漏洞预警 | 通达OA SQL注入漏洞
漏洞预警 | 通达OA SQL注入漏洞 浅安 浅安安全 2025-01-25 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 通达OA是一款协同办公自动化软件,由北京通达信科科技有限公司自主研发,为各行业不同规模的众多用户提供信息化管理能力。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 通达OA的
继续阅读标签: 敏感信息
phpMyAdmin 触发 XSS 攻击的安全漏洞
phpMyAdmin 触发 XSS 攻击的安全漏洞 网安百色 2025-01-24 11:30 点击上方 蓝字 关注我们吧~ 漏洞详情 phpMyAdmin 作为一个开源的数据库管理工具,允许用户通过web界面进行数据库的管理操作。安全研究人员发现,在该工具的一些功能中,输入参数未经过充分验证,从而为潜在的攻击者提供了通过网页注入恶意JavaScript代码的机会。 恶意代码可以在目标用户的浏览器
继续阅读【安全圈】斯巴鲁汽车漏洞让黑客利用 Starlink 远程控制数百万辆汽车
【安全圈】斯巴鲁汽车漏洞让黑客利用 Starlink 远程控制数百万辆汽车 安全圈 2025-01-24 11:01 关键词 安全漏洞 去年年底,斯巴鲁 STARLINK 车联网服务被发现存在严重漏洞,导致美国、加拿大和日本的数百万辆汽车和客户账户面临潜在的网络攻击。 斯巴鲁以其全轮驱动汽车、高安全评级和在赛车运动中的强大影响力而闻名。Outback 和 Forester 等热门车型为其在美国销量
继续阅读Oracle 2025年1月补丁日多产品高危漏洞安全风险通告
Oracle 2025年1月补丁日多产品高危漏洞安全风险通告 代码卫士 2025-01-24 11:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2025年1月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2025-01-22 影响对象数量级 百万级 奇安信评级 高危 利用可能性 中 P
继续阅读斯巴鲁曝关键漏洞,凭车牌号可远程入侵汽车
斯巴鲁曝关键漏洞,凭车牌号可远程入侵汽车 Zicheng FreeBuf 2025-01-24 10:42 据Cyber Security News消息,斯巴鲁STARLINK互联汽车服务中心在2024年底被发现一个关键漏洞,美国、加拿大和日本的数百万辆汽车和车主账户可能受到网络攻击。 该安全漏洞允许攻击者使用最少的信息(如姓氏和邮政编码、电子邮件地址、电话号码或车牌)远程访问敏感的车辆和个人数据
继续阅读【漏洞预警】Elastic Fleet Server信息泄露漏洞
【漏洞预警】Elastic Fleet Server信息泄露漏洞 cexlife 飓风网络安全 2025-01-24 10:12 漏洞描述: 在Flееt Sеrvеr中发现了一个漏洞,其中包含敏感信息的Flееt策略被记录在INFO和ERROR日志级别上,敏感信息的性质在很大程度上取决于启用的集成。 影响产品:8.13.0<=Fleet Server<8.15.0 影响威胁指数:百万
继续阅读从靶场到实战–双一流高校多个高危漏洞
从靶场到实战–双一流高校多个高危漏洞 原创 大白 蚁景网络安全 2025-01-23 12:05 本文结合其它用户案例分析讲解挖掘某双一流站点的过程,包含日志泄露漏洞深入利用失败,到不弱的弱口令字典进入后台,再到最后偶遇一个貌似只在靶场遇到过的高危漏洞。 信息搜集: web站点的话从域名,ip等入手范围太大了,于是决定直接从小程序入手。 微信搜索学校名称,便直接可以通过公众号,小程序寻
继续阅读信息安全漏洞周报【第007期】
信息安全漏洞周报【第007期】 零零捌信安观察 银天信息 2025-01-23 09:16 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读Windows BitLocker 漏洞暴露了 AES-XTS 加密
Windows BitLocker 漏洞暴露了 AES-XTS 加密 Ots安全 2025-01-23 05:04 Windows BitLocker全盘加密工具中存在一个中等严重程度的错误,导致 BitLocker 加密系统遭受针对 AES-XTS 加密模式的新型随机化攻击。 新漏洞CVE-2025-21210凸显了全盘加密系统攻击的复杂性。一旦利用该漏洞,攻击者便可操纵密文块,从而将敏感数据以
继续阅读漏洞预警 | 广联达Linkworks信息泄露漏洞
漏洞预警 | 广联达Linkworks信息泄露漏洞 浅安 浅安安全 2025-01-23 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 广联达Linkworks办公OA是一款综合办公自动化解决方案,旨在提高组织内部的工作效率和协作能力。它提供了一系列功能和工具,帮助企业管理和处理日常办公任务、流程和文档。 0x03 漏洞详情
继续阅读漏洞预警 | 叁拾叁OA SQL注入漏洞
漏洞预警 | 叁拾叁OA SQL注入漏洞 浅安 浅安安全 2025-01-22 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 叁拾叁OA是一款面向企业的办公自动化软件,主要目的是通过信息化手段提升企业的办公效率,帮助组织实现办公流程的自动化、信息的集成和共享,从而提升管理水平和工作效率。 0x03 漏洞详情 漏洞类型: SQ
继续阅读2024年度漏洞态势大揭秘:你的网络安全防线还稳固吗?(附下载)
2024年度漏洞态势大揭秘:你的网络安全防线还稳固吗?(附下载) 原创 说安全 如何安全 说安全 如何安全 2025-01-21 23:30 在这个万物互联的数字时代,网络已经成为我们生活、工作和学习中不可或缺的一部分。然而,随着网络的普及和深入,网络安全问题也日益凸显,成为悬在我们头顶的一把“达摩克利斯之剑”。《2024年度漏洞态势分析报告》的出炉,再次为我们敲响了网络安全的警钟。那么,面对日益
继续阅读ViewState反序列化漏洞详解
ViewState反序列化漏洞详解 原创 信安路漫漫 信安路漫漫 2025-01-21 23:00 前言 在一次测试过程中遇到了这个ViewState的反序列化漏洞,当时对于利用方式以及原理都不太清楚,因此有了这边文章,学习一下viewstate的漏洞原理以及利用方式。 ViewState基础介绍 ViewState机制 ViewState 是 ASP.NET(Active Server Page
继续阅读靶机复现-pikachu靶场文件包含漏洞
靶机复现-pikachu靶场文件包含漏洞 泷羽SEC-ohh 2025-01-21 07:28 本篇文章旨在为网络安全渗透测试靶机复现学习。通过阅读本文,读者将能够对渗透pikachu靶场文件包含漏洞复现有一定的了解 原文学习链接 CSDN博主: One_Blanks 靶机资源下载 phpstudy pikachu 一、前言 文件包含漏洞是编程中的一种安全隐患,常见于PHP等语言。它源于程序运行时
继续阅读SecScan强大的端口扫描与漏洞扫描工具——梭哈!!!
SecScan强大的端口扫描与漏洞扫描工具——梭哈!!! Secu的矛与盾 Secu的矛与盾 2025-01-21 04:50 介绍 SecScan 是一款集漏洞探测、端口扫描、指纹识别为一体的安全工具,拥有多样化的漏洞检测方法,支持对目标自动化进行 端口扫描->指纹识别->服务口令探测->漏洞探测 流程,旨在帮助用户/红队选手快速发现漏洞风险,提升漏洞管理效率。 核心亮点 一、
继续阅读工具集:BucketVulTools 【存储桶配置不当漏洞检测插件】
工具集:BucketVulTools 【存储桶配置不当漏洞检测插件】 wolven Chan 风铃Sec 2025-01-21 04:18 工具介绍 Burpsuite存储桶配置不当漏洞检测插件,目前支持阿里云,华为云,腾讯三个厂商的检测,存储桶文件遍历,acl读写,Policy读写及未授权上传。 用法 存储桶相关配置检测自动化,访问目标网站将会自动检测,如:访问的网站引用存储桶上的静态资源,就会
继续阅读上周关注度较高的产品安全漏洞(20250113-20250119)
上周关注度较高的产品安全漏洞(20250113-20250119) 国家互联网应急中心CNCERT 2025-01-21 03:13 一、境外厂商产品漏洞 1、IBM Security Directory Integrator操作系统命令注入漏洞 IBM Security Directory Integrator是美国国际商业机器(IBM)公司的一个集成开发环境和运行时服务。IBM Securit
继续阅读漏洞预警 | 九思OA任意文件读取漏洞
漏洞预警 | 九思OA任意文件读取漏洞 浅安 浅安安全 2025-01-21 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 九思OA办公自动化系统平台基于开发JAVA语言开发,封装了大量接口、构件,以多维门户形式展现,OA系统支持各种部署模式、各种操作系统、各种数据库和中间件,并具备完备的配置体系、接口体系和插件体系,支持未
继续阅读漏洞预警 | 飞企互联FE业务协作平台SQL注入、远程代码执行和任意文件上传漏洞
漏洞预警 | 飞企互联FE业务协作平台SQL注入、远程代码执行和任意文件上传漏洞 浅安 浅安安全 2025-01-21 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 飞企互联FE业务协作平台是由飞企互联开发的一款企业级业务协作管理平台,旨在通过数字化工具提升企业协作效率,实现业务流程的全方位优化。 0x03 漏洞详情 漏洞类
继续阅读SimpleHelp远程访问软件曝高危漏洞,可导致文件窃取、权限提升和远程代码执行
SimpleHelp远程访问软件曝高危漏洞,可导致文件窃取、权限提升和远程代码执行 Hankzheng 技术修道场 2025-01-21 00:01 近日,网络安全研究人员披露了SimpleHelp远程访问软件中的多个安全漏洞,这些漏洞可能导致信息泄露、权限提升和远程代码执行(RCE)。Horizon3.ai研究员Naveen Sunkavally在一份技术报告中指出,这些漏洞“极易被逆向和利用”
继续阅读【风险通告】Rsync存在多个高危漏洞
【风险通告】Rsync存在多个高危漏洞 安恒研究院 安恒信息CERT 2025-01-20 09:50 漏洞公告 近日,安恒信息CERT监测到Rsync存在多个高危漏洞,由于代码中未正确处理攻击者控制的校验和长度(s2length),当MAX_DIGEST_LEN超过固定SUM_LENGTH(16字节)时,攻击者可以在sum2缓冲区中越界写入(CVE-2024-12084)。当Rsync比较文件校
继续阅读上周关注度较高的产品安全漏洞(20241230-20250105)
上周关注度较高的产品安全漏洞(20241230-20250105) 金瀚信安 2025-01-20 09:08 一、境外厂商产品漏洞 1、SAP NetWeaver Enterprise Portal跨站脚本漏洞(CNVD-2024-49627)**** SAP Commerce Cloud的Backoffice是一个用户中心的、可扩展的后端界面,它允许业务用户轻松管理SAP Commerce C
继续阅读Chrome浏览器的Google账户接管研究
Chrome浏览器的Google账户接管研究 原创 簞純 君立渗透测试研究中心 2025-01-20 06:54 Google Chrome是一款由Google公司开发的网页浏览器,基于Google自家开放源代码的Chromium制造,但是包含非开放源代码套件。Chrome及其他基于Chromium制作的浏览器,目前占据的整个浏览器市场的大半壁江山。 在攻击活动中,经常会有需要接管目标账户,进行进
继续阅读【漏洞通告】Rsync多个漏洞安全风险通告
【漏洞通告】Rsync多个漏洞安全风险通告 嘉诚安全 2025-01-20 03:57 漏洞背景 近日,嘉诚安全监测到Rsync发布安全公告,确认其服务端进程Rsyncd存在缓冲区溢出漏洞(CVE-2024-12084)、信息泄露漏洞(CVE-2024-12085)、文件泄露漏洞(CVE-2024-12086)、路径遍历漏洞(CVE-2024-12087)、路径遍历漏洞(CVE-2024-1208
继续阅读漏洞预警 | 家装ERP管理系统SQL注入漏洞
漏洞预警 | 家装ERP管理系统SQL注入漏洞 浅安 浅安安全 2025-01-20 00:01 0x00 漏洞编号 – 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 家装ERP管理系统是一种专为家装行业设计的企业资源计划管理软件。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露 简述: 家装ERP管理系统的/WEB_SERVICE/Public
继续阅读漏洞预警 | Apache Linkis任意文件读取漏洞
漏洞预警 | Apache Linkis任意文件读取漏洞 浅安 浅安安全 2025-01-20 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 Apache Linkis是面向大数据和人工智能应用的开源治理平台。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 窃取敏感信息 简述: Apache Linkis存在文件读取
继续阅读锐捷-SSL-VPN-越权访问漏洞
锐捷-SSL-VPN-越权访问漏洞 骇客安全 骇客安全 2025-01-19 19:00 漏洞描述 Ruijie SSL VPN 存在越权访问漏洞,攻击者在已知用户名的情况下,可以对账号进行修改密码和绑定手机的操作。并在未授权的情况下查看服务器资源 漏洞影响 Ruijie SSL VPN FOFA icon_hash="884334722" || title="Rui
继续阅读【安全圈】高危!rsync被爆出多个安全漏洞
【安全圈】高危!rsync被爆出多个安全漏洞 安全圈 2025-01-18 11:00 关键词 漏洞 近期,Unix 平台上广泛使用的文件同步工具 rsync 暴露出多项高危安全漏洞,安全专家已披露这些漏洞并提供修复措施。为了避免数据泄露和恶意代码执行的风险,所有使用 rsync 的用户必须尽快升级到 3.4.0+ 版本。 漏洞风险一览: 这些漏洞可以使攻击者通过控制恶意服务器,读取、写入任何已连
继续阅读CVE-2024-53704|SonicOS SSLVPN认证绕过漏洞
CVE-2024-53704|SonicOS SSLVPN认证绕过漏洞 alicy 信安百科 2025-01-18 10:00 0x00 前言 SonicOS SSLVPN是一款SSL VPN设备,旨在提供安全的远程访问解决方案,允许用户通过加密的网络连接安全地访问内部网络资源。 0x01 漏洞描述 漏洞存在于 SonicOS SSLVPN 的认证机制中,允许远程攻击者绕过认证。攻击者可以利用这一
继续阅读CVE-2024-55591|FortiOS和FortiProxy身份认证绕过漏洞(POC)
CVE-2024-55591|FortiOS和FortiProxy身份认证绕过漏洞(POC) alicy 信安百科 2025-01-18 10:00 0x00 前言 FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统,FortiOS本身就具有多种功能,防火墙、IPSec VPN、SSL-VPN、IPS、防病毒、Web过滤、反垃圾邮件和应用
继续阅读