(0day)秒优科技供应链管理系统存在SQL注入漏洞
(0day)秒优科技供应链管理系统存在SQL注入漏洞 原创 WebSec WebSec 2024-12-17 09:13 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持
继续阅读标签: POC
某科云连ERP系统存在任意文件读取漏洞
某科云连ERP系统存在任意文件读取漏洞 原创 xiaokp7 xiaokpSec 2024-12-17 05:35 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 漏洞分析 由于未对用户查看或下载的文件做限制,恶意用户就能够查看或下载任意的文件,可以是源代码文件、敏感文件等、如脚本代
继续阅读【更新】Apache Struts2文件上传漏洞
【更新】Apache Struts2文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2024-12-17 03:30 漏洞概况 Apache Struts2 是一个开源的 Java Web 应用程序开发框架,旨在帮助开发人员构建灵活、可维护和可扩展的企业级 Web 应用程序。 微步情报局获取到 Apache Struts2 文件上传漏洞情报 CVE-2024-53677 (https://
继续阅读24年11月必修安全漏洞清单|腾讯安全威胁情报中心
24年11月必修安全漏洞清单|腾讯安全威胁情报中心 腾讯威胁情报中心 腾讯安全威胁情报中心 2024-12-17 03:14 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综
继续阅读腾讯云安全情报中心推出2024年11月必修安全漏洞清单
腾讯云安全情报中心推出2024年11月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2024-12-17 03:06 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综
继续阅读【漏洞复现】某平台-TUploadImgNoCheck-fileupload任意文件上传漏洞
【漏洞复现】某平台-TUploadImgNoCheck-fileupload任意文件上传漏洞 原创 南极熊 SCA御盾 2024-12-17 02:52 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用
继续阅读CVE-2024-53677:严重的Apache Struts RCE漏洞 PoC 已发布
CVE-2024-53677:严重的Apache Struts RCE漏洞 PoC 已发布 独眼情报 2024-12-17 01:31 CVE-2024-53677 安全公告:CVE-2024-53677 – 严重 Apache Struts 远程代码执行漏洞 日期:2024 年 12 月 14 日 CVE 编号:CVE-2024-53677 CVSS 评分:9.5(严重) 概述 流行的 Apac
继续阅读【漏洞预警】蓝凌OA-thirdimsyncforkkwebservice-文件读取
【漏洞预警】蓝凌OA-thirdimsyncforkkwebservice-文件读取 原创 马赛克安全实验室 马赛克安全实验室 2024-12-17 01:07 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用
继续阅读大众汽车信息娱乐系统存在多个缺陷,可能导致车辆被实时追踪
大众汽车信息娱乐系统存在多个缺陷,可能导致车辆被实时追踪 会杀毒的单反狗 军哥网络安全读报 2024-12-17 01:00 导读 网络安全公司 PCAutomotive 的安全研究人员发现大众汽车部分车辆使用的信息娱乐单元存在多个安全漏洞。远程攻击者可以利用这些漏洞实现某些控制并实时跟踪汽车的位置。 Danila Parnishchev 和 Artem Ivachev 领导的团队发现了 MIB3
继续阅读写了一个自动测试弱口令漏洞的脚本
写了一个自动测试弱口令漏洞的脚本 原创 xazlsec 信安之路 2024-12-17 01:00 为了实现登录口的自动弱口令尝试,在 github 找了一圈发现已经有小伙伴做了一些研究,项目地址: https://github.com/yzddmr6/WebCrack 为此,作者还专门写了一个博客来介绍他的实现思路,地址: https://yzddmr6.com/posts/webcrack-r
继续阅读漏洞预警 | SonicWall SMA100 SSL-VPN缓冲区溢出漏洞
漏洞预警 | SonicWall SMA100 SSL-VPN缓冲区溢出漏洞 浅安 浅安安全 2024-12-17 00:00 0x00 漏洞编号 – # CVE-2024-45318 0x01 危险等级 – 高危 0x02 漏洞概述 SonicWall是全球知名的网络安全解决方案提供商,专注于防火墙、VPN、入侵防御等领域,其客户覆盖企业、服务提供商、电子商务、政府和教育
继续阅读漏洞预警 | WordPress Query Console远程代码执行漏洞
漏洞预警 | WordPress Query Console远程代码执行漏洞 浅安 浅安安全 2024-12-17 00:00 0x00 漏洞编号 – CVE-2024-50498 0x01 危险等级 – 高危 0x02 漏洞概述 WordPress Query Console曾是一个为WordPress平台提供查询功能的插件,允许用户在WordPress后台通过插件界面执
继续阅读漏洞预警 | Mitel MiCollab身份验证绕过漏洞
漏洞预警 | Mitel MiCollab身份验证绕过漏洞 浅安 浅安安全 2024-12-17 00:00 0x00 漏洞编号 – # CVE-2024-41713 0x01 危险等级 – 高危 0x02 漏洞概述 Mitel MiCollab是一个企业协作平台,它将各种通信工具整合到一个应用程序中,提供语音和视频通话、消息传递、状态信息、音频会议、移动支持和团队协作功能
继续阅读【未公开】泛微e-cology 9 x.FileDownloadLocation接口存在SQL注入漏洞导致Getshell
【未公开】泛微e-cology 9 x.FileDownloadLocation接口存在SQL注入漏洞导致Getshell 原创 xiachuchunmo 银遁安全团队 2024-12-16 18:34 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **泛微E-COLOGY是一款由中国泛微软件系统股份有限公司开发的企业协同管理软件,为中大型组织创
继续阅读电子资料管理系统 ImageUpload.ashx 任意文件上传漏洞
电子资料管理系统 ImageUpload.ashx 任意文件上传漏洞 Superhero nday POC 2024-12-16 18:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即
继续阅读【已复现】Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告第二次更新
【已复现】Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告第二次更新 奇安信 CERT 2024-12-16 16:02 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Struts 文件上传漏洞 漏洞编号 QVD-2024-50398,CVE-2024-53677 公开时间 2024-12-11 影响量级 十万级 奇安信评级
继续阅读新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击
新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击 Rhinoer 犀牛安全 2024-12-16 16:00 黑客正在积极利用 Cleo 管理文件传输软件中的零日漏洞来入侵公司网络并进行数据盗窃攻击。 该漏洞存在于该公司的安全文件传输产品 Cleo LexiCom、VLTrader 和 Harmony 中,该漏洞允许不受限制的文件上传和下载,从而导致远程代码执行。 Cleo MFT 漏洞影响
继续阅读【已复现】Apache Struts存在文件上传漏洞(CVE-2024-53677)
【已复现】Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒研究院 安恒信息CERT 2024-12-16 09:27 漏洞概述 漏洞名称 Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒CERT评级 2级 CVSS3.1评分 8.1 CVE编号 CVE-2024-53677 CNVD编号 未分配 CNNVD编号 CNNVD-20241
继续阅读安全热点周报:新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击
安全热点周报:新的 Cleo 零日 RCE 漏洞被利用于数据盗窃攻击 奇安信 CERT 2024-12-16 09:20 安全资讯导视 • 国家发改委公布《电力监控系统安全防护规定》修订版 • 美商务部发布ICTS最终规则,确保信息与通信技术和服务供应链安全 • 国内最大IT社区CSDN被挂马,CDN可能是罪魁祸首 PART01 漏洞情报 1.Apache Struts文件上传漏洞安全风险通告
继续阅读(0day)月子会所ERP某接口存在文件读取漏洞
(0day)月子会所ERP某接口存在文件读取漏洞 原创 websec WebSec 2024-12-16 06:41 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!
继续阅读【漏洞文章】JeecgBoot 任意用户密码重置
【漏洞文章】JeecgBoot 任意用户密码重置 1ang 小羊安全屋 2024-12-16 06:23 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PART 漏洞
继续阅读CVE-2024-38819:Spring 框架路径遍历 PoC 漏洞已发布
CVE-2024-38819:Spring 框架路径遍历 PoC 漏洞已发布 Ots安全 2024-12-16 06:15 Spring Framework 中一个严重漏洞(编号为 CVE-2024-38819,CVSS 评分为 7.5)已被公开披露,同时还披露了一个概念验证 (PoC) 漏洞。此漏洞允许攻击者进行路径遍历攻击,从而可能授予他们访问托管受影响 Spring 应用程序的服务器上的敏感
继续阅读【Poc】-Spring Framework路径遍历漏洞(CVE-2024-38819)
【Poc】-Spring Framework路径遍历漏洞(CVE-2024-38819) 原创 宬室司阍 埋藏酱油瓶 2024-12-16 05:38 【🔔】互联网资料/工具,安全性未知,需要自行研判安全性。 CVE-2024-38819: PoC Poc: curl http://localhost:8080/static/link/%2e%2e/etc/passwd Poc环境验证 1. 构建
继续阅读CVE-2024-38819:Spring Framework 路径遍历漏洞 PoC 发布
CVE-2024-38819:Spring Framework 路径遍历漏洞 PoC 发布 独眼情报 2024-12-16 04:34 Spring Framework 中一个严重漏洞(编号为 CVE-2024-38819,CVSS 评分为 7.5)已被公开披露,同时还披露了一个概念验证 (PoC) 漏洞。此漏洞允许攻击者进行路径遍历攻击,从而可能授予他们访问受影响 Spring 应用程序所在服务
继续阅读【0day】某州数码DCME-320存在前台任意文件读取漏洞
【0day】某州数码DCME-320存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2024-12-16 04:23 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 DCME-320是北京神州数码云科信息技术有限公司采用MIPS多核高性能处理器,针对多用户数、多流量、多业务种类的业务需求而推出的新一代高性能互联网出口网关。 Fofa指纹:”style/blue/css/d
继续阅读九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞
九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞 Superhero nday POC 2024-12-16 03:18 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章
继续阅读【漏洞复现】某平台-Template-readfile-任意文件读取漏洞
【漏洞复现】某平台-Template-readfile-任意文件读取漏洞 原创 南极熊 SCA御盾 2024-12-16 02:53 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造
继续阅读玩儿转网站备份泄漏漏洞
玩儿转网站备份泄漏漏洞 原创 xazlsec 信安之路 2024-12-16 02:49 在网站的使用过程中,往往需要对网站中的文件进行修改、升级。此时就需要对网站整站或者其中某一页面进行备份。当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站 web 目录下,而该目录又没有设置访问权限时,便有可能导致备份文件或者编辑器的缓存文件被下载,导致敏感信息泄露,给服务器的安全埋下隐患。 该漏洞的
继续阅读【漏洞预警】Cloudlog 电台日志系统 SQL 注入漏洞
【漏洞预警】Cloudlog 电台日志系统 SQL 注入漏洞 原创 马赛克安全实验室 马赛克安全实验室 2024-12-16 02:28 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读昂捷CRM cwsfiledown.asmx 任意文件读取漏洞
昂捷CRM cwsfiledown.asmx 任意文件读取漏洞 Superhero nday POC 2024-12-16 02:11 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读