【复现】Nexus Repository3 任意文件下载漏洞的风险通告
【复现】Nexus Repository3 任意文件下载漏洞的风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-05-22 16:16 赛博昆仑漏洞安全通告- Nexus Repository3 任意文件下载漏洞的风险通告 漏洞描述 近日,赛博昆仑CERT监测到 Sonatype Nexus Repository3 任意文件下载漏洞(CVE-2024-4956)的漏洞情报。Sonat
继续阅读标签: POC
Atlassian Confluence 远程代码执行漏洞(CVE-2024-21683)安全风险通告
Atlassian Confluence 远程代码执行漏洞(CVE-2024-21683)安全风险通告 奇安信 CERT 2024-05-22 14:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Atlassian Confluence Data Center and Server 远程代码执行漏洞 漏洞编号 QVD-2024-20148,CVE-2024-21683
继续阅读2024 年第一季度漏洞和漏洞利用趋势分析
2024 年第一季度漏洞和漏洞利用趋势分析 山卡拉 嘶吼专业版 2024-05-21 14:00 在本报告中,卡巴斯基提供了一系列具有洞察力的统计和分析快照,涉及新漏洞和漏洞利用的趋势,以及攻击者最常使用的漏洞。此外,本报告还研究了 2024 年第一季度发现的几个值得注意的漏洞。 已登记漏洞统计 为了更好地管理漏洞,供应商可以注册这些漏洞并分配 CVE 标识符。所有标识符和相关公共信息均发布在 h
继续阅读Gradio component_server存在任意文件读取漏洞复现(CVE-2024-1561)CVE-2024-1561
Gradio component_server存在任意文件读取漏洞复现(CVE-2024-1561)CVE-2024-1561 南风徐来 南风漏洞复现文库 2024-05-20 23:07 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1.
继续阅读记某src通过越权拿下高危漏洞
记某src通过越权拿下高危漏洞 小*咔 Z2O安全攻防 2024-05-20 20:35 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失
继续阅读【已复现】Git 远程代码执行漏洞(CVE-2024-32002)安全风险通告
【已复现】Git 远程代码执行漏洞(CVE-2024-32002)安全风险通告 奇安信 CERT 2024-05-20 19:42 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Git 远程代码执行漏洞 漏洞编号 QVD-2024-18126,CVE-2024-32002 公开时间 2024-05-14 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 8.3 威胁类型
继续阅读【已复现】Git存在远程代码执行漏洞(CVE-2024-32002)
【已复现】Git存在远程代码执行漏洞(CVE-2024-32002) 安恒研究院 安恒信息CERT 2024-05-20 19:10 漏洞概述 漏洞名称 Git存在远程代码执行漏洞 安恒CERT评级 1级 CVSS3.1评分 9.0 CVE编号 CVE-2024-32002 CNVD编号 未分配 CNNVD编号 CNNVD-202405-1901 安恒CERT编号 DM-202405-002232
继续阅读英飞达医学影像存档与通信系统 WebJobUpload 任意文件上传漏洞
英飞达医学影像存档与通信系统 WebJobUpload 任意文件上传漏洞 冷漠安全 冷漠安全 2024-05-20 18:47 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读漏洞通告 | Git 远程代码执行漏洞
漏洞通告 | Git 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-05-20 16:02 漏洞概况 Git是一个免费的、开源的分布式版本控制系统,旨在高效、高速地处理从小到大的所有项目。它被广泛应用于软件开发领域,帮助开发者追踪代码更改、协同开发、回滚错误以及管理代码历史。 近日,微步漏洞团队获取到Git远程代码执行漏洞(CVE-2024-32002)情报,该漏洞由于在不
继续阅读安全动态回顾 | 16项网络安全国家标准获批发布 D-Link EXO AX4800路由器中的RCE零日漏洞PoC漏洞发布
安全动态回顾 | 16项网络安全国家标准获批发布 D-Link EXO AX4800路由器中的RCE零日漏洞PoC漏洞发布 胡金鱼 嘶吼专业版 2024-05-20 14:06 2024.5.6—5.12安全动态周回顾 2024.4.29—5.5安全动态周回顾 2024.4.22—4.28安全动态周回顾 2024.4.15—4.21安全动态周回顾 2024.4.8—4.14安全动态周回顾 2024
继续阅读【万字总结】 NMAP 从 原理 到 全参数实践在 到 开发漏洞探测
【万字总结】 NMAP 从 原理 到 全参数实践在 到 开发漏洞探测 原创 lsaisai W啥都学 2024-05-19 23:04 这个分享的内容比较长慢慢看,大概有一万字左右!! 这个笔记已经写的有一些年头了大概是20年写的,主要看的书是《诸神之眼NMAP》进行的总结,基本上是“整个《诸神之眼NMAP》书的全部总结笔记“还有一些自己的总结“估计应该是全网最全的“ 因为前两天在做线上的渗透测试
继续阅读D-Link NAS 未授权RCE
D-Link NAS 未授权RCE 可可 巢安实验室 2024-05-19 23:00 0x01 产品介绍 D-Link 网络存储 (NAS)是中国友讯(D-link)公司的一款统一服务路由器。 0x 0 2 漏洞威胁 D-Link NAS nas_sharing.cgi接口存在命令执行漏洞,该漏洞存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响其 HTTP GET 请求处理
继续阅读【漏洞复现】cockpit系统assetsmanager/upload接口存在文件上传漏洞 | 附poc
【漏洞复现】cockpit系统assetsmanager/upload接口存在文件上传漏洞 | 附poc 原创 xiaocaiji 网安鲲为帝 2024-05-19 21:30 0x00免责声明 ! 本 文 仅 用 于 技 术 讨 论 与 学 习 , 利 用 此 文 所 提 供 的 信 息 而 造 成 的 任 何 直 接 或 者 间 接 的 后 果 及 损 失 , 均 由 使 用 者 本 人 负
继续阅读思科企业级路由器0day漏洞挖掘
思科企业级路由器0day漏洞挖掘 原创 信睿网络 信睿网络 2024-05-19 18:38 **思科企业级路由器0day漏洞挖掘 前言 01 写这篇文章的初衷是因为有很多师傅问我:零基础小白该如何入手挖设备的二进制洞?很多师傅也许会觉得这是一件很困难的事情。读了这篇文章之后,我相信大家应该能体会到即使像思科这种全球头部大厂也是有很多很水的洞是可以很容易挖到的。 今年年初2月份的时候,笔者对美国思
继续阅读CVE-2024-0517分析心得
CVE-2024-0517分析心得 XiaozaYa 看雪学苑 2024-05-19 17:59 Error Fold Allocations in VisitFindNonDefaultConstructorOrConstruct 这个漏洞发生在MaglevGraphBuilder::VisitFindNonDefaultConstructorOrConstruct 函数中,考虑之前分析的CVE
继续阅读漏洞复现 | 英飞达医学影像存档与通信系统WebJobUpload任意文件上传漏洞【附poc】
漏洞复现 | 英飞达医学影像存档与通信系统WebJobUpload任意文件上传漏洞【附poc】 原创 实战安全研究 实战安全研究 2024-05-18 17:43 免责声明 本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动 ,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失, 均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号 无关 ,本次
继续阅读CVE-2024-4040 SSTI 和 LFI PoC – 漏洞利用
CVE-2024-4040 SSTI 和 LFI PoC – 漏洞利用 Ots安全 2024-05-18 13:24 这是 CrushFTP 中服务器端模板注入 (SSTI) 和本地文件包含 (LFI) 漏洞的概念验证。 特征 通过服务器端模板注入 (SSTI) 和身份验证绕过来利用 CrushFTP 服务器中的严重严重漏洞。将此漏洞提升为本地文件包含 (LFI)!此 PoC 漏洞利用
继续阅读从未经身份验证的存储型 XSS 到 RCE
从未经身份验证的存储型 XSS 到 RCE Ots安全 2024-05-18 13:24 发现的漏洞导致 HESK (MFH)版本 2019.1.0 和低至版本 3.1.0 (2017 年 6 月 28 日)的Mods 出现三个不同的 CVE – CVE-2020-13992 :: 多个存储的 XSS 问题允许未经身份验证的远程攻击者滥用帮助台用户的登录会话 CVE-2020-1399
继续阅读【热点播报】利用以太坊安全漏洞,麻省理工两学生12秒窃取1.8亿元
【热点播报】利用以太坊安全漏洞,麻省理工两学生12秒窃取1.8亿元 皓月当空w 2024-05-18 10:52 皓月当空,明镜高悬 文末可体验bugSearch系统哦~漏洞,热点,新闻,应有尽有 曼哈顿的联邦检察官指控,24岁的Anton Peraire-Bueno和28岁的James Peraire-Bueno犯有欺诈和洗钱罪。调查人员表示,在几个月的时间内,两人利用以太坊的安全漏洞策划、实施
继续阅读游戏漏洞挖掘端游页游手游逆向课程免费领取
游戏漏洞挖掘端游页游手游逆向课程免费领取 原创 Fighter001 重生者安全 2024-05-18 10:35 0x00 课程介绍 适合人群: 游戏爱好者,网络爱好者,网络工程师,安全工程师,研发工程师 课程目标: 对游戏漏洞挖掘,有一个基础了解,可以动手挖到游戏漏洞,可在游戏中畅游,漏洞提交SRC获取高额奖金; 课程简介: 专注培养网络安全人才,帮助大家了解并学习网络安全,传授黑白帽实战技能
继续阅读CVE-2024-34220
CVE-2024-34220 A___bandon 漏洞猎人 2024-05-18 08:02 免责声明:本文所涉及的信息安全技术知识仅供参考和学习之用,并不构成任何明示或暗示的保证。读者在使用本文提供的信息时,应自行判断其适用性,并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做出的任何行为或决定不承担任何责任。在任何情况下,本文作者不对因使用本文内容而导致的任何直接、间接、特殊或
继续阅读漏洞预警 | Ruvar OA SQL注入漏洞
漏洞预警 | Ruvar OA SQL注入漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 璐华信息技术有限公司成立于2002年,是广东省双软认证企业、高新技术企业,国内领先的全行业人力资源管理系统、OA办公系统解决方案提供商。公司核心研发团队来自985、211高校,人均软件开发经验超
继续阅读漏洞预警 | User Meta敏感信息泄露漏洞
漏洞预警 | User Meta敏感信息泄露漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # CVE-2024-33575 0x01 危险等级 – 中危 0x02 漏洞概述 User Meta是一款WordPress前端注册登录与编辑资料插件,允许用户在前端页面进行注册、登录以及编辑个人资料的操作。这款插件还支持额外字段的用户注册,增加了用
继续阅读漏洞预警 | 联软安全数据交换系统任意文件读取漏洞
漏洞预警 | 联软安全数据交换系统任意文件读取漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 联软安全数据交换系统是联软科技发明的,融合网络隔离、网盘和DLP技术于一体的专业产品,它同时支持多网交换,查杀毒、审计审批、文档追踪和水印功能,是解决用户网络隔离、网间及网内数据传输、交换、
继续阅读CVE-2024-4367|Mozilla PDF.js代码执行漏洞
CVE-2024-4367|Mozilla PDF.js代码执行漏洞 alicy 信安百科 2024-05-17 21:56 0x00 前言 PDF.js 是一个使用 HTML5 构建的便携式文档格式查看器。 pdf.js 是社区驱动的,并由 Mozilla 支持。我们的目标是为解析和呈现 PDF 创建一个通用的、基于 Web 标准的平台。 0x01 漏洞描述 在font_loader.js中存在
继续阅读CVE-2024-25641|Cacti 存在多个安全漏洞
CVE-2024-25641|Cacti 存在多个安全漏洞 alicy 信安百科 2024-05-17 21:56 0x00 前言 Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。 Cacti是通过 snmpget来获取数据,使用 RRDtool绘画图形,而且你完全可以不需要了解RRDtool复杂的参数。 0x01 漏洞描述 CVE-2024-256
继续阅读CVE-2024-27130|QNAP 存在未经身份验证的RCE漏洞(POC)
CVE-2024-27130|QNAP 存在未经身份验证的RCE漏洞(POC) alicy 信安百科 2024-05-17 21:56 0x00 前言 QNAP 命名源自于高质量网络设备制造商(Quality Network Appliance Provider)。 QNAP 专注于储存、网络及智能影音产品创新,透过软件订阅制及多元化服务管道建构崭新的科技生态圈。 在 QNAP 的企业蓝图中,NA
继续阅读详细的漏洞报告是怎样的
详细的漏洞报告是怎样的 裴伟伟 洞源实验室 2024-05-17 20:00 无论是做漏洞研究还是做安全测试,最终都需要以文本的方式将安全漏洞的信息呈现给需要理解漏洞的人,这个人可能是漏洞相关产品所在机构的审核人员,也可能是漏洞所属产品的研发人员,或者是产品经理之类的决策或管理人员。 一份详细且恰当的漏洞报告可以减少漏洞发现者或提交者与上述人员之间的沟通成本,尤其是描述复杂的漏洞。而现实中阅读漏洞
继续阅读Weblogic T3协议反序列化漏洞分析(上)
Weblogic T3协议反序列化漏洞分析(上) 原创 Sec0re 源鲁安全实验室 2024-05-17 19:42 此文章原创作者为源鲁安全实验室,转载请注明出处!此文章中所涉及的技术、思路和工具仅供网络安全学习为目的,不得以盈利为目的或非法利用,否则后果自行承担! 0x01 前言 在初入安全的时候,就听说过weblogic的大名,当然听说的并不是 weblogic如何如何好用,而是因为其漏洞
继续阅读【谷歌一周内修复第三个在野利用】Google Chrome V8类型混淆漏洞(CVE-2024-4947)安全风险通告
【谷歌一周内修复第三个在野利用】Google Chrome V8类型混淆漏洞(CVE-2024-4947)安全风险通告 奇安信 CERT 2024-05-16 15:04 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome V8类型混淆漏洞 漏洞编号 QVD-2024-18433,CVE-2024-4947 公开时间 2024-05-15 影响量级 千万
继续阅读