【漏洞预警】Apache Ambari < 2.7.8 XXE(CVE-2023-50380)
【漏洞预警】Apache Ambari < 2.7.8 XXE(CVE-2023-50380) cexlife 飓风网络安全 2024-03-01 19:30 漏洞描述:Apache Ambari 是一个基于 Web 的 Apache Hadoop 集群的供应、管理和监控,2024年,官方披露其存在 CVE-2023-50380 Apache Ambari < 2.7.8 XXE 漏洞
继续阅读标签: 漏洞
【漏洞预警】Apache Ambari 命令注入漏洞(CVE-2023-50379)
【漏洞预警】Apache Ambari 命令注入漏洞(CVE-2023-50379) cexlife 飓风网络安全 2024-03-01 19:30 漏洞描述:2.7.8之前的Apache Ambari中存在恶意代码注入导致RCE修复建议:建议用户升级到2.7.8版本,该版本修复了此问题参考链接:http://www.openwall.com/lists/oss-security/2024/02/
继续阅读【安全圈】Windows 零日漏洞正被黑客利用,以此获得内核权限
【安全圈】Windows 零日漏洞正被黑客利用,以此获得内核权限 安全圈 2024-03-01 19:01 关键词 安全漏洞 被称为 Lazarus Group 的朝鲜威胁行为者利用 Windows AppLocker 驱动程序 (appid.sys) 中的漏洞作为零日漏洞来获取内核级访问权限并关闭安全工具,从而绕过嘈杂的 BYOVD(自带易受攻击的驱动程序)技术。 Avast 分析师检测到此活动
继续阅读CVE-2024-25065:Apache OFBiz目录遍历漏洞通告
CVE-2024-25065:Apache OFBiz目录遍历漏洞通告 原创 360CERT 三六零CERT 2024-03-01 18:01 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-719 报告来源:360CERT 报告作者:360CERT 更新日期:2024-03-01 1 漏洞简述 2024年03月01日,360CERT监测发现Apache发布了OFBiz的风险通告,
继续阅读攻击者能够接管任何账户,安全研究员披露Facebook一个零点击漏洞
攻击者能够接管任何账户,安全研究员披露Facebook一个零点击漏洞 看雪学苑 看雪学苑 2024-03-01 17:59 两天前,来自尼泊尔的安全研究员Samip Aryal披露了Facebook的一个零点击漏洞,该漏洞允许攻击者完全接管任何Facebook账户,并且无需受害者点击任何内容。 Samip Aryal表示,当他在Facebook的登录页面上寻找未触及/隐藏/未被注意到的端点时,通过
继续阅读Lazarus黑客利用Windows内核0day发动攻击
Lazarus黑客利用Windows内核0day发动攻击 THN 代码卫士 2024-03-01 17:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 臭名昭著的黑客组织 Lazarus 利用最近修复的Windows Kernel 0day 获得内核级别的访问权限并禁用受陷主机上的安全软件。 该漏洞是CVE-2024-21338(CVSS评分7.8),它可导致攻击者获得系统权限,已由微
继续阅读思科修复 Data Center OS 中的多个高危漏洞
思科修复 Data Center OS 中的多个高危漏洞 Ionut Arghire 代码卫士 2024-03-01 17:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,技术巨头思科发布半年度 FXOS和NX-OS 安全通告,与四个漏洞相关,其中两个是位于 NX-OS 软件中的高危漏洞。 第一个高危漏洞CVE-2024-20321是因为External Boarder Gat
继续阅读Web安全之Nginx常见漏洞解析
Web安全之Nginx常见漏洞解析 学习网络安全到 开源聚合网络空间安全研究院 2024-03-01 17:20 网 安 教 育 培 养 网 络 安 全 人 才 技 术 交 流 、 学 习 咨 询 什么是中间件?什么是中间件漏洞? 中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。但是在开发使用
继续阅读荐读丨企业安全态势的七大常见漏洞
荐读丨企业安全态势的七大常见漏洞 工业安全产业联盟平台 2024-03-01 17:13 网络安全是一场跌宕起伏,永无止境的拉锯战。攻击者的技术和手法不断花样翻新,主打一个 “避实就虚” 和 “出奇制胜”;防御者的策略则强调 “求之于势,不责于人”,依靠整体安全态势和风险策略的成熟度和韧性来化解风险。 此外,经常被忽视的一点是,基础安全策略和实践同样重要。根据微软 2023 年数字防御风险报告,良
继续阅读记一次绕过限制进行漏洞利用
记一次绕过限制进行漏洞利用 原创 mangosteen111 T00ls安全 2024-03-01 17:05 背景 背景为一次授权对某银行的攻防演练测试,进行记录 初探 目标Waf很多,站还少,只找到了一个感觉能搞的项目管理系统 测试了一下,没有枚举、top500+常规弱口令跑了一下也没有弱口令 只能试试看能不能找测试站或者源码了 提取了一波指纹,在fofa上看到有19个 非常幸运,找到一个站点
继续阅读又是一年春光好,漏洞奖励少不了~ 限时奖金上调,X春日礼盒发放中!
又是一年春光好,漏洞奖励少不了~ 限时奖金上调,X春日礼盒发放中! X社区 微步在线 2024-03-01 14:11 3月踏春好时节, “X漏洞奖励计划 ”奖金加码活动续上啦~ 限时奖金上调,限量春日礼盒发放 ,X漏洞奖励计划陪伴各位白帽师傅一起度过烂漫春日时光! 活动时间 3月1日至3月31日 活动范围 本次活动仅针对0day漏洞 ,且需符合以下范围: – 漏洞类型 :能够实现RC
继续阅读【漏洞通告】Apache OFBiz目录遍历漏洞CVE-2024-25065
【漏洞通告】Apache OFBiz目录遍历漏洞CVE-2024-25065 深瞳漏洞实验室 深信服千里目安全技术中心 2024-03-01 11:50 漏洞名称: Apache OFBiz目录遍历漏洞(CVE-2024-25065) 组件名称: Apache OFBiz 影响范围: Apache OFBiz ≤ 18.12.12 漏洞类型: 目录遍历 利用条件: 1、用户认证:未知 2、前置条件
继续阅读【漏洞预警】Apache OFBiz 路径遍历漏洞CVE-2024-25065
【漏洞预警】Apache OFBiz 路径遍历漏洞CVE-2024-25065 cexlife 飓风网络安全 2024-02-29 20:21 漏洞描述: Apache OFBiz是一个开源的企业级应用程序框架,旨在提供一个单一的、集成的解决方案,以管理公司的所有业务流程,从订单处理到财务报告,从供应链管理到客户关系管理。它由Apache软件基金会维护,是一个基于Java EE(现在称为Jakar
继续阅读Hugging Face转换服务存在高风险漏洞
Hugging Face转换服务存在高风险漏洞 安全客 2024-02-29 20:19 安全公司 HiddenLayer 发现 Hugging Face 的 Safetensors 转换服务中存在一个漏洞,攻击者可以利用该漏洞拦截用户上传的 AI 模型并危及供应链。 根据 HiddenLayer报告 ,攻击者可以从 Hugging Face 服务向平台上的任何存储库发送恶意合并请求,并拦截通过转
继续阅读热门 WordPress 插件 Ultimate Member 中存在严重漏洞
热门 WordPress 插件 Ultimate Member 中存在严重漏洞 Ionut Arghire 代码卫士 2024-02-29 19:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全厂商 Defiant 指出,WordPress 插件 Ultimate Member 中存在一个严重的SQL注入漏洞,其下载次数已达到20万次。 该漏洞的编号是CVE-2024-1071(C
继续阅读【安全圈】WordPress 插件存在安全漏洞,500 万网站面临严重风险
【安全圈】WordPress 插件存在安全漏洞,500 万网站面临严重风险 安全圈 2024-02-29 19:00 关键词 安全漏洞 WordPress 的 LiteSpeed Cache 插件中披露了一个安全漏洞,未经身份验证的用户可能会利用该漏洞升级其权限。 该漏洞被跟踪为 CVE-2023-40000,已于 2023 年 10 月在版本 5.7.0.1 中得到解决。 “这个插件存在未经身份
继续阅读TangGo|逻辑漏洞测试系列-拒绝服务漏洞
TangGo|逻辑漏洞测试系列-拒绝服务漏洞 糖果 无糖反网络犯罪研究中心 2024-02-29 18:29 
继续阅读漏洞快报 | Spring Framework解析不当漏洞、Node.js 权限提升漏洞……
漏洞快报 | Spring Framework解析不当漏洞、Node.js 权限提升漏洞…… 梆梆安全 2024-02-29 18:15 近日,梆梆安全专家整理发布安全漏洞报告,主要涉及以下产品/组件: Internet、GitLab、Spring Framework、Node.js, 建议相关 用户及时采取措施做好资产自查与预防工作。 Windows Internet
继续阅读AI模型可被劫持,Hugging Face转换服务存在高风险漏洞
AI模型可被劫持,Hugging Face转换服务存在高风险漏洞 看雪学苑 看雪学苑 2024-02-29 18:08 网络安全公司HiddenLayer上周三在一份报告中表示,他们发现Hugging Face Safetensors转换工具存在着漏洞,可能被利用来劫持AI模型并发动供应链攻击。 Hugging Face是一家从事人工智能(AI)、自然语言处理(NLP)和机器学习(ML)的科技公司
继续阅读预售满10人开班!系统0day安全-二进制漏洞攻防(第3期)
预售满10人开班!系统0day安全-二进制漏洞攻防(第3期) 小雪 看雪学苑 2024-02-29 18:08 好消息!好消息! 系统0day安全-二进制漏洞攻防(第3期)火热开课啦! 想要深入了解二进制漏洞攻防的知识和实践经验吗?想要掌握模糊测试、AFL原**** 理、ASAN原理、网络协议漏洞挖掘、Linux内核漏洞挖掘、AOSP漏洞挖掘以及CodeQL代码审计等多个方面的技能吗? 预售期间享
继续阅读创宇安全智脑 | 金蝶云星空 ServiceGateway 反序列化远程代码执行等33个漏洞可检测
创宇安全智脑 | 金蝶云星空 ServiceGateway 反序列化远程代码执行等33个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-02-29 17:21 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精
继续阅读【漏洞通告】Microsoft Outlook 远程命令执行漏洞
【漏洞通告】Microsoft Outlook 远程命令执行漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-02-29 15:13 01 漏洞概况 该漏洞不需要用户交互。攻击者可以以预览窗格作为攻击媒介制作绕过受保护视图协议的恶意链接,从而绕过 Outlook 的安全功能。成功利用此漏洞的攻击者可获取本地 NTLM 凭据信息并在目标计算机上远程执行任意代码。02 漏洞处置综合处置
继续阅读【漏洞通告】Spring Security 访问控制错误漏洞
【漏洞通告】Spring Security 访问控制错误漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-02-29 15:13 01 漏洞概况 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。 Spring Security版本 6.1.x – 6.1.7之前、6.2.x – 6.2.2 之前,当应用程序直接使
继续阅读【漏洞通告】WordPress Bricks Builder远程命令执行漏洞
【漏洞通告】WordPress Bricks Builder远程命令执行漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-02-29 15:13 01 漏洞概况 Bricks Builder主题是一个创新的、社区驱动的、可视化的WordPress网站构建器Bricks Builder(高级版)主题目前拥有约25,000个有效安装。 WordPress Brick Buil
继续阅读CVE-2024-1918
CVE-2024-1918 原创 fgz AI与网安 2024-02-29 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 北京百绰智能S42管理平台userattestation.php无限制上传 漏洞 02 — 漏洞影响 北京百招智
继续阅读CVE-2024-21732
CVE-2024-21732 原创 fgz AI与网安 2024-02-29 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 FlyCms 安全漏洞(CVE-2024-21732) 02 — 漏洞影响 FlyCms v1.0版本 开源项
继续阅读蓝凌OA wechatLoginHelper存在SQL注入漏洞 附POC软件
蓝凌OA wechatLoginHelper存在SQL注入漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-28 22:58 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 蓝凌OA wechatLoginHelper简介
继续阅读【漏洞预警】Apache Camel ExchangeCreatedEvent 信息泄漏CVE-2024-22371
【漏洞预警】Apache Camel ExchangeCreatedEvent 信息泄漏CVE-2024-22371 cexlife 飓风网络安全 2024-02-28 22:50 漏洞描述:ApacheCamel是开源的系统间数据交互集成框架。EventFactory是ApacheCamel中的一个组件,用于创建和发布事件,由于未对 EventFactory 和 ExchangeCreatedE
继续阅读【漏洞预警】Apache James MIME4J HTTP头注入CVE-2024-21742
【漏洞预警】Apache James MIME4J HTTP头注入CVE-2024-21742 cexlife 飓风网络安全 2024-02-28 22:50 漏洞描述:Apache James 提供 在 JVM 上运行的完整、稳定、安全和可扩展的邮件服务器,当使用MIME4J的DOM来构建消息时,由于不恰当的输入验证,导致了HTTP头注入漏洞,攻击者能够在MIME消息中插入意外的头信息,以此发起
继续阅读【漏洞预警】LangChain langchain-experimental 任意代码执行
【漏洞预警】LangChain langchain-experimental 任意代码执行 cexlife 飓风网络安全 2024-02-28 22:50 漏洞描述:LangChain Experimental 在 pal_chain/base.py 中未禁止对特定Python属性的访问,这些属性包括__import__、subclasses、builtins、globals、getattribu
继续阅读