警惕!泛微E-Office漏洞引发数据泄露风险
警惕!泛微E-Office漏洞引发数据泄露风险 长风实验室 2024-10-23 21:17 在数字化时代,企业信息安全已成为企业运营的重中之重。然而,近期泛微E-Office系统被发现存在信息泄露漏洞,这一事件再次为我们敲响了警钟。今天,我们就来深入探讨这一漏洞的细节、案例分析以及如何采取有效措施来防范此类风险。 案例分析 告警数据来源 某项目在2024年10月22日的日常监控发现外网39.xx
继续阅读标签: 漏洞
VMware 发布 vCenter Server 更新以修复关键的 RCE 漏洞
VMware 发布 vCenter Server 更新以修复关键的 RCE 漏洞 信息安全大事件 2024-10-23 20:03 VMware 发布了软件更新,以解决 vCenter Server 中已修补的安全漏洞,该漏洞可能为远程代码执行铺平道路。 该漏洞被跟踪为 CVE-2024-38812 (CVSS 评分: 9.8 ),涉及 DCE/RPC 协议实施中的堆溢出漏洞。 “ 对 vCent
继续阅读【安全圈】三星设备曝出高危零日漏洞,已在野外被利用
【安全圈】三星设备曝出高危零日漏洞,已在野外被利用 安全圈 2024-10-23 19:00 关键词 零日漏洞 谷歌威胁分析小组(TAG)警告称,三星存在一个零日漏洞,被追踪为 CVE-2024-44068(CVSS 得分为 8.1),且该漏洞已被发现存在被利用的情况。 攻击者可利用该漏洞在安卓设备上提升权限。专家称该漏洞存在于三星移动处理器中,且已与其他漏洞连锁,可在易受攻击的设备上实现任意代码
继续阅读【安全圈】高通64款芯片存在0Day漏洞
【安全圈】高通64款芯片存在0Day漏洞 安全圈 2024-10-23 19:00 关键词 安全漏洞 近日,高通公司发布了一项重要的安全警告,揭示了其多达64款芯片组存在严重的“ 0Day漏洞”。这一漏洞被标识为CVE-2024-43047,影响广泛,波及多个搭载骁龙芯片的Android智能手机和平板电脑、物联网设备等多个领域。 所谓“ 0Day漏洞”,是指那些尚未被软件厂商或操作系统供应商知晓的
继续阅读【安全圈】K8s曝9.8分漏洞,黑客可获得Root访问权限
【安全圈】K8s曝9.8分漏洞,黑客可获得Root访问权限 安全圈 2024-10-23 19:00 关键词 安全漏洞 近日,安全研究人员Nicolai Rybnikar 发现Kubernetes镜像构建器中存在严重安全漏洞(CVE-2024-9486 ,CVSS :9.8),攻击者可在特定情况下获得Root级访问权限,从而导致系统出现问题。 Nicolai Rybnikar进一步表示,该漏洞可允
继续阅读【二次通告】VMware vCenter Server堆溢出漏洞(CVE-2024-38812)
【二次通告】VMware vCenter Server堆溢出漏洞(CVE-2024-38812) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-23 17:28 漏洞名称: VMware vCenter Server堆溢出漏洞(CVE-2024-38812) 组件名称: VMware-vCenter 影响范围: VMware vCenter Server 8.0 < 8.0 U3
继续阅读Jetpack 修复了 2016 年以来存在的关键信息泄露漏洞
Jetpack 修复了 2016 年以来存在的关键信息泄露漏洞 胡金鱼 嘶吼专业版 2024-10-23 14:00 WordPress 插件 Jetpack 本月发布了一个重要的安全更新,解决了允许登录用户访问该网站其他访问者提交的表单的漏洞。 Jetpack 是 Automattic 推出的一款流行的 WordPress 插件,提供增强网站功能、安全性和性能的工具。据供应商称,该插件已安装在
继续阅读美国海关执法局间谍软件项目被叫停,将接受白宫合规审查;新型Spectre漏洞变种持续威胁Intel和AMD处理器安全性 | 牛览
美国海关执法局间谍软件项目被叫停,将接受白宫合规审查;新型Spectre漏洞变种持续威胁Intel和AMD处理器安全性 | 牛览 安全牛 2024-10-23 13:23 新闻速览 •美国海关执法局间谍软件合同被叫停,将接受白宫审查 •澳大利亚发布首份商业AI产品使用隐私指南 •北京市新增12款已完成备案的生成式人工智能服务 •《网络安全标准实践指南》文件管理办法、标准参与单位管理办法等2项制度文
继续阅读【漏洞预警】VMware vCenter Server 堆溢出漏洞(CVE-2024-38812)
【漏洞预警】VMware vCenter Server 堆溢出漏洞(CVE-2024-38812) cexlife 飓风网络安全 2024-10-22 22:55 漏洞描述: VMware VCеnter Sеrvеr在DCERPC协议实施过程中存在堆溢出漏洞,攻击者可发送特制的网络数据包来触发此漏洞从而导致远程代码执行。 影响产品:1、VMware vCenter Server 8.0 <
继续阅读实战 | 记一次实战中SelfXSS+CSRF+越权漏洞的组合拳
实战 | 记一次实战中SelfXSS+CSRF+越权漏洞的组合拳 Z2O安全攻防 2024-10-22 22:13 0x01 前言 在渗透测试中,经常能够遇到这样一种XSS漏洞,它通常存在于比较隐私的个人信息配置等等功能中,有一个非常鲜明的特点就是“只有自己可见,别人不可见”,XSS漏洞只能攻击自己自然是毫无价值的,因此此类Self-XSS几乎不会被SRC所接受。本文通过对一个在线游戏平台的测试经
继续阅读WhatsApp 的多设备加密漏洞可导致设备指纹识别
WhatsApp 的多设备加密漏洞可导致设备指纹识别 原创 很近也很远 网络研究观 2024-10-22 21:19 WhatsApp 设备识别机制中存在重大隐私漏洞,攻击者可以利用该漏洞通过 WhatsApp 的端到端加密 (E2EE) 协议获取用户设备操作系统的指纹。 安全研究员 Tal Be’ery 发现,这些漏洞会泄露用户设备信息,从而帮助攻击者进行侦察。 隐私问题源于 Wha
继续阅读鸿宇多用户商城 scan_list.php SQL注入漏洞
鸿宇多用户商城 scan_list.php SQL注入漏洞 Superhero Nday Poc 2024-10-22 20:41 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致
继续阅读突破!首次利用大模型在真实环境发现十余个零日漏洞
突破!首次利用大模型在真实环境发现十余个零日漏洞 安全内参 奇安信集团 2024-10-22 20:04 静态代码分析工具Vulnhuntr利用Claude AI识别零日漏洞,并推测漏洞利用代码。 安全内参10月21日消息,美国AI安全厂商Protect AI的研究人员推出了一款免费开源的工具 Vulnhuntr 。 借助Anthropic的Claude AI模型,该工具能够在Python代码库中
继续阅读K8s曝9.8分漏洞,黑客可获得Root访问权限
K8s曝9.8分漏洞,黑客可获得Root访问权限 老布 FreeBuf 2024-10-22 19:02 左右滑动查看更多 近日,安全研究人员Nicolai Rybnikar 发现Kubernetes镜像构建器中存在严重安全漏洞(CVE-2024-9486 ,CVSS :9.8),攻击者可在特定情况下获得Root级访问权限,从而导致系统出现问题。 Nicolai Rybnikar进一步表示,该漏洞
继续阅读【安全圈】多款云存储平台存在安全漏洞,影响超2200万用户
【安全圈】多款云存储平台存在安全漏洞,影响超2200万用户 安全圈 2024-10-22 19:01 关键词 数据安全 据苏黎世联邦理工学院研究人员Jonas Hofmann和Kien Tuong Turong的发现,端到端加密(E2EE)云存储平台存在一系列安全问题,可能会使用户数据暴露给恶意行为者。在通过密码学分析后,研究人员揭示了Sync、pCloud、Icedrive、Seafile和Tr
继续阅读VMware vCenter Server 堆溢出漏洞(CVE-2024-38812)安全风险通告第二次更新
VMware vCenter Server 堆溢出漏洞(CVE-2024-38812)安全风险通告第二次更新 奇安信 CERT 2024-10-22 18:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 VMware vCenter Server 堆溢出漏洞 漏洞编号 QVD-2024-39988,CVE-2024-38812 公开时间 2024-09-17 影响量级 万
继续阅读谷歌云漏洞奖励计划发布,最高赏金101010美元
谷歌云漏洞奖励计划发布,最高赏金101010美元 Ionut Arghire 代码卫士 2024-10-22 17:27 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌云发布新的漏洞奖励计划 (VRP),如研究员能发现相关产品和服务的漏洞,则最高可获得101010美元的奖励。 这项新的VRP涵盖了460多款产品和服务,研究人员将与谷歌云安全工程师直接交流,使漏洞能够更快地被诊断、复现和
继续阅读智领未来,安全共生 | 360漏洞云亮相“S创上海2024”,共探AI安全发展
智领未来,安全共生 | 360漏洞云亮相“S创上海2024”,共探AI安全发展 360漏洞云 2024-10-22 16:35 近日,S创上海2024科技创新大会在上海西岸艺术中心成功举办。本届大会汇聚了 逾200位全球科技领袖、140+创新企业、1500+投资人及11000+观众,通过主题演讲、圆桌对话、炉边畅谈等多元化形式,深入探讨尖端科技议题和创新理念,旨在引导个人、企业及行业以全新视角审视
继续阅读雷神众测漏洞周报2024.10.14-2024.10.20
雷神众测漏洞周报2024.10.14-2024.10.20 原创 雷神众测 雷神众测 2024-10-22 15:33 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Palo Alto Networks 警告公众利用防火墙劫持漏洞
Palo Alto Networks 警告公众利用防火墙劫持漏洞 胡金鱼 嘶吼专业版 2024-10-22 14:01 Palo Alto Networks 近期提醒客户尽快修补安全漏洞(使用公开的漏洞利用代码),因为这些漏洞可以被链接起来让攻击者劫持 PAN-OS 防火墙。 这些漏洞是在 Palo Alto Networks 的 Expedition 解决方案中发现的,该解决方案有助于从其他 C
继续阅读【漏洞情报】北大方正电子有限公司方正畅享全媒体新闻采编系统存在SQL注入漏洞
【漏洞情报】北大方正电子有限公司方正畅享全媒体新闻采编系统存在SQL注入漏洞 cexlife 飓风网络安全 2024-10-21 23:55 漏洞描述: 北大方正电子有限公司是跨媒体信息传播领域技术、产品和服务的领先提供商,方正畅享全媒体新闻采编系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。官方解决方案:厂商已发布了漏洞修复程序,请及时关注更新:http://www.founder
继续阅读Edusrc证书·实战分享|逻辑缺陷漏洞才是最好挖的高危!
Edusrc证书·实战分享|逻辑缺陷漏洞才是最好挖的高危! 原创 zangcc Eureka安全 2024-10-21 23:09 点击上方 蓝字 关注我们 0x01 前言 网络攻与防的技术迭代很快,曾经经典的sql注入,xss之类的漏洞变得越来越少,从前年开始,我就对逻辑缺陷类漏洞非常着迷,因为它总能给我制造惊喜,像是水平/垂直越权,业务逻辑缺陷(账户余额,积分,打卡等绕过)这种反而是我最擅长的
继续阅读明源云ERP报表服务GetErpConfig.aspx接口存在敏感信息泄露漏洞 附POC
明源云ERP报表服务GetErpConfig.aspx接口存在敏感信息泄露漏洞 附POC 2024-10-21更新 南风漏洞复现文库 2024-10-21 21:56 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 明源云ERP报表服务
继续阅读「漏洞复现」明源云ERP报表服务 GetErpConfig.aspx 信息泄露漏洞
「漏洞复现」明源云ERP报表服务 GetErpConfig.aspx 信息泄露漏洞 冷漠安全 冷漠安全 2024-10-21 20:59 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读联达动力OA UpLoadFile.aspx 任意文件上传漏洞
联达动力OA UpLoadFile.aspx 任意文件上传漏洞 Superhero Nday Poc 2024-10-21 20:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章
继续阅读【成功复现】Bazaar swaggerui任意文件读取漏洞(CVE-2024-40348)
【成功复现】Bazaar swaggerui任意文件读取漏洞(CVE-2024-40348) 原创 弥天安全实验室 弥天安全实验室 2024-10-21 19:21 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Bazarr是Bazarr公司的一款软件,是 Sonarr 和 Radarr 的配套应用程序,
继续阅读Roundcube Webmail XSS 漏洞被用于窃取登录凭据
Roundcube Webmail XSS 漏洞被用于窃取登录凭据 THN 代码卫士 2024-10-21 17:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 未知威胁行动者们被指利用开源网络邮箱软件 Roundcube 中的一个漏洞,发动钓鱼攻击以窃取用户凭据。目前该漏洞已修复。 俄罗斯网络安全公司 Positive Technologies 表示,上个月发现一份邮件被发送到位于一
继续阅读朝鲜APT被指利用IE 0day 发动供应链攻击
朝鲜APT被指利用IE 0day 发动供应链攻击 Ionut Arghire 代码卫士 2024-10-21 17:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁情报公司 AhnLab 和韩国国家网络安全中心 (NCSC) 指出,朝鲜黑客组织被指利用 IE 0day (CVE-2024-38178) 发动供应链攻击。 该漏洞被描述为脚本引擎内存损坏漏洞,可导致远程攻击者在以IE模
继续阅读安全热点周报:OilRig 利用 Windows 内核漏洞针对阿联酋和海湾地区进行间谍活动
安全热点周报:OilRig 利用 Windows 内核漏洞针对阿联酋和海湾地区进行间谍活动 奇安信 CERT 2024-10-21 17:05 安全资讯导视 • 国家数据局《可信数据空间发展行动计划(2024—2028年)》公开征求意见 • 大量个人信息数据遭境外访问窃取,上海某医疗科技企业被行政处罚 • 上市公司科沃斯旗下扫地机被黑并发出骚扰声:用户受惊 官方回应 PART01 漏洞情报 1.
继续阅读