CVE-2024-53961|Adobe ColdFusion路径遍历漏洞
CVE-2024-53961|Adobe ColdFusion路径遍历漏洞 alicy 信安百科 2024-12-28 09:56 0x00 前言 Adobe ColdFusion是一个应用服务器平台,其运行的CFML(ColdFusion Markup Language)针对Web应用的一种脚本语言,类似现在的JSP里的JSTL(JSP Standard Tag Lib)。文件以*.cfm为文件
继续阅读标签: POC
CVE-2024-55461|SeaCMS海洋影视管理系统远程代码执行漏洞(POC)
CVE-2024-55461|SeaCMS海洋影视管理系统远程代码执行漏洞(POC) alicy 信安百科 2024-12-28 09:56 0x00 前言 海洋CMS是一套专为不同需求的站长而设计的内容管理系统,灵活、方便、人性化设计、简单易用是最大的特色,可快速建立一个海量内容的专业网站。海洋CMS基于PHP+MySql技术开发,完全开源免费 、无任何加密代码。 官网:www.seacms.
继续阅读CVE-2024-56145|Craft CMS远程代码执行漏洞(POC)
CVE-2024-56145|Craft CMS远程代码执行漏洞(POC) alicy 信安百科 2024-12-28 09:56 0x00 前言 Craft CMS是一个开源的内容管理系统,它专注于用户友好的内容创建过程,可以用来创建个人或企业网站也可以搭建企业级电子商务系统。 Craft界面简洁优雅,逻辑清晰明了,是一个高度自由,高度自定义设计的平台。虽然不需要专业的编程知识,要对模板语法有所
继续阅读FreeBuf周报 | AI平台1.29T数据库裸奔;9.9分SQL注入漏洞可获admin权限
FreeBuf周报 | AI平台1.29T数据库裸奔;9.9分SQL注入漏洞可获admin权限 Zicheng FreeBuf 2024-12-28 02:02 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 账号和密钥明文存储,AI平台1.29T数据库裸奔 近日,网络安全研
继续阅读分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集
分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集 原创 神农Sec 神农Sec 2024-12-28 01:05 扫码加圈子获内部资料网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 哈喽师傅们,这篇文章自己写之前先是看了十几篇的Fastjson反序列化漏洞相关的文章,自己也是先学习了
继续阅读漏洞预警 | SeaCMS海洋影视管理系统远程代码执行漏洞
漏洞预警 | SeaCMS海洋影视管理系统远程代码执行漏洞 浅安 浅安安全 2024-12-28 00:00 0x00 漏洞编号 – # CVE-2024-55461 0x01 危险等级 – 高危 0x02 漏洞概述 海洋CMS是为解决站长核心需求而设计的内容管理系统,一套程序自适应电脑、手机、平板、APP多个终端入口,无任何加密代码、安全有保障,是您最佳的建站工具。 0x
继续阅读【漏洞复现】卓软计量业务管理平台image存在任意文件读取漏洞
【漏洞复现】卓软计量业务管理平台image存在任意文件读取漏洞 xiachuchunmo 银遁安全团队 2024-12-27 23:02 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 卓软计量业务管理平台是一款专为计量测试检定机构设计的信息化管理系统9。随着社会经济的不断发展,计量测试检定机构面临的管理规范化、技术水平、检测效率、服务能力以及行业
继续阅读【CVE-2024-1609】OPPO商城APP存在Webview组件权限提升漏洞致谢公告
【CVE-2024-1609】OPPO商城APP存在Webview组件权限提升漏洞致谢公告 原创 OSRC OPPO安全中心 2024-12-27 09:35 CVE-2024-1609### 漏洞类型 :移动应用漏洞漏洞提交时间:2022-10-13漏洞描述:OPPO商城APP存在Webview组件权限提升漏洞CVE官方链接:https://www.cve.org/CVERecord?id=CV
继续阅读Mitel MiCollab 企业协作平台 任意文件读取漏洞(CVE-2024-41713)
Mitel MiCollab 企业协作平台 任意文件读取漏洞(CVE-2024-41713) Superhero nday POC 2024-12-27 08:38 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权
继续阅读EDU-Kesion科汛开发的在线教育建站系统存在SQL注入漏洞 (大量存在含POC新接口) | 漏洞预警
EDU-Kesion科汛开发的在线教育建站系统存在SQL注入漏洞 (大量存在含POC新接口) | 漏洞预警 原创 漏洞复现Tony 渗透安全HackTwo 2024-12-27 08:06 0x01 产品简介 科汛网校KesionEDU是KESION科汛开发的在线教育建站系统,支持在线直播教学、课程点播、录播授课等多种教学方式,满足不同场景下的教学需求。提供问答互动、学习点评、在线
继续阅读价值$3000的Google Slides IDOR漏洞
价值$3000的Google Slides IDOR漏洞 芳华绝代安全团队 2024-12-27 08:05 2024年最后一波招生——玲珑安全技能提升班 <-点击查看 关注公众号,阅读优质好文。 正文 某天下午,我在办公室用 Google Slides 制作演讲用的幻灯片。幻灯片完成后,我点击了“演示者视图”来预览。在活动期间,我计划与观众进行实时问答,于是上网查找 Google Slid
继续阅读EasyCVR-视频管理平台 taillog 任意文件读取漏洞
EasyCVR-视频管理平台 taillog 任意文件读取漏洞 Superhero nday POC 2024-12-27 07:54 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读“AI+Security”系列第4期(三):基于大模型的漏洞挖掘技术与实践
“AI+Security”系列第4期(三):基于大模型的漏洞挖掘技术与实践 奇安信技术研究院 2024-12-27 06:41 近日,“AI+Security” 系列第 4 期线下活动在北京顺利举行,主题聚焦于 “洞” 见未来:AI 驱动的漏洞挖掘新范式,吸引了众多安全领域专家参与。奇安信安全研究员尹斌先生围绕 “基于大模型的漏洞挖掘技术与实践” 展开分享。他深入介绍了大模型与静态代码分析、模糊测
继续阅读工具集:TsojanScan【BurpSuite漏洞探测插件】
工具集:TsojanScan【BurpSuite漏洞探测插件】 wolven Chan 风铃Sec 2024-12-27 05:30 工具介绍 TsojanScan 提供了多种扫描模块,支持主动和被动的漏洞探测,优化了扫描性能和兼容性,是一个强大的渗透测试工具。本着市面上各大漏洞探测插件的功能比较单一,TsojanScan 在已有框架的基础上修改并增加常用的漏洞探测POC,会以最少的数据包请求来准
继续阅读Adobe最新漏洞被披露,已有PoC代码流出
Adobe最新漏洞被披露,已有PoC代码流出 工业互联网安全 金瀚信安 2024-12-27 05:27 Adobe近期发布了紧急安全更新,针对ColdFusion中的一个关键漏洞,该漏洞已有概念验证(PoC)代码流出。根据周一的公告,这个编号为CVE-2024-53961的漏洞源于路径遍历弱点,影响了Adobe ColdFusion 2023和2021版本,攻击者可借此读取易受攻击服务器上的任意
继续阅读「漏洞复现」时空WMS-仓储精细化管理系统 SaveCrash.ashx 文件上传漏洞
「漏洞复现」时空WMS-仓储精细化管理系统 SaveCrash.ashx 文件上传漏洞 冷漠安全 冷漠安全 2024-12-27 04:59 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台
继续阅读【1day】WordPress Elementor Page Builder 插件任意文件读取漏洞(CVE-2024-9935)
【1day】WordPress Elementor Page Builder 插件任意文件读取漏洞(CVE-2024-9935) Mstir 星悦安全 2024-12-27 04:05 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 适用于 WordPress 的 Elementor Page Builder 插件的 PDF 生成器插件在 1.7.5 之前的所有版本中都容易受到路径遍历的攻
继续阅读【漏洞复现】某平台-sysNotifyTodoWebService-read-file任意文件读取漏洞
【漏洞复现】某平台-sysNotifyTodoWebService-read-file任意文件读取漏洞 原创 南极熊 SCA御盾 2024-12-27 03:33 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵
继续阅读(未公开)深睿医疗系统存在任意文件读取漏洞
(未公开)深睿医疗系统存在任意文件读取漏洞 原创 WebSec WebSec 2024-12-27 01:18 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! 01
继续阅读【漏洞复现】高校人力资源管理服务平台系统ReportServer存在敏感信息泄露漏洞
【漏洞复现】高校人力资源管理服务平台系统ReportServer存在敏感信息泄露漏洞 原创 清风 白帽攻防 2024-12-27 01:03 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 高校人力资源管理系统通过在线化管理实现了招聘全流程的高效操作,包括职位
继续阅读Apache MINA严重漏洞 :CVE-2024-52046 (CVSS 10),可能允许远程代码执行
Apache MINA严重漏洞 :CVE-2024-52046 (CVSS 10),可能允许远程代码执行 E安全 2024-12-27 01:01 E安全消息,网络应用框架Apache MINA发现一个严重漏洞。漏洞被追踪为CVE-2024-52046,CVSS得分10,可能允许攻击者在系统上执行任意代码。 Apache MINA框架用于构建高性能和可扩展的网络应用,以其事件驱动异步API而闻名。
继续阅读漏洞预警 | BeyondTrust RS & PRA命令注入漏洞
漏洞预警 | BeyondTrust RS & PRA命令注入漏洞 浅安 浅安安全 2024-12-27 00:03 0x00 漏洞编号 – # CVE-2024-12356 0x01 危险等级 – 高危 0x02 漏洞概述 BeyondTrust特权远程访问和远程支持产品是由BeyondTrust公司提供的一套安全解决方案,主要用于管理和保护IT系统中的远程访问权
继续阅读漏洞预警 | 昂捷ERP任意文件读取漏洞
漏洞预警 | 昂捷ERP任意文件读取漏洞 浅安 浅安安全 2024-12-27 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 昂捷信息,以软件开发为核心,聚焦于零售行业数字化赋能,为超市、便利店、百货、购物中心、专营专卖等各零售业态提供全面的数字化解决方案和咨询服务,是业界领先的全链路数字化解决方案服务商。 0x03 漏洞详
继续阅读漏洞预警 | 云供应链管理系统SQL注入漏洞
漏洞预警 | 云供应链管理系统SQL注入漏洞 浅安 浅安安全 2024-12-27 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 秒优科技的供应链管理系统是一款面向企业用户的数字化管理平台,致力于优化供应链环节,提高企业运营效率。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 云供应链管理系统的/
继续阅读CVE-2024-50379 Tomcat 漏洞深度分析及 POC(严重性 9.8)
CVE-2024-50379 Tomcat 漏洞深度分析及 POC(严重性 9.8) Ots安全 2024-12-27 00:01 介绍 在不断发展的网络安全格局中,预防漏洞对于保护敏感系统至关重要。最近,全球使用最广泛的 Web 应用服务器之一 Apache Tomcat 中发现了一个严重的安全漏洞 — CVE-2024–50379 。该漏洞的严重性评分为9.8,具有重大风险,可能允许攻击者执行
继续阅读Adobe已经知晓ColdFusion漏洞CVE-2024-53961存在已知的概念验证(PoC)利用代码
Adobe已经知晓ColdFusion漏洞CVE-2024-53961存在已知的概念验证(PoC)利用代码 鹏鹏同学 黑猫安全 2024-12-26 23:02 Adobe发布了紧急安全更新,以解决一个严重漏洞,该漏洞被追踪为CVE-2024-53961(CVSS评分7.4),存在于ColdFusion中。专家警告称,该漏洞存在概念验证(PoC)利用代码。该漏洞是路径名未正确限制到受限目录(“路径
继续阅读【0day】深圳市虹安信息技术有限公司数据泄露防护平台存在SQL注入漏洞
【0day】深圳市虹安信息技术有限公司数据泄露防护平台存在SQL注入漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-26 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 深圳市虹安信息技术有限公司专注于数据安全与源代码数据防泄密产品的自主研发、销售和服务。旨在为客户提供安全、规范、灵活的源代码防泄密、数据安全解决方案
继续阅读WordPress File Upload插件任意文件读取漏洞(CVE-2024-9047)批量检测脚本
WordPress File Upload插件任意文件读取漏洞(CVE-2024-9047)批量检测脚本 iSee857 网络安全者 2024-12-26 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工
继续阅读最新Nacos 综合漏洞利用检测工具12月更新|漏洞探测
最新Nacos 综合漏洞利用检测工具12月更新|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-12-26 16:00 0x01 工具介绍 NacosExploit是一款用于检测Nacos服务中已知漏洞的工具,支持自定义内存马功能,使渗透测试更加灵活。通过简单的FOFA查询语法,可以快速识别目标Nacos实例的认证绕过等问题。 下载地址在末尾 0x02 功能简介支持漏洞| PoC | Ex
继续阅读Jenkins漏洞利用精华总结
Jenkins漏洞利用精华总结 原创 simeon的文章 小兵搞安全 2024-12-26 14:33 1.1.1简介 1.Jenkins简介 Jenkins是一个开源软件项目,最开始被称作 Hudson,基于Java开发的一种使用非常广泛的持续集成工具,用于监控持续重复的工作。由于易于使用并且具有良好的扩展性,Jenkins深受用户喜爱,在持续集成领域的市场份额居于主导地位,其被各种规模的团队用
继续阅读