CVE-2024-53677|Apache Struts 2(S2-067)远程代码执行漏洞(POC) alicy 信安百科 2024-12-21 10:15 0x00 前言 Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java ServletAPI,鼓励开发者采用MVC架构。 0x01 漏洞描述 Apache Struts的文
继续阅读【漏洞通告】Apache Tomcat远程代码执行漏洞(CVE-2024-56337) 启明星辰安全简讯 2024-12-21 08:58 一、漏洞概述 漏洞名称 Apache Tomcat远程代码执行漏洞 CVE ID CVE-2024-56337 漏洞类型 TOCTOU竞争条件 发现时间 2024-12-21 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用
继续阅读8,000 美元漏洞赏金亮点:Opera 浏览器中的 XSS 到 RCE Ots安全 2024-12-21 07:35 漏洞赏金猎人Renwa延续了之前的帖子,撰写了关于他向Opera 私人漏洞赏 金计划提交的第二个漏洞:Opera 的 My Flow 功能中的远程代码执行。以下是他的写作和经验。当然,所描述的漏洞在报告后已立即得到修复。 Opera 浏览器的一个很酷的功能是My Flow,它基本
继续阅读新的Windows权限提升漏洞! SSD 咨询 – cldflt 基于堆的溢出 (PE) Ots安全 2024-12-21 07:35 概括 漏洞允许本地攻击者提升受影响的 Microsoft Windows 安装的权限。要利用此漏洞,攻击者必须首先获得在目标系统上执行低权限代码的能力。 该特定缺陷存在于 Cloud Files Mini Filter Driver 中。该问题源于在将用户提供的数
继续阅读网络安全顶会——CCS 2024 论文清单与摘要(2) 漏洞战争 漏洞战争 2024-12-21 07:16 87、LUNA: Quasi-Optimally Succinct Designated-Verifier Zero-Knowledge Arguments from Lattices 我们介绍了第一个候选的基于格的指定验证者(DV)零知识简洁非交互式论证(ZK-SNARG)协议,命名为L
继续阅读OtterRoot Netfilter 通用型 Linux 本地提权 1-day 漏洞 Pedro Pinto securitainment 2024-12-21 05:37 OtterRoot Netfilter Universal Root 1-day 在三月下旬,我尝试监控 Linux 内核子系统中容易出现可利用漏洞的热点区域的代码提交,这部分是为了研究通过补丁差异分析和循环利用一天漏洞来维
继续阅读【已复现】Apache Tomcat 远程代码执行漏洞(CVE-2024-56337)安全风险通告 奇安信 CERT 2024-12-21 05:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Tomcat 远程代码执行漏洞 漏洞编号 QVD-2024-51611,CVE-2024-56337 公开时间 2024-12-21 影响量级 十万级 奇安信评级 高
继续阅读安娜雅克医院勒索软件漏洞导致 30 万名患者数据泄露 Rhinoer 犀牛安全 2024-12-21 02:32 安娜雅克医院在其网站上证实,该医院在一年前的 2023 年 12 月 25 日遭受了勒索软件攻击,泄露了超过 310,000 名患者的敏感健康数据。 Anna Jaques 是马萨诸塞州一家非营利性社区医院,以提供高质量的护理和每年进行 4,700 多例手术而闻名。 AJH 是一家中型
继续阅读研究人员警告称,Apache Struts 2 关键漏洞可能遭利用 会杀毒的单反狗 军哥网络安全读报 2024-12-21 01:01 导读 研究人员警告说,在 Apache Struts 2 中的一个严重漏洞首次披露和修补几天后,攻击者就正在积极利用该漏洞。 根据 Apache 的公告,该漏洞编号为CVE-2024-53677,涉及文件上传逻辑缺陷。该漏洞的CVSS评分为 9.5(满分 10 分
继续阅读Apache Struts 严重漏洞恐再现“噩梦”, 攻击者已展开行动! 原创 Hankzheng 技术修道场 2024-12-21 00:02 安全速递 还记得去年闹得沸沸扬扬的 Apache Struts 远程代码执行漏洞 (CVE-2023-50164) 吗? 现在,类似的“噩梦”可能又要重演了! Apache Struts 2 近期又爆出严重漏洞 (CVE-2024-53677),攻
继续阅读Zabbix从环境搭建到漏洞利用,附批量漏洞利用工具 进击的HACK 2024-12-20 23:55 免责声明 由于传播、利用本公众号琴音安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号琴音安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把 琴音安全 “设
继续阅读【神兵利器】Redis漏洞综合利用工具 yuyan-sec 七芒星实验室 2024-12-20 23:01 项目介绍 RedisEXP是一款针对Redis漏洞综合利用的安全评估工具 工具使用 详细信息查看 ██████╗ ███████╗██████╗ ██╗███████╗ ███████╗██╗ ██╗██████╗ ██╔══██╗██╔════╝██╔══██╗██║██╔════
继续阅读隆重登场:Google 最新推理模型,Gemini 2.0 Flash – Thinking-exp-1219 原创 诺玛 人遁安全 2024-12-20 16:02 🎉隆重登场:Gemini 2.0 Flash (thinking-exp-1219) 🚀 Gemini 2.0 Flash (thinking-exp-1219),这是 Google Gemini 系列模型的最新成员。这
继续阅读每周安全速递³²³|Cl0p勒索组织利用Cleo漏洞攻击全球企业 第59号 2024-12-20 10:26 第323期 本周热点事件威胁情报 1 Cl0p勒索组织利用Cleo漏洞攻击全球企业 Cl0p勒索组织声称利用Cleo的管理文件传输(MFT)软件中的一个关键漏洞,影响了Cleo Harmony、VLTrader和LexiCom等产品。这一攻击策略与Cl0p在过去针对Progress Sof
继续阅读【漏洞通告】Sophos Firewall SQL注入漏洞(CVE-2024-12727) 启明星辰安全简讯 2024-12-20 08:26 一、漏洞概述 漏洞名称 Sophos Firewall SQL注入漏洞 CVE ID CVE-2024-12727 漏洞类型 SQL注入 发现时间 2024-12-20 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用
继续阅读赛克安全本周漏洞推送(12.15-12.20)涉及Cloudlog、bmcm、汉明科技-无线控制器、迈普无线系统等产品相关漏洞 原创 马赛克安全实验室 马赛克安全实验室 2024-12-20 06:17 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联
继续阅读CVE-2024-21762漏洞分析 原创 zkaq – flysheep 掌控安全EDU 2024-12-20 04:01 一、漏洞简介与威胁分析 FortiGate今年来连续爆出多个高危漏洞,其中一个严重级别漏洞CVE-2024-21762是SSL VPN的内存未授权越界写入仅有的2个字节\r\n导致了RCE。漏洞利用链比较巧妙, 非常值得学习的, 这里记录一下从环境搭建到漏洞分析
继续阅读飞鱼星路由器 账户密码泄露漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-12-20 02:03 FOFA body="js/select2css.js" && icon_hash="-842852785" 漏洞复现 nuclei运行结果 POC与nuclei-poc已上传到知识星球 高质量安全知识星球社区,致力于漏
继续阅读分享OAuth2.0原理及漏洞挖掘技巧案例分析 原创 神农Sec 神农Sec 2024-12-20 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 一、浅谈 不知道师傅们平常有没有碰到就是在登录比如说百度时,登录页面有需要使用一段第三方社交媒体的账户(QQ、微博、微
继续阅读从漏洞数据库搜索漏洞的工具go-exploitdb 原创 白帽学子 白帽学子 2024-12-20 00:11 我们经常需要快速查找漏洞信息,以确保我们的防护措施能够抵御新出现的威胁。特别是在进行红蓝对抗时,掌握最新的漏洞信息是至关重要的。 在这些日常工作中,我逐渐发现一个开源工具——go-exploitdb,它的使用给我带来了不少便利。之前在做漏洞评估和渗透测试时,总会花费大量时间去手动搜索各种
继续阅读Apache Struts2 文件上传逻辑绕过(CVE-2024-53677)(S2-067) 网络安全者 2024-12-19 16:00 前言 Apache官方公告 又更新了一个Struts2的漏洞,考虑到很久没有发无密码的博客了,再加上漏洞的影响并不严重,因此公开分享利用的思路。 分析 影响版本 Struts 2.0.0 – Struts 2.3.37 ( EOL ), Stru
继续阅读【漏洞通告】Cleo 远程代码执行漏洞 ( CVE-2024-50623 ) 安迈信科应急响应中心 2024-12-19 12:35 01 漏洞概况 Cleo LexiCom、VLTransfer 和 Harmony 软件中存在不受限制的文件上传和下载漏洞,由于缺乏对上传文件和下载功能的适当验证和限制,攻击者可能利用该漏洞上传恶意文件并可能利用系统的访问/下载功能或其他机制触发恶意文件执
继续阅读Apache Struts重大漏洞被黑客利用,远程代码执行风险加剧 安世加 安世加 2024-12-19 10:36 12月19日 网络安全研究人员最近发现,黑客正利用Apache Struts 2(一种流行的Java Web应用开发框架)中的一个重大漏洞进行网络攻击,该漏洞的追踪编号为CVE-2024-53677,能使网络攻击者绕过网络安全措施,从而完全控制受影响的服务器。 用户面临远程代码执行
继续阅读关注 | 第一期漏洞挖掘与利用中高级培训班招生 中国信息安全 2024-12-19 10:31 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 在网络空间红蓝双方的较量中,漏洞是最永恒、最核心、最耀眼的存在,没有之一。 无论是渗透测试、攻防演练、各种赛事、APT对抗,还是远程控制、隐蔽通信,都需要各种各样的漏洞利用,才能取得突破。 为了发展漏洞研究水平,提升安全
继续阅读【漏洞通告】BeyondTrust RS & PRA命令注入漏洞(CVE-2024-12356) 启明星辰安全简讯 2024-12-19 09:21 一、漏洞概述 漏洞名称 BeyondTrust RS & PRA命令注入漏洞 CVE ID CVE-2024-12356 漏洞类型 命令注入 发现时间 2024-12-19 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权
继续阅读黑客利用Linux eBPF传播恶意软件展开攻击活动 BaizeSec 白泽安全实验室 2024-12-19 08:45 网络安全研究人员近期披露了一起针对东南亚地区企业和用户的新型Linux恶意软件活动。该活动利用了Linux eBPF(扩展Berkeley包过滤器)技术,通过隐藏网络活动、收集敏感信息和绕过安全措施,使得攻击检测变得异常困难。 Linux eBPF是一种强大的扩展Berkele
继续阅读新高危漏洞 (附在野POC)| Struts2任意文件上传漏洞(CVE-2024-53677) 原创 4° 励行安全 2024-12-19 08:02 一、漏洞简介 该漏洞存在于 Apache Struts 的文件上传机制中。攻击者可以通过操纵文件上传参数来利用该漏洞,从而实现路径遍历、绕过安全机制将文件上传到服务器中的任意位置,或者通过上传和触发可执行文件(如.jsp脚本或二进制有效负载)来执行
继续阅读【漏洞通告】Apache Tomcat远程代码执行漏洞(CVE-2024-50379) 原创 常行安全服务团队 常行科技 2024-12-19 07:13 Apache Tomcat是一个开源的Java Servlet容器,广泛用于运行Java Web应用程序。 漏洞概述 漏洞名称 Apache Tomcat远程代码执行漏洞 漏洞编号 CVE-2024-50379 公开时间 2024-12-18
继续阅读【工具分享】一款基于Java框架的综合漏洞检测工具 wy876 篝火信安 2024-12-19 03:30 简介 一款基于Java开发的综合漏洞检测工具,基于 ExpDemo-JavaFX项目的基础上添加POC,集合了ThinkPHP、泛微OA、用友OA、 致远OA, 大 华 等应用的漏洞 。 支持的漏洞 漏洞来源:https://github.com/wy876/POC – 漏洞合集
继续阅读实战-关于KEY泄露API接口利用 和 神农Sec 2024-12-19 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://zone.huoxian.cn/d/2909-keyapi 作者:和 0x1 前言 最近做项目遇见的各个平台的Key泄露的比较多,正
继续阅读