang 小羊安全屋 2025-01-08 06:55 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PART 漏
继续阅读Moxa设备曝高危漏洞,工业网络安全面临严峻挑战 Hankzheng 技术修道场 2025-01-08 05:30 近日,工业网络与通信设备提供商Moxa发布紧急安全公告,披露其多款蜂窝路由器、安全路由器和网络安全设备中存在两个严重漏洞,分别为CVE-2024-9138(高危)和CVE-2024-9140(严重)。这些漏洞可能导致远程攻击者获取设备的root权限并执行任意命令,进而引发任意代码执行
继续阅读0day漏洞无处遁形:大模型安全挖洞实践 腾讯技术工程 2025-01-08 01:15 作者:腾讯啄木鸟团队 1. 序章之《白帽寓言》 我本是一名普通的小白帽,有一天上班路上,遇到了位神秘老者,他拦住我,问道:小伙子,你是做什么的? 我大声回答:我是挖洞的! 老者摸着胡须,目光炯炯望着我:刚刚我看路边有人弄丢了几把铲子,想必是你弄丢的,那让我来考考你,你丢的是这把金铲子,还是这把银铲子呢? 我说
继续阅读Nuclei漏洞CVE-2024-43405曝光:攻击者可绕过签名验证执行恶意代码 Hankzheng 技术修道场 2025-01-07 13:47 近日,开源漏洞扫描工具Nuclei被曝出一个严重漏洞(CVE-2024-43405),攻击者可通过该漏洞绕过模板签名验证,将恶意代码注入模板并在本地系统执行。该漏洞由Wiz的研究人员发现,并于2024年9月4日在Nuclei v3.3.2版本中修复。
继续阅读蓝凌OA WebService sysNotifyTodoWebService 任意文件读取漏洞 Superhero nday POC 2025-01-07 13:33 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有
继续阅读「漏洞复现」深科特 LEAN MES系统 SMTLoadingMaterial.ashx SQL注入漏洞 冷漠安全 冷漠安全 2025-01-07 13:32 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读【漏洞复现】CVE-2025-22214 混子Hacker 混子Hacker 2025-01-07 13:08 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 挥手告别很不平凡的2024年,耕耘与收获已化作珍贵记忆。迎着2025年的美好
继续阅读Web安全进阶|Web漏洞分析与防范实战 IT阅读排行榜 Z2O安全攻防 2025-01-07 12:01 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这
继续阅读Moxa 提醒用户注意蜂窝和安全路由器中的高严重性漏洞 信息安全大事件 2025-01-07 11:56 总部位于台湾的 Moxa 警告称,其蜂窝路由器、安全路由器和网络安全设备存在两个安全漏洞,可能允许权限提升和命令执行。 漏洞列表如下: – CVE-2024-9138 (CVSS 4.0 分数:8.6) – 一种硬编码的凭证漏洞,可能允许经过身份验证的用户提升权限并获得
继续阅读【漏洞预警】Redis代码执行漏洞(CVE-2024-46981) cexlife 飓风网络安全 2025-01-07 10:46 漏洞描述: Redis是一个高性能、灵活且易于扩展的键值存储数据库,适用于各种应用场景,可作为缓存、数据库和消息中间件等,具有出色的性能和稳定性,Redis中修复了一个代码执行漏洞(CVE-2024-46981),该漏洞的CVSS评分为7.0,Redis的Lua脚本引
继续阅读【漏洞通告】Redis代码执行漏洞(CVE-2024-46981) 启明星辰安全简讯 2025-01-07 09:17 一、漏洞概述 漏洞名称 Redis代码执行漏洞 CVE ID CVE-2024-46981 漏洞类型 Use-After-Free 发现时间 2025-01-07 漏洞评分 7.0 漏洞等级 高危 攻击向量 本地 所需权限 低 利用难度 高 用户交互 无 PoC/EXP 未公
继续阅读Gayfemboy:一个利用四信工业路由0DAY传播的僵尸网络 原创 奇安信X实验室 奇安信XLab 2025-01-07 08:48 概述 无数脚本小子怀揣着发财梦,拿着 Mirai 的源码兴高采烈地杀入 DDoS 黑产行业,幻想着靠僵尸网络大赚一笔。现实是残酷的,这些人来时满怀雄心,去时却灰头土脸,只给安全社区留下一个又一个只能活跃 3–4 天的 Mirai 变种。然而,今天的主角Gayfem
继续阅读帆软Finebi_V5.1.10_channel反序列化漏洞复现 原创 kkk 漏洞推送 2025-01-07 08:22 1.安装 复现版本:FineBI V5.1.10 安装后,后台地址 webroot/decision/login 2.反编译 找到所有以fine开头的包,复制到单独文件夹进行反编译 3.漏洞复现 在fine-decision-report-11.0/com/fr/decisi
继续阅读【成功复现】Cleo产品远程命令执行漏洞(CVE-2024-50623) 弥天安全实验室 弥天安全实验室 2025-01-07 04:27 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Cleo LexiCom等都是Cleo公司的产品。Cleo LexiCom是一个集成平台。Cleo Harmony是一个
继续阅读ICLR 2025 Workshop 征稿:推动基础模型的开源、开放、可复现 字节跳动技术团队 2025-01-07 04:02 国际学习表征会议 ICLR 作为深度学习领域的顶级学术活动,将于 2025 年 4 月 24-28 日在新加坡举办。 期间,首届 Open Science for Foundation Models (SCI-FM) Workshop 将在会场同步开启,现面向业界进行
继续阅读Nuclei 被曝高危漏洞!允许攻击者进行签名绕过和代码执行,谨慎使用陌生的YAML模板 WH0sec 2025-01-07 03:30 “ Nuclei 被披露了一个高度严重的安全漏洞, CVE-2024-43405,CVSS 评分为 7.4 分。它会影响 3.0.0 之后的所有 Nuclei 版本。” Nuclei Nuclei是一种用于自动化漏洞扫描和发现的工具,它可以帮助安全研究人员和渗透
继续阅读Windows 曝9.8分漏洞,已有PoC及利用情况 老布-Freebuf 乌雲安全 2025-01-07 03:00 SafeBreach Labs的研究人员发布了关于Windows轻量级目录访问协议(LDAP)的一个关键漏洞的概念验证(PoC)和漏洞利用方法,该漏洞编号为CVE – 2024 – 49112。微软在2024年12月10日的补丁星期二更新中披露了此漏洞,其
继续阅读【漏洞复现】EasyCVR视频管理平台存在任意文件读取漏洞 新势界NewFrontier 2025-01-07 02:03 声明 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。公众号现在只对常读和星标的公众号才展示大图推送,建议
继续阅读【漏洞复现】急诊急救快速联动平台ServicePage.aspx任意文件读取漏洞 原创 清风 白帽攻防 2025-01-07 01:05 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 互慧急诊急救快速联动平台是一个专门用于管理门诊急诊病人的系统,分为两大主要
继续阅读【全球首发】【6w$赏金】微软身份漏洞-未授权强制解绑任意微软账户邮箱(全球微软账户邮箱或受影响) 实战安全研究 2025-01-07 01:00 11.6 – birthday gift for me 商务合作、转载本文,请后台私聊本公众号 吃瓜请看至文末 致谢 我是Feng Jiaming,公开别名 Sugobet/M1n9K1n9,来自中国广东工贸职业技术学院的在校学生 I
继续阅读漏洞预警 | 科汛网校KesionEDU SQL注入漏洞 浅安 浅安安全 2025-01-07 00:01 0x00 漏洞编号 – 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 科汛网校KesionEDU是KESION科汛开发的在线教育建站系统,支持在线直播教学、课程点播、录播授课等多种教学方式,满足不同场景下的教学需求。 0x03 漏洞详情 漏洞类型: SQL注
继续阅读