【漏洞复测 | 含批量POC】碧海威L7产品 confirm 命令执行漏洞
【漏洞复测 | 含批量POC】碧海威L7产品 confirm 命令执行漏洞 小明同学 小明信安 2024-06-28 21:56 0x01 免责声明 disclaimer 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收集于互联网,真实性及安全性自测,如有侵权请联系删除。本次测试仅供学
继续阅读标签: POC
[翻译]Progress MOVEit Transfer身份认证绕过漏洞 (CVE-2024-5806)
[翻译]Progress MOVEit Transfer身份认证绕过漏洞 (CVE-2024-5806) walker1995 沃克学安全 2024-06-28 20:43 原文地址: https://labs.watchtowr.com/auth-bypass-in-un-limited-scenarios-progress-moveit-transfer-cve-2024-5806/ 发表时间
继续阅读监听蓝牙对话的BlueSpy技术复现
监听蓝牙对话的BlueSpy技术复现 原创 马云卓 洞源实验室 2024-06-28 20:02 本文是之前文章的BlueSpy技术的复现过程:https://mp.weixin.qq.com/s/iCeImLLPAwwKH1avLmqEpA 2个月前,网络安全和情报公司Tarlogic在西班牙安全大会RootedCon 2024上提出了一项利用蓝牙漏洞的BlueSpy技术,并在之后发布了一个名为
继续阅读GitLab身份认证绕过漏洞(CVE-2024-5655)安全风险通告
GitLab身份认证绕过漏洞(CVE-2024-5655)安全风险通告 奇安信 CERT 2024-06-28 17:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GitLab身份认证绕过漏洞 漏洞编号 QVD-2024-24650,CVE-2024-5655 公开时间 2024-06-26 影响量级 百万级 奇安信评级 高危 CVSS 3.1分数 9.6 威胁类型 代
继续阅读「漏洞复现」易天智能eHR管理平台 CreateUser 任意用户添加漏洞
「漏洞复现」易天智能eHR管理平台 CreateUser 任意用户添加漏洞 冷漠安全 冷漠安全 2024-06-27 18:23 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读【已复现】Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告第二次更新
【已复现】Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告第二次更新 奇安信 CERT 2024-06-27 16:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ollama 远程代码执行漏洞 漏洞编号 QVD-2024-21275,CVE-2024-37032 公开时间 2024-06-24 影响量级 万级 奇安信评级 高危 CVSS 3.1
继续阅读马里兰大学 | 漏洞可利用性预测
马里兰大学 | 漏洞可利用性预测 原创 MJXV 安全学术圈 2024-06-26 17:58 原文标题:Expected Exploitability: Predicting the Development of Functional Vulnerability Exploits原文作者:Octavian Suciu, Connor Nelson†, Zhuoer Lyu†, Tiffany B
继续阅读Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)安全风险通告
Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)安全风险通告 奇安信 CERT 2024-06-26 11:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Progress MOVEit Transfer身份认证绕过漏洞 漏洞编号 QVD-2024-24490,CVE-2024-5806 公开时间 2024-06-25 影响量
继续阅读ctfshow之无字母数字的命令执行
ctfshow之无字母数字的命令执行 原创 vientiane TimeAxis Sec 2024-06-25 23:06 点击蓝字关注我们 无字母数字的命令执行 ctfshow web入门 55 题目: <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Mod
继续阅读真内控国产化开发平台preview接口存在任意文件读取漏洞
真内控国产化开发平台preview接口存在任意文件读取漏洞 南风漏洞复现文库 南风漏洞复现文库 2024-06-25 20:02 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 真内控国产化开发平台简介 微信公众号搜索:南风漏洞复现文库
继续阅读通天星CMSV6车载定位监控平台merge接口存在SQL注入漏洞 附POC
通天星CMSV6车载定位监控平台merge接口存在SQL注入漏洞 附POC 南风漏洞复现文库 南风漏洞复现文库 2024-06-25 20:02 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 通天星CMSV6车载定位监控平台简介 微信
继续阅读一款简单好用的漏洞管理工具
一款简单好用的漏洞管理工具 P001water 信安404 2024-06-25 19:24 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 项目介绍 漏洞管理工具 漏洞管理工具,支持漏洞管理、漏洞扫描、发包测试功能。编写本工具的目的在于帮
继续阅读【漏洞复现】WIFISKY 7层流控路由器index存在命令执行漏洞 | 附poc
【漏洞复现】WIFISKY 7层流控路由器index存在命令执行漏洞 | 附poc 原创 xiaocaiji 网安鲲为帝 2024-06-25 19:15 0x00免责声明 ! 本 文 仅 用 于 技 术 讨 论 与 学 习 , 利 用 此 文 所 提 供 的 信 息 而 造 成 的 任 何 直 接 或 者 间 接 的 后 果 及 损 失 , 均 由 使 用 者 本 人 负 责 , 文 章 作 者
继续阅读Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告
Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告 奇安信 CERT 2024-06-25 18:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ollama 远程代码执行漏洞 漏洞编号 QVD-2024-21275,CVE-2024-37032 公开时间 2024-06-24 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 9.1 威胁类
继续阅读XWiki DatabaseSearch 存在远程命令执行漏洞CVE-2024-31982 附POC
XWiki DatabaseSearch 存在远程命令执行漏洞CVE-2024-31982 附POC 南风漏洞复现文库 南风漏洞复现文库 2024-06-24 22:59 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. XWiki Da
继续阅读Apache Kafka UI 远程代码执行漏洞(CVE-2024-32030)安全风险通告
Apache Kafka UI 远程代码执行漏洞(CVE-2024-32030)安全风险通告 奇安信 CERT 2024-06-24 17:51 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Kafka UI 远程代码执行漏洞 漏洞编号 QVD-2024-23801,CVE-2024-32030 公开时间 2024-06-19 影响量级 万级 奇安信评级 高危
继续阅读漏洞通告 | 蓝凌 EKP 远程代码执行漏洞
漏洞通告 | 蓝凌 EKP 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-06-24 17:07 漏洞概况 蓝凌 EKP 是由深圳市蓝凌软件股份有限公司开发,是一款针对中小企业的移动化智能办公产品。 近日,微步漏洞团队获取到蓝凌 EKP 远程代码执行漏洞情报(https://x.threatbook.com/v5/vul/XVE-2023-18344)。攻击者可通过该漏洞执行
继续阅读Vivotek CC8160 固件栈溢出漏洞复现分析
Vivotek CC8160 固件栈溢出漏洞复现分析 原创 林昀 山石网科安全技术研究院 2024-06-24 11:33 一、固件提取 http://download.vivotek.com/downloadfile/downloads/firmware/cc8160firmware.zip 路径_CC8160-VVTK-0113b.flash.pkg.extracted/_31.extract
继续阅读Zyxel NAS系统setCookie接口存在远程命令执行漏洞CVE-2024-29973 附POC
Zyxel NAS系统setCookie接口存在远程命令执行漏洞CVE-2024-29973 附POC 南风漏洞复现文库 南风漏洞复现文库 2024-06-23 23:26 @[toc] Zyxel NAS系统setCookie接口存在远程命令执行漏洞CVE-2024-29973 附POC 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间
继续阅读【漏洞复现】天喻软件数据安全平台 deviceid 存在SQL注入
【漏洞复现】天喻软件数据安全平台 deviceid 存在SQL注入 mole5 云鸦安全 2024-06-23 16:25 一、产品描述 武汉天喻软件有限公司专注于为中国制造业企业提供信息化及协同管理、数字化设计、数据安全等软件解决方案和工程咨询服务。这家公司依托国家企业信息化应用支撑软件工程研究中心建立,旨在通过专业的数字化设计软件帮助制造业企业提升效率和安全性。 二、漏洞复现 fofa : a
继续阅读CVE-2024-29973 Zyxel-NAS设备存在远程命令执行漏洞
CVE-2024-29973 Zyxel-NAS设备存在远程命令执行漏洞 原创 Swimt 星悦安全 2024-06-23 14:34 漏洞简介 合勤科技(ZyXEL)是国际知名的网络宽带系统及解决方案供应商。2024年6月4日,启明星辰集团VSRC监测到Zyxel NAS设备中修复了多个漏洞,目前这些漏洞的技术细节及部分PoC已公开 资产详情 FoFa:body="/cmd,/ck6f
继续阅读【漏洞复现 | 含批量POC】Zyxel-NAS设备 setCookie 远程命令执行漏洞
【漏洞复现 | 含批量POC】Zyxel-NAS设备 setCookie 远程命令执行漏洞 小明同学 小明信安 2024-06-23 14:11 0x01 免责声明 disclaimer 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收集于互联网,真实性及安全性自测,如有侵权请联系删除
继续阅读「漏洞复现」学分制系统 GetCalendarContentById SQL注入漏洞
「漏洞复现」学分制系统 GetCalendarContentById SQL注入漏洞 冷漠安全 冷漠安全 2024-06-22 19:38 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用
继续阅读【漏洞复现 | 含批量POC】锐捷上网行为管理系统 static_convert.php 远程命令执行漏洞
【漏洞复现 | 含批量POC】锐捷上网行为管理系统 static_convert.php 远程命令执行漏洞 小明同学 小明信安 2024-06-22 14:46 0x01 免责声明 disclaimer 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收集于互联网,真实性及安全性自测,如
继续阅读CVE-2024-28397:js2py(JS 解释器)沙盒逃逸,绕过限制执行命令
CVE-2024-28397:js2py(JS 解释器)沙盒逃逸,绕过限制执行命令 Ots安全 2024-06-22 12:07 js2py是一个流行的 Python 包,可以在 Python 解释器中执行 JavaScript 代码。各种网络爬虫都会使用它来解析网站上的 JAVScript 代码。 内部一个全局变量的实现存在漏洞js2py,使得攻击者可以获取js2py环境中一个python对象的
继续阅读web 0day 大全(一)
web 0day 大全(一) 原创 零漏安全 零漏安全 2024-06-22 10:02 SQL注入 1.发生方式 通过将恶意的DQL或者DML语句添加到应用的输入参数中,经过后端代码拼接成语句,再在后台数据库服务器上解析执行进行的攻击 1.1典型案例 布尔盲注 时间盲注 报错盲注 联合查询 1.2攻击方式 1、判断是否存在注入点(只要有变化就可能存在) http://192.168.13.100
继续阅读漏洞预警 | JetBrains IntelliJ IDE信息泄露漏洞
漏洞预警 | JetBrains IntelliJ IDE信息泄露漏洞 浅安 浅安安全 2024-06-22 08:30 0x00 漏洞编号 – # CVE-2024-37051 0x01 危险等级 – 高危 0x02 漏洞概述 JetBrains IntelliJ是一个集成开发环境平台,支持Java、Kotlin、Scala、Groovy、Python、JavaScrip
继续阅读157个红队目标打点漏洞,95%严重高危,有POC、有修复方案的送分题千万别丢!
157个红队目标打点漏洞,95%严重高危,有POC、有修复方案的送分题千万别丢! 360漏洞云情报 360数字安全 2024-06-21 19:58 攻防演练最新漏洞合集:100%有POC,95%严重高危,企业几乎都在用,速查速修! 收敛攻击面绝佳指南,攻防演练必备 01 前言 2024年网络安全攻防演练即将拉开帷幕,360漏洞云情报订阅服务平台沉淀数年实战经验,分析总结 近年演练中爆发的易受攻击
继续阅读【漏洞情报】核弹漏洞 CVE-2024-30078 WIFI POC已经公开
【漏洞情报】核弹漏洞 CVE-2024-30078 WIFI POC已经公开 原创 MDSEC 猫蛋儿安全 2024-06-21 17:51 声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学
继续阅读【漏洞通告】NVIDIA Triton Inference Server 远程代码执行漏洞(CVE-2024-0087)
【漏洞通告】NVIDIA Triton Inference Server 远程代码执行漏洞(CVE-2024-0087) 启明星辰安全简讯 2024-06-21 17:44 一、漏洞概述 漏洞名称 NVIDIA Triton Inference Server for Linux远程代码执行漏洞 CVE ID CVE-2024-0087 漏洞类型 文件写入 发现时间 2024-06-21 漏洞
继续阅读