现金大奖| 2023补天通用型漏洞专项活动第四期来啦!
现金大奖| 2023补天通用型漏洞专项活动第四期来啦! 补天平台 2023-10-13 12:03 通用专项活动第四期 ◆ 2 0 2 3 年10 月12 日 09 点 起 至10 月 26 日 2 3 : 5 9 止 ◆ 收取范围:web通用型漏洞 0 1 活动奖励A计划 收录范围说明 漏洞实际影响 资产存在备案信息归属的独立ip数≥2500 漏洞等级 高 危 漏 洞 活动额外奖励 1.每个有效
继续阅读标签: 文件上传
emlog | CVE-2023-44973
emlog | CVE-2023-44973 WK安全 湘安无事 2023-10-13 00:00 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! | 0x01 漏洞介绍 Emlog 是一款基于 PHP 语言和 MySQL 数据库的开源
继续阅读漏洞复现|深信服SG上网优化管理系统存在文件读取漏洞
漏洞复现|深信服SG上网优化管理系统存在文件读取漏洞 原创 禾小盾 数字人才创研院 2023-10-12 15:51 点击上方 蓝字关注我们 BEGINNING OF SPRING 0x01 阅读须知 Reading Instructions 数字人才创研院秉承探究学习与交流的理念,一切从降低已有潜在威胁出发,所有发布的技术文章仅供参考,未经授权请勿利用文章中的技术内容对任何计算机系
继续阅读华测监测预警系统 2.2 存在任意文件读取漏洞 附POC
华测监测预警系统 2.2 存在任意文件读取漏洞 附POC 原创 南风徐来 南风漏洞复现文库 2023-10-09 23:00 华测监测预警系统 2.2 存在任意文件读取漏洞 附POC 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 华
继续阅读【代码审计】某安全数据交换系统的多个RCE漏洞挖掘
【代码审计】某安全数据交换系统的多个RCE漏洞挖掘 倾旋 Z2O安全攻防 2023-10-09 20:30 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或
继续阅读安全卫士 | 魔方安全漏洞周报
安全卫士 | 魔方安全漏洞周报 原创 漏洞管理也找 魔方安全 2023-10-09 18:30 9.25-10.8 漏洞周报 根据CNNVD网站查询,截至10月8日,CNNVD本周共收录漏洞1018个。其中,超危漏洞159个,高危漏洞303个,其余危害等级漏洞556个。 魔方安全提醒您:保护企业网络空间资产安全至关重要!以下漏洞请重点关注。 GitLab多个安全漏洞通告 近日,GitLab发布了安
继续阅读上周关注度较高的产品安全漏洞(20230925-20231008)
上周关注度较高的产品安全漏洞(20230925-20231008) 原创 CNVD CNVD漏洞平台 2023-10-09 17:27 一、境外厂商产品漏洞 1、IBM FileNet Content Manager Web UI跨站脚本漏洞 IBM FileNet Content Manager是一种灵活且功能齐全的内容管理解决方案。IBM FileNet Content Manager Web
继续阅读风险提示|泛微 e-office 远程代码执行漏洞
风险提示|泛微 e-office 远程代码执行漏洞 长亭安全应急响应中心 2023-09-26 21:26 泛微e-office是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。近期,长亭科技监测到泛微官方发布了新补丁修复了一处远程代码执行漏洞。长亭应急团队经过分析后发现该漏洞是通过文件上传配合文件包含实现远程代码执行。为了方便用户排查受影响的资产,已经根据漏
继续阅读上万台 Juniper 设备易受未认证RCE漏洞攻击
上万台 Juniper 设备易受未认证RCE漏洞攻击 Bill Toulas 代码卫士 2023-09-19 17:47 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 约1.2万台 Juniper SRX 防火墙和EX 交换机易受无文件远程代码执行漏洞影响,可导致攻击者在无需认证的情况下利用它。 8月份,Juniper 披露了多个“PHP环境变量操纵” (CVE-2023-3684
继续阅读威胁情报 | Konni APT 利用 WinRAR 漏洞(CVE-2023-38831)首次攻击数字货币行业
威胁情报 | Konni APT 利用 WinRAR 漏洞(CVE-2023-38831)首次攻击数字货币行业 原创 404高级威胁情报 知道创宇404实验室 2023-09-14 18:05 作者:K&Nan@知道创宇404高级威胁情报团队 时间:2023年9月14日 1. 攻击活动综述**** 参考资料 近期知道创宇404高级威胁情报团队的研究报告《韩美大规模联合军演挑衅升级?朝方 A
继续阅读PHPFusion 开源 CMS 中存在严重漏洞
PHPFusion 开源 CMS 中存在严重漏洞 Jai Vijayan 代码卫士 2023-09-06 20:05 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 安全研究员在广泛使用的开源内容管理系统 PHPFusion CMS 中发现了一个严重漏洞,目前尚无补丁。 该漏洞是一个验证的本地文件包含漏洞,编号为CVE-2023-2453。如攻击者可在目标系统的一个已知路径上上传恶意
继续阅读上周关注度较高的产品安全漏洞(20230828-20230903)
上周关注度较高的产品安全漏洞(20230828-20230903) 国家互联网应急中心CNCERT 2023-09-06 16:00 一、境外厂商产品漏洞 1、 Dell PowerScale OneFS权限提升漏洞(CNVD-2023-65221) Dell PowerScale OneFS 是美国戴尔( Dell )公司的一个操作系统。提供横向扩展 NAS 的 PowerScale OneFS
继续阅读上周关注度较高的产品安全漏洞(20220828-20220903)
上周关注度较高的产品安全漏洞(20220828-20220903) 深信服千里目安全技术中心 2023-09-04 20:04 一、境外厂商产品漏洞 1、 Dell PowerScale OneFS权限提升漏洞(CNVD-2023-65221) Dell PowerScale OneFS 是美国戴尔( Dell )公司的一个操作系统。提供横向扩展 NAS 的 PowerScale OneFS 操作
继续阅读雷神众测漏洞周报2023.08.28-2023.09.03
雷神众测漏洞周报2023.08.28-2023.09.03 原创 雷神众测 雷神众测 2023-09-04 15:16 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读罗克韦尔ThinManager 多个漏洞可导致工业HMI 易遭攻击
罗克韦尔ThinManager 多个漏洞可导致工业HMI 易遭攻击 Eduard Kovacs 代码卫士 2023-08-25 17:45 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 研究人员在罗克韦尔自动化的 ThinManager ThinServer 产品中发现了多个漏洞,可用于攻击工业控制系统 (ICS)。 Tenable 公司的研究人员在罗克韦尔提供的瘦客户端和 RDP
继续阅读奇安信的漏洞管理实践
奇安信的漏洞管理实践 原创 武鑫 虎符智库 2023-08-24 19:09 本文 8846 字 阅读约需 25 分钟 随着攻击向量扩大和漏洞增加,漏洞管理成为安全解决方案的最前沿,成为风险管理的重要组成。 安全团队面临两难 :安全漏洞 数量激增、 无处不在, 安全预算却在减少和安全人才持续短缺, 修 补 每年发现的 惊人 安全 漏 洞 简直遥不可及的任务,简单的发现和修复模式已经难以为继
继续阅读从零开始复现 CVE-2023-20073
从零开始复现 CVE-2023-20073 ZIKH26 看雪学苑 2023-08-22 17:59 本文对于CVE-2023-20073复现过程做了详尽的记录,其中包括了遇见过的各种坑和解决问题的方法及思路。 Cisco RV340,RV340W,RV345和RV345P四款型号的路由器中最新固件均存在一个未授权任意文件上传漏洞 (且目前尚未修复),攻击者可以在未授权的情况下将文件上传到/tmp
继续阅读上周关注度较高的产品安全漏洞(20230814-20230820)
上周关注度较高的产品安全漏洞(20230814-20230820) 国家互联网应急中心CNCERT 2023-08-22 16:12 一、境外厂商产品漏洞 1、Adobe Acrobat Reader越界读取漏洞(CNVD-2023-62945) Adobe Acrobat Reader是美国奥多比(Adobe)公司的一款PDF查看器。该软件用于打印,签名和注释PDF。Adobe Acrobat
继续阅读【干货】HW2023POC收集
【干货】HW2023POC收集 红蓝攻防实验室 暗影安全 2023-08-20 12:58 *> *免责声明 技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其
继续阅读【漏洞预警】Ivanti Avalanche多个高危漏洞漏洞威胁通告
【漏洞预警】Ivanti Avalanche多个高危漏洞漏洞威胁通告 安识科技 SecPulse安全脉搏 2023-08-17 10:58 1. 通告信息 近日, 安识科技A-Team团队 监测到Ivanti Avalanche中修复了多个安全漏洞,这些漏洞可能导致身份验证绕过、文件上传、目录遍历和远程代码执行等。 对此,安识科技建议广大用户及时升级到安全版本 ,并做好资产自查以及预防工作,以免遭
继续阅读关于企业移动办公场景下如何管控数据安全的杂谈暨近期漏洞情报共享|总第202周
关于企业移动办公场景下如何管控数据安全的杂谈暨近期漏洞情报共享|总第202周 群秘 君哥的体历 2023-08-16 11:01 0x1本周话题TOP1 话题:有了移动办公、im办公,信息安全人员真的能管理控制企业的数据安全吗?监守自盗、违规操作,信息安全能防住吗?要为此承担责任吗? A1:安全只能提高操作门槛,避免批量泄露机会,不能彻底防止。手机上都能看到了,回家慢慢抄也可以。 安全不是风
继续阅读2023攻防演练必修高危漏洞合集(3.0版)
2023攻防演练必修高危漏洞合集(3.0版) 漏洞情报中心 斗象智能安全 2023-08-09 11:50 今天,2023年攻防演练正式开启!斗象科技针对之前发布的《2023HW必修高危漏洞集合(1.0)》 及《2023HW必修高危漏洞集合(2.0)》 进行查漏补缺,并对近两年在攻防演练过程红队利用率比较高的漏洞做了总结汇总, 输出 《2023攻防演练必修高危漏洞合集(3.0版)》 。 与前两版报
继续阅读漏洞通告|致远OA文件上传漏洞
漏洞通告|致远OA文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2023-08-08 16:58 01 漏洞概况**** 致远OA是一款企业级的办公自动化软件,提供全方位的企业管理解决方案。该软件包括了办公自动化、流程自动化、知识管理、文档管理、协同办公等功能模块,可以帮助企业实现信息化管理、流程优化、人力资源管理、财务管理等方面的需求。微步漏洞团队通过“X漏洞奖励计划”获取到致远OA前台
继续阅读PaperCut高危漏洞可使未修复服务器受RCE攻击
PaperCut高危漏洞可使未修复服务器受RCE攻击 Sergiu Gatlan 代码卫士 2023-08-07 18:15 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Horizon3.ai 公司的安全研究员从 Windows 版本的 PaperCut 打印管理软件中发现了一个新的高危漏洞 (CVE-2023-39143),在特定情况下可导致在未修复 Windows 服务器上获
继续阅读红队最爱50个高危漏洞,马了赶紧修
红队最爱50个高危漏洞,马了赶紧修 原创 微步情报局 微步在线研究响应中心 2023-08-07 18:00 盼望着,盼望着,演练来了,红队的脚步近了。 强烈建议各家蓝队负责人,自查以下50+高危漏洞的资产信息,并赶在正式开打前完成针对性处置动作。 这50多个漏洞是微步漏洞团队根据漏洞的危害、利用难易程度、影响面、实网攻击行为情况等诸多维度,从海量漏洞情报中提取出了近一年来被攻击方频繁利用、且危害
继续阅读三年内攻防演练实战总结,200+必修高危漏洞清单
三年内攻防演练实战总结,200+必修高危漏洞清单 原创 360漏洞云情报 360漏洞云 2023-08-07 17:44 2023攻防演练 必修高危漏洞合集 360数字安全集团 – 漏洞云 2023年8月 报告信息 报告名称 2023 攻防演练必修高危漏洞合集 报告类型 漏洞统计 报告日期 2023-08-01 报告编号 04T-202300801-01 联系方式 loudongyun
继续阅读CVE-2022-30887(文件上传漏洞)
CVE-2022-30887(文件上传漏洞) 原创 y@n1n 暗影安全 2023-08-04 17:45 漏洞简介 …… 多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。 该CMS中 php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。 漏洞复现
继续阅读2023攻防演练必修高危漏洞集合(2.0版)
2023攻防演练必修高危漏洞集合(2.0版) 漏洞情报中心 斗象智能安全 2023-08-03 17:50 继7月19日推出👉《2023攻防演练必修高危漏洞集合》 之后,斗象科技漏洞情报中心继续依托漏洞盒子的海量漏洞数据、情报星球社区的一手漏洞情报资源以及Freebuf安全门户的安全咨询,不断对高危漏洞进行分析整合,并于近期输出 《2023攻防演练必修高危漏洞集合(2.0版)》 。 高危风险漏洞一
继续阅读风险提示|Smartbi 权限绕过漏洞导致后台接管
风险提示|Smartbi 权限绕过漏洞导致后台接管 长亭安全应急响应 黑伞安全 2023-08-01 16:05 Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。近期,长亭科技监测到Smartbi发布新补丁,修复了一处权限绕过漏洞。长亭应急团队经过分析后发现该漏洞类型为权限绕过,仍有较多公网系统仍未修复漏洞。于是根据漏洞原理编写了无害化的
继续阅读风险提示|泛微OA e-cology 前台文件上传漏洞
风险提示|泛微OA e-cology 前台文件上传漏洞 长亭安全应急响应中心 2023-07-28 19:23 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。近期,长亭科技监测到泛微官方发布了新补丁修复了一处前台文件上传漏洞。长亭应急团队经过分析后发现该漏洞类型为文件上传,但是漏洞仅可在内网进行利用。为了方便用户排查受影响的资产,已经根
继续阅读