【漏洞情报】万户OA-text2html-存在任意文件读取漏洞
【漏洞情报】万户OA-text2html-存在任意文件读取漏洞 原创 Sec探索者 Sec探索者 2024-06-01 09:34 点击蓝字,关注Sec探索者,一起探索网络安全技术 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢! 01**** 漏洞描
继续阅读标签: 行业
【已复现】Check Point Security Gateways存在文件读取漏洞(CVE-2024-24919)
【已复现】Check Point Security Gateways存在文件读取漏洞(CVE-2024-24919) 安恒研究院 安恒信息CERT 2024-05-31 20:35 漏洞概述 漏洞名称 Check Point Security Gateways存在文件读取漏洞(CVE-2024-24919) 安恒CERT评级 2级 CVSS3.1评分 8.6 CVE编号 CVE-2024-2491
继续阅读0day Windows更新7.2:理解符号链接
0day Windows更新7.2:理解符号链接 看雪课程 看雪学苑 2024-05-29 17:59 本周末还有直播哦,敬请关注~ 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识
继续阅读精彩回顾!大模型安全边界:揭秘提示注入攻击、会话共享漏洞与AI幻觉毒化策略分享
精彩回顾!大模型安全边界:揭秘提示注入攻击、会话共享漏洞与AI幻觉毒化策略分享 原创 知识分享者 安全极客 2024-05-29 17:40 近日,安全极客和Wisemodel社区联合举办了“AI+Security”系列的首场线下活动,主题聚焦于“大模型与网络空间安全的前沿探索”。在此次活动中, Kelp AI Beta作者、资深安全专家宁宇飞针对《大模型安全边界: 揭秘提示注入攻击、会话共享漏洞
继续阅读【公益译文】设计安全警报:消灭软件中的SQL注入漏洞
【公益译文】设计安全警报:消灭软件中的SQL注入漏洞 绿盟君 绿盟科技 2024-05-29 17:12 全文共2308字,阅读大约需4分钟。 一 恶意网络攻击者利用SQL注入漏洞破坏系统 SQL注入(即SQLi)漏洞是存在于商业软件产品中的持久型漏洞。在过去的二十年里,人们对SQLi漏洞有着广泛的了解和记录,也存在有效的缓解措施,但软件厂商仍不断开发可能出现该漏洞的产品,使许多客户面临风险。 几
继续阅读【安全科普】一文读懂文件上传漏洞(附实战详解)
【安全科普】一文读懂文件上传漏洞(附实战详解) 学习网络安全到 开源聚合网络空间安全研究院 2024-05-29 16:48 网 安 教 育 培 养 网 络 安 全 人 才 技 术 交 流 、 学 习 咨 询 前言 自从学完文件上传后,寻思总结一下,但一直懒惰向后推迟,最近要准备面试了,就趁此机会写一下。 文件上传漏洞介绍 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行
继续阅读【攻防实战】某行业hw-如何利用nday拿下n个靶标
【攻防实战】某行业hw-如何利用nday拿下n个靶标 原创 胡图图 攻防实战指南 2024-05-29 16:27 点击上方蓝字关注我们 原创声明 本文由[ 攻防实战指南]原创,版权所有。未经本公众号书面授权,禁止任何形式的转载、摘编、复制或建立镜像。如需转载,请联系我们,违反上述声明者,我们将依法追究其法律责任 。 【序言】 上个月参加了某行业 HW,由于时间紧任务重,直接拿着 13页靶标就开始
继续阅读CVE-2024-3552 WordPress-Web Directory Free SQL注入漏洞复现
CVE-2024-3552 WordPress-Web Directory Free SQL注入漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-05-28 19:02 漏洞描述 Web Directory Free是WordPress上建立在线目录网站的插件,使用该插件可以非常容易地将任何现有站点转换为功能齐全的目录业务网站。web-directory-free插件存在未
继续阅读【风险通告】ShowDoc存在远程代码执行漏洞
【风险通告】ShowDoc存在远程代码执行漏洞 安恒研究院 安恒信息CERT 2024-05-28 18:30 漏洞概述 漏洞名称 ShowDoc存在远程代码执行漏洞 安恒CERT评级 1级 CVSS3.1评分 10.0(安恒自评) CVE编号 未分配 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 WM-202405-000003 POC情况 未发现 EXP情况 未发现 在野利用
继续阅读一文了解往年热门的漏洞-shiro
一文了解往年热门的漏洞-shiro 原创 CatalyzeSec CatalyzeSec 2024-05-27 20:27 什么是shiro Apache Shiro 框架是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。借助 Shiro 易于理解的 API,您可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的 Web 和企业应用程序。 CVE-20
继续阅读千万奖金虚位以待,“矩阵杯”漏洞挖掘赛三大赛道火热招募中!
千万奖金虚位以待,“矩阵杯”漏洞挖掘赛三大赛道火热招募中! 360数字安全 2024-05-27 18:33 随着数字经济发展和数字中国建设进程加速,数字安全逐渐成为国家、城市、企业乃至个人不可忽视的重要防线。为了进一步发现顶尖安全人才、推动技术创新发展、挖掘并应对潜在安全威胁、全面提升我国数字安全防护能力,“矩阵杯”网络安全大赛开启漏洞挖掘赛,邀请业内顶尖漏洞猎手,开展技术巅峰较量! 汇聚业内顶
继续阅读安全热点周报:本周新增三个活跃利用漏洞,影响Chrome用户、Flink用户和医疗机构
安全热点周报:本周新增三个活跃利用漏洞,影响Chrome用户、Flink用户和医疗机构 奇安信 CERT 2024-05-27 17:41 安全资讯导视 • 中央网信办等四部门发布《互联网政务应用安全管理规定》 • 强制性国家标准《智能网联汽车时空数据传感系统安全基本要求》公开征求意见 • 日本公开首例光伏电场网络攻击事件,超800台设备遭劫持 PART01 漏洞情报 1.Google Chro
继续阅读【重磅更新】Struts2全版本漏洞检测工具
【重磅更新】Struts2全版本漏洞检测工具 abc123info 安全之眼SecEye 2024-05-26 20:30 点击上方「蓝字」,关注我们 因为公众号现在只对常读和星标的公众号才能展示大图推送,建议大家进行星标 。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 01 免责声明 免责声明: 该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他
继续阅读【转载】geoserver漏洞解析以及测试方法
【转载】geoserver漏洞解析以及测试方法 F12sec 2024-05-25 10:49 相信各位师傅在HVV中,都遇到过geoserver系统,但是一般都是弱口令或者信息泄露、SSRF之类的,拿shell的案例不多,下面分享下geoserver系统后台的两种打法。 一、后台JNDI 注 ⼊ 测试版本:Version 2.13.3 数据储存—》添加新的数据存储—》PostGIS (JNDI)
继续阅读【已复现】Sonatype Nexus Repository 3 存在路径遍历漏洞(CVE-2024-4956)
【已复现】Sonatype Nexus Repository 3 存在路径遍历漏洞(CVE-2024-4956) 安恒研究院 安恒信息CERT 2024-05-23 18:32 漏洞概述 漏洞名称 Sonatype Nexus Repository 3 存在路径遍历漏洞(CVE-2024-4956) 安恒CERT评级 2级 CVSS3.1评分 7.5 CVE编号 CVE-2024-4956 CNV
继续阅读四部门联合印发《互联网政务应用安全管理规定》发布,7月1日起施行;超过60%网络安全设备自身缺陷可被利用为零日漏洞 | 牛览
四部门联合印发《互联网政务应用安全管理规定》发布,7月1日起施行;超过60%网络安全设备自身缺陷可被利用为零日漏洞 | 牛览 安全牛 2024-05-23 13:28 点击蓝字·关注我们 / aqniu 新闻速览 ㆍ 四部门联合发布《互联网政务应用安全管理规定》,自7月1日起施行 ㆍ陕西警方打击整治网络暴力违法犯罪5起典型案例 ㆍYouTube成为助长网络犯罪的新“温床” ㆍ70%的CISO认
继续阅读Atlassian Confluence Data Center and Server存在远程代码执行漏洞
Atlassian Confluence Data Center and Server存在远程代码执行漏洞 安恒研究院 安恒信息CERT 2024-05-22 18:03 漏洞概述 漏洞名称 Atlassian Confluence Data Center and Server存在远程代码执行漏洞(CVE-2024-21683) 安恒CERT评级 2级 CVSS3.1评分 8.8(安恒自评) CV
继续阅读实战攻防季:主动猎捕,让0day漏洞无处遁形!
实战攻防季:主动猎捕,让0day漏洞无处遁形! 智安全 深信服千里目安全技术中心 2024-05-22 17:10 2024实战攻防演练即将开启。 伴随网络安全形势日益复杂,攻击方的攻击手段不断升级,0day漏洞的利用也愈发频繁,成为防守方必须警惕的“隐形陷阱”。在实战较量中,防御一旦出现滞后则可能带来严重的安全风险。 2023 年深瞳漏洞实验室猎捕到100+个 Web 场景下的在野利用 0day
继续阅读上周关注度较高的产品安全漏洞(20240513-20240519)
上周关注度较高的产品安全漏洞(20240513-20240519) 国家互联网应急中心CNCERT 2024-05-21 14:08 一、境外厂商产品漏洞 1、 Apache James MIME4J输入验证错误漏洞 Apache James MIME4J 是美国阿帕奇( Apache )基金会的一个库。可用于解析纯 rfc822 和 MIME 格式的电子邮件消息流,并构建电子邮件消息的树表示。
继续阅读【已复现】Git存在远程代码执行漏洞(CVE-2024-32002)
【已复现】Git存在远程代码执行漏洞(CVE-2024-32002) 安恒研究院 安恒信息CERT 2024-05-20 19:10 漏洞概述 漏洞名称 Git存在远程代码执行漏洞 安恒CERT评级 1级 CVSS3.1评分 9.0 CVE编号 CVE-2024-32002 CNVD编号 未分配 CNNVD编号 CNNVD-202405-1901 安恒CERT编号 DM-202405-002232
继续阅读今晚7点直播 | 漏洞挖掘实战
今晚7点直播 | 漏洞挖掘实战 看雪课程 看雪学苑 2024-05-19 17:59 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问题的认识和理解,从而更好地保护企业
继续阅读使用 NAM 在思科安全客户端中执行代码 – CVE-2024-20391
使用 NAM 在思科安全客户端中执行代码 – CVE-2024-20391 Ots安全 2024-05-19 12:37 描述 Secure Client 利用强大的行业领先的 AnyConnect VPN/ZTNA,帮助 IT 和安全专业人员在统一视图中管理动态且可扩展的端点安全代理。 问题 当思科安全客户端使用 NAM(网络访问管理器)并且 Windows Wi-Fi 上下文菜单被
继续阅读多模态大语言模型的致命漏洞:语音攻击
多模态大语言模型的致命漏洞:语音攻击 安全内参 商密君 2024-05-18 19:51 OpenAI近日发布的GPT-4o多模态大语言模型震惊了世界,该模型可以通过传感器感知世界并与人类通过语音进行无缝交流,完成各种复杂任务(例如给孩子辅导数学),将科幻电影中的智能机器人场景带入现实。 GPT-4o的问世标志着大语言模型与人类交互的主要渠道正从键盘/文本转向语音,能够遵循语音指令并生成文本/语音
继续阅读【热点播报】利用以太坊安全漏洞,麻省理工两学生12秒窃取1.8亿元
【热点播报】利用以太坊安全漏洞,麻省理工两学生12秒窃取1.8亿元 皓月当空w 2024-05-18 10:52 皓月当空,明镜高悬 文末可体验bugSearch系统哦~漏洞,热点,新闻,应有尽有 曼哈顿的联邦检察官指控,24岁的Anton Peraire-Bueno和28岁的James Peraire-Bueno犯有欺诈和洗钱罪。调查人员表示,在几个月的时间内,两人利用以太坊的安全漏洞策划、实施
继续阅读漏洞预警 | Ruvar OA SQL注入漏洞
漏洞预警 | Ruvar OA SQL注入漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 璐华信息技术有限公司成立于2002年,是广东省双软认证企业、高新技术企业,国内领先的全行业人力资源管理系统、OA办公系统解决方案提供商。公司核心研发团队来自985、211高校,人均软件开发经验超
继续阅读内容更新:沙箱及绕过-人气讲师带你揭秘Chrome V8漏洞利用
内容更新:沙箱及绕过-人气讲师带你揭秘Chrome V8漏洞利用 小雪 看雪学苑 2024-05-17 18:06 近日更新: 视频:3-1 沙箱基础 视频:3-2 沙箱内任意地址读写 视频:3-3 立即数写 shellcode 浏览器漏洞利用一直是备受关注的热点话题。浏览器作为用户与互联网进行交互的主要工具,也是黑客攻击的重要目标之一。当浏览器存在漏洞时,黑客可以利用这些漏洞进行恶意攻击,例如窃
继续阅读【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞
【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞 云弈安全 2024-05-17 18:01 01 漏洞信息 瑞友天翼应用虑拟化系统是基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。 近日,云
继续阅读【漏洞预警】FE业务协作平台存在文件上传漏洞
【漏洞预警】FE业务协作平台存在文件上传漏洞 cexlife 飓风网络安全 2024-05-17 17:02 漏洞描述: FE业务协同平台是用友在行业内不断创新和突破的一款基于平台的协同办公软件,/common/uploadFile.jsp接口存在文件上传漏洞,该系统接口存在任意文件上传,攻击者通过上传恶意jsp脚本文件,可以执行服务器上的任意代码,从而获得服务器的进一步控制权。影响范围:FE业务
继续阅读价值60亿元的艺术品拍卖活动因网络攻击延期;CNNVD通报微软多个安全漏洞 | 牛览
价值60亿元的艺术品拍卖活动因网络攻击延期;CNNVD通报微软多个安全漏洞 | 牛览 安全牛 2024-05-17 12:02 点击蓝字·关注我们 / aqniu 新闻速览 ㆍ国家网信办发布第十五批境内区块链信息服务备案清单 ㆍCNNVD通报微软多个安全漏洞 ㆍAndroid 和iOS将在新版本中引入反跟踪功能 ㆍ美国联邦首席安全官Chris DeRusha将离职,曾参与多项政府行政命令的制定
继续阅读小米汽车安全漏洞奖励计划正式启动!
小米汽车安全漏洞奖励计划正式启动! 小米安全中心 小米安全中心 2024-05-17 11:53 随着小米SU7的正式上市和交付,小米汽车开始走入千家万户,成为大家日常生活的一部分。小米SU7以其卓越的性能和优雅的设计赢得了广大用户的喜爱和赞誉,标志着小米在汽车领域迈出了重要的一步。 一直以来,小米都将保护用户的信息安全和隐私放在首位,在小米汽车上更是如此。小米SU7在设计之初就全面和深入地考虑了
继续阅读