Fortinet 无线管理器惊现严重漏洞,黑客可轻松获取管理员权限!
Fortinet 无线管理器惊现严重漏洞,黑客可轻松获取管理员权限! 原创 Hankzheng 技术修道场 2024-12-22 01:19 Fortinet 近日披露了 Fortinet 无线管理器 (FortiWLM) 中的一个严重漏洞 (CVE-2023-34990),该漏洞允许远程攻击者通过精心构造的 Web 请求执行未经授权的代码或命令,从而接管设备。 FortiWLM 是一款用于监控
继续阅读标签: POC
CVE-2024-12727|Sophos Firewall SQL注入漏洞
CVE-2024-12727|Sophos Firewall SQL注入漏洞 alicy 信安百科 2024-12-22 00:00 0x00 前言 Sophos Firewall是一种网络安全解决方案,它可以部署在专门构建的设备、云网络(AWS/Azure)、虚拟设备或x86 Intel硬件上的软件设备上。防火墙应用支持多种网络安全特性,包括应用感知路由、TLS检测、深层包检测、远程接入VPN、
继续阅读CVE-2024-49112|Windows 轻量级目录访问协议(LDAP)远程代码执行漏洞
CVE-2024-49112|Windows 轻量级目录访问协议(LDAP)远程代码执行漏洞 alicy 信安百科 2024-12-22 00:00 0x00 前言 LDAP(Lightweight Directory Access Protocol)是一种用于访问和管理分布式目录服务的协议。它是一种开放的标准,用于在网络中存储和检索目录信息。LDAP最初由University of Michig
继续阅读CVE-2024-56337 Apache Tomcat – 通过启用写入功能的默认 servlet 进行 RCE
CVE-2024-56337 Apache Tomcat – 通过启用写入功能的默认 servlet 进行 RCE 独眼情报 2024-12-21 12:18 CVE-2024-50379 缓解措施不完整 严重程度:重要 供应商:Apache 软件基金会 受影响的版本: Apache Tomcat 11.0.0-M1 至 11.0.1 Apache Tomcat 10.1.0-M1 至
继续阅读【新day】CVE-2024-56145(Craft CMS 模板注入导致 RCE)
【新day】CVE-2024-56145(Craft CMS 模板注入导致 RCE) 原创 fkalis fkalis 2024-12-21 10:50 绪论 如果各位师傅觉得有用的话,可以给我点个关注~~ 如果师傅们有什么好的建议也欢迎联系我~~ 感谢各位师傅的支持~~ 正文部分 漏洞详情 Craft 是一种灵活、用户友好的 CMS,用于在 Web 及其他方面创建自定义数字体验。如果受影响版本的
继续阅读CVE-2024-50379|Apache Tomcat竞争条件远程代码执行漏洞(POC)
CVE-2024-50379|Apache Tomcat竞争条件远程代码执行漏洞(POC) alicy 信安百科 2024-12-21 10:15 0x00 前言 Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由于Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tom
继续阅读CVE-2024-53677|Apache Struts 2(S2-067)远程代码执行漏洞(POC)
CVE-2024-53677|Apache Struts 2(S2-067)远程代码执行漏洞(POC) alicy 信安百科 2024-12-21 10:15 0x00 前言 Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java ServletAPI,鼓励开发者采用MVC架构。 0x01 漏洞描述 Apache Struts的文
继续阅读最终章 | Tomcat条件竞争RCE的最终利用篇,带视频教学及POC
最终章 | Tomcat条件竞争RCE的最终利用篇,带视频教学及POC 原创 犀利猪 犀利猪安全 2024-12-21 09:28 0x01 文章背景 之前我们分别发布了两篇文章,分别是Tomcat条件竞争RCE的复现、以及一篇如何让它持久的利用: Tomcat RCE | CVE-2024-50379条件竞争RCE复现,带视频教程及POC 书接上回 | Tomcat条件竞争RCE该如何深入利用,
继续阅读【漏洞通告】Apache Tomcat远程代码执行漏洞(CVE-2024-56337)
【漏洞通告】Apache Tomcat远程代码执行漏洞(CVE-2024-56337) 启明星辰安全简讯 2024-12-21 08:58 一、漏洞概述 漏洞名称 Apache Tomcat远程代码执行漏洞 CVE ID CVE-2024-56337 漏洞类型 TOCTOU竞争条件 发现时间 2024-12-21 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用
继续阅读OtterRoot Netfilter 通用型 Linux 本地提权 1-day 漏洞
OtterRoot Netfilter 通用型 Linux 本地提权 1-day 漏洞 Pedro Pinto securitainment 2024-12-21 05:37 OtterRoot Netfilter Universal Root 1-day 在三月下旬,我尝试监控 Linux 内核子系统中容易出现可利用漏洞的热点区域的代码提交,这部分是为了研究通过补丁差异分析和循环利用一天漏洞来维
继续阅读【已复现】Apache Tomcat 远程代码执行漏洞(CVE-2024-56337)安全风险通告
【已复现】Apache Tomcat 远程代码执行漏洞(CVE-2024-56337)安全风险通告 奇安信 CERT 2024-12-21 05:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Tomcat 远程代码执行漏洞 漏洞编号 QVD-2024-51611,CVE-2024-56337 公开时间 2024-12-21 影响量级 十万级 奇安信评级 高
继续阅读CVE-2024-56337
CVE-2024-56337 原创 L0ne1y 安全之道 2024-12-21 03:33 Tomcat9+JDK8:延用CVE-2024-50379相关POC即可。 Tomcat10:未测 Tomcat11:jdk要求最低17,sun.io.useCanonCaches属性默认false,双重限制(sun.io.useCanonCaches属性+readonly)
继续阅读「漏洞复现」Cloudlog 电台日志系统 request_form SQL注入漏洞
「漏洞复现」Cloudlog 电台日志系统 request_form SQL注入漏洞 冷漠安全 冷漠安全 2024-12-21 02:54 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读Apache Struts 严重漏洞恐再现“噩梦”, 攻击者已展开行动!
Apache Struts 严重漏洞恐再现“噩梦”, 攻击者已展开行动! 原创 Hankzheng 技术修道场 2024-12-21 00:02 安全速递 还记得去年闹得沸沸扬扬的 Apache Struts 远程代码执行漏洞 (CVE-2023-50164) 吗? 现在,类似的“噩梦”可能又要重演了! Apache Struts 2 近期又爆出严重漏洞 (CVE-2024-53677),攻
继续阅读漏洞预警 | NextChat SSRF漏洞
漏洞预警 | NextChat SSRF漏洞 浅安 浅安安全 2024-12-21 00:02 0x00 漏洞编号 – # CVE-2024-38514 0x01 危险等级 – 高危 0x02 漏洞概述 NextChat是一款开源的AI聊天应用项目。 0x03 漏洞详情 CVE-2024-38514 漏洞类型: SSRF 影响: 敏感信息泄漏 简述: NextChat的/a
继续阅读漏洞预警 | Cleo Harmony任意文件读取漏洞
漏洞预警 | Cleo Harmony任意文件读取漏洞 浅安 浅安安全 2024-12-21 00:02 0x00 漏洞编号 – # CVE-2024-50623 0x01 危险等级 – 高危 0x02 漏洞概述 Cleo Harmony是Cleo公司推出的一款用于B2B集成和数据交换的解决方案。 0x03 漏洞详情 CVE-2024-50623 漏洞类型: 任意文件读取*
继续阅读漏洞预警 | 网神SecGate3600防火墙任意文件上传漏洞
漏洞预警 | 网神SecGate3600防火墙任意文件上传漏洞 浅安 浅安安全 2024-12-21 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 网神SecGate3600防火墙是一款高性能的下一代防火墙。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意文件**** 简述: 网神SecGate3600防火墙
继续阅读【0day】中科商软云连ERP getAllUserListData存在信息泄露漏洞
【0day】中科商软云连ERP getAllUserListData存在信息泄露漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-20 23:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **中科商软是嘉品云市直营连锁管理系统服务商,专业为企业提供专业的B2B2C商城平台搭建,供应链管理系统,S2B2B商城系统,业务员管理
继续阅读Apache Tomcat(CVE-2024-50379)条件竞争致远程代码执行漏洞批量检测脚本
Apache Tomcat(CVE-2024-50379)条件竞争致远程代码执行漏洞批量检测脚本 iSee857 Web安全工具库 2024-12-20 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具
继续阅读时空WMS-仓储精细化管理系统 SaveCrash.ashx 任意文件上传漏洞
时空WMS-仓储精细化管理系统 SaveCrash.ashx 任意文件上传漏洞 Superhero nday POC 2024-12-20 15:58 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读[PoC] Databricks 远程代码执行漏洞 CVE-2024-49194
[PoC] Databricks 远程代码执行漏洞 CVE-2024-49194 独眼情报 2024-12-20 12:33 Databricks JDBC 驱动程序中新发现的一个漏洞 (CVE-2024-49194) 可允许攻击者在易受攻击的系统上远程执行代码。该漏洞由阿里云智能安全团队的安全研究人员发现,严重性评级较高 (CVSSv3.1 评分为 7.3),影响驱动程序版本 2.6.38 及以
继续阅读CVE-2024-53677:Apache Struts2文件上传逻辑漏洞S2-067
CVE-2024-53677:Apache Struts2文件上传逻辑漏洞S2-067 原创 hexixi Timeline Sec 2024-12-20 10:10 关注我们❤️,添加星标🌟,一起学安全!作者:hexixi@Timeline Sec 本文字数:2290阅读时长:3~5mins 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Apache Struts2 是
继续阅读Fortinet:注意FortiWLM漏洞,黑客可获得管理员权限
Fortinet:注意FortiWLM漏洞,黑客可获得管理员权限 Bill Toulas 代码卫士 2024-12-20 10:02 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet 披露了位于 Fortinet Wireless Manager(FortiWLM)中的一个严重漏洞CVE-2023-34990,可导致远程攻击者通过特殊构造的web请求执行越权代码或命令,从而控
继续阅读FortiWLM重大安全漏洞曝光,远程攻击者可夺管理员权限
FortiWLM重大安全漏洞曝光,远程攻击者可夺管理员权限 看雪学苑 看雪学苑 2024-12-20 09:59 近日,Fortinet公司披露了其无线网络管理工具FortiWLM中存在一个严重的安全漏洞,编号为 CVE-2023-34990。这一漏洞 允许远程攻击者通过发送特制的Web请求,执行未授权的代码或命令,进而完全控制受影响的设备。FortiWLM作为一款被广泛部署于政府机构、医疗保健组
继续阅读【漏洞通告】Sophos Firewall SQL注入漏洞(CVE-2024-12727)
【漏洞通告】Sophos Firewall SQL注入漏洞(CVE-2024-12727) 启明星辰安全简讯 2024-12-20 08:26 一、漏洞概述 漏洞名称 Sophos Firewall SQL注入漏洞 CVE ID CVE-2024-12727 漏洞类型 SQL注入 发现时间 2024-12-20 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用
继续阅读赛克安全本周漏洞推送(12.15-12.20)涉及Cloudlog、bmcm、汉明科技-无线控制器、迈普无线系统等产品相关漏洞
赛克安全本周漏洞推送(12.15-12.20)涉及Cloudlog、bmcm、汉明科技-无线控制器、迈普无线系统等产品相关漏洞 原创 马赛克安全实验室 马赛克安全实验室 2024-12-20 06:17 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联
继续阅读CVE-2024-21762漏洞分析
CVE-2024-21762漏洞分析 原创 zkaq – flysheep 掌控安全EDU 2024-12-20 04:01 一、漏洞简介与威胁分析 FortiGate今年来连续爆出多个高危漏洞,其中一个严重级别漏洞CVE-2024-21762是SSL VPN的内存未授权越界写入仅有的2个字节\r\n导致了RCE。漏洞利用链比较巧妙, 非常值得学习的, 这里记录一下从环境搭建到漏洞分析
继续阅读CVE-2024-11477:7-Zip 中的严重缺陷可让黑客控制
CVE-2024-11477:7-Zip 中的严重缺陷可让黑客控制 原创 清风 白帽攻防 2024-12-20 02:36 7-Zip是一款 完全免费 而且 开源的压缩软件,相比其他软件有更高的压缩比而且相对于WinRAR不会消耗大量资源。 7-Zip 文件压缩工具中发现了一个漏洞,攻击者可以通过特制的存档远程执行恶意代码。为了解决这个问题,开发人员发布了一个更新,但必须手动安装,因为该程序不支持
继续阅读飞鱼星路由器 账户密码泄露漏洞复现
飞鱼星路由器 账户密码泄露漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-12-20 02:03 FOFA body="js/select2css.js" && icon_hash="-842852785" 漏洞复现 nuclei运行结果 POC与nuclei-poc已上传到知识星球 高质量安全知识星球社区,致力于漏
继续阅读分享OAuth2.0原理及漏洞挖掘技巧案例分析
分享OAuth2.0原理及漏洞挖掘技巧案例分析 原创 神农Sec 神农Sec 2024-12-20 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 一、浅谈 不知道师傅们平常有没有碰到就是在登录比如说百度时,登录页面有需要使用一段第三方社交媒体的账户(QQ、微博、微
继续阅读