同享人力资源管理系统-TXEHR V15 DownloadTemplate 文件读取漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-02 22:41 1. 漏洞描述 同享人力资源管理系统-TXEHR V15 DownloadTemplate.asmx 接口处存在文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件。 2. 漏洞复现 POST /Service/Downloa
继续阅读【8/2特辑】今日热点漏洞速速自查! 安恒研究院 安恒信息CERT 2024-08-02 20:27 漏洞导览 · EKing-管理易存在任意文件上传漏洞 · EKing-管理易存在任意文件上传漏洞 · 金和OA存在任意用户添加漏洞 · 九思OA存在任意文件上传漏洞 · 方正全媒体采编系统存在任意文件读取漏洞 漏洞概况 在当前网络攻防演练中, 安恒信息 CERT正紧密关注近期曝光的安全漏洞,持续进
继续阅读对“黑客”而言,合适的漏洞奖励和安全披露 管窥蠡测 安在 2024-08-02 19:29 漏洞赏金是一种企业将自己的安全漏洞发现业务众包出去的项目。现实中,白帽可以通过参与不同的漏洞赏金活动来获得丰厚的报酬。《第四届年度黑客驱动安全报告》指出,全球黑客社区的规模和深度在持续增强,该平台有来自不同国家的9名白帽收入已超100万美元。 通过发布漏洞赏金活动,企业能够充分发挥外部白帽资源的作用。在收到
继续阅读「漏洞复现」华天动力OA downloadWpsFile.jsp 任意文件读取漏洞 冷漠安全 冷漠安全 2024-08-02 19:17 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读【HW漏洞】致远互联FE协作办公平台apprvaddNew存在SQL注入漏洞 小白菜安全 小白菜安全 2024-08-02 18:46 漏洞描述 致远互联FE协作办公平台apprvaddNew.jsp存在SQL注入漏洞,未经身份验证的攻击者可以通过此漏洞获取数据库敏感信息。 资产信息 body=”li_plugins_download” 漏洞复现 延时注入3秒 POST /
继续阅读【漏洞预警】用友NC Cloud SQL注入漏洞(CNVD-2024-34169) 原创 聚焦网络安全情报 安全聚 2024-08-02 18:41 预警公告 高危 近日,安全聚实验室监测到用友网络科技股份有限公司 NC Cloud 存在SQL注入漏洞,编号为:CNVD-2024-34169,漏洞评分:8 此漏洞允许攻击者构造特殊的请求,以获取数据库敏感信息。 01 漏洞描述 NC Cloud
继续阅读CVE-2024-36401:GeoServer未授权RCE漏洞 原创 七安 Timeline Sec 2024-08-02 18:04 关注我们❤️,添加星标🌟,一起学安全!作者:七安@Timeline Sec 本文字数:2704阅读时长:2~3min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 GeoServer 是一个开源的地理信息服务器,用于发布和共享地理空间数
继续阅读安天智甲EDR紧急响应输入法高危漏洞 安天集团 2024-08-02 18:04 点击上方”蓝字” 关注我们吧! 01 漏洞概述 2024年8月1日,网传发现某第三方输入法存在绕过windows10、windows11登录系统权限执行任意命令的漏洞。安天攻防实验室初步推断该方法适用于主流的windows10、windows11等版本操作系统,已在Windows10、wind
继续阅读39个关键硬件漏洞隐患盘点 原创 陈发明 数世咨询 2024-08-02 16:00 2018年1月,计算机行业因Meltdown和Spectre两大处理器漏洞而陷入高度警戒。这两个漏洞打破了操作系统内核与用户空间内存之间的基本安全界限。这一缺陷源于现代CPU的性能特点——推测执行,要解决这个问题,全球范围内展开了历史上规模最大的补丁协调工作,涉及CPU制造商、设备制造商以及操作系统供应商。 Me
继续阅读XCon2024议题||挖掘Windows系统组件中的认证前远程代码执行漏洞 XCon组委会 嘶吼专业版 2024-08-02 14:03 循万变·见未来——技术前瞻 未来,远程未授权漏洞的发掘将呈现三大趋势: 1、发掘难度越来越高 2、利用复杂程度越来越高,常常需要配合多个高质量漏洞,并结合目标程序的特性才能完成利用 3、云平台上远程漏洞的重要性越来越高 ——独立安全研究员 古河 在漏洞挖掘
继续阅读2024HVV-0801【0day】xxx狗输入法_逻辑绕过windows登录漏洞 原创 病毒獵手 童杭波 oldhand 2024-08-01 23:44 漏洞描述: 通过xxx狗输入法的游戏中心,打开系统权限的内部指令,直接绕过win11 权限验证登录。 ****## 一.漏洞复现1 步骤1:锁屏界面切换输入法为xxx狗 步骤2:打开屏幕键盘 步骤3:挪动屏幕键盘,点击xxx狗输入法的头像
继续阅读浅谈搜狗输入法0day的原理 原创 Ares Ares信息安全 2024-08-01 23:17 今天在wx群、情报社区,看到了很多师傅发的搜狗输入法的漏洞复现,我自己也在本地复现了一下。 复现完这个漏洞,联想到很多年前用过的破解windows7密码的一个方法,长话短说,简短的讲一下流程: 在windows7的锁屏界面有一个讲述人功能,narrator.exe 通过多次重启计算机,可以诱导系统认为
继续阅读HW2024汇总-8.1(漏洞数173) 小白菜安全 小白菜安全 2024-08-01 21:58 漏洞清单 DAY-20240801 1.用友NC Cloud queryPsnInfo SQL注入 2.【0day】致远互联FE协作办公平台apprvaddNew存在sql注入漏洞 3.FOG敏感信息泄露(CVE-2024-41108) 4.TOTOLINK-A3700R未授权访问漏洞 5.TOTO
继续阅读【0day】同享TXEHR V15人力管理管理平台UploadHandler存在任意文件上传漏洞 小白菜安全 小白菜安全 2024-08-01 21:58 漏洞描述 同享软件成立于1997年,运营中心位于东莞南城南新产业国际。专注研发和推广人力资源信息化产品,帮助企业构建统一的人力资源数智化平台,快速提高企业人才管理能力,提升人力资源管理效率,帮助员工快速成长,协助企业实现智慧决策。同享TXEHR
继续阅读「深蓝特训」2024 移动安全漏洞对抗专场,报名开启 深蓝特训 DARKNAVY 2024-08-01 20:27
继续阅读【漏洞预警】ELECOM 路由器命令执行漏洞(CVE-2024-39607) 原创 聚焦网络安全情报 安全聚 2024-08-01 20:05 预警公告 中危 近日,安全聚实验室监测到 ELECOM 路由器中存在命令执行漏洞,编号为:CVE-2024-39607,漏洞评分:6.8 此漏洞允许具有管理权限的攻击者发送特制的请求,以执行任意操作系统命令。 01 漏洞描述 ELECOM 路由器是一款功
继续阅读漏洞挖掘 | edusrc挖掘的骚技巧 网安探索员 2024-08-01 20:00 码领资料 获网安教程 本文由掌控安全学院 – Tobisec 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 这里主要还是介绍下新手入门edusrc漏洞挖掘以及在漏洞挖掘的过程中信息收集的部分哈!(主要给小白看的,大佬就当看个热闹了)
继续阅读【8/1特辑】今日热点漏洞速递 安恒研究院 安恒信息CERT 2024-08-01 19:24 漏洞导览 · 浪潮云财务系统存在远程命令执行漏洞 · 浪潮云财务系统存在远程命令执行漏洞 · 亿赛通新一代电子安全管理文档存在SQL注入漏洞 · 用友U8CLOUD存在任意文件读取漏洞 · 用友U8CLOUD存在SQL注入漏洞 · 赛蓝企业管理系统存在身份验证绕过漏洞 漏洞概况 在当前网络攻防演练中,
继续阅读Windows10/Windows11使用搜狗输入法漏洞 雾鸣安全 2024-08-01 19:11 雾鸣Team CN Mist Safety 漏洞范围:Windows10/Windows11 漏洞危害:高危 ①利用条件:在Windows10/Windows11登录界面,把输入法换成搜狗输入法。然后点击轻松使用图标,选择屏幕键盘。点击屏幕键盘中的选项按键,弹出来选项界面关闭。然后右下角就出现搜狗
继续阅读告别无效扫描站点漏洞,这两个工具嘎嘎好用 FreeBuf 2024-08-01 19:04 师傅们好,今天想和大家 聊聊两个非常实用的工具,特别适合那些需要 频繁检测网站状态和安全性 的师傅们。 – 手动检测网站存活状态耗时耗力,难以判断网站的实际存活概率,结果整理和分类繁琐。 手动配置和管理扫描任务复杂,单一工具扫描能力有限,动态内容和定制需求难以处理,无法有效追踪和管理漏洞修复进度
继续阅读【安全圈】苹果修复了iOS和macOS中的数十个漏洞 安全圈 2024-08-01 19:01 关键词 安全漏洞 Apple 发布了安全性更新,以应对 iOS、macOS、tvOS、visionOS、watchOS 和 Safari 中的多个漏洞。这家 IT 巨头发布了 iOS 17.6 和 iPadOS 17.6 以解决数十个安全漏洞,包括身份验证和策略绕过、信息泄露和拒绝服务 (DoS) 问题
继续阅读【漏洞预警】Apache SeaTunnel Web 身份验证漏洞(CVE-2023-48396) 原创 聚焦网络安全情报 安全聚 2024-07-31 21:01 预警公告 高危 近日,安全聚实验室监测到 Apache SeaTunnel 中的Web存在身份验证漏洞,编号为:CVE-2023-48396,漏洞评分:8.2 此漏洞由于 jwt 密钥在应用程序中是硬编码,攻击者可以伪造任何令牌来登
继续阅读爱奇艺SRC延长暂停漏洞测试时间公告 爱奇艺安全应急响应中心 2024-07-31 21:00 爱奇艺SRC延长暂停漏洞测试时间公告: 尊敬的白帽子师傅们, 感谢大家一直以来对爱奇艺安全应急响应中心(简称“爱奇艺SRC”)的支持!为了进一步提升服务质量及用户体验,爱奇艺SRC原计划于2024年7月22日至2024年7月31日暂停漏洞接收及平台服务。由于工作调整,暂停服务的时间将延长至2024年8月
继续阅读微软:VMware身份验证绕过漏洞正在被勒索团伙利用 关键基础设施安全应急响应中心 2024-07-31 15:35 7月29日,微软发出警告指出勒索软件的犯罪团伙正在利用VMware ESXi中的一个身份验证绕过漏洞来进行攻击。该安全漏洞被追踪为CVE-2024-37085。 目前漏洞已被Storm-0506、Storm-1175、Octo Tempest和Manatee Tempest的勒索软
继续阅读TOP10 漏洞详解 零漏安全 白帽子社区团队 2024-07-30 22:14 本文仅用于技术研究学习,请遵守相关法律,禁止使用本文所提及的相关技术开展非法攻击行为,由于传播、利用本文所提供的信息而造成任何不良后果及损失,与本账号及作者无关。 关于无问社区 无问社区致力于打造一个面向于网络安全从业人员的技术综合服务社区,可免费获取安全技术资料,社区内技术资料知识面覆盖全面,功能丰富。 特色功能:
继续阅读泛微ecology系统 WorkflowServiceXml 接口处存在SQL注入漏洞 原创 V1xk 渗透小记 2024-07-30 20:44 欢迎来到 渗透小记公众号**** “ 免责声明: 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。” 建议把 渗透小记 公众号设置为 星标 ,这样能更快看
继续阅读某木报表RCE_0day 原创 M9 白昼信安 2024-07-30 20:14 1、漏洞描述 接口是积木报表自带接口,正常访问会提示权限不足,但利用jmLink=YWFhfHxiYmI=可绕过权限校验。绕过权限校验后,可在请求体中注入内存马,可获取服务器权限。 2、漏洞路径 /jeecg-boot/jmreport/save?previousPage=xxx&jmLink=YWFhfHx
继续阅读网络基础设施 Acronis 中的严重漏洞已遭在野利用 Ionut Arghire 代码卫士 2024-07-30 18:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司 Acronis 提醒称,其网络基础设施 (ACI) 产品受一个严重漏洞 (CVE-2023-45249) 影响。该漏洞目前已修复,已遭在野利用。 该漏洞的CVSS评分为9.8,是因使用默认密码引发的远程代
继续阅读WhatsApp Windows版本存在严重漏洞:点击文件会直接执行Python和PHP脚本 看雪学苑 看雪学苑 2024-07-30 17:59 WhatsApp作为全球最流行的即时通讯应用之一,拥有超过20亿用户,每天往来数十亿条消息。然而,最近安全研究人员发现了WhatsApp Windows客户端的一个严重漏洞,该漏洞允许攻击者发送Python和PHP脚本,这些脚本在接收者打开时会被直接执
继续阅读新课已完结!零基础入门Android漏洞挖掘-入门篇 釉子 看雪学苑 2024-07-30 17:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。对于个人而言,掌
继续阅读