【漏洞预警】Apache HTTP Server敏感信息泄露漏洞(CVE-2024-40725) 原创 聚焦网络安全情报 安全聚 2024-07-28 19:30 预警公告 中危 近日,安全聚实验室监测到 Apache HTTP Server 存在敏感信息泄露漏洞,编号为:CVE-2024-40725 该漏洞在某些间接请求文件的情况下该漏洞可能导致Apache将源代码(如PHP脚本)发送给客户端
继续阅读CVE-2024-39676:Apache Pinot 存在敏感数据泄露漏洞 flyme 独眼情报 2024-07-27 11:27 Apache Pinot 是一个实时分析开源平台,可提供闪电般的洞察力、轻松的扩展和具有成本效益的数据驱动决策,最近披露了一个严重的安全漏洞 (CVE-2024-39676)。此漏洞可能允许未经授权的参与者访问敏感的系统信息,从而可能导致数据泄露和安全漏洞。 该漏洞
继续阅读LangChain曝关键漏洞,数百万AI应用面临攻击风险 疯狂冰淇淋 FreeBuf 2024-07-27 09:31 左右滑动查看更多 LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日,来自Palo
继续阅读【安全圈】LangChain曝关键漏洞,数百万AI应用面临攻击风险 安全圈 2024-07-26 19:00 关键词 安全漏洞 LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日,来自Palo Alto
继续阅读安全认证相关漏洞挖掘 | 高级攻防01 迪哥讲事 2024-07-25 22:30 本文约3027字,阅读约需8分钟。 拿到一个系统后,很多情况下只有一个登录入口。如果想进一步得到较为高危的漏洞,只能去寻找权限校验相关的漏洞,再结合后台洞,最终得到一个较为满意的漏洞。 这里列出一些较为常见的安全认证配置: Spring Security Apache Shiro 服务器本身(Tomcat、Ngin
继续阅读记一次任意文件读取漏洞的挖掘 迪哥讲事 2024-07-24 22:35 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 本文由 @天明 师傅原创投稿,记录的是 一种别样的任意文件读取玩法,感谢分享 ! 0x01 挖掘
继续阅读上周关注度较高的产品安全漏洞(20240715-20240721) 原创 CNVD CNVD漏洞平台 2024-07-22 17:31 一、境外厂商产品漏洞 1、 Microsoft Windows Secure Boot安全功能绕过漏洞(CNVD-2024-32545)**** Microsoft Windows Secure Boot是美国微软(Microsoft)公司的安全启动。Micros
继续阅读无影(TscanPlus) v2.2发布:1300+内置Poc 原创 重剑无锋 Tide安全团队 2024-07-22 11:30 声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 【无影(TscanPlus) v2.2新增key认证功能,转发本文章到朋友圈,获赞30个以上,截图
继续阅读【 CVE | 漏洞复现】Next.js框架存在SSRF漏洞(CVE-2024-34351) 小明同学 小明信安 2024-07-20 12:49 0x01 免责声明 disclaimer 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收集于互联网,真实性及安全性自测,如有侵权请联系删
继续阅读【漏洞通告】SpringBlade存在SQL注入漏洞 安迈信科应急响应中心 2024-07-19 18:22 01 漏洞概况 SpringBlade是上海布雷德科技有限公司精心设计的一款微服务架构,提供SpringCloud全套解决方案。SpringBlade存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Springblade存
继续阅读SolarWinds 修复访问权限审计软件中的8个严重漏洞 Sergiu Gatlan 代码卫士 2024-07-19 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SolarWinds 修复了位于访问权限管理器 (Access Rights Manager, ARM) 软件中的8个严重漏洞,其中6个可导致攻击者获得易受攻击设备上的远程代码执行 (RCE) 权限。 ARM是企业
继续阅读CVE-2024-21181|Oracle WebLogic Server远程代码执行漏洞 alicy 信安百科 2024-07-19 17:59 0x00 前言 Weblogic是Oracle公司的Java应用服务器。可以用来集成和部署大型分布式Web应用、网络应用和数据库应用。 Weblogic最早由Weblogic公司开发,后来被BEA公司并入,所以早期Weblogic安装及界面有 BEA的
继续阅读CVE-2024-38050|Windows Workstation 服务权限提升漏洞 alicy 信安百科 2024-07-19 17:59 0x00 前言 创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 Workstation服务是影响“网上邻居”等windows网络客户端的,一般只有在局域网中才用。 关闭此服务,将
继续阅读CVE-2024-39929|Exim安全绕过漏洞 alicy 信安百科 2024-07-19 17:59 0x00 前言 Exim 是基于GPL协议的开源软件,由英国剑桥大学的Philip Hazel开发。Exim 是一个MTA(邮件传输代理) ,负责邮件的路由,转发和投递。Exim可运行于绝大多数的类UNIX系统上,包括了Solaris、AIX、Linux等。 Exim和其他开源的MTA相比,
继续阅读【已复现】JumpServer 多个高危后台漏洞安全风险通告 奇安信 CERT 2024-07-19 16:38 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 JumpServer 多个高危后台漏洞 漏洞编号 CVE-2024-40628、CVE-2024-40629 公开时间 2024-07-18 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 9.9 威胁类型 代
继续阅读「推安早报」0719 | nculei反制、yt-dlp反制、jump漏洞等 bggsec 甲方安全建设 2024-07-19 09:13 2024-07-19 安全「信息差」# 每天快人一步 > 1. 推送「新、热、赞」,降噪增效 2. 查漏补缺,你可能错过了一些小东西 ### 0x01 下一代渗透测试工具Atexec-pro:利用任务调度器(无需端口445) > Atexec-pr
继续阅读【漏洞复现】JumpServer文件写入代码执行漏洞(CVE-2024-40629) 启明星辰安全简讯 2024-07-18 19:10 一、漏洞概述 漏洞名称 JumpServer文件写入代码执行漏洞 CVE ID CVE-2024-40629 漏洞类型 文件写入 发现时间 2024-07-18 漏洞评分 9.9 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无
继续阅读抖音漏洞奖金提升至20万元/个! 字节跳动安全中心 2024-07-18 14:28 ByteSRC自2018年成立以来,不断提升各个产品的漏洞奖金,并设立成长升级体系,给予白帽师傅们丰厚的物质回报和荣誉激励。 其中,抖音作为拥有数亿用户的平台,一直将安全建设视为重中之重,始终把用户信息和隐私安全放在首位。在守护数亿用户的道路上,我们十分认可白帽师傅们的积极贡献, 步履不停,漏洞奖金持续攀升! 🟢
继续阅读【漏洞预警】Products Filter Professional for WooCommerce存在sql注入漏洞 原创 聚焦网络安全情报 安全聚 2024-07-17 17:07 预警公告 严重 近日,安全聚实验室监测到 WordPress的插件中存在SQL注入漏洞 ,编号为:CVE-2024-6457,CVSS:9.8 由于对用户提供的参数转义不充分,以及对现有SQL查询缺乏充分的准备,
继续阅读最严重的39个硬件安全漏洞 安信安全 安信安全 2024-07-17 17:00 2018年1月曝光的两个处理器高危漏洞——Meltdown和Spectre震惊了整个计算机行业。攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。 这些漏洞源于现代CPU的一种称为“ 推测执行 ”的性能特性,而缓解这些漏洞需要历史上最大规模的补丁协调工作,涉
继续阅读Oracle 2024年7月补丁日多产品高危漏洞安全风险通告 奇安信 CERT 2024-07-17 09:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2024年7月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2024-07-17 影响对象数量级 百万级 奇安信评级 高危 利用可能性
继续阅读红队武器库漏洞利用工具合集整理(7月11日更新) onewinner 网络安全者 2024-07-15 22:15 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。 0x0
继续阅读【已复现】泛微 E-COLOGY存在SQL注入漏洞 安恒研究院 安恒信息CERT 2024-07-15 18:18 漏洞概述 漏洞名称 泛微 E-COLOGY存在SQL注入漏洞 安恒CERT评级 1级 CVSS3.1评分 9.8(安恒自评) CVE编号 未分配 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 WM-202407-000002 POC情况 已发现 EXP情况 未发现
继续阅读【漏洞预警】Wallet for WooCommerce SQL注入漏洞(CVE-2024-6353) 原创 聚焦网络安全情报 安全聚 2024-07-13 19:30 预警公告 高危 近日,安全聚实验室监测到 WordPress的插件中存在SQL注入漏洞 ,编号为:CVE-2024-6353,CVSS:8.8 具有订阅者级别及以上攻击者可以构造恶意请求,从而造成SQL注入,从而获取数据库中的敏
继续阅读漏洞预警 | 宏景HCM SQL注入漏洞 浅安 浅安安全 2024-07-13 08:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 宏景人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 宏景HCM的
继续阅读【车联网】车载可用摄像头漏洞研究(转载) 车联网攻防日记 车联网攻防日记 2024-07-12 22:54 硬件探索 由于没有外壳与系统进行交互,也没有明文固件可供分析,我们不得不借助内存转储来进行任何工作。该型号内部由 2 块 PCB 组成,有屏蔽罩隐藏芯片组。拆除后,可以识别芯片组制造商和型号。SoC 是赛普拉斯(现为英飞凌)CYW43012,辅以 OA00804-B56G 视频处理器(最接近
继续阅读【已复现】泛微e-cology WorkflowServiceXml SQL注入漏洞 长亭安全应急响应中心 2024-07-12 18:31 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。2024年7月,泛微官方发布了新补丁,修复了一处SQL注入漏洞。经分析,攻击者无需认证即可利用该漏洞,建议受影响的客户尽快修复漏洞。 漏洞描述 Des
继续阅读【漏洞通告】GitLab身份认证绕过漏洞(CVE-2024-6385) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-07-11 17:42 漏洞名称: GitLab身份认证绕过漏洞(CVE-2024-6385) 组件名称: 极狐-GitLab代码托管平台 影响范围: 15.8 ≤ GitLab CE/EE ≤ 16.11.517.0 ≤ GitLab CE/EE ≤ 17.0.317.1
继续阅读网络攻防对抗下的漏洞治理探索与实践 关键基础设施安全应急响应中心 2024-07-11 16:11 当前,网络空间安全已经成为国家安全的重要组成部分。筑牢国家网络安全屏障,切实维护网络空间安全,是关系我国发展全局的重大战略任务。根据中国网络空间安全协会发布的《2023 年网络安全态势研判分析年度综合报告》,2023 年针对我国的高级持续性威胁(APT)攻击超过 1200 起。漏洞作为网络攻防对抗的
继续阅读上周关注度较高的产品安全漏洞(20240701-20240707) 国家互联网应急中心CNCERT 2024-07-11 15:44 一、境外厂商产品漏洞 1、Sonatype Nexus Repository存在路径遍历漏洞 Nexus Repository Manager是一个仓库管理系统。Sonatype Nexus Repository Manager存在路径遍历漏洞,攻击者可利用该漏洞获
继续阅读