大华DSS数字监控系统 attachment_downloadAtt.action 任意文件读取漏洞 冷漠安全 冷漠安全 2024-12-15 00:00 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读「漏洞复现」YourPHPCMS checkEmail SQL注入漏洞 冷漠安全 冷漠安全 2024-12-14 04:57 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读Zabbix 存在SQL注入漏洞 (CVE-2024-42327) Mstir 星悦安全 2024-12-14 04:20 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Zabbix 是一款可监控网络的众多参数以及服务器、虚拟机、应用程序、服务、数据库、网站、云等的健康状况和完整性。Zabbix 使用灵活的通知机制,允许用户为几乎任何事件配置基于电子邮件的警报。这允许对服务器问题做出快速
继续阅读AI安全漏洞之VLLM反序列化漏洞分析与保姆级复现(附批量利用) 原创 Ting丶 Ting的安全笔记 2024-12-14 02:20 WingBy小密圈知识星球简介在文末。 前期准备 环境需要:Linux(这里使用kali)、Anaconda 首先安装Anaconda 前言:最好使用linux,如果使用windows可能会产生各种报错(各种各种各种!!!),最好使用Anaconda,方便独立管
继续阅读CISA 确认勒索软件攻击利用了关键的 Cleo 漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-14 01:00 导读 CISA 证实,Cleo Harmony、VLTrader 和 LexiCom 文件传输软件中的一个严重安全漏洞正被勒索软件攻击所利用。 该漏洞编号为 CVE-2024-50623,影响 5.8.0.21 之前的所有版本。漏洞可使未经身份验证的攻击者在网上暴露的易受攻击
继续阅读【0day】圣乔ERP系统downloadFile存在任意文件读取漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-13 23:04 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **圣乔科技有限公司成立于2007年02月27日,注册地位于浙江省杭州市拱墅区和睦路555号201幢116室,法定代表人为张鹏。经营范围包括计算机软硬
继续阅读黑盒乱锤某专属SRC到0day代码分析 不秃头的安全 2024-12-13 09:54 **黑盒乱锤某专属SRC到0day代码分析**** 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。 还在学怎么挖通用漏洞和src吗?快来加入星球 -考证请加联系vx咨询 由 于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 上
继续阅读Cleo修复严重的0day漏洞 Sergiu Gatlan 代码卫士 2024-12-13 09:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Cleo 发布安全更新,修复了位于 LexiCom、VLTransfer 和 Harmony 软件中的一个0day漏洞。该漏洞目前已被用于盗取数据。 10月,Cleo 修复了位于其文件传输管理软件中的一个预认证远程代码执行漏洞(CVE-202
继续阅读对攻击者保持视野领先:从漏洞情报到「扩展漏洞情报」 诸葛象 斗象智能安全 2024-12-13 08:44 随着漏洞大爆发时代的来临以及黑产、暗网交易等盛行,如何以更全面、更有针对性的漏洞情报帮助企业在与攻击者的较量中占据高位,成为了业界关注的重点课题之一。 在FCIS 2024网络安全创新大会上,斗象科技CTO徐钟豪分享了斗象在 漏洞情报领域的最新见解,以及扩展漏洞情报XVI的产品设计理念和关键
继续阅读一个0day的开端:失败的man与nday 蚁景网安 2024-12-13 08:30 最近在审计java的CMS,跟着文章进行nday审计,找准目标newbee-mall Version 1.0.0(新蜂商城系统),并跟着网上文章进行审计: https://blog.csdn.net/m0_46317063/article/details/131538307 下载唯一的版本,且源码README中
继续阅读用友U8-CRM系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2024-12-13 04:57 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 用友U8CRM是一款集CRM、呼叫中心、OA核心应用于一体,提供前端营销、后端业务处理及员工管理一体化应用的管理软件。软件立足代理销售服务行业管理一体化的高度,以“整合、专业、智能、畅捷”为产品研发理念,弥补了代理销售服务行业信息化管理的
继续阅读【漏洞复现】某平台-cwsuploadpicture-GetPicture-file-read-任意文件读取漏洞 原创 南极熊 SCA御盾 2024-12-13 03:03 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系
继续阅读【0day】深圳国威电子有限公司HB1910数字IP程控交换机存在远程命令执行漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-12 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **深圳国威电子有限公司成立于1991年7月,是著名的程控交换机研发、生产、销售厂家。深圳国威电子有限公司HB1910数字IP程控交换机存
继续阅读主机侧命令执行监测的规避 原创 QWETVG T00ls安全 2024-12-12 14:11 使用场景 像一些0day防御系统,当我们打出来whoami等等极具特征的命令时,会有一个基于主机侧命令执行检测,会出现告警,那我们就需要进行一些规避,用来像权限查询,判断主站上有什么东西,我们该如何进行信息收集。 场景为当我们的C2上线后,或WebShell直接上线之后,我们可以用一些Windows的a
继续阅读「漏洞复现」电子图书阅读平台 downFile.aspx SQL注入漏洞 冷漠安全 冷漠安全 2024-12-12 13:41 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关
继续阅读微软 MFA 中存在AuthQuake 漏洞,可导致无限次暴力攻击 代码卫士 2024-12-12 10:09 聚焦源代码安全,网罗国内外最新资讯! 作者:Ravie Lakshmanan 编译:代码卫士 网络安全研究员在微软的多因素认证 (MFA) 实现中发现了一个严重漏洞,可导致攻击者轻易绕过防御措施,越权访问受害者账户。 Oasis 安全公司的研究人员 Elad Luz 和 Tal Haso
继续阅读即将开班!“系统0day安全”系列课程:掌握漏洞挖掘重要技能 看雪课程 看雪学苑 2024-12-12 10:01 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握
继续阅读Cleo 0day漏洞 CVE-2024-50623 poc 公开 剁椒鱼头没剁椒 2024-12-12 07:37 CVE-2024-50623这一关键漏洞正在被恶意利用,使用Cleo文件传输软件的企业应立即开始防护。这个漏洞影响Cleo LexiCom、VLTrader和Harmony产品,允许攻击者在易受攻击的系统上远程执行恶意代码。 Cleo 公司最初于 2024 年 10 月报告并解决了
继续阅读(0day)杜特网上订单管理系统getUserImage存在SQL注入漏洞 原创 websec WebSec 2024-12-12 06:43 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致
继续阅读poc管理工具|精准漏扫|附10w+poc|Wavely|有他就够了 原创 淮橘安全 淮橘安全 2024-12-12 02:08 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 “ 设为星标 ”, 否则可能就看不到了啦
继续阅读漏洞发现,除了漏扫还能靠啥? 原创 ThreatBook 微步在线 2024-12-12 00:26 1998年,第一款全球知名开源漏扫工具Nessus创建并发布,没想到大受欢迎。相比于此前个人编写的脚本及工具来检测网络已知漏洞,Nessus功能更丰富也更趁手,适用的安全人员段位也更广泛。此后,随着国际标准漏洞命名系统(CVE)推出,漏洞严重性评分体系(CVSS)引入,漏洞发现成为了一件更专业的事
继续阅读【edu 0day预警】某公司教育教学监测与保障系统存在信息泄露漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-11 22:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **某公司是一家长期专注于高等教育教学质量保障领域研究及产品开发的高新技术企业,公司旨在通过技术创新和优质的服务让高校教学管理工作更科学、更高效、更容易
继续阅读【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第一篇-驱动漏洞一击致命 原创 索勒安全团队 solar应急响应团队 2024-12-11 01:02 引言:在之前的文章【成功案例】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附溯源分析报告中,我们提到,尽管许多企业已经部署了众多安全设备和备份解决方案,并建立了相对成熟的安全运营体系,但在如此复杂的网络环境中,依然存在漏洞,导致
继续阅读Ivanti 警告最高严重程度的 CSA 身份验证绕过漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-11 01:00 导读 Ivanti 向客户发出警告,称其云服务设备 (CSA) 解决方案中存在一个新的最高严重性身份验证绕过漏洞。 该安全漏洞编号为 CVE-2024-11639,由 CrowdStrike 高级研究团队报告。 漏洞可使远程攻击者通过使用备用路径或通道绕过身份验证,在运行
继续阅读【未公开1day】某科网威anysec安全网关arping存在远程命令执行漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-10 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **某科网威科技有限公司是一家专注于网络安全产品研发和生产的高新技术企业。凭借多年对用户需求的潜心研究与技术创新,首创基于内核底层技术嵌入式
继续阅读一款能够自动化过滤扫描结果的目录扫描工具|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-12-10 16:00 0x01 工具介绍 平时使用过 dirsearch|dirmap 等一些目录扫描工具,针对如今的 WEB 多样化,对扫描结果的过滤总感觉与预期不符合。因此下定决心造个轮子,就这样有了 dirsx。当时是使用 python 写的,但是可移植性不是很好。所以使用 golang 进行
继续阅读(未公开)灵当CRM某接口存在文件读取漏洞 原创 WebSec WebSec 2024-12-10 12:21 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! 01
继续阅读「漏洞复现」三汇SMG网关管理软件 SMGSuperAdmin 信息泄露漏洞 冷漠安全 冷漠安全 2024-12-10 12:13 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读QNAP修复Pwn2Own大赛利用的多个漏洞 Ionut Arghire 代码卫士 2024-12-10 10:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周末,QNAP系统修复在2024年Pwn2Own 爱尔兰大赛中演示的QTS 和 QuTS Hero 中的多个漏洞。 在 Pwn2Own 大赛中,参赛人员因发现QNAP 产品 exp 而获得数万美元的奖励,其中一个exp甚至获得
继续阅读黑客利用 ProjectSend 漏洞对暴露的服务器进行后门处理 天唯科技 天唯信息安全 2024-12-10 06:07 恶意分子正在利用 ProjectSend 中的一个关键身份验证绕过漏洞的公共漏洞来上传 Webshell 并获得对服务器的远程访问。 该漏洞被追踪为 CVE-2024-11680,是一个严重的身份验证错误,影响 r1720 之前的 ProjectSend 版本,允许攻击者向“
继续阅读