【漏洞通告】JeecgBoot 安全漏洞(CVE-2024-57606)
【漏洞通告】JeecgBoot 安全漏洞(CVE-2024-57606) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况 JeecgBoot是中国国炬(Jeecg)公司的一个适用于企业 Web 应用程序的 Java 低代码平台。JeecgBoot v.3.7.2版本存在安全漏洞,该漏洞源于包含一个SQL注入漏洞允许远程攻击者通过getTotalData组件获取敏感信息
继续阅读标签: 行业
【漏洞通告】OpenProject存储的HTML注入脆弱性(CVE-2025-24892)
【漏洞通告】OpenProject存储的HTML注入脆弱性(CVE-2025-24892) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况OpenProject是一款开源的基于网络的项目管理软件。在版本低于15.2.1的情况下,应用程序在显示群组管理部分时未能正确地净化用户输入。使用HTML脚本标签创建的群组在渲染到项目中时未能得到适当的转义处理。这个问题已在OpenPro
继续阅读【漏洞通告】QingScan 安全漏洞(CVE-2024-57278)
【漏洞通告】QingScan 安全漏洞(CVE-2024-57278) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况在RT-Thread的5.1.0版本之前,发现了一个分类为问题的漏洞。该漏洞影响了位于rt-thread/components/lwp/lwp_syscall.c文件中的sys_thread_create函数。对参数arg[0]的操作导致了信息泄露。02 漏
继续阅读【漏洞通告】DWT-目录和列表WordPress主题 验证通过短代码(CVE-2025-0169)存储的跨站点脚本
【漏洞通告】DWT-目录和列表WordPress主题 验证通过短代码(CVE-2025-0169)存储的跨站点脚本 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况 DWT – Directory & Listing WordPress主题在版本3.3.4及之前存在存储型跨站脚本漏洞(Stored Cross-Site Scripting),这是
继续阅读【漏洞通告】Dreamvention Live Ajax搜索免费Live_search.SearchResults搜索SQL注入
【漏洞通告】Dreamvention Live Ajax搜索免费Live_search.SearchResults搜索SQL注入 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况Dreamvation Live AJAX Search Free up至1.0.6在OpenCart上发现了一个被分类为关键的漏洞。该漏洞影响文件/?route=extension/live_sea
继续阅读【漏洞通告】WP DirectoryBox Manager 身份验证旁路(CVE-2025-0316)
【漏洞通告】WP DirectoryBox Manager 身份验证旁路(CVE-2025-0316) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况WordPress的WP Directorybox Manager插件在版本2.5及以下存在认证绕过漏洞。这是由于在’wp_dp_enquiry_agent_contact_form_submit_callback
继续阅读OpenSSL软件库曝高危漏洞,可实施中间人攻击 | 微软:生成式AI可导致人类认知能力下降
OpenSSL软件库曝高危漏洞,可实施中间人攻击 | 微软:生成式AI可导致人类认知能力下降 e安在线 e安在线 2025-02-13 02:34 OpenSSL软件库曝高危漏洞,可实施中间人攻击 OpenSSL 修补了由苹果发现的高严重性漏洞 CVE-2024-12797,该漏洞可能导致中间人攻击。 OpenSSL 项目在其安全通信库中修复了一个高严重性漏洞,编号为 CVE-2024-12797
继续阅读国内外网络安全政策动态(2025年1月)
国内外网络安全政策动态(2025年1月) 网安加社区 2025-02-12 23:01 ▶︎ 1.国家互联网信息办公室发布《个人信息出境个人信息保护认证办法(征求意见稿)》 1月3日,国家互联网信息办公室发布《个人信息出境个人信息保护认证办法(征求意见稿)》。根据《意见稿》,个人信息出境个人信息保护认证,是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构,对个人信息处理
继续阅读汽车供应链攻击、0day漏洞攻击……2024年网络安全领域呈现这些态势
汽车供应链攻击、0day漏洞攻击……2024年网络安全领域呈现这些态势 网络安全和信息化 2025-02-12 08:48 汽车供应链攻击、国产化软件系统攻击、通信设备成武器、0day漏洞攻击……2024年,具有“国家级”背景的组织在网络空间发起的高隐蔽性、高破坏性攻击活动更加频繁,其影响早已在全球网络空间层面外,成为地缘政治乃至全球政治气候的“晴雨表”。 “因此,加强国际合作、共同应对数字安全挑
继续阅读月子会所ERP管理云平台 GetData.ashx SQL注入漏洞
月子会所ERP管理云平台 GetData.ashx SQL注入漏洞 Superhero nday POC 2025-02-12 02:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读“挖漏洞换酒钱?通过信息收集挖到企业的严重漏洞全纪录思路分享
“挖漏洞换酒钱?通过信息收集挖到企业的严重漏洞全纪录思路分享 原创 蜜汁叉烧 白帽子社区团队 2025-02-12 02:07 关于无问社区 无问社区-官网:http://www.wwlib.cn 本文来自社区成员,蜜汁叉烧饭投稿。欢迎大家投稿,投稿可获得无问社区AI大模型的使用红包哦! 无问社区:网安文章沉浸式免费看! 无问AI大模型不懂的问题随意问! 全网网安资源智能搜索只等你来! 元宵佳节
继续阅读元宵福利 | WebShell、内存马技术、反序列化漏洞文章和工具汇总
元宵福利 | WebShell、内存马技术、反序列化漏洞文章和工具汇总 哈拉少安全小队 2025-02-12 01:38 01 欢迎加入社区 一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。 元宵优惠活动,限时领取40元优惠券,数量不多,手快有!!! 02 .NET攻防星球年度专
继续阅读高危!Palo Alto防火墙曝供应链级漏洞,Secure Boot绕过+固件篡改风险激增
高危!Palo Alto防火墙曝供应链级漏洞,Secure Boot绕过+固件篡改风险激增 原创 Hankzheng 技术修道场 2025-02-11 23:48 导语 : 全球知名安全厂商Palo Alto Networks多款企业级防火墙被曝存在”供应链级”高危漏洞!安全团队Eclypsium研究发现,攻击者可绕过Secure Boot保护 、篡改固件植入持久化后门,P
继续阅读泄露近600万客户敏感数据,这家金融机构被罚超1.4亿元
泄露近600万客户敏感数据,这家金融机构被罚超1.4亿元 能信安资讯 2025-02-11 07:10 网络安全预警通报 安全新闻 2025年2月11日 01 泄露近600万客户敏感数据,这家金融机构被罚超1.4亿元 美国湾景资产管理公司(Bayview Asset Management)因数据泄露事件及涉嫌未能充分配合事后监管调查,被罚款2000万美元(约合人民币1.46亿元)。 湾景总部
继续阅读「深蓝洞察」2024年度最狂躁不安的漏洞
「深蓝洞察」2024年度最狂躁不安的漏洞 原创 深蓝洞察 DARKNAVY 2025-02-11 06:48 在安全研究人员的共同努力下,越发严格的安全缓解措施,已经把大部分内存漏洞扼杀在了摇篮之中。 是时候宣布内存漏洞成为过去式了? 2024年7月,一枚来自Windows阵营的“核弹”打破了安全的幻象。我们不禁发问:面对来自内存的威胁,眼前的城墙究竟能抵挡些什么? 以下为本期《深蓝洞察 | 20
继续阅读【漏洞通告】IBM EntireX 拒绝服务(CVE-2025-0158)
【漏洞通告】IBM EntireX 拒绝服务(CVE-2025-0158) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况IBM EntireX 11.1版本可能存在一个漏洞,本地用户可能会利用未处理的错误和故障隔离功能导致拒绝服务攻击。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称IBM EntireX 拒绝服务漏洞编号CVE编号CVE-2025-0158漏洞评估披露
继续阅读【漏洞通告】页面插件中的WordPress RSS 存储的跨站点脚本(XSS)漏洞(CVE-2025-25096)
【漏洞通告】页面插件中的WordPress RSS 存储的跨站点脚本(XSS)漏洞(CVE-2025-25096) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况 页面中的titusbicknell RSS在网页生成期间输入的不正确中和(“交叉脚本”)漏洞允许存储XSS。此问题影响页面中的RSS:从n/a到2.9.1。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称页
继续阅读【漏洞通告】IBM Jazz for Service Management 跨站点脚本 (CVE-2024-52892)
【漏洞通告】IBM Jazz for Service Management 跨站点脚本 (CVE-2024-52892) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况 IBM Jazz for Service Management 1.1.3至1.1.3.23版本存在跨站脚本漏洞。该漏洞允许未经身份验证的攻击者在Web UI中嵌入任意JavaScript代码,从
继续阅读【漏洞通告】OpenCart CoinRemitter SQL注入(CVE-2025-1117)
【漏洞通告】OpenCart CoinRemitter SQL注入(CVE-2025-1117) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况 在OpenCart的CoinRemitter 0.0.1/0.0.2中发现了一个关键漏洞。操纵参数coin会导致SQL注入。攻击可以远程发起。该漏洞已被公开披露并可能被利用。升级到版本0.0.3可以解决此问题。建议升级受
继续阅读【漏洞通告】Bharti Airtel Xstream Fiber WiFi 密码弱凭证(CVE-2025-1081)
【漏洞通告】Bharti Airtel Xstream Fiber WiFi 密码弱凭证(CVE-2025-1081) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况该漏洞存在于WiFi密码处理器组件的某些未知处理过程中,允许攻击者在本地网络范围内进行操纵并使用弱凭据。攻击难度较高,但已知存在可利用的漏洞,建议更改配置设置以降低风险。02 漏洞处置综合处置优先级:高漏洞信息
继续阅读【漏洞通告】RT-Thread信息泄露(CVE-2025-1115)
【漏洞通告】RT-Thread信息泄露(CVE-2025-1115) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况在RT-Thread的5.1.0版本之前,发现了一个分类为问题的漏洞。该漏洞影响了位于rt-thread/components/lwp/lwp_syscall.c文件中的sys_thread_create函数。对参数arg[0]的操作导致了信息泄露。02 漏洞
继续阅读【漏洞通告】newbee-mall 代码注入漏洞(CVE-2025-1114)
【漏洞通告】newbee-mall 代码注入漏洞(CVE-2025-1114) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况newbee-mall是newbee开源的一套电子商务系统。newbee-mall 1.0版本存在代码注入漏洞,该漏洞源于组件Add Category Page的文件/admin/categories/save中函数save的参数categoryNa
继续阅读从漏洞到Shell:堆溢出漏洞利用实战指南
从漏洞到Shell:堆溢出漏洞利用实战指南 原创 章鱼哥 白帽子社区团队 2025-02-11 01:37 关于无问社区 无问社区-官网:http://www.wwlib.cn 本文来自社区成员,章鱼哥投稿欢迎大家投稿。投稿可获得无问社区AI大模型的使用红包哦! 我们无问社区通过使用全球大量行业技术语料进行训练,截至目前 无问AI 在 红蓝对抗、应急响应、等保、风险评估、安全咨询等方面无论是知识面
继续阅读网络攻击者利用SimpleHelp RMM漏洞实现持久访问和勒索软件攻击
网络攻击者利用SimpleHelp RMM漏洞实现持久访问和勒索软件攻击 汇能云安全 2025-02-11 01:32 2月11日,星期二,您好!中科汇能与您分享信息安全快讯: 01 索尼PlayStation网络一度大面积中断,导致服务全线中断 2月8日,索尼PlayStation网络遭遇大规模中断,导致全球玩家无法访问关键在线功能,包括账号登录、在线游戏、PlayStation商店等,引发玩家
继续阅读.NET 代码审计:发现某企业级 OA 系统中任意文件下载漏洞
.NET 代码审计:发现某企业级 OA 系统中任意文件下载漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-11 00:21 在企业级OA系统的业务交互过程中,文件上传和下载是常见的功能需求。然而,往往会在实现这些功能时忽视安全性,导致系统可能存在一些安全漏洞,特别是文件下载漏洞。 01. 漏洞代码分析 下面通过对某OA系统代码的审计,详细分析如何发现并利用任意文件下载漏洞,以
继续阅读漏洞预警 | ZZCMS SQL 注入漏洞
漏洞预警 | ZZCMS SQL 注入漏洞 浅安 浅安安全 2025-02-11 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 ZZCMS是一款适用于招商代理型的行业网站。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: ZZCMS的/index.php接口存在SQL注入漏洞,未经身份验证的攻击者可
继续阅读2024年度网络安全漏洞分析报告
2024年度网络安全漏洞分析报告 计算机与网络安全 2025-02-10 23:57 资料列表: https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ 会员进群和文件下载指南 随着信息技术的广泛应用,网络攻击的手段和技术层面越来越复杂,挑战企业和个人的安全防线的同时,也对社会的安全管理和意识提出了更高的要求。漏洞是网络防御的基础,深入了解漏洞本质、追踪其演变态势并采取
继续阅读山西公安“净网2024”专项行动打击网络违法犯罪10起典型案例
山西公安“净网2024”专项行动打击网络违法犯罪10起典型案例 安全学习那些事儿 2025-02-10 23:00 2025年2月10日,据公安部网安局报道:2024年,山西公安机关认真贯彻落实省委省政府和公安部党委决策部署,在厅党委的统一指挥下,深入开展“净网2024”专项行动,聚焦打击整治“网络水军”、网络谣言、网络侵公、网络黑客等危害网络秩序和群众权益的突出违法犯罪,坚持破案件、打团伙、断链
继续阅读从量子威胁到人工智能防御:2025年网络安全将如何发展
从量子威胁到人工智能防御:2025年网络安全将如何发展 内生安全联盟 2025-02-10 14:20 随着技术的飞速发展,网络安全领域正面临着前所未有的挑战和变革。量子计算的崛起和人工智能(AI)的广泛应用,预示着网络安全将进入一个全新的时代。本文将探讨2025年网络安全的发展趋势,包括量子威胁、AI防御策略,以及市场和技术的演进。 01 量子计算对网络安全的威胁 量子计算的基本原理及其安全影响
继续阅读【漏洞通告】IBM 安全验证目录命令执行 (CVE-2024-51450)
【漏洞通告】IBM 安全验证目录命令执行 (CVE-2024-51450) 安迈信科应急响应中心 2025-02-10 13:40 01 漏洞概况IBM Security Verify Directory版本10.0.0至1.0.3存在一个漏洞,允许远程认证的攻击者通过发送精心构造的请求在系统上执行任意命令。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称IBM 安全验证目录命令执行漏洞编号CVE
继续阅读