鸿运(通天星CMSV6车载)主动安全监控云平台存在敏感信息泄露漏洞 附POC软件
鸿运(通天星CMSV6车载)主动安全监控云平台存在敏感信息泄露漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-26 20:42 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 鸿运(通天星CMSV6车载)主动安全监控云平
继续阅读标签: POC
「深蓝洞察」2023 年度最费钱的漏洞
「深蓝洞察」2023 年度最费钱的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-26 19:48 22 年的一篇深蓝洞察 — 年度最具含金量漏洞 ,披露过当年、也是彼时历史上最大的单笔漏洞奖金,为 1000 万美元。 漏洞究竟价值如何,没有比 2023 年度发生的安全事件来得更直观的了。 以下为本期深蓝洞察年度安全报告的 第七篇 。 07 2023 年 9 月 27 日,一
继续阅读【安全圈】注意!ScreenConnect 漏洞正被广泛利用于恶意软件传播
【安全圈】注意!ScreenConnect 漏洞正被广泛利用于恶意软件传播 安全圈 2024-02-26 19:02 关键词 安全漏洞 影响 ConnectWise 的 ScreenConnect 远程桌面访问产品的严重漏洞已被广泛利用来传播勒索软件和其他类型的恶意软件。 ConnectWise 于 2 月 19 日通知客户,它已发布针对关键身份验证绕过缺陷和高严重性路径遍历问题的补丁。该安全漏洞
继续阅读新的 Linux glibc 漏洞可使网络攻击者获得主要发行版 root 权限
新的 Linux glibc 漏洞可使网络攻击者获得主要发行版 root 权限 网络安全应急技术国家工程中心 2024-02-26 15:04 非特权攻击者可以利用 GNU C 库 (glibc) 中新披露的本地权限提升 (LPE) 漏洞,在默认配置下获得多个主要 Linux 发行版的 root 访问权限。 该安全漏洞被追踪为CVE-2023-6246,是在 glibc 的 __vsyslog_i
继续阅读【安全圈】警告!ConnectWise 漏洞正被广泛利用,数千台服务器面临危险
【安全圈】警告!ConnectWise 漏洞正被广泛利用,数千台服务器面临危险 安全圈 2024-02-25 19:00 关键词 安全漏洞 ConnectWise 周二表示,一个严重的 ConnectWise ScreenConnect 漏洞正在被广泛利用,该漏洞使数千台服务器面临被接管的风险。 ConnectWise周一发布了 ScreenConnect 23.9.7 的安全修复程序,披露了两个
继续阅读[经验分享]-SRC漏洞挖掘之道
[经验分享]-SRC漏洞挖掘之道 点击关注👉 马哥网络安全 2024-02-25 18:00 一个 SRC 混子挖 SRC 的半年经验分享~, 基本都是文字阐述,希望能给同样在挖洞的师傅们带来一点新收获。 前期信息收集 还是那句老话, 渗透测试的本质是信息收集,对于没有 0day 的弱鸡选手来说,挖 SRC 感觉更像是对企业的资产梳理,我们往往需要花很长的时间去做信息收集,收集与此公司相关的信息,
继续阅读开源应用程序导致 XSS 到 RCE 漏洞缺陷
开源应用程序导致 XSS 到 RCE 漏洞缺陷 Ots安全 2024-02-25 17:09 跨站脚本 (XSS) 是 Web 应用程序中最常见的攻击之一。如果攻击者可以将 JavaScript 代码注入应用程序输出中,这不仅会导致 cookie 盗窃、重定向或网络钓鱼,而且在某些情况下还会导致系统完全受损。 在本文中,我将展示如何在 Evolution CMS、FUDForum 和 GitBuc
继续阅读万户协同办公平台ezoffice text2Html接口存在任意文件读取漏洞 附POC软件
万户协同办公平台ezoffice text2Html接口存在任意文件读取漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-25 13:53 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 万户协同办公平台ezoffice简
继续阅读【漏洞情报 | 新】WordPres Bricks Builder 前台RCE漏洞(CVE-2024-25600)
【漏洞情报 | 新】WordPres Bricks Builder 前台RCE漏洞(CVE-2024-25600) Ts3a 划水但不摆烂 2024-02-25 07:31 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 产品简介 Bricks Builder是一款用于WordPre
继续阅读用友U8 Cloud smartweb2.RPC.d xxe漏洞
用友U8 Cloud smartweb2.RPC.d xxe漏洞 原创 fgz AI与网安 2024-02-25 07:27 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 先介绍下什么是XXE漏洞? XXE漏洞全称XML External Entity Inject
继续阅读dedecms之汗流浃背的审计1day
dedecms之汗流浃背的审计1day 江南韵 湘安无事 2024-02-24 23:09 声明: 该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 前言: 又是我,深情哥大弟子江南韵( 压星河),最近跟着学了一手更新包审计
继续阅读Edusoho网络课堂cms存在任意文件读取漏洞 附POC软件
Edusoho网络课堂cms存在任意文件读取漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-24 23:08 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Edusoho网络课堂cms简介 微信公众号搜索:南风漏洞复现
继续阅读某CMS的通用漏洞挖掘过程 | 干货
某CMS的通用漏洞挖掘过程 | 干货 ShawnDing 渗透安全团队 2024-02-24 22:28 前言 本文所涉及的漏洞已提交CNVD且厂商已完成漏洞修复,请勿用于非授权测试!!! 现在比较严格,目标名称均以某CMS指代,见谅。 前言 本来计划在cnvd公开这个小漏洞的时候就把这篇小作文写了,最近一忙给整忘了,现在补上。 某次项目中遇到这个cms,进行了常规黑盒测试后没发现什么大问题,检查
继续阅读「深蓝洞察」2023 年度最死而不僵的漏洞
「深蓝洞察」2023 年度最死而不僵的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-24 20:18 回顾 Android 的发展历程,各种反序列化相关的漏洞曾多次被公开披露和修复。 其中最具代表性的当属 Bundle Mismatch 相关的漏洞,它即是深蓝洞察去年发布的 2022 年度最“不可赦”的漏洞利用 所揭示的,堪称史上最大规模的在野攻击所利用的核心漏洞。 Google 引入了
继续阅读漏洞复现-用友U8-OA协同工作系统doUpload.jsp任意文件上传(附poc
漏洞复现-用友U8-OA协同工作系统doUpload.jsp任意文件上传(附poc Y1_K1NG Yi安全 2024-02-24 14:49 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感信息均 已做多层打马处
继续阅读内部漏洞库,福利开局
内部漏洞库,福利开局 黑熊安全 2024-02-24 12:39 免责声明 不能用于传播、利用本公众号奉天安全团队提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 奉天安全团队及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即 删除并致歉,谢谢! 内部漏洞平台介绍 团队内部 漏洞平台 分享一些通杀day、1day、未公开的POC。当然我们漏洞
继续阅读某恩特文件上传漏洞分析
某恩特文件上传漏洞分析 AGONI 白帽子左一 2024-02-24 12:04 扫码领资料 获网安教程 0X01 前言 最近这段时间某恩特,公众号到处在发,该系统的0day漏洞,可谓是漫天飞了,且利用方式也及其简单,本文就是对该系统目前所爆出来的漏洞进行一个漏洞分析,并在最后给出一个该系统未被公布的0day 基本上都是这两天的,非常的集中 0X02 漏洞分析 我们来看一下最开始原始的POC 定位
继续阅读ScreenConnect 漏洞(“SlashAndGrab”)被广泛利用于恶意软件传播
ScreenConnect 漏洞(“SlashAndGrab”)被广泛利用于恶意软件传播 军哥网络安全读报 2024-02-24 09:00 导读 影响 ConnectWise 的 ScreenConnect 远程桌面访问产品的严重漏洞已被广泛利用来传播勒索软件和其他类型的恶意软件。 ConnectWise 于 2 月 19 日通知客户,它已发布针对关键身份验证绕过缺陷和高严重性路径遍历问题的补丁
继续阅读最新Invicti-Professional-v24.2.0.43677漏洞扫描器下载
最新Invicti-Professional-v24.2.0.43677漏洞扫描器下载 原创 城北 渗透安全HackTwo 2024-02-24 00:00 前言 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 Invicti Professional Edition 是一款
继续阅读【0day漏洞】Internet快捷方式文件安全特性绕过漏洞(CVE-2024-21412)安全风险通告
【0day漏洞】Internet快捷方式文件安全特性绕过漏洞(CVE-2024-21412)安全风险通告 原创 QAX CERT 奇安信 CERT 2024-02-24 00:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Internet快捷方式文件安全特性绕过漏洞 漏洞编号 QVD-2024-6259,CVE-2024-21412 公开时间 2024-02-14 影响
继续阅读WordPress的Bricks主题存在远程命令执行漏洞CVE-2024-25600 附POC软件
WordPress的Bricks主题存在远程命令执行漏洞CVE-2024-25600 附POC软件 南风徐来 南风漏洞复现文库 2024-02-23 22:52 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. WordPress简介
继续阅读【漏洞通告】Spring Framework URL解析不当漏洞(CVE-2024-22243)
【漏洞通告】Spring Framework URL解析不当漏洞(CVE-2024-22243) 网安百色 2024-02-23 19:31 一、漏洞概述 漏洞名称 Spring Framework URL解析不当漏洞 CVE ID CVE-2024-22243 漏洞类型 重定向、SSRF 发现时间 2024-02-22 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用
继续阅读微软Outlook中#MonikerLink漏洞的风险和大局观
微软Outlook中#MonikerLink漏洞的风险和大局观 晶颜123 FreeBuf 2024-02-23 18:59 近日,Check Point Research发布了一份名为 《明显的、一般的和高级的:Outlook攻击向量的综合分析》 (The Obvious, The Normal and The Advanced: a Comprehensive Analysis of Outl
继续阅读苹果 Shortcuts 零点击漏洞可导致数据被盗
苹果 Shortcuts 零点击漏洞可导致数据被盗 Nathan Eddy 代码卫士 2024-02-23 18:24 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果 Shortcuts 中存在一个危险漏洞 (CVE-2024-23204),可导致攻击者在无需获得权限的情况下访问设备的敏感数据。 苹果的 Shortcuts 应用为 macOS 和 iOS 而设置,旨在将任务自动化。对于
继续阅读【成功复现】WordPress Bricks Builder远程命令执行漏洞(CVE-2024-25600)
【成功复现】WordPress Bricks Builder远程命令执行漏洞(CVE-2024-25600) 原创 弥天安全实验室 弥天安全实验室 2024-02-23 18:23 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍WordPress和WordPress plugin都是WordPress基金
继续阅读WordPress爆炸性0day,直接RCE!附POC
WordPress爆炸性0day,直接RCE!附POC 网络安全007 信安404 2024-02-23 17:50 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 师傅们,过年好呀! 现在安全行业越来越难混了,安全的门槛越来越低了,现在如
继续阅读「深蓝洞察」2023 年度最名不副实的高危漏洞
「深蓝洞察」2023 年度最名不副实的高危漏洞 原创 深蓝洞察 DARKNAVY 2024-02-23 17:41 去年此时,我们发布了「 深蓝洞察 」2022 年度最名不副实的“高危”漏洞 ,记录了漏洞版狼来了的案例。 历史的车轮滚滚向前,但总有后人重蹈覆辙。 是的,在 2023 年,狼又来了。 以下为本期深蓝洞察年度安全报告的 第四篇 。 04 2023 年 10 月 4 日,curl 的作者
继续阅读YouDianCMS友点系统漏洞合集
YouDianCMS友点系统漏洞合集 原创 小白菜安全 小白菜安全 2024-02-23 17:30 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围 漏洞复现 1.i
继续阅读Outlook高危远程代码执行漏洞,启明星辰提供解决方案
Outlook高危远程代码执行漏洞,启明星辰提供解决方案 启明星辰集团 2024-02-23 17:01 Microsoft Office Outlook是微软开发的办公软件套装中的一个组件,主要功能是收发电子邮件,同时具有管理联系人信息、安排日程、分配任务等功能。 漏洞详情 近日, 启明星辰金睛安全研究团队 监测到微软二月份安全补丁中一个CVSS评分为9.8的漏洞 (Microsoft Outl
继续阅读【已复现】Microsoft Outlook 远程代码执行漏洞(CVE-2024-21413)安全风险通告
【已复现】Microsoft Outlook 远程代码执行漏洞(CVE-2024-21413)安全风险通告 原创 QAX CERT 奇安信 CERT 2024-02-23 11:45 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Microsoft Outlook 远程代码执行漏洞 漏洞编号 QVD-2024-6258, CVE-2024-21413 公开时间 2024-02
继续阅读