【Exp】- CVE-2024-10924 WordPress插件Really Simple Security认证绕过漏洞 原创 宬室司阍 埋藏酱油瓶 2024-11-19 03:49 【🔔】互联网资料/工具,安全性未知,需要自行研判安全性。 传送 https://github.com/m3ssap0/wordpress-really-simple-security-authn-bypass-vu
继续阅读【在野利用】Palo Alto Networks PAN-OS 身份认证绕过漏洞(CVE-2024-0012)安全风险通告 奇安信 CERT 2024-11-19 03:42 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Palo Alto Networks PAN-OS 身份认证绕过漏洞 漏洞编号 QVD-2024-47531,CVE-2024-0012 公开时间 2024
继续阅读CVE-2024-45216 Authentication bypass in Apache Solr hulala14 呼啦啦安全 2024-11-19 03:33 前言最近solr爆出了新的身份绕过漏洞,工作中要对该漏洞进行复现,正好将分析的过程记录一下在通报中可以看到该漏洞的评级那是相当高,CVSS3直接高达9.8分,在描述中可以得出这个漏洞主要是因为使用 PKIAuthentication
继续阅读DeepData 恶意软件框架被发现利用尚未修补的 Windows 0day漏洞、Fortinet VPN 客户端 会杀毒的单反狗 军哥网络安全读报 2024-11-19 01:00 导读 网络安全公司 Volexity 报告称,DeepData 恶意软件框架被发现利用 Windows 版 Fortinet VPN 客户端中的0day漏洞窃取凭证。 DeepData 是一个依赖多个插件的监控框架,
继续阅读Water Barghest组织利用IoT设备漏洞迅速变现的策略 小蛛 狼蛛安全实验室 2024-11-19 00:02 Inside Water Barghest’s Rapid Exploit-to-Market Strategy for IoT Devices 2024-11-18, 来源:趋势科技, AI评估:10分(APT报告) 我们发现Water Barghest组织通过利用物联网设备
继续阅读Palo Alto Networks确认0Day漏洞正在被黑客利用 FreeBuf 商密君 2024-11-18 13:40 近日,全球网络巨头Palo Alto Networks确认旗下0Day漏洞正在被黑客利用。11月8日,Palo Alto Networks发布了一份安全通告,警告客户PAN-OS管理界面中存在一个远程代码执行漏洞,并建议客户确保PAN-OS管理界面访问的安全性。 但随着该漏
继续阅读fastjson < 1.2.66 正则表达式拒绝服务漏洞REDOS 长风实验室 2024-11-18 12:54 1.JSONPath类 ( 1 ) 路径查询: 通过路径表达式 $.store.book[0].title 可以直接访问嵌套 JSON 中的 title 属性。 ( 2 ) 动态提取数据: 可以根据条件从 JSON 中提取符合条件的数据,支持过滤条件,例如选择价格大于某个值的书
继续阅读红日靶场(七)WHOAMI Penetration(一) 原创 Undefin3d团队 Undefin3d安全团队 2024-11-18 12:45 · DMZ IP段为192.168.1.0/24 · 二层网络 IP段为192.168.52.0/24 · 三层网络 IP段为192.168.93.0/24 第一层网络 首先我们拿到靶机的ip为192.168.1.128,我们直接可以fscan进行端
继续阅读安全热点周报:俄罗斯黑客利用 Windows 零日漏洞乌克兰实体进行持续攻击 奇安信 CERT 2024-11-18 10:20 安全资讯导视 • 国家密码管理局《关键信息基础设施商用密码使用管理规定》公开征求意见 • 欧盟发布《通用人工智能实践准则草案(初稿)》 • 国际石油巨头哈里伯顿因网络攻击损失超2.5亿元 PART01 漏洞情报 1.Ivanti Endpoint Manager SQ
继续阅读僵尸网络利用 GeoVision 0day 安装 Mirai 恶意软件 Bill Toulas 代码卫士 2024-11-18 09:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 一个恶意软件僵尸网络正在利用已达生命周期的 GeoVision 设备中的一个 0day 漏洞发动 DDoS 或密币挖掘攻击。 该漏洞是CVE-2024-11120,是由 The Shadowserver F
继续阅读【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208) 启明星辰安全简讯 2024-11-18 08:56 一、漏洞概述 漏洞名称 Apache OFBiz远程代码执行漏洞 CVE ID CVE-2024-47208 漏洞类型 代码注入、SSRF 发现时间 2024-11-18 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互
继续阅读【poc】Fortinet FortiManager 中0day CVE-2024-47575 的 PoC 发布 独眼情报 2024-11-18 08:20 watchTowr 的安全研究员 Sina Kheirkhah 最近公布了一项关键零日漏洞的 技术细节 和概念验证 (PoC) 漏洞利用,该漏洞被称为“FortiJump”(CVE-2024-47575)。FortiManager 和 For
继续阅读Palo Alto Networks确认近期披露的零日漏洞正在被积极利用 鹏鹏同学 黑猫安全 2024-11-18 03:31 上周,Palo Alto Networks 警告客户限制对其下一代防火墙管理界面的访问,因为 PAN-OS 中存在潜在的远程代码执行漏洞(CVSSv4.0 基本分数:9.3)。当时该网络安全公司没有提供关于该漏洞的更多细节,并且不知道该漏洞正在被积极利用。 其安全公告中写
继续阅读工具 | 集成高危漏洞exp的实用性渗透工具 渗透安全团队 2024-11-18 03:02 由于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 01 工具介绍 该工具使用了ExpDemo-JavaFX项目,保留了核心的数据包请求接口,使用jdk1.8环境开发。目前编写了oa、设备、框架、产品等多个系列,对相关漏洞进行复现和分析,极力避免exp的误报和有效性。 截止到目前为止,已实现了
继续阅读ViewState反序列化复现踩坑记录 阿乐你好 2024-11-18 01:34 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推送,建议大家把 潇湘信安 “ 设为星标 ”, 否则
继续阅读【OSCP-Medium】adria 原创 Beret-SEC 贝雷帽SEC 2024-11-18 01:21 OSCP 靶场 靶场介绍 adria medium smb、Subrion CMS 、脚本分析、sudo-scalar 提权、id_rsa、pspy64 信息收集 主机发现 nmap -sn 192.168.1.0/24 端口扫描 ┌──(kali㉿kali)-[~] └─$ nmap
继续阅读aiohttp路径遍历漏洞分析(XCE-2024-1472) 船山信安 2024-11-18 01:18 前言 微步发的漏洞通告aiohttp存在路径遍历漏洞,fofa搜了一下资产,确实挺多的,因为poc没有公布,所以并不知道漏洞的详情,但是见了这么多的路径遍历,基本上都不会产生什么变化,最多就是转换下编码的问题,比如说GlassFish出现的UTF8超长编码导致的任意文件读取等等,于是就来简单分
继续阅读vulnhub之Escalate的实践 原创 真理 云计算和网络安全技术实践 2024-11-18 00:54 本周实践的是vulnhub的Escalate镜像, 下载地址,https://download.vulnhub.com/escalatelinux/Escalate_Linux.ova, 用virtualbox导入成功, 做地址扫描,sudo netdiscover -r 192.168
继续阅读JavaSecLab 一款综合Java漏洞平台 whgojp 夜组安全 2024-11-17 13:21 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya 朋友们现在只
继续阅读分享SRC中后台登录处站点的漏洞挖掘技巧 原创 神农Sec 神农Sec 2024-11-17 05:12 扫码领资料 获网安教程 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 这次给师傅们分享下SRC漏洞挖掘中的在后台登录处可以进行测试的相关漏洞的一个汇总,也算是给刚入门src或者不太能挖src的师
继续阅读VSFTPD 2.3.4 笑脸漏洞 Sword 网络安全学习爱好者 2024-11-17 00:39 环境搭建 压缩包需要下载特定版本,官方提供的安装包没有这个漏洞 1.靶机环境是centos7 ,首先解压缩包,并上传到靶机目录 tar -zxvf 压缩包名称 2.进入vsftpd目录,赋予文件权限,之后进行make &&make install cd /vsftpd-2.3
继续阅读某系统因属性污染导致的RCE漏洞分析 黑白之道 2024-11-17 00:38 前几天在逛huntr的时候,发现一个很有意思的漏洞,他是通过反序列化从而去污染类和属性导致的rce,在作者的描述中大致说明的漏洞的原理,该漏洞是通过绕过Deepdiff的反序列化限制,包括绕过魔术方法和白名单绕过,通过魔术方法可以访问其他模块、类和实例,并使用这种任意属性写入,最终导致rce。 1、漏洞介绍 前几天在
继续阅读「漏洞复现」全新优客API接口管理系统 index/doc SQL注入漏洞 冷漠安全 冷漠安全 2024-11-16 16:33 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读AI代码审计和POC编写 原创 道玄安全 道玄网安驿站 2024-11-16 15:25 “ AI做代码审计和POC编写真好使” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑漏洞
继续阅读Fckeditor编辑器漏洞汇集 原创 simeon的文章 小兵搞安全 2024-11-16 13:37 1.1Fckeditor简介 FCKeditor(现在通常称为CKEditor)是一个开源的、基于JavaScript的内容编辑器。它最初由Frederico Caldeira Knabben开发,并于2003年首次发布。CKEditor旨在使Web开发者能够在其网站上添加富文本编辑功能,用户
继续阅读【漏洞预警】易思智能物流无人值守系统SQL注入 thelostworld 2024-11-16 09:10 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!马赛克安全实验室情
继续阅读CVE-2024-28888:福昕阅读器中使用释放后导致远程代码执行 Ots安全 2024-11-16 07:02 网址 – https://www.talosintelligence.com/vulnerability_reports/TALOS-2024-1967 目标 – 福昕PDF编辑器版本:2024.X(含)~2024.2.3.25184(含)(Windows)
继续阅读【安全圈】俄罗斯黑客利用文件拖放、删除操作触发 Windows 0day 漏洞攻击乌克兰目标 安全圈 2024-11-16 06:34 关键词 漏洞 网络安全公司 ClearSky 警告称,Windows 中一个新修补的 day 漏洞 可通过用户最少的交互(例如删除文件或右键单击文件)被利用。 该0day漏洞编号为 CVE-2024-43451,是一个中等严重程度的漏洞,会影响 MSHTM 引
继续阅读(0day)某全新UI自助打印微信小程序系统SQL+RCE漏洞代码审计 原创 Mstir 星悦安全 2024-11-16 04:37 点击上方 蓝字关注我们 并设为 星标 0x00 前言 在数字化时代,打印服务的需求与日俱增。为了满足用户的便利需求,全新UI的自助打印系统/云打印小程序。 全新UI设计:采用2024年最新的UI设计风格,界面简洁美观,用户体验极佳。 云打印功能:支持用户通过小程序上
继续阅读Palo Alto Networks 确认存在新的防火墙0day漏洞 会杀毒的单反狗 军哥网络安全读报 2024-11-16 01:02 导读 在告知客户正在调查有关新的防火墙远程代码执行漏洞后,Palo Alto Networks 于周五证实,一种新的 0day 漏洞正被用于攻击。 Palo Alto Networks于 11 月 8 日发布了一份公告( https://security.pal
继续阅读