【Nday漏洞分析】ProjectSend 身份认证绕过漏洞(CVE-2024-11680) jylove 神农Sec 2025-01-06 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://zone.huoxian.cn/d/2961-ndayproje
继续阅读【漏洞复现】内训宝 SCORM 模块存在任意文件上传漏洞 FL_Clover 网络安全007 2025-01-05 08:26 漏洞介绍 在当今复杂多变的网络安全环境中, 近期发现内训宝 SCORM 模块存在任意文件上传漏洞,该漏洞允许未经授权的用户绕过正常文件上传限制,上传恶意文件。此漏洞影响范围广,会导致安全风险、信息泄露等危害。建议采取紧急修复、加强安全防护、监控检测以及培训教育等措施。 建
继续阅读大华智能物联综合管理平台RCE远程代码执行漏洞-影响资产8000+| 漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2025-01-03 16:00 0x01 产品简介 大华智能物联综合管理平台,作为浙江大华技术股份有限公司推出的一款集成了多项业务管理功能的平台软件,该平台主要面向智能园区、商业综合体等多种应用场景,旨在提供一个全面、高效的解决方案,为客户提供一套集成、
继续阅读关于防范Apache Struts2任意文件上传超危漏洞的风险提示 CSTIS 网络安全威胁和漏洞信息共享平台 2025-01-03 09:04 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源应用框架 Apache Struts2 存在任意文件上传超危漏洞,可被恶意利用实现远程代码执行,导致敏感数据泄露和系统受控。 Apache Struts2 是一款开源 Jav
继续阅读赛克安全本周漏洞推送(12.28-1.3)涉及致翔 OA、校盈家财务管理平台、明源云-售楼管理系统v5.0、平升水库系统漏洞 原创 马赛克安全实验室 马赛克安全实验室 2025-01-03 01:14 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系
继续阅读【漏洞复现】朗速ERP后台管理系统FileUploadApi接口文件存在文件上传漏洞||附POC FL_Clover 网络安全007 2025-01-03 00:01 漏洞介绍 在当今复杂多变的网络安全环境中,朗速ERP后台管理系统中的FileUploadApi接口文件存在文件上传漏洞,攻击者可利用该漏洞上传恶意文件,进而控制服务器或窃取企业敏感信息。为保障系统安全,请尽快对该接口进行修复,并加强
继续阅读代码审计 – MCMS v5.4.1 0day挖掘 船山信安 2025-01-02 18:00 一、前言 MingSoft MCMS 是中国铭飞 (MingSoft) 公司的一个完整开源的 J2ee 系统,可以到 Github 下载到源码,官网 铭软・铭飞官网・低代码开发平台・免费开源Java Cms 笔者针对 MCMS v5.4.1 进行代码审计,发现存在一个后台 uploa
继续阅读【活动】你没看错,通用漏洞全年3倍奖励! 原创 邀您全年专测的 京东安全应急响应中心 2025-01-02 12:00 2025 JSRC白帽成长体系 奖励已上线! 快去JSRC官网看看,你是什么等级守卫? 🐍 蛇年新气象,开工大吉!🐍 🚀 活动风暴,即刻来袭!🚀 🌟 三倍惊喜,全年狂欢! 🌟 2025JSRC下血本啦! 活动时间 2025年1月2日 20:00 – 12月31日 24
继续阅读[武器库]-WExploit漏洞综合利用工具 qianbenhyu 小肥羊安全 2025-01-02 07:02 0x00 免责说明 免责声明:由于传播、利用本公众号所提供的信息而造成的直接或者间接损失,均由使用者本人负责。请遵守法律法规和行业道德。 0x01 about 一款基于java开发的漏洞检测工具,集合了S2,ThinkPHP,红帆,万户,蓝凌,帆软,泛微,用友,大华漏洞等,框架使用:
继续阅读上周关注度较高的产品安全漏洞(20241216-20241222) 金瀚信安 2025-01-02 06:57 一、境外厂商产品漏洞 1、Google Chrome安全绕过漏洞(CNVD-2024-48384) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome存在安全绕过漏洞,攻击者可利用该漏洞绕过安全限制。 参考链接: https://www
继续阅读【工具分享】开源,图形化Jeecg框架漏洞利用工具 Mstir 星悦安全 2025-01-02 06:29 点击上方 蓝字 关注我们 并设为 星标 0x01 Jeecg_Tools工具介绍 本工具为jeecg框架漏洞利用工具非jeecg-boot! 包含poc: – JEECG 登录绕过检测 JEECG jeecgFormDemo文件上传 JEECG common文件上传 JEECG
继续阅读mac版本微信小程序抓包学习 原创 crowsec 乌鸦安全 2025-01-02 04:08 ✎ 阅读须知 乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 乌鸦安全拥有对此文章的修改、删除
继续阅读【漏洞复现】SecFox运维安全管理与审计系统FastJson反序列化漏洞 FL_Clover 网络安全007 2025-01-02 04:03 漏洞介绍 在当今复杂多变的计算机环境中SecFox运维安全管理与审计系统在近期的一次安全检查中发现了一个FastJson反序列化漏洞。该漏洞源于FastJson库在解析json数据时,未对输入进行严格校验,导致攻击者可以通过构造特殊的json数据,实现远
继续阅读重磅!国内最专业的 [ .NET 代码审计 ] 体系化学习互动社区,强势来袭! 小嘟 安全洞察知识图谱 2025-01-02 01:41 01 .NET漏洞背景 微软的.NET技术广泛应用于全球企业级产品,包括其知名的 Exchange、SharePoint等,国内如某友的Cloud、某通的T系列、某蝶的云产品 等也广泛采用。各行业核心业务均 依赖于此技术。但近期,在国家护网演练中,这些基于.NE
继续阅读【技术分享】文件上传XSS漏洞的利用方式 原创 剁椒Muyou鱼头 剁椒Muyou鱼头 2025-01-02 00:30 阅读须知 本公众号文章皆为网上公开的漏洞,仅供日常学习使用,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把剁椒Muyou鱼头 “设为
继续阅读Cleo 远程代码执行漏洞复现(CVE-2024-50623)(附脚本) iSee857 Web安全工具库 2024-12-31 16:28 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如
继续阅读53套.NET系统漏洞威胁情报(12.31更新) 专攻.NET安全的 dotNet安全矩阵 2024-12-31 00:28 53 某速ERP系统文件上传漏洞 53.1 漏洞概述 某 速ERP管理系统File.ashx存在任意文件上传漏洞 POST /Api/File**.ashx?method=**Upload HTTP/1.1Host: User-Agent: Mozilla/5.0 (Mac
继续阅读【大量存在】成都和力九垠科技有限公司Common存在文件上传漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-30 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 成都和力九垠科技有限公司成立于1999年,是一家专业从事零售业全流程解决方案的高科技公司,总部位于四川成都。多年来,九垠软件不忘初衷,一直致力于中国零售企业
继续阅读近期 Apache Struts 2 严重漏洞开始被利用 三沐 三沐数安 2024-12-30 11:53 研究人员警告称,恶意攻击利用 Apache Struts 2 中最近修补的严重漏洞,导致远程代码执行 (RCE)。 在 Apache Struts 2 中一个严重漏洞被公开披露后不到一个月,威胁行为者就开始利用该漏洞。 该问题被标记为 CVE-2024-53677(CVSS 评分为 9.5)
继续阅读某小型CMS漏洞复现审计 蚁景网安 2024-12-30 08:30 SQL注入 漏洞复现: 登陆后台,点击页面删除按钮,抓包: rid参数存在sql注入,放入sqlmap检测成功: 代码分析: Ctrl+Shift+F检索路由: 定位具体代码,为删除功能: 发现deleteByIds调用了传参rid,跟进: 发现进入Dao层,此处依旧调用的deleteByIds,于是找ICommonDao接口实
继续阅读漏洞分析 | Apache SkyWalking SQL注入漏洞分析 原创 杂七 杂七杂八聊安全 2024-12-30 03:36 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把 杂七杂八聊安全“ 设为星标”, 否则可能就看不到了啦~ 0x01 熟悉Graphql 0x01.1 Graphql环境搭建 通过springboot搭建graphql环境,pom .xml内容如下: 其中
继续阅读Guns后台任意文件上传漏洞分析 船山信安 2024-12-30 01:12 下载地址: 主项目: https://gitee.com/stylefeng/guns 核心包: https://gitee.com/stylefeng/roses 分析认证逻辑 找个正常的接口访问,发现没有自定义filter, 我们大概看一下spring的filter执行流程是咋样的, 可以看到这里有6个filter,
继续阅读警惕!2024年全球零日漏洞利用呈现七大趋势 安全内参编译 安小圈 2024-12-30 00:45 安小圈 第578期 【零日漏洞】趋势 网络安全设备、远程监控和管理产品、托管文件传输服务、CI/CD工具、开源软件供应链、AI基础软件、系统自带安全功能等成为零日漏洞的热门攻击目标。 安全内参12月25日消息,2024年,零日漏洞的数量再次显著增加。由于缺乏可用的补丁,这些漏洞使攻击者可以先于网络
继续阅读漏洞预警 | 灵当CRM任意文件上传和SQL注入漏洞 浅安 浅安安全 2024-12-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 灵当CRM是一款专为中小企业打造的智能客户关系管理工具。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意脚本文件 简述: 灵当CRM的uploadfile.php接口存在任
继续阅读【0day】朗速ERP UEditorAjaxApi存在文件上传漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-29 16:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 郎速ERP是一款功能强大的企业资源计划(ERP)软件,专为中小企业量身打造,旨在帮助企业优化管理流程、提升运营效率。不仅适用于制造业,还广泛适用于零售、
继续阅读赛克安全本周漏洞推送(12.22-12.27)涉及国威IP数字语音系统、黄药师、企企通、快云服务器、一卡通系统漏洞 thelostworld 2024-12-29 15:08 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用
继续阅读网络信息系统WF2409E路由器进行了一次完整的硬件安全分析研究 | 漏洞分析 Victorique-123 夜组安全 2024-12-29 04:17 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!
继续阅读紧急预警!热门 WordPress 教育主题 WPLMS 曝严重漏洞,可被黑客完全控制! 原创 Hankzheng 技术修道场 2024-12-29 00:00 【超2.8万网站受影响,速升级修复!】 安全圈再次敲响警钟!近日,知名 WordPress 安全公司 Patchstack 披露,广受欢迎的在线教育主题 WPLMS 及其配套插件 VibeBP 存在 18 个严重安全漏洞 ,其中 7
继续阅读2024年零日漏洞利用七大趋势 黑白之道 2024-12-28 05:40 未修补的漏洞一直是攻击者入侵企业系统的重要手段,尤其是零日漏洞。由于这些漏洞没有修复方案,攻击者可以在防御团队来不及应对之前迅速发动攻击。2024年,零日漏洞数量再次大幅增长,攻击者借此获得了先发优势,成为攻击企业网络和数据的关键武器。 虽然所有零日漏洞都需要被CISO及安全团队密切关注并及时修复,但其中有些漏洞因其关键性
继续阅读