【漏洞预警】PgAdmin身份验证缺陷漏洞CVE-2024-9014
【漏洞预警】PgAdmin身份验证缺陷漏洞CVE-2024-9014 cexlife 飓风网络安全 2024-09-25 22:34 漏洞描述:pgAdmin发布安全公告,paAdmin 8.11及早期版本的OAuth2认证存在一个身份验证安全漏洞,该漏洞可能允许攻击者获取客户端ID和密钥,从而导致未授权访问用户数据,造成敏感数据泄露。修复建议:正式防护方案:厂商已发布补丁修复漏洞,用户请尽快更新
继续阅读标签: 漏洞
「漏洞复现」某徳知识产权管理系统 UploadFileWordTemplate 文件上传漏洞
「漏洞复现」某徳知识产权管理系统 UploadFileWordTemplate 文件上传漏洞 冷漠安全 冷漠安全 2024-09-25 19:20 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若
继续阅读【安全圈】你的接口漏洞该补上了……
【安全圈】你的接口漏洞该补上了…… 安全圈 2024-09-25 19:02 关键词 安全漏洞 如果支付接口存在漏洞就会给黑客提供可乘之机假如因此被黑客攻击入侵网络运营者同样需要承担责任然而,来宾网警在工作中发现该市某医院对之前公安机关提出的安全漏洞整改要求却“整而不改”于是对这种不履行网络安全义务行为给予行政处罚 案件回顾 2024年4月在“两高一弱”网络安全隐患排查工作中来宾网警发现本地某医院
继续阅读影响全球数百万用户:主流路由器默认设置检出30个可利用漏洞
影响全球数百万用户:主流路由器默认设置检出30个可利用漏洞 安全客 2024-09-25 18:06 在当今数字化快速发展的时代,路由器已成为每个家庭的核心网络设备。随着物联网设备的普及,家庭网络的安全性显得尤为重要。然而,许多用户在设置路由器时并未重视安全配置,导致家庭网络面临潜在的安全威胁。 一项名为《默认暴露:家庭路由器默认设置的安全分析》的研究揭示了家庭路由器中普遍存在的漏洞,强调了其出厂
继续阅读第六期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示
第六期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示 原创 安钥 方桥安全漏洞防治中心 2024-09-25 18:00 扫码添加运营助手获取参赛附件 ▽ 往期入选公布 入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第一期 入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第二期 欢迎关注公众号 ▽
继续阅读【实战攻防纪实】“NGSOC+N”联动出击,7分钟扼杀危急漏洞利用攻击
【实战攻防纪实】“NGSOC+N”联动出击,7分钟扼杀危急漏洞利用攻击 奇安信集团 2024-09-25 17:49 【引言】 2024国家级攻防演练已告一段落。在此次趋于常态化的超长演练时间内,传统的断网、关停端口等临时措施已不再适用于防守企业的防御策略,而是更注重构建常态化的安全防御机制。在这一过程中,单一的安全产品已不足以快速应对更加复杂的威胁。因此 , 打破安全设备孤岛,促进设备间的协同工
继续阅读10个严重漏洞导致数千燃油储罐易受攻击
10个严重漏洞导致数千燃油储罐易受攻击 Jessica Lyons 代码卫士 2024-09-25 17:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 信息安全研究人员表示,由于多家厂商的自动液位计 (Automatic Tank Gauge, ATGs) 系统中存在漏洞,导致位于关键基础设施中的数万个燃油储罐易受 0day 攻击。 ATGs 用于监控存储罐中的燃油量并确保存储罐不会
继续阅读CISA:这个严重的 Ivanti vTM 漏洞已遭利用
CISA:这个严重的 Ivanti vTM 漏洞已遭利用 THN 代码卫士 2024-09-25 17:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施局 (CISA) 周二将影响 Ivanti Virtual Traffic Manager (vTM) 的一个严重漏洞纳入必修清单 (KEV)。 该漏洞是CVE-2024-7593,CVSS评分9.8,可被远程未认
继续阅读【漏洞通告】Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323)
【漏洞通告】Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323) 启明星辰安全简讯 2024-09-25 17:04 一、漏洞概述 漏洞名称 Apache HertzBeat SnakeYaml反序列化漏洞 CVE ID CVE-2024-42323 漏洞类型 反序列化 发现时间 2024-09-23 漏洞评分 8.8 漏洞等级 高危 攻击向量
继续阅读【漏洞通告】pgAdmin信息泄露漏洞(CVE-2024-9014)
【漏洞通告】pgAdmin信息泄露漏洞(CVE-2024-9014) 启明星辰安全简讯 2024-09-25 17:04 一、漏洞概述 漏洞名称 pgAdmin信息泄露漏洞 CVE ID CVE-2024-9014 漏洞类型 信息泄露 发现时间 2024-09-25 漏洞评分 9.9 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野
继续阅读CVE-2024-9014 (CVSS 9.9):pgAdmin 的严重漏洞使用户数据面临风险
CVE-2024-9014 (CVSS 9.9):pgAdmin 的严重漏洞使用户数据面临风险 Ots安全 2024-09-25 15:39 pgAdmin 是 PostgreSQL 数据库的领先开源管理工具,现已发布紧急安全更新,以解决影响 8.11 及更早版本的严重漏洞。此漏洞被标识为CVE-2024-9014,CVSS 评分为9.9,可能使攻击者能够通过 OAuth2 身份验证机制窃取用户数
继续阅读编写 iOS 内核漏洞利用的分步指南
编写 iOS 内核漏洞利用的分步指南 Ots安全 2024-09-25 15:39 介绍 iOS 漏洞利用一直让我着迷,但特别复杂的内核漏洞利用一直是我最感兴趣的。由于过去几年内核漏洞利用变得更加困难,发布的传统漏洞利用 (例如利用虚拟内存损坏漏洞的漏洞利用) 已经减少。然而,尽管如此,felix-pb还是以kfd的名义发布了三个漏洞利用。它们于 2023 年夏季首次发布,是第一个在 iOS 15
继续阅读【漏洞预警】Apache Tomcat资源分配控制不当漏洞可致拒绝服务CVE-2024-38286
【漏洞预警】Apache Tomcat资源分配控制不当漏洞可致拒绝服务CVE-2024-38286 cexlife 飓风网络安全 2024-09-24 23:45 漏洞描述: Apache Tomcat 官方披露了一个拒绝服务漏洞,漏洞源于Apache Tomcat在某些配置下处理TLS握手过程的方式中存在安全缺陷,可能导致攻击者滥用TLS握手以过度消耗内存,从而因内存不足错误而导致拒绝服务。修复
继续阅读警惕 | 风险突出的100个高危漏洞
警惕 | 风险突出的100个高危漏洞 中国信息安全 2024-09-24 19:39 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 高危漏洞是网络系统可能被黑客利用以进行非法访问、数据窃取或系统破坏的严重安全缺陷。每一个操作系统、网络应用都可能存在这样的漏洞。这些漏洞一旦被恶意利用,将给网络系统带来极大的安全风险,可能影响网络系统的正常运行,甚至给网络运营者造
继续阅读上周关注度较高的产品安全漏洞(20240916-20240922)
上周关注度较高的产品安全漏洞(20240916-20240922) 国家互联网应急中心CNCERT 2024-09-24 09:34 一、境外厂商产品漏洞 1、Adobe Animate越界读取漏洞(CNVD-2024-38541) Adobe Animate是美国奥多比(Adobe)公司的一套Flash动画制作软件。Adobe Animate存在越界读取漏洞,攻击者可利用该漏洞获取敏感信息。 参
继续阅读寻找IDOR漏洞:Key Endpoints and Resources
寻找IDOR漏洞:Key Endpoints and Resources 迪哥讲事 2024-09-23 23:12 寻找IDOR漏洞:Key Endpoints and Resources bugbounty笔记 知识星球优惠券放送 今天,在这篇文章中,我将分享一些常见的可以用来寻找IDOR漏洞的端点。我已经对这个主题进行了深入研究,并将分享一些优秀的资源库,这些资源库可以帮助你发现并利用IDO
继续阅读【漏洞预警】Ivanti CloudServiceAppliance 未授权 路径遍历漏洞CVE-2024-8963
【漏洞预警】Ivanti CloudServiceAppliance 未授权 路径遍历漏洞CVE-2024-8963 cexlife 飓风网络安全 2024-09-23 23:00 漏洞描述: Ivanti Cloud Services Appliance(Ivanti CSA)是美国Ivanti公司的一种Internet应用程序,可通过 Internet 提供安全的通信和功能, Ivanti C
继续阅读【相关分享】记一次某985高校的漏洞挖掘
【相关分享】记一次某985高校的漏洞挖掘 原创 隼目安全 隼目安全 2024-09-23 21:39 点击蓝字 关注我们 免责声明 由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢! 先
继续阅读Android活动(Activities)Exploiting 技术
Android活动(Activities)Exploiting 技术 原创 一个不正经的黑客 一个不正经的黑客 2024-09-23 21:00 Activities Exploiting 技术 在本文中,我将详细解释如何利用安卓Activity组件的各种方式。让我们直接进入正题吧…… 什么是Activity? 什么是Activity? – Activity是Android应用程序中的
继续阅读漏洞推送|数字通云平台智慧政务存在登录绕过漏洞
漏洞推送|数字通云平台智慧政务存在登录绕过漏洞 小白菜安全 2024-09-23 20:39 漏洞描述 数字通云平台智慧政务OA产品是基于云计算、大数据、人工智能等先进技术,为政府部门量身定制的智能化办公系统。该系统旨在提高政府部门的办公效率、协同能力和信息资源共享水平,推动电子政务向更高层次发展。数字通云平台 智慧政务OA login接口存在登录绕过漏洞,攻击者可利用该漏洞获取管理员权限。 资产
继续阅读CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞
CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞 Bill Toulas 代码卫士 2024-09-23 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施局 (CISA) 将五个缺陷纳入必修清单,其中一个是影响 Apache HugeGraph-Server 的远程代码执行 (RCE) 漏洞CVE-2024-27348。 该
继续阅读速修复!FreeBSD 中存在严重漏洞
速修复!FreeBSD 中存在严重漏洞 DO SON 代码卫士 2024-09-23 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 FreeBSD 发布安全公告称,bhyve 管理程序的USB仿真功能中存在严重漏洞CVE-2024-41721,CVSS评分为9.8。具体而言,当该USB仿真功能配置为仿真虚拟USB控制器 (XHCI) 上的设备时,就会触发该漏洞。它可导致恶意代码
继续阅读雷神众测漏洞周报2024.09.18-2024.09.22
雷神众测漏洞周报2024.09.18-2024.09.22 原创 雷神众测 雷神众测 2024-09-23 17:17 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读安全热点周报:时隔一周,Ivanti 又公开一云服务设备漏洞正面临在野利用
安全热点周报:时隔一周,Ivanti 又公开一云服务设备漏洞正面临在野利用 奇安信 CERT 2024-09-23 17:07 安全资讯导视 • 《网络安全标准实践指南——敏感个人信息识别指南》发布 • 供应商泄露用户数据,美国电信巨头AT&T被罚超9000万元 • 黎巴嫩寻呼机遭远程攻击大规模爆炸,致使9人死亡数千人受伤 PART01 漏洞情报 1.GitLab SAML认证绕过漏洞安
继续阅读漏洞通告 | Ivanti Cloud Service Appliance 路径穿越漏洞
漏洞通告 | Ivanti Cloud Service Appliance 路径穿越漏洞 原创 微步情报局 微步在线研究响应中心 2024-09-23 15:58 漏洞概况 Ivanti Cloud Service Appliance (CSA) 是 Ivanti 提供的一款本地部署的虚拟设备,旨在简化和增强 Ivanti 产品与云服务的集成。 微步情报局于近日获取到Ivanti Cloud Se
继续阅读ZeroLogon 到 NoPac 漏洞:Black Basta的漏洞利用武器库
ZeroLogon 到 NoPac 漏洞:Black Basta的漏洞利用武器库 安全客 2024-09-23 14:43 在网络安全领域,漏洞利用的演变与黑客组织的攻击手段息息相关。近年来,ZeroLogon(CVE-2020-1472)与 NoPac(CVE-2021-36761)漏洞的利用引起了广泛关注,尤其是由黑客组织 Black Basta的攻击活动。自 2022 年 4 月以来,Bla
继续阅读建了个SRC专项漏洞知识库
建了个SRC专项漏洞知识库 Z2O安全攻防 2024-09-22 20:28 建立了一个 src专项圈子,内容包含src漏洞知识库、src挖掘技巧、src视频教程等,一起学习赚赏金技巧,以及专属微信群一起挖洞 圈子专注于更新src相关: 1、维护更新src专项漏洞知识库,包含原理、挖掘技巧、实战案例 2、分享src优质视频课程 3、分享src挖掘技巧tips 4、小群一起挖洞 图片 图片 图片 图
继续阅读“PKfail”漏洞曝光:全球近千种设备安全启动机制失效
“PKfail”漏洞曝光:全球近千种设备安全启动机制失效 商密君 2024-09-22 18:49 近日安全研究人员发现从游戏机到总统大选投标机的海量设备仍然使用不安全的测试密钥,容易受到UEFI bootkit恶意软件的攻击。 安全启动不安全 在近期的安全研究中,一项涉及设备制造行业安全启动(Secure Boot)保护机制的供应链失败问题引发了广泛关注。此次事件波及的设备型号范围远比之前已知的
继续阅读nuclei+ai 解放双手,自动刷洞,同时poc共享!!
nuclei+ai 解放双手,自动刷洞,同时poc共享!! 朱厌安全 2024-09-22 18:24 背景 之前在github上看到了nuclei新推出的一个浏览器插件,nuclei ai可以利用浏览器浏览器和ai直接对poc数据包生成合适的yaml文件,在星球内进行代shua poc的时候发现很多师傅不会写yaml,故写这篇文章,希望可以利用这个浏览器插件方便大家~~ 2. 项目地址 项目地址
继续阅读【海外SRC赏金挖掘】供应链攻击,通过依赖投毒实现RCE(二) — PyPI
【海外SRC赏金挖掘】供应链攻击,通过依赖投毒实现RCE(二) — PyPI 原创 fkalis fkalis 2024-09-22 17:36 海外SRC赏金挖掘专栏 在学习SRC,漏洞挖掘,外网打点,渗透测试,攻防打点等的过程中,我很喜欢看一些国外的漏洞报告,总能通过国外的赏金大牛,黑客分享中学习到很多东西,有的是一些新的信息收集方式,又或者是一些骚思路,骚姿势,又或者是苛刻环境的
继续阅读