CocoaPods 严重漏洞导致 iOS 和 macOS 应用易受供应链攻击
CocoaPods 严重漏洞导致 iOS 和 macOS 应用易受供应链攻击 THN 代码卫士 2024-07-02 17:27 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Swift 和 Objective-C 的 Cocoa 项目的依赖管理器 CocoaPods 中存在三个漏洞,可用于发动软件供应链攻击,导致下游客户面临严重风险。 以色列E.V.A Information Secur
继续阅读标签: 0day
谷歌推出新的KVM漏洞奖励计划,最高赏金25万美元
谷歌推出新的KVM漏洞奖励计划,最高赏金25万美元 Eduard Kovacs 代码卫士 2024-07-02 17:27 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌宣布推出基于Kernel 的虚拟机 (KVM) 管理程序漏洞奖励计划 kvmCTF,目的是助理找到和解决 KVM 管理程序中的漏洞,最高赏金25万美元。 kvmCTF 计划类似于CTF活动。参与者需要能够在规定时间内访
继续阅读关于OpenSSH RCE(CVE-2024-6387)高频关注的FAQ
关于OpenSSH RCE(CVE-2024-6387)高频关注的FAQ 原创 微步情报局 微步在线研究响应中心 2024-07-02 17:05 CVE-2024-6387是什么? 此漏洞为OpenSSH服务(sshd) 中的 条件竞争漏洞,影响其默认配置 。如果 SSH 客户端在规定时间(LoginGraceTime默认为 120 秒)内无法进行身份验证,sshd服务将会异步调用 SIGALR
继续阅读360BugCloud助阵矩阵杯,合力共建漏洞安全新生态
360BugCloud助阵矩阵杯,合力共建漏洞安全新生态 360漏洞云 2024-07-02 11:12 近日,首届“矩阵杯”网络安全大赛在青岛国际会议中心成功举办,大赛以2000万元的巨额奖金、多元化赛事、创新赛制和海量靶标,吸引了中国、越南、马来西亚等国家的1000余支顶尖战队同台竞技,铸就了东半球规格最高、奖金最丰富的网络安全盛事,成为了网络安全领域的一次重要里程碑。 在活动开幕式上,360
继续阅读「冷漠安全」六月份0day/1day/nday漏洞汇总
「冷漠安全」六月份0day/1day/nday漏洞汇总 冷漠安全 冷漠安全 2024-07-01 20:02 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行
继续阅读存疑 CVE 漏洞带来无谓压力 热门开源项目开发者归档 GitHub 仓库
存疑 CVE 漏洞带来无谓压力 热门开源项目开发者归档 GitHub 仓库 Ax Sharma 代码卫士 2024-07-01 17:47 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门开源项目 “ip”最近归档 GitHub 仓库,换句话说,其开发人员将其设为“只读”。 该项目的开发者 Fedor Indutny 因针对该项目的一个CVE漏洞,在互联网引发热议。遗憾的是,Indutn
继续阅读售价15万美元, Linux内核UAF零日漏洞在暗网出售
售价15万美元, Linux内核UAF零日漏洞在暗网出售 网络安全应急技术国家工程中心 2024-07-01 15:00 最近,一个安全警报震动了信息安全行业:一个恶意行为者在著名的暗网论坛 BreachForum 上宣布出售影响 Linux 内核的(UAF)零日漏洞。该漏洞允许低权限用户执行高权限代码,对受影响系统构成严重威胁。 漏洞详情 漏洞利用者指出该漏洞影响 6.6.15 –
继续阅读2024HVV最新POC/EXP,目前有10000+个POC/EXP
2024HVV最新POC/EXP,目前有10000+个POC/EXP 原创 太白 仙网攻城狮 2024-06-29 20:46 点击” 仙网攻城狮”关注我们哦~ 不当想研发的渗透人不是好运维 让我们每天进步一点点 简介 都是网上收集的POC和EXP,最新收集时间是2024年五月,需要的自取。 表里没有的可以翻翻之前的文章,资源比较零散没有整合起来。 文件链接: https://pan.
继续阅读「漏洞复现」契约锁电子签章平台 add 远程命令执行漏洞
「漏洞复现」契约锁电子签章平台 add 远程命令执行漏洞 冷漠安全 冷漠安全 2024-06-29 19:33 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自
继续阅读[翻译]Progress MOVEit Transfer身份认证绕过漏洞 (CVE-2024-5806)
[翻译]Progress MOVEit Transfer身份认证绕过漏洞 (CVE-2024-5806) walker1995 沃克学安全 2024-06-28 20:43 原文地址: https://labs.watchtowr.com/auth-bypass-in-un-limited-scenarios-progress-moveit-transfer-cve-2024-5806/ 发表时间
继续阅读「漏洞复现」易天智能eHR管理平台 CreateUser 任意用户添加漏洞
「漏洞复现」易天智能eHR管理平台 CreateUser 任意用户添加漏洞 冷漠安全 冷漠安全 2024-06-27 18:23 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读苹果修复可导致窃听的 AirPods 蓝牙漏洞
苹果修复可导致窃听的 AirPods 蓝牙漏洞 THN 代码卫士 2024-06-27 17:40 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果为 AirPods 发布固件更新,修复了其中的认证漏洞 (CVE-2024-27867)。该漏洞可导致恶意人员以越权方式获得对耳机的访问权限。 该漏洞影响 AirPods(第2代及后续版本)、AirPods Pro(所有机型)、AirPods
继续阅读MOVEit Transfer 软件中存在高危的认证不当漏洞
MOVEit Transfer 软件中存在高危的认证不当漏洞 THN 代码卫士 2024-06-26 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Progress Software 公司的MOVEit Transfer 软件中存在一个高危漏洞 (CVE-2024-5806),可导致攻击者绕过该平台的认证机制。就在被披露的数小时后,该漏洞已遭利用。 MOVEit Transfe
继续阅读漏洞通告 | 蓝凌 EKP 远程代码执行漏洞
漏洞通告 | 蓝凌 EKP 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-06-24 17:07 漏洞概况 蓝凌 EKP 是由深圳市蓝凌软件股份有限公司开发,是一款针对中小企业的移动化智能办公产品。 近日,微步漏洞团队获取到蓝凌 EKP 远程代码执行漏洞情报(https://x.threatbook.com/v5/vul/XVE-2023-18344)。攻击者可通过该漏洞执行
继续阅读「漏洞复现」学分制系统 GetCalendarContentById SQL注入漏洞
「漏洞复现」学分制系统 GetCalendarContentById SQL注入漏洞 冷漠安全 冷漠安全 2024-06-22 19:38 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用
继续阅读web 0day 大全(一)
web 0day 大全(一) 原创 零漏安全 零漏安全 2024-06-22 10:02 SQL注入 1.发生方式 通过将恶意的DQL或者DML语句添加到应用的输入参数中,经过后端代码拼接成语句,再在后台数据库服务器上解析执行进行的攻击 1.1典型案例 布尔盲注 时间盲注 报错盲注 联合查询 1.2攻击方式 1、判断是否存在注入点(只要有变化就可能存在) http://192.168.13.100
继续阅读0day预警 | Windows WIFI驱动远程代码执行(CVE-2024-30078)
0day预警 | Windows WIFI驱动远程代码执行(CVE-2024-30078) 点击关注👉 马哥网络安全 2024-06-21 17:01 一、漏洞概述 Windows 系统中的一个严重缺陷允许系统在没有用户交互的情况下控制 Wi-Fi。该漏洞列为 CVE-2024-30078,允许范围内的攻击者设置恶意 Wi-Fi 网络并感染。漏洞存在于 Windows 的 Wi-Fi 驱动程序中,
继续阅读白帽黑客还是敲诈勒索?某安全团队疑似在披露漏洞的同时盗走300万美元加密资产
白帽黑客还是敲诈勒索?某安全团队疑似在披露漏洞的同时盗走300万美元加密资产 看雪学苑 看雪学苑 2024-06-20 18:18 “这不是白帽黑客,这是敲诈勒索! ”——昨天,知名加密货币交易所Kraken在X上发推斥责了一名安全研究员的漏洞披露行为。 根据Kraken的推文,其安全团队于6月9日从某安全研究员那儿收到了一份关于最高严重级别漏洞的模糊报告,该漏洞允许任何人在Kraken钱包中人为
继续阅读Mailcow Mail Server 在多个漏洞,可导致RCE攻击
Mailcow Mail Server 在多个漏洞,可导致RCE攻击 THN 代码卫士 2024-06-19 17:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mailcow 开源邮箱服务器套件中存在两个漏洞,可被恶意人员用于在可疑实例上实现任意代码执行后果。 这两个漏洞影响 Mailcow 2024-04(2024年4月4日发布)之前的所有版本,由SonarSource 公司在2
继续阅读500万美元!天价安卓0day漏洞暗网开卖
500万美元!天价安卓0day漏洞暗网开卖 网络安全应急技术国家工程中心 2024-06-17 15:49 名为Sp3ns3r的泄露论坛用户于2024年6月16日(星期日)止午 6:50发帖,声称其掌握安卓操作系统的某个RCE,该漏洞利用为零点击,威力无比,但该泄露者并在漏洞论坛上并没有给出报价。跟帖者表示是不是需要500万美元。短短的贴文只透露了有限的信息,该漏洞可用于安卓11、12、13、14
继续阅读「漏洞复现」英飞达医学影像存档与通信系统 Upload.asmx 任意文件上传漏洞
「漏洞复现」英飞达医学影像存档与通信系统 Upload.asmx 任意文件上传漏洞 冷漠安全 冷漠安全 2024-06-16 11:21 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读发现在野利用!SolarWinds Serv-U 路径遍历漏洞
发现在野利用!SolarWinds Serv-U 路径遍历漏洞 原创 微步情报局 微步在线研究响应中心 2024-06-14 17:06 漏洞概况 SolarWinds Serv-U是一款功能全面、安全可靠的企业级FTP服务器软件,支持多种文件传输协议,提供Web/移动客户端。SolarWinds Serv-U存在路径遍历漏洞,该漏洞源于容易受到路径穿越影响,允许访问读取主机上的敏感文件。 近日,
继续阅读建议立即删除!谷歌 EmailGPT 曝零日漏洞
建议立即删除!谷歌 EmailGPT 曝零日漏洞 邑安科技 邑安全 2024-06-14 10:34 更多全球网络安全资讯尽在邑安全 Google Chrome 浏览器扩展 EmailGPT 曝出高危零日漏洞。 EmailGPT 是 Google Chrome 的流行扩展程序,通过使用 OpenAI 公开提供的人工智能模型,帮助其用户在 Gmail 服务上撰写电子邮件(用户向该服务提供原始数据和上
继续阅读「漏洞复现」海洋CMS /js/player/dmplayer/dmku/ SQL注入漏洞(CVE-2024-29275)
「漏洞复现」海洋CMS /js/player/dmplayer/dmku/ SQL注入漏洞(CVE-2024-29275) 冷漠安全 冷漠安全 2024-06-14 09:01 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删
继续阅读谷歌:Pixel 固件0day漏洞已遭活跃利用
谷歌:Pixel 固件0day漏洞已遭活跃利用 SERGIU GATLAN 代码卫士 2024-06-13 17:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌修复了 Pixel 设备中的50个漏洞并提醒称,其中一个漏洞在0day 状态时已遭利用,编号是CVE-2024-32896。 该漏洞是位于 Pixel 固件中的提权漏洞,属于高危级别。谷歌在本周二提到,“有迹象表明CVE-
继续阅读Arm:Mali GPU 驱动中的0day已遭利用
Arm:Mali GPU 驱动中的0day已遭利用 Bill Toulas 代码卫士 2024-06-12 17:27 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Arm 提醒称,影响 Mali GPU Kernel Driver 的一个漏洞已遭在野利用。 该漏洞是释放后使用漏洞CVE-2024-4610,影响如下产品: Bifrost GPU Kernel Driver(r34p0 到
继续阅读微软六月补丁星期二值得关注的漏洞
微软六月补丁星期二值得关注的漏洞 ZDI 代码卫士 2024-06-12 17:27 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 加上本月修复的第三方CVE,微软在6月共修复了58个CVE漏洞。在今天发布的漏洞中,一个是严重级别,其余是重要级别。本次发布和4月份一样,规模均较小。今天发布的漏洞中,仅有一个被列为已公开漏洞,不过它实际上是微软集成的第三方更新。 已遭公开利用的0day漏洞
继续阅读【更新】PHP CGI Windows平台远程代码执行漏洞发现在野利用
【更新】PHP CGI Windows平台远程代码执行漏洞发现在野利用 原创 微步情报局 微步在线研究响应中心 2024-06-12 11:30 漏洞概况 XAMPP是一款免费且开源的跨平台Web服务器解决方案软件包,主要集成了Apache服务器、MySQL数据库、PHP编程语言以及Perl等组件。 近日,微步漏洞团队捕获PHP CGI Windows平台远程代码执行漏洞(https://x.th
继续阅读「漏洞复现」PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
「漏洞复现」PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577) 冷漠安全 冷漠安全 2024-06-11 19:39 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若
继续阅读「漏洞复现」29网课交单平台 epay.php SQL注入漏洞
「漏洞复现」29网课交单平台 epay.php SQL注入漏洞 冷漠安全 冷漠安全 2024-06-10 21:40 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关
继续阅读