无法修复立即删除!谷歌 EmailGPT 曝零日漏洞
无法修复立即删除!谷歌 EmailGPT 曝零日漏洞 天融信教育 2024-06-14 17:32 Google Chrome 浏览器扩展 EmailGPT 曝出高危零日漏洞。 EmailGPT 是 Google Chrome 的流行扩展程序,通过使用 OpenAI 公开提供的人工智能模型,帮助其用户在 Gmail 服务上撰写电子邮件(用户向该服务提供原始数据和上下文,接收人工智能反馈的内容,以此
继续阅读标签: 漏洞
CNNVD关于PHP 操作系统命令注入漏洞的通报
CNNVD关于PHP 操作系统命令注入漏洞的通报 金盾信安 2024-06-14 17:31 近日,国家信息安全漏洞库(CNNVD)收到关于PHP 操作系统命令注入漏洞(CNNVD-202406-852、CVE-2024-4577)情况的报送。未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入的方式在目标服务器上远程执行代码。PHP多个版本受该漏洞影响。目前,PHP官方已发布新版本修
继续阅读【已复现】SolarWinds Serv-U FTP 目录遍历致文件读取漏洞(CVE-2024-28995)
【已复现】SolarWinds Serv-U FTP 目录遍历致文件读取漏洞(CVE-2024-28995) 长亭应急 黑伞安全 2024-06-14 17:31 Serv-U 是 SolarWinds 公司推出的FTP服务器软件,提供文件传输服务,支持多种协议(FTP、FTPS、SFTP),具有用户管理、文件权限控制等功能,适用于企业级文件传输解决方案。2024年6月,Serv-U 官方 Sol
继续阅读发现在野利用!SolarWinds Serv-U 路径遍历漏洞
发现在野利用!SolarWinds Serv-U 路径遍历漏洞 原创 微步情报局 微步在线研究响应中心 2024-06-14 17:06 漏洞概况 SolarWinds Serv-U是一款功能全面、安全可靠的企业级FTP服务器软件,支持多种文件传输协议,提供Web/移动客户端。SolarWinds Serv-U存在路径遍历漏洞,该漏洞源于容易受到路径穿越影响,允许访问读取主机上的敏感文件。 近日,
继续阅读【漏洞预警】SolarWinds Serv-U FTP 目录遍历文件漏洞(CVE-2024-28995)
【漏洞预警】SolarWinds Serv-U FTP 目录遍历文件漏洞(CVE-2024-28995) 中国电信SRC 电信安全SRC 2024-06-14 16:35 漏洞公告 近日,中国电信SRC监测到 SolarWinds官方发布安全公告,SolarWinds Serv-U存在目录遍历漏洞(CVE-2024-28995)。 SolarWinds Serv-U 容易受到目录横向漏洞的影响,未
继续阅读【漏洞通告】Magento Open Source XXE漏洞(CVE-2024-34102)
【漏洞通告】Magento Open Source XXE漏洞(CVE-2024-34102) 启明星辰安全简讯 2024-06-14 16:20 一、漏洞概述 漏洞名称 Magento Open Source XXE漏洞 CVE ID CVE-2024-34102 漏洞类型 XXE 发现时间 2024-06-14 漏洞评分 9.8 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度
继续阅读【漏洞通告】SolarWinds Serv-U路径遍历漏洞(CVE-2024-28995)
【漏洞通告】SolarWinds Serv-U路径遍历漏洞(CVE-2024-28995) 启明星辰安全简讯 2024-06-14 16:20 一、漏洞概述 漏洞名称 SolarWinds Serv-U路径遍历漏洞 CVE ID CVE-2024-28995 漏洞类型 路径遍历 发现时间 2024-06-14 漏洞评分 8.6 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低
继续阅读美国削减国家漏洞库预算,或造成全球网络防御基础数据缺失
美国削减国家漏洞库预算,或造成全球网络防御基础数据缺失 关键基础设施安全应急响应中心 2024-06-14 15:27 美国政府削减国家漏洞库的预算,导致无人处理富化CVE属性信息,全球网络防御基础数据出现缺失状况,引发业界广泛关注。目前,CISA、NIST正在着手解决这一问题。 6月13日消息,最新研究显示,自今年2月美国政府宣布削减国家漏洞数据库(NVD,由NIST运营,以下简称NVD漏洞库)
继续阅读【知道创宇404实验室】CVE-2024-4577从漏洞广告到勒索攻击只用了2天
【知道创宇404实验室】CVE-2024-4577从漏洞广告到勒索攻击只用了2天 原创 heige 黑哥虾撩 2024-06-14 15:10 之前我写过很多通过ZoomEye来对勒索等攻击事件进行态势感知的案例(请翻看本号的历史文章),这次简单看看这几天的CVE-2024-4577 PHP这个漏洞,这里直接ZoomEye搜索php.locked 这个主要找到都是存在目录遍历问题的目标,因为很多的
继续阅读【漏洞通告】SolarWinds Serv-U FTP 目录遍历文件读取漏洞(CVE-2024-28995)
【漏洞通告】SolarWinds Serv-U FTP 目录遍历文件读取漏洞(CVE-2024-28995) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-06-14 14:56 漏洞名称: SolarWinds Serv-U FTP 目录遍历文件读取漏洞(CVE-2024-28995) 组件名称: SolarWinds-Serv-U FTP Server 影响范围: SolarWinds
继续阅读每周安全速递²⁹⁷|TellYouThePass勒索软件利用最新PHP RCE漏洞
每周安全速递²⁹⁷|TellYouThePass勒索软件利用最新PHP RCE漏洞 第59号 2024-06-14 14:28 第 297期 本周热点事件威胁情报 1 TellYouThePass勒索软件利用最新PHP RCE漏洞 TellYouThePass勒索软件团伙一直在利用最近修补的CVE-2024-4577远程代码执行漏洞,通过PHP传递webshell并在目标系统上执行加密器负载。攻击
继续阅读【漏洞复现】用友分析云存在druid未授权访问漏洞
【漏洞复现】用友分析云存在druid未授权访问漏洞 仲瑿 新势界NewFrontier 2024-06-14 14:00 声明 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 公众号现在只对常读和星标的公众号才展示大图推送,建议
继续阅读漏洞预警-CVE-2024-30080
漏洞预警-CVE-2024-30080 原创 CyberOk CyberOk 2024-06-14 13:53 本月周二,Microsoft发布了49个CVE编号漏洞信息及相关补丁,没有零日漏洞或公开披露的漏洞。漏洞涉及其操作系统、办公软件、开发软件、云平台及其他相关组件。本次公布漏洞中,1个被评为严重。该漏洞(CVE-2024-30080)是Microsoft Message Queuing (
继续阅读【已复现】SolarWinds Serv-U 目录遍历漏洞(CVE-2024-28995)安全风险通告
【已复现】SolarWinds Serv-U 目录遍历漏洞(CVE-2024-28995)安全风险通告 奇安信 CERT 2024-06-14 13:46 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 SolarWinds Serv-U 目录遍历漏洞 漏洞编号 QVD-2024-21929,CVE-2024-28995 公开时间 2024-06-05 影响量级 十万级 奇安信
继续阅读2024HW,必备漏洞库
2024HW,必备漏洞库 Hacking黑白红 2024-06-14 13:32 本文字数:1947|预计3分钟读完 2024Hw在即将,号主准备了近几年HW期间常见的漏洞,以供参考, 蓝队做好防护,红队做好攻击。 文丨 hacking 编辑丨谭璐
继续阅读【漏洞通告】Composer PHP依赖项管理器命令注入漏洞安全风险通告
【漏洞通告】Composer PHP依赖项管理器命令注入漏洞安全风险通告 嘉诚安全 2024-06-14 13:17 漏洞背景 近日,嘉诚安全监测到Composer中存在一个PHP依赖项管理器命令注入漏洞,漏洞编号为:CVE-2024-35242。 Composer是PHP开发领域中最受欢迎的依赖项管理工具之一,使PHP开发者能够轻松地管理项目中的依赖关系,并确保这些依赖项在不同环境中的一致性和可
继续阅读【漏洞通告】JetBrains IntelliJ IDE信息泄露漏洞安全风险通告
【漏洞通告】JetBrains IntelliJ IDE信息泄露漏洞安全风险通告 嘉诚安全 2024-06-14 13:17 漏洞背景 近日,嘉诚安全监测到JetBrains IntelliJ IDE中存在一个信息泄露漏洞,漏洞编号为:CVE-2024-37051,目前该漏洞 细节及PoC已公开。 JetBrains IntelliJ是一个集成开发环境(IDE)平台,由JetBrains公司开发并
继续阅读警惕隐藏在网络社交媒体中的“猎密者”;CNNVD通报PHP 操作系统命令注入漏洞 | 牛览
警惕隐藏在网络社交媒体中的“猎密者”;CNNVD通报PHP 操作系统命令注入漏洞 | 牛览 安全牛 2024-06-14 12:04 点击蓝字·关注我们 / aqniu 新闻速览 ㆍ警惕隐藏在网络社交媒体中的“猎密者” ㆍCNNVD通报PHP 操作系统命令注入漏洞 ㆍ卡巴斯基在ZkTeco生物扫描识别设备中发现多个安全缺陷 ㆍ一种新的网络钓鱼工具包现身,可使用PWA窃取登录凭证 ㆍ黑客在暗网上
继续阅读CVE-2024-28995(SolarWinds Serv-U 中的路径遍历 – 概念验证
CVE-2024-28995(SolarWinds Serv-U 中的路径遍历 – 概念验证 Ots安全 2024-06-14 11:39 技术分析 概述 2024 年 6 月 5 日,SolarWinds 发布了一份针对 CVE-2024-28995 的公告,这是一个影响其文件传输解决方案 Serv-U 的高严重性目录遍历漏洞。该漏洞是由Web Immunify的研究员Hussein
继续阅读Wikimedia/svgtranslate 2.0.1 远程代码执行
Wikimedia/svgtranslate 2.0.1 远程代码执行 Ots安全 2024-06-14 11:39 系统概述 SVGTranslate由维基媒体开发,将SVG文件转换为PNG图像,同时允许在SVG内容中进行基于语言的文本替换。此 PHP 后端应用程序的结构通过 ApiController.php 和 Renderer.php 管理功能。源代码托管在 SVGTranslate 的
继续阅读没有秘密 || 利用 Veeam CVE-2024-29855
没有秘密 || 利用 Veeam CVE-2024-29855 Ots安全 2024-06-14 11:39 Veeam 发布了针对影响Veeam Recovery Orchestrator 的身份验证绕过漏洞 CVE-2024-29855 的CVSS 9公告,以下是我对此问题的完整分析和利用,虽然问题并不像听起来那么严重(不要惊慌)但我发现这个漏洞的机制有点有趣,并决定发布我的详细分析和利用。
继续阅读什么是基于风险的漏洞管理RBVM及其优势
什么是基于风险的漏洞管理RBVM及其优势 原创 xiejava fullbug 2024-06-14 11:30 一、什么是漏洞管理 安全漏洞是网络或网络资产的结构、功能或实现中的任何缺陷或弱点,黑客可以利用这些缺陷或弱点发起网络攻击,获得对系统或数据的未经授权的访问,或以其他方式损害组织。常见漏洞的示例包括可能允许某些类型的恶意软件进入网络的防火墙配置错误,或可能允许黑客接管设备的操作系统远程桌
继续阅读建议立即删除!谷歌 EmailGPT 曝零日漏洞
建议立即删除!谷歌 EmailGPT 曝零日漏洞 邑安科技 邑安全 2024-06-14 10:34 更多全球网络安全资讯尽在邑安全 Google Chrome 浏览器扩展 EmailGPT 曝出高危零日漏洞。 EmailGPT 是 Google Chrome 的流行扩展程序,通过使用 OpenAI 公开提供的人工智能模型,帮助其用户在 Gmail 服务上撰写电子邮件(用户向该服务提供原始数据和上
继续阅读CVE-2024-37393 漏洞复现
CVE-2024-37393 漏洞复现 原创 fgz AI与网安 2024-06-14 10:22 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 SecurEnvoy身份验证-LDAP注入漏洞 02 — 漏洞影响 multi-factor_aut
继续阅读【未公开】悦库企业网盘存在.html SQL注入漏洞
【未公开】悦库企业网盘存在.html SQL注入漏洞 我吃饼干 2024-06-14 10:22 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。 任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。 使用本文所
继续阅读【漏洞复现】电信网关del_file.php存在命令执行
【漏洞复现】电信网关del_file.php存在命令执行 mole5 云鸦安全 2024-06-14 09:48 一、产品描述 电信公网网关是一种由电信运营商提供的服务设施,它连接用户和互联网,充当双方之间的连接桥梁。其核心职能包括执行网络地址转换(NAT)、执行安全审查和保护措施、管理网络流量、进行数据的加密与解密,以及对数据进行压缩和解压,确保用户与互联网之间通信的顺畅和安全。 二、漏洞复现
继续阅读CVE-2024-21893影响Ivanti产品
CVE-2024-21893影响Ivanti产品 云梦安全 2024-06-14 09:33 CVE-2024-21893漏洞在Ivanti Connect Secure、Ivanti Policy Secure及Ivanti Neurons for ZTA产品中的一个严重服务器端请求伪造(SSRF)漏洞。该漏洞允许攻击者在无需认证的情况下,访问某些受限资源。 漏洞概述 CVE-2024-2189
继续阅读【高危漏洞】k8sGPT存在多个漏洞
【高危漏洞】k8sGPT存在多个漏洞 皓月当空w 2024-06-14 09:22 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称: k8sGPT存在多个漏洞 漏洞出现时间:2024年6月14日 影响等级:高危 漏洞说明: 在k8sGPT中发现的漏洞总数。已在发布中修复https://github.com/k8sgpt-ai/k8sgpt/releases/tag/v0.3.3
继续阅读Google修复了Pixel固件中一个正在被积极利用的零日漏洞
Google修复了Pixel固件中一个正在被积极利用的零日漏洞 鹏鹏同学 黑猫安全 2024-06-14 09:15 Google警告称,Pixel固件中存在一个权限提升漏洞,编号为CVE-2024-32896,该漏洞已作为零日漏洞在野外被利用。公告中提到:“有迹象表明,CVE-2024-32896可能正在被有限、定向地利用。” 正如往常一样,这家IT巨头并未提供有关利用上述问题的攻击的技术信息。
继续阅读