雷神众测漏洞周报2024.10.21-2024.10.27
雷神众测漏洞周报2024.10.21-2024.10.27 原创 雷神众测 雷神众测 2024-10-29 15:48 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读标签: 敏感信息
上周关注度较高的产品安全漏洞(20241021-20241027)
上周关注度较高的产品安全漏洞(20241021-20241027) 原创 CNVD CNVD漏洞平台 2024-10-29 09:28 一、境外厂商产品漏洞 1、Adobe Commerce不当授权漏洞(CNVD-2024-41467) Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe Commerce存在不当授权漏洞,攻击者可
继续阅读【干货总结】浅谈src漏洞挖掘中容易出洞的几种姿势
【干货总结】浅谈src漏洞挖掘中容易出洞的几种姿势 Z2O安全攻防 2024-10-28 20:58 0x1 前言 浅谈 这篇文章主要是想跟师傅们聊下企业src包括平常的渗透测试和众测等项目中的一个拿分点,特别是如何让新手在挖掘企业src的过程中可以挖到漏洞呢,难点的或者好挖的漏洞都被大佬给交走了,那么小白挖src的方向在哪呢,还有冷门的漏洞挖掘方式怎么样,是不是可以挖掘到漏洞呢。 这篇文章也是和
继续阅读CVE-2024-9264|Grafana SQL表达式允许远程代码执行(POC)
CVE-2024-9264|Grafana SQL表达式允许远程代码执行(POC) alicy 信安百科 2024-10-26 20:00 0x00 前言 Grafana是一个跨平台的开源的度量分析和可视化工具,可以通过将采集的数据查询然后可视化的展示,并及时通知。用Go语言开发的开源数据可视化工具,可以做数据监控和数据统计,带有告警功能。目前使用grafana的公司有很多,如paypal、eba
继续阅读CVE-2024-47575|Fortinet FortiManager身份验证不当漏洞
CVE-2024-47575|Fortinet FortiManager身份验证不当漏洞 alicy 信安百科 2024-10-26 20:00 0x00 前言 Fortinet是唯一一家提供集中统一管理的供应商,可在复杂的混合环境中设置一致的安全性。集中统一的管理涵盖在本地和云中部署FortiGate下一代防火墙,以及安全SD-WAN、安全WLAN/LAN、Universal ZTNA和Fort
继续阅读易宝OA GetProductInv SQL注入漏洞
易宝OA GetProductInv SQL注入漏洞 Superhero Nday Poc 2024-10-26 15:16 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉。谢
继续阅读易宝OA ExecuteQueryForDataSetBinary SQL注入漏洞复现
易宝OA ExecuteQueryForDataSetBinary SQL注入漏洞复现 Superhero Nday Poc 2024-10-25 20:21 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时
继续阅读苹果创建 Private Cloud Compute VM 助力漏洞挖掘
苹果创建 Private Cloud Compute VM 助力漏洞挖掘 Ionut Ilascu 代码卫士 2024-10-25 17:40 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果创建了一个虚拟研究环境,供研究员测试其Private Cloud Compute(PCC,私有云计算)系统的安全,并发布一些“关键组件”的源代码,帮助研究员分析该脚骨的隐私和安全特性。 苹果公司还希
继续阅读【漏洞通告】Fortinet FortiManager 身份验证漏洞(CVE-2024-47575)
【漏洞通告】Fortinet FortiManager 身份验证漏洞(CVE-2024-47575) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-24 17:55 漏洞名称: Fortinet FortiManager 身份验证漏洞(CVE-2024-47575) 组件名称: Fortinet-FortiManager 影响范围: FortiManager 7.6.07.4.0 ≤
继续阅读【在野利用】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告
【在野利用】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告 奇安信 CERT 2024-10-24 11:23 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiManager 身份认证绕过漏洞 漏洞编号 QVD-2024-43936,CVE-2024-47575 公开时间 2024-10-23
继续阅读高校人力资源管理服务平台系统ReportServer接口存在敏感信息泄露漏洞 附POC
高校人力资源管理服务平台系统ReportServer接口存在敏感信息泄露漏洞 附POC 2024-10-23更新 南风漏洞复现文库 2024-10-23 23:13 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 高校人力资源管理服务平
继续阅读时空智友企业流程化管控系统uploadStudioFile接口存在任意文件上传漏洞 -老漏洞
时空智友企业流程化管控系统uploadStudioFile接口存在任意文件上传漏洞 -老漏洞 南风漏洞复现文库 2024-10-23 23:13 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 时空智友企业流程化管控系统简介 微信公众号
继续阅读【安全圈】高通64款芯片存在0Day漏洞
【安全圈】高通64款芯片存在0Day漏洞 安全圈 2024-10-23 19:00 关键词 安全漏洞 近日,高通公司发布了一项重要的安全警告,揭示了其多达64款芯片组存在严重的“ 0Day漏洞”。这一漏洞被标识为CVE-2024-43047,影响广泛,波及多个搭载骁龙芯片的Android智能手机和平板电脑、物联网设备等多个领域。 所谓“ 0Day漏洞”,是指那些尚未被软件厂商或操作系统供应商知晓的
继续阅读雷神众测漏洞周报2024.10.14-2024.10.20
雷神众测漏洞周报2024.10.14-2024.10.20 原创 雷神众测 雷神众测 2024-10-22 15:33 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Palo Alto Networks 警告公众利用防火墙劫持漏洞
Palo Alto Networks 警告公众利用防火墙劫持漏洞 胡金鱼 嘶吼专业版 2024-10-22 14:01 Palo Alto Networks 近期提醒客户尽快修补安全漏洞(使用公开的漏洞利用代码),因为这些漏洞可以被链接起来让攻击者劫持 PAN-OS 防火墙。 这些漏洞是在 Palo Alto Networks 的 Expedition 解决方案中发现的,该解决方案有助于从其他 C
继续阅读【漏洞情报】北大方正电子有限公司方正畅享全媒体新闻采编系统存在SQL注入漏洞
【漏洞情报】北大方正电子有限公司方正畅享全媒体新闻采编系统存在SQL注入漏洞 cexlife 飓风网络安全 2024-10-21 23:55 漏洞描述: 北大方正电子有限公司是跨媒体信息传播领域技术、产品和服务的领先提供商,方正畅享全媒体新闻采编系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。官方解决方案:厂商已发布了漏洞修复程序,请及时关注更新:http://www.founder
继续阅读Edusrc证书·实战分享|逻辑缺陷漏洞才是最好挖的高危!
Edusrc证书·实战分享|逻辑缺陷漏洞才是最好挖的高危! 原创 zangcc Eureka安全 2024-10-21 23:09 点击上方 蓝字 关注我们 0x01 前言 网络攻与防的技术迭代很快,曾经经典的sql注入,xss之类的漏洞变得越来越少,从前年开始,我就对逻辑缺陷类漏洞非常着迷,因为它总能给我制造惊喜,像是水平/垂直越权,业务逻辑缺陷(账户余额,积分,打卡等绕过)这种反而是我最擅长的
继续阅读明源云ERP报表服务GetErpConfig.aspx接口存在敏感信息泄露漏洞 附POC
明源云ERP报表服务GetErpConfig.aspx接口存在敏感信息泄露漏洞 附POC 2024-10-21更新 南风漏洞复现文库 2024-10-21 21:56 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 明源云ERP报表服务
继续阅读Roundcube Webmail XSS 漏洞被用于窃取登录凭据
Roundcube Webmail XSS 漏洞被用于窃取登录凭据 THN 代码卫士 2024-10-21 17:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 未知威胁行动者们被指利用开源网络邮箱软件 Roundcube 中的一个漏洞,发动钓鱼攻击以窃取用户凭据。目前该漏洞已修复。 俄罗斯网络安全公司 Positive Technologies 表示,上个月发现一份邮件被发送到位于一
继续阅读新的macOS漏洞允许攻击者绕过安全控制
新的macOS漏洞允许攻击者绕过安全控制 Zicheng FreeBuf 2024-10-20 09:30 据Cyber Security News消息, 微软威胁情报发现,macOS出现了一个名为“HM Surf”的新漏洞,能允许攻击者绕过操作系统的透明、同意和控制(TCC)技术,在未经授权的情况下访问用户受保护的数据。 该漏洞被追踪为CVE-2024-44133,能够被利用收集敏感信息(例如浏
继续阅读CVE-2024-28988|SolarWinds Web Help Desk反序列化远程代码执行漏洞
CVE-2024-28988|SolarWinds Web Help Desk反序列化远程代码执行漏洞 alicy 信安百科 2024-10-19 21:17 0x00 前言 Web Help Desk(WHD)是基于ITIL的标准和规范的服务与流程管理系统。WHD提供了丰富的功能集,来解决关键的IT和技术支持问题,包括:事件管理、问题管理、变更管理、资产和配置管理、知识管理。 SolarWind
继续阅读CVE-2024-31449|Redis 缓冲区溢出漏洞 可致远程代码执行
CVE-2024-31449|Redis 缓冲区溢出漏洞 可致远程代码执行 alicy 信安百科 2024-10-19 21:17 0x00 前言 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。 Redis提供数据结构,例如字符串、散列、列表、集合、带范围查询的排序集合、位图、超日志、地理空间索引和流。 R
继续阅读CVE-2024-45216|Apache Solr(插件)身份验证绕过漏洞
CVE-2024-45216|Apache Solr(插件)身份验证绕过漏洞 alicy 信安百科 2024-10-19 21:17 0x00 前言 Apache Solr是一个用于创建搜索应用程序的开源搜索平台,使用Java编写,主要基于 HTTP 和 Apache Lucene 实现。 Apache Solr也可以和Hadoop一起使用,由于Hadoop处理大量数据,Solr可帮助我们从如此大
继续阅读Kubernetes Image Builder 严重漏洞导致节点易遭root访问
Kubernetes Image Builder 严重漏洞导致节点易遭root访问 THN 代码卫士 2024-10-18 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Kubernetes Image Bulder 中存在一个严重漏洞 (CVE-2024-9486),在某些情况下可被滥用于获取 root 访问权限。 该漏洞已在0.1.38中修复,项目维护人员向发现并报送该漏洞
继续阅读FIDO联盟提出全新密钥交换标准,旨在破解跨平台应用难题;CISA就多个新发现的关键漏洞发布紧急安全提醒 | 牛览
FIDO联盟提出全新密钥交换标准,旨在破解跨平台应用难题;CISA就多个新发现的关键漏洞发布紧急安全提醒 | 牛览 安全牛 2024-10-18 11:53 点击蓝字·关注我们 / aqniu 新闻速览 • 2024年第九期北京地区通信网络单元定级评审结果公示,2家企业通过,39家被否 •FIDO联盟提出全新密钥交换标准,旨在破解跨平台应用难题 •英国政府启动AI安全研究计划,强化应对深度伪
继续阅读安全漏洞曝光:AMD 和 Intel面临新型攻击威胁
安全漏洞曝光:AMD 和 Intel面临新型攻击威胁 数世咨询 2024-10-17 16:00 安全研究人员继续寻找攻击英特尔和 AMD 处理器的方法,这两家芯片巨头在过去一周针对其产品的单独研究发布了回应。该研究项目针对英特尔和 AMD 可信执行环境 (TEE),旨在通过将受保护的应用程序或虚拟机 (VM) 与操作系统和在同一物理系统上运行的其他软件隔离来保护代码和数据。 01 Counter
继续阅读面对英特尔CPU触目惊心的安全漏洞, 除了排查,更要加速信创发展
面对英特尔CPU触目惊心的安全漏洞, 除了排查,更要加速信创发展 安全牛 2024-10-17 12:11 10月16日,中国网络空间安全协会发布题为《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》 公众号文章,明确指出了英特尔的四项安全问题:一是安全漏洞问题频发;二是可靠性差,漠视用户投诉;三是假借远程管理之名,行监控用户之实;四是暗设后门,危害网络和信息安全。 这篇文章再一次警醒了我国
继续阅读【漏洞预警】Oracle 2024年10月补丁日多个安全漏洞
【漏洞预警】Oracle 2024年10月补丁日多个安全漏洞 cexlife 飓风网络安全 2024-10-16 23:37 漏洞描述:Oracle发布2024年10月关键安全补丁集合更新,修复了包含Oracle WebLogic Server、MySQL Server等多产品的高危漏洞,值得关注的漏洞有 Oracle WebLogic Server T3/IIOP 远程命令执行漏洞和未授权数据访
继续阅读零日漏洞风险加剧 NDR或是一大可行之解
零日漏洞风险加剧 NDR或是一大可行之解 原创 栗栗 安全419 2024-10-16 18:16 在数字化时代,随着网络攻击手段的不断演进,零日漏洞已成为网络安全的主要威胁之一。那些未被软件厂商知晓的漏洞,一旦被攻击者发现并利用,就能在未打补丁前对系统发起攻击。而攻击者发现并利用漏洞的速度也越来越快,使得零日漏洞成为网络攻击的有力工具。它们不仅影响操作系统和应用软件,还扩展到了物联网和云服务平台
继续阅读