Replicate AI 平台存在严重漏洞,可被用于暴露专有数据
Replicate AI 平台存在严重漏洞,可被用于暴露专有数据 代码卫士 2024-05-27 17:24 聚焦源代码安全,网罗国内外最新资讯! 作者: Elizabeth Montalbano 编译:代码卫士 Replicate AI 平台中存在一个严重漏洞,可导致攻击者在平台内执行恶意 AI 模型,实施多租户攻击,从而访问客户的非公开AI模型并可能暴露专有知识或敏感数据。 Wiz 公司的安全
继续阅读标签: 0day
『漏洞复现』智慧校园(安校易)管理系统 FileUpProductupdate.aspx 任意文件上传漏洞
『漏洞复现』智慧校园(安校易)管理系统 FileUpProductupdate.aspx 任意文件上传漏洞 冷漠安全 冷漠安全 2024-05-26 22:31 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供
继续阅读【重磅更新】Struts2全版本漏洞检测工具
【重磅更新】Struts2全版本漏洞检测工具 abc123info 安全之眼SecEye 2024-05-26 20:30 点击上方「蓝字」,关注我们 因为公众号现在只对常读和星标的公众号才能展示大图推送,建议大家进行星标 。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 01 免责声明 免责声明: 该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他
继续阅读Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956)
Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956) 冷漠安全 冷漠安全 2024-05-25 23:07 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用
继续阅读狗屎运~Atlassian Confluence CVE-2024-21683 RCE漏洞复现(附EXP)
狗屎运~Atlassian Confluence CVE-2024-21683 RCE漏洞复现(附EXP) 原创 AW 阿无安全 2024-05-24 23:59 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 现在只对常
继续阅读什么是0day市场?为什么无法被取缔?
什么是0day市场?为什么无法被取缔? 安在 2024-05-24 19:22 我们经常会在电视剧和电影中看到这样的情节:一个人敲击键盘,屏幕上出现大量数字和符号,然后“砰”的一声,他就成功了。这种剧情会让人误以为,黑客很厉害,似乎无坚不摧但现实世界并非如此。 想要绕过网络安全协议需要花费大量的时间和精力,因为要渗透一个组织的系统,特别是高价值目标的系统,是一个非常复杂的过程。 但有一种方法可以绕
继续阅读Ivanti 修复Endpoint Manager 中的严重RCE漏洞
Ivanti 修复Endpoint Manager 中的严重RCE漏洞 THN 代码卫士 2024-05-24 17:24 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,Ivanti 公司修复了位于 Endpoint Manager (EPM) 中的多个严重漏洞,在某些情况下可用于实现远程代码执行。 Ivanti 本次共修复10个漏洞,其中6个即编号为从CVE-2024-29822
继续阅读Google Chrome 的漏洞链分析(译)
Google Chrome 的漏洞链分析(译) 3072 3072 2024-05-23 23:02 0day工程洞察 Google Chrome 在 Viz 和 v8-wasm 上的“积极利用”漏洞链 (2024年5月) 概述 Google 最近为 Chrome 浏览器发布了两个正在被积极利用的漏洞链的紧急安全更新。这些漏洞分别在 5月9日 (沙箱绕过)和 5月13日 (远程代码执行)被修复。这
继续阅读用友NC warningDetailInfo接口存在SQL注入漏洞
用友NC warningDetailInfo接口存在SQL注入漏洞 冷漠安全 冷漠安全 2024-05-23 21:08 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读某网址导航页 搜索页面存在SQL注入漏洞
某网址导航页 搜索页面存在SQL注入漏洞 冷漠安全 冷漠安全 2024-05-22 23:01 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!! 0
继续阅读代码审计-某人工智能语音系统多处文件上传+命令执行
代码审计-某人工智能语音系统多处文件上传+命令执行 原创 月金剑客 剑客古月的安全屋 2024-05-22 22:41 🌟 ❤️ 作者:yueji0j1anke 首发于公号:剑客古月的安全屋 字数:801 阅读时间: 10min 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。合
继续阅读实战攻防季:主动猎捕,让0day漏洞无处遁形!
实战攻防季:主动猎捕,让0day漏洞无处遁形! 智安全 深信服千里目安全技术中心 2024-05-22 17:10 2024实战攻防演练即将开启。 伴随网络安全形势日益复杂,攻击方的攻击手段不断升级,0day漏洞的利用也愈发频繁,成为防守方必须警惕的“隐形陷阱”。在实战较量中,防御一旦出现滞后则可能带来严重的安全风险。 2023 年深瞳漏洞实验室猎捕到100+个 Web 场景下的在野利用 0day
继续阅读漏洞通告 | 猎鹰安全终端安全系统 V9 远程代码执行漏洞
漏洞通告 | 猎鹰安全终端安全系统 V9 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-05-22 16:30 漏洞概况 猎鹰安全终端安全系统V9 是专门为政府、军工、能源、教育、医疗及集团化企业设计的终端安全管理平台。 近日,微步漏洞团队获取到两个猎鹰安全终端安全系统V9 远程代码执行漏洞情报(https://x.threatbook.com/v5/vul/XVE-2023
继续阅读英飞达医学影像存档与通信系统 WebJobUpload 任意文件上传漏洞
英飞达医学影像存档与通信系统 WebJobUpload 任意文件上传漏洞 冷漠安全 冷漠安全 2024-05-20 18:47 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读CISA提醒修复严重的Chrome 和 D-Link漏洞
CISA提醒修复严重的Chrome 和 D-Link漏洞 Bill Toulas 代码卫士 2024-05-20 17:37 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施局 (CISA) 将三个漏洞添加至必修清单,其中一个影响谷歌 Chrome 浏览器,另外两个影响某些D-Link 路由器。 CISA 提醒联邦机构和企业这些漏洞正遭利用,应部署安全更新或缓解措施。联
继续阅读漏洞通告 | Git 远程代码执行漏洞
漏洞通告 | Git 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-05-20 16:02 漏洞概况 Git是一个免费的、开源的分布式版本控制系统,旨在高效、高速地处理从小到大的所有项目。它被广泛应用于软件开发领域,帮助开发者追踪代码更改、协同开发、回滚错误以及管理代码历史。 近日,微步漏洞团队获取到Git远程代码执行漏洞(CVE-2024-32002)情报,该漏洞由于在不
继续阅读思科企业级路由器0day漏洞挖掘
思科企业级路由器0day漏洞挖掘 原创 信睿网络 信睿网络 2024-05-19 18:38 **思科企业级路由器0day漏洞挖掘 前言 01 写这篇文章的初衷是因为有很多师傅问我:零基础小白该如何入手挖设备的二进制洞?很多师傅也许会觉得这是一件很困难的事情。读了这篇文章之后,我相信大家应该能体会到即使像思科这种全球头部大厂也是有很多很水的洞是可以很容易挖到的。 今年年初2月份的时候,笔者对美国思
继续阅读【0day漏洞复现】北京慧飒科技有限责任公司WEB VIDEO PLATFORM存在未授权访问漏洞
【0day漏洞复现】北京慧飒科技有限责任公司WEB VIDEO PLATFORM存在未授权访问漏洞 原创 猴子 花果山讲安全 2024-05-19 15:32 0x01 阅读须知 花果山的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间
继续阅读【热点播报】利用以太坊安全漏洞,麻省理工两学生12秒窃取1.8亿元
【热点播报】利用以太坊安全漏洞,麻省理工两学生12秒窃取1.8亿元 皓月当空w 2024-05-18 10:52 皓月当空,明镜高悬 文末可体验bugSearch系统哦~漏洞,热点,新闻,应有尽有 曼哈顿的联邦检察官指控,24岁的Anton Peraire-Bueno和28岁的James Peraire-Bueno犯有欺诈和洗钱罪。调查人员表示,在几个月的时间内,两人利用以太坊的安全漏洞策划、实施
继续阅读记一次某双一流大学漏洞挖掘
记一次某双一流大学漏洞挖掘 黑白之道 2024-05-18 08:43 文章作者:先知社区(七*r) 文章来源:https://xz.aliyun.com/t/14456 1► 前言 本次项目测试的平台是某方开发的某某服务平台,算是个小0day或者说是1day吧,总之尚未公开且资产较少,因此记录一下。 2► 信息收集 识别链接发现是某方的xx服务平台 端口扫描仅开放80、443 无奈,只能搜一搜有
继续阅读谷歌紧急修复周内第3个已遭利用的0day
谷歌紧急修复周内第3个已遭利用的0day Sergiu Gatlan 代码卫士 2024-05-16 11:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Chrome 发布紧急 Chrome 安全更新,修复了一周内已遭利用的第3个 0day 漏洞。 谷歌在本周三的安全公告中提到,“谷歌发现 CVE-2024-4947的一个在野利用。” 谷歌发布125.0.6422.60/.61 Ma
继续阅读微软五月补丁星期二值得关注的3个0day及其它
微软五月补丁星期二值得关注的3个0day及其它 综合编译 代码卫士 2024-05-15 18:00 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 五月补丁星期二,微软共计修复59个CVE漏洞,加上第三方CVE漏洞,则五月共修复63个漏洞。和四月补丁日一致,微软仍未修复Pwn2Own 大赛上披露的多个漏洞。在所修复的漏洞中,只有1个被评级为“严重”等级,57个是“重要”级别,1个是“中危”
继续阅读微软Outlook通杀0Day漏洞:黑客开价1,700,000美元
微软Outlook通杀0Day漏洞:黑客开价1,700,000美元 关键基础设施安全应急响应中心 2024-05-15 14:59 一个名为“Cvsp”的威胁参与者宣布出售所谓的Outlook远程代码执行 (RCE) 0day漏洞。这一所谓的漏洞旨在攻击跨x86和x64架构的各种Microsoft Office版本(2016、2019、LTSC 2021、365 Apps for Enterpri
继续阅读360安全大模型实战笔记:核弹级漏洞,拿捏!
360安全大模型实战笔记:核弹级漏洞,拿捏! 360数字安全 2024-05-15 14:50 ✦ • ✦ “在野0day漏洞,是核弹级别的网络武器,这种存在于文档中的0day更是隐蔽、罕见。一枚0day漏洞甚至卖出百万甚至到千万美金的高价,所以普通的小黑客用不起,用它的都是具备强大资源背景的国家级黑客组织。” 近日,360安全大模型成功捕获一起国家级黑客利用0day漏洞发起的攻击事件,为相关单位
继续阅读联软安全数据摆渡系统任意文件读取漏洞|漏洞预警
联软安全数据摆渡系统任意文件读取漏洞|漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2024-05-14 00:01 0x01 产品简介 联软安全数据摆渡系统是联软科技发明的,融合网络隔离、网盘和DLP技术于一体的专业产品,它同时支持多网交换,查杀毒、审计审批、文档追踪和水印功能,是解决用户网络隔离、网间及网内数据传输、交换、共享/分享、存储的理想安全设备,具有开创性意义。 这里我推荐
继续阅读那些被遗漏的逻辑漏洞|挖洞技巧
那些被遗漏的逻辑漏洞|挖洞技巧 漏洞挖掘 渗透安全HackTwo 2024-05-13 00:00 0x01 前言 这类漏洞虽然在红蓝对抗不值钱,但在src中却是一个高危,因为会给企业和用户带来很多隐患,此类漏洞会造成任意用户注册/登录,导致黑灰产恶意注册产生僵尸号,薅取大量活动礼品并且造成用户信息泄露等。 谈到该漏洞,大家应该会想到诸如:验证码复用、爆破、泄露、cookie,注册链接可预测等,
继续阅读Chrome又现在野0day漏洞,需要升级浏览器
Chrome又现在野0day漏洞,需要升级浏览器 原创 摸鱼的小A 重生之成为赛博女保安 2024-05-12 23:59 好吧,我还没升级,不过这素有原因哒。 如果有和我一样还在使用chromedriver又对主浏览器安全性有要求的朋友,可以改用chromium。 . . . * . * ☄️ . * . * . 🔆 .* . * . 🧶 * . * . . . 信息来源:theHack
继续阅读谷歌修复今年第五个 Chrome 0day漏洞
谷歌修复今年第五个 Chrome 0day漏洞 Bill Toulas 代码卫士 2024-05-11 17:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布 Chrome 安全更新,修复了今年以来遭利用的第5个 0day 漏洞 (CVE-2024-4671)。 该高危漏洞是位于 Visuals 组件中的“释放后使用”漏洞,负责处理渲染和在浏览器上展示内容。该漏洞由一名匿名研究
继续阅读【更新】H3C-CAS虚拟化管理系统文件上传漏洞
【更新】H3C-CAS虚拟化管理系统文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2024-05-11 14:01 漏洞概况 H3C-CAS虚拟化管理系统是新华三集团推出的一套面向企业级用户的云计算解决方案,旨在帮助企业构建高效、灵活、可靠的云计算环境。 微步漏洞团队通过“X 漏洞奖励计划”获取到H3C-CAS虚拟化管理系统文件上传漏洞情报(https://x.threatbook.com
继续阅读【原创0day】瑞友天翼应用虚拟化系统SQL注入致远程代码执行漏洞
【原创0day】瑞友天翼应用虚拟化系统SQL注入致远程代码执行漏洞 长亭应急 黑伞安全 2024-05-10 22:59 瑞友天翼应用虚拟化系统(以下简称瑞友虚拟化系统)是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协
继续阅读