「深蓝洞察」2023 年度最死而不僵的漏洞
「深蓝洞察」2023 年度最死而不僵的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-24 20:18 回顾 Android 的发展历程,各种反序列化相关的漏洞曾多次被公开披露和修复。 其中最具代表性的当属 Bundle Mismatch 相关的漏洞,它即是深蓝洞察去年发布的 2022 年度最“不可赦”的漏洞利用 所揭示的,堪称史上最大规模的在野攻击所利用的核心漏洞。 Google 引入了
继续阅读标签: 漏洞
【安全圈】Joomla 发现5个漏洞可执行任意代码
【安全圈】Joomla 发现5个漏洞可执行任意代码 安全圈 2024-02-24 19:00 关键词 安全漏洞 在Joomla内容管理系统中发现了五个漏洞,可用于在易受攻击的网站上执行任意代码。开发人员已通过在版本5.0.3和4.4.3中发布CMS修复程序来解决这些影响Joomla多个版本的安全问题。 1. CVE-2024-21722 :当用户的多重身份验证 (MFA) 方法发生更改时, MFA
继续阅读在看 | 周报:华莱士系统漏洞被薅羊毛;16人买卖100万条个人信息;2中国公民骗5000台iPhone被抓
在看 | 周报:华莱士系统漏洞被薅羊毛;16人买卖100万条个人信息;2中国公民骗5000台iPhone被抓 管窥蠡测 安在 2024-02-24 18:05 热点事件,政策法规,产业要闻,资讯报告,尽在「网安周报」。与网安发展同步,采业界资讯共赏,天天见闻,周周必报。 安全事件 1、华莱士系统漏洞致储值套餐券免费领取 据称,原本属于储值用户专享的免费套餐券,疑似出现故障,被免费发放给了广大非储值
继续阅读“虚拟号码”场景下的逻辑漏洞挖掘(全网原创首发)
“虚拟号码”场景下的逻辑漏洞挖掘(全网原创首发) 原创 庆尘qc Daylight庆尘 2024-02-24 14:51 引言 由于最近挖洞遇到的虚拟号码场景比较多,且都存在各种各样的问题,所以本篇文章来总结一下在该场景下应该如何有效地,快速地进行逻辑漏洞挖掘(文章中涉及真实信息,所以厚码,见谅) 一、漏洞分析 这里要讲的虚拟号码场景,应该不少师傅也都遇到过,一般流程如下 某些功能需要
继续阅读漏洞复现-用友U8-OA协同工作系统doUpload.jsp任意文件上传(附poc
漏洞复现-用友U8-OA协同工作系统doUpload.jsp任意文件上传(附poc Y1_K1NG Yi安全 2024-02-24 14:49 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感信息均 已做多层打马处
继续阅读内部漏洞库,福利开局
内部漏洞库,福利开局 黑熊安全 2024-02-24 12:39 免责声明 不能用于传播、利用本公众号奉天安全团队提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 奉天安全团队及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即 删除并致歉,谢谢! 内部漏洞平台介绍 团队内部 漏洞平台 分享一些通杀day、1day、未公开的POC。当然我们漏洞
继续阅读某恩特文件上传漏洞分析
某恩特文件上传漏洞分析 AGONI 白帽子左一 2024-02-24 12:04 扫码领资料 获网安教程 0X01 前言 最近这段时间某恩特,公众号到处在发,该系统的0day漏洞,可谓是漫天飞了,且利用方式也及其简单,本文就是对该系统目前所爆出来的漏洞进行一个漏洞分析,并在最后给出一个该系统未被公布的0day 基本上都是这两天的,非常的集中 0X02 漏洞分析 我们来看一下最开始原始的POC 定位
继续阅读【漏洞通告】Microsoft Outlook 远程命令执行漏洞CVE-2024-21413
【漏洞通告】Microsoft Outlook 远程命令执行漏洞CVE-2024-21413 深益研究实验室 深信服千里目安全技术中心 2024-02-24 11:21 漏洞名称: Microsoft Outlook 远程代码执行漏洞(CVE-2024-21413) 组件名称: Microsoft Outlook 影响范围: Microsoft Office 2016 (64-bit editio
继续阅读研究人员详细介绍了苹果最近的零点击快捷方式漏洞
研究人员详细介绍了苹果最近的零点击快捷方式漏洞 THN 知机安全 2024-02-24 10:52 Details have emerged about a now-patched high-severity security flaw in Apple’s Shortcuts app that could permit a shortcut to access sensitive i
继续阅读新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔”
新 Wi-Fi 漏洞导致 Android 和 Linux 设备近乎“裸奔” 小王斯基 FreeBuf 2024-02-24 09:30 左右滑动查看更多 网络安全研究人员发现,在安卓、Linux 和 ChromeOS 设备的开源 Wi-Fi 软件中存在两个身份验证绕过漏洞。据悉,安全漏洞可能诱使用户加入合法网络的恶意“克隆”,允许威胁攻击者在没有密码的情况下加入可信网络。 安全研究人员对 wpa_
继续阅读ScreenConnect 漏洞(“SlashAndGrab”)被广泛利用于恶意软件传播
ScreenConnect 漏洞(“SlashAndGrab”)被广泛利用于恶意软件传播 军哥网络安全读报 2024-02-24 09:00 导读 影响 ConnectWise 的 ScreenConnect 远程桌面访问产品的严重漏洞已被广泛利用来传播勒索软件和其他类型的恶意软件。 ConnectWise 于 2 月 19 日通知客户,它已发布针对关键身份验证绕过缺陷和高严重性路径遍历问题的补丁
继续阅读Chrome 122、Firefox 123 修补高严重性漏洞
Chrome 122、Firefox 123 修补高严重性漏洞 原创 铸盾安全 河南等级保护测评 2024-02-24 00:01 谷歌和 Mozilla 本周发布了 Chrome 和 Firefox 软件更新,以解决这两种浏览器中的多个漏洞,包括高严重性内存安全漏洞。 周二,Chrome 122 在稳定通道中发布,修补了 12 个安全缺陷,其中包括外部研究人员报告的 8 个缺陷。 其中两个是高严
继续阅读人工智能开发供应链披露的八个漏洞
人工智能开发供应链披露的八个漏洞 原创 何威风 祺印说信安 2024-02-24 00:01 人工智能网络安全初创公司Protect AI披露了用于开发内部人工智能和机器学习模型的开源供应链中发现的八个漏洞的详细信息。全部都有 CVE 编号,其中 1 个具有严重严重性,7 个具有高严重性。 这些漏洞通过 Protect AI 的二月份漏洞 报告 进行披露。他们是: – CVE-2023
继续阅读【0day漏洞】Internet快捷方式文件安全特性绕过漏洞(CVE-2024-21412)安全风险通告
【0day漏洞】Internet快捷方式文件安全特性绕过漏洞(CVE-2024-21412)安全风险通告 原创 QAX CERT 奇安信 CERT 2024-02-24 00:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Internet快捷方式文件安全特性绕过漏洞 漏洞编号 QVD-2024-6259,CVE-2024-21412 公开时间 2024-02-14 影响
继续阅读最新Invicti-Professional-v24.2.0.43677漏洞扫描器下载
最新Invicti-Professional-v24.2.0.43677漏洞扫描器下载 原创 城北 渗透安全HackTwo 2024-02-24 00:00 前言 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 Invicti Professional Edition 是一款
继续阅读JAVA代码审计之XSS漏洞
JAVA代码审计之XSS漏洞 原创 goddemon goddemon的小屋 2024-02-23 22:56 Part1 漏洞案例demo: 没有java代码审计XSS漏洞拿赏金的案例。 所以将就看看demo吧 漏洞原理:关于XSS漏洞的漏洞原理核心其实没啥好说的,网上一查一大堆。 反射性XSS漏洞 <%@ page language="java" contentTy
继续阅读WordPress的Bricks主题存在远程命令执行漏洞CVE-2024-25600 附POC软件
WordPress的Bricks主题存在远程命令执行漏洞CVE-2024-25600 附POC软件 南风徐来 南风漏洞复现文库 2024-02-23 22:52 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. WordPress简介
继续阅读【漏洞通告】Spring Framework URL解析不当漏洞(CVE-2024-22243)
【漏洞通告】Spring Framework URL解析不当漏洞(CVE-2024-22243) 网安百色 2024-02-23 19:31 一、漏洞概述 漏洞名称 Spring Framework URL解析不当漏洞 CVE ID CVE-2024-22243 漏洞类型 重定向、SSRF 发现时间 2024-02-22 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用
继续阅读【安全圈】注意!苹果快捷方式漏洞 (CVE-2024-23204) 可以暴露敏感数据
【安全圈】注意!苹果快捷方式漏洞 (CVE-2024-23204) 可以暴露敏感数据 安全圈 2024-02-23 19:03 关键词 安全漏洞 网络安全公司 Bitdefender 在 Apple Shortcuts 中发现了一个严重等级为 7.5/10 的漏洞,允许攻击者在不提示用户的情况下访问敏感数据。 根据 Bitdefender 于 2024 年 2 月 22 日发布的博客文章,此漏洞被
继续阅读微软Outlook中#MonikerLink漏洞的风险和大局观
微软Outlook中#MonikerLink漏洞的风险和大局观 晶颜123 FreeBuf 2024-02-23 18:59 近日,Check Point Research发布了一份名为 《明显的、一般的和高级的:Outlook攻击向量的综合分析》 (The Obvious, The Normal and The Advanced: a Comprehensive Analysis of Outl
继续阅读【漏洞预警】GitLab 16.9存储型XSS漏洞CVE-2024-1451
【漏洞预警】GitLab 16.9存储型XSS漏洞CVE-2024-1451 cexlife 飓风网络安全 2024-02-23 18:55 漏洞描述: GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台,GitLab 受影响版本中的用户资料页面存在存储型XSS漏洞,攻击者可将恶意载荷添加到个人资料(Pronunciation字段)中,并诱导其他用户访问攻击者个人资料进而执行恶
继续阅读【漏洞预警】Spring Framework URL解析不当漏洞(CVE-2024-22243)
【漏洞预警】Spring Framework URL解析不当漏洞(CVE-2024-22243) cexlife 飓风网络安全 2024-02-23 18:55 漏洞描述: Spring Framework 是一个功能强大的 Java 应用程序框架,旨在提供高效且可扩展的开发环境,UriComponentsBuilder是Spring Framework 提供的一个实用工具类,用于构建和处理URI
继续阅读SRC案例 | 某公司小程序四个漏洞挖掘过程
SRC案例 | 某公司小程序四个漏洞挖掘过程 原创 lyc Timeline Sec 2024-02-23 18:33 前言 好不容易才抽点时间学习一下渗透,补天公益SRC上随手找了一家公司练手。因为公益SRC很多时候拼手速和资产收集,所以这次直接瞄准小程序开搞。 漏洞一:逻辑漏洞 找到第一个小程序 然后微信登陆此小程序 接着在”首页“点击”签收凭证“,抓取此数据包 数据包如下图,将此数据包里面的
继续阅读CVE-2024-21413:Microsoft Outlook 远程代码执行漏洞通告
CVE-2024-21413:Microsoft Outlook 远程代码执行漏洞通告 原创 360CERT 三六零CERT 2024-02-23 18:25 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-704 报告来源:360CERT 报告作者:360CERT 更新日期:2024-02-23 1 漏洞简述 2024年02月23日,360CERT监测发现Microsoft发布了
继续阅读开发人员注意:速修复这个严重的 Fiber Go 漏洞!
开发人员注意:速修复这个严重的 Fiber Go 漏洞! DO SON 代码卫士 2024-02-23 18:24 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 使用 Fiber Go web 框架的开发人员应立即修复位于中间件 CORS 中的一个严重漏洞CVE-2024-25124(CVSS评分9.4)。该漏洞是因为在同步启用凭据时允许CORS 配置中出现通配符Origin (“*”)
继续阅读苹果 Shortcuts 零点击漏洞可导致数据被盗
苹果 Shortcuts 零点击漏洞可导致数据被盗 Nathan Eddy 代码卫士 2024-02-23 18:24 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果 Shortcuts 中存在一个危险漏洞 (CVE-2024-23204),可导致攻击者在无需获得权限的情况下访问设备的敏感数据。 苹果的 Shortcuts 应用为 macOS 和 iOS 而设置,旨在将任务自动化。对于
继续阅读【成功复现】WordPress Bricks Builder远程命令执行漏洞(CVE-2024-25600)
【成功复现】WordPress Bricks Builder远程命令执行漏洞(CVE-2024-25600) 原创 弥天安全实验室 弥天安全实验室 2024-02-23 18:23 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍WordPress和WordPress plugin都是WordPress基金
继续阅读Spring Boot系列漏洞(一)
Spring Boot系列漏洞(一) 威零安全团队 2024-02-23 18:00 ****## 现在只对常读和星标的公众号才展示大图推送,建议大家能把威零安全实验室“设为星标”,否则可能就看不到了啦! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 由于传播、利用本公众号所发布的而
继续阅读权威认可|中孚信息荣获工信部CAPPVD漏洞库感谢信
权威认可|中孚信息荣获工信部CAPPVD漏洞库感谢信 中孚信息 2024-02-23 17:57 近日,工业和信息化部移动互联网APP产品安全漏洞专业库(以下简称“CAPPVD”)向中孚信息发来感谢信,表彰中孚信息对CAPPVD的专项支撑,以及向CAPPVD报送漏洞等方面工作的突出贡献。 作为工信部CAPPVD漏洞库技术支撑单位,中孚信息积极完成各项支撑工作,在协助做好网络产品安全漏洞管理、消控国
继续阅读WordPress爆炸性0day,直接RCE!附POC
WordPress爆炸性0day,直接RCE!附POC 网络安全007 信安404 2024-02-23 17:50 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 师傅们,过年好呀! 现在安全行业越来越难混了,安全的门槛越来越低了,现在如
继续阅读