【漏洞复现】某平台-cwsuploadpicture-GetPicture-file-read-任意文件读取漏洞 原创 南极熊 SCA御盾 2024-12-13 03:03 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系
继续阅读安科瑞环保用电监管云平台 GetEnterpriseInfoById SQL注入漏洞 Superhero nday POC 2024-12-13 02:03 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时
继续阅读【成功复现】Wordpress Elementor Page Builder路径遍历漏洞(CVE-2024-9935) 原创 弥天安全实验室 弥天安全实验室 2024-12-13 00:13 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍WordPress和WordPress plugin都是WordPr
继续阅读漏洞预警 | Django拒绝服务和SQL注入漏洞 浅安 浅安安全 2024-12-13 00:02 0x00 漏洞编号 – # CVE-2024-53907 CVE-2024-53908 0x01 危险等级 – 高危 0x02 漏洞概述 Django是Python编写的开源Web应用框架。 0x03 漏洞详情 CVE-2024-53907 漏洞类型: 拒绝服务 影响: 程
继续阅读漏洞预警 | 小米路由器任意文件读取漏洞 浅安 浅安安全 2024-12-13 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 小米路由器是小米公司推出的一款智能路由器。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: 小米路由器的/api-third-party/download/extdisks
继续阅读【0day】深圳国威电子有限公司HB1910数字IP程控交换机存在远程命令执行漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-12 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **深圳国威电子有限公司成立于1991年7月,是著名的程控交换机研发、生产、销售厂家。深圳国威电子有限公司HB1910数字IP程控交换机存
继续阅读「漏洞复现」电子图书阅读平台 downFile.aspx SQL注入漏洞 冷漠安全 冷漠安全 2024-12-12 13:41 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关
继续阅读即将开班!“系统0day安全”系列课程:掌握漏洞挖掘重要技能 看雪课程 看雪学苑 2024-12-12 10:01 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握
继续阅读高危!Apache Struts文件上传漏洞安全风险通告 应急响应中心 亚信安全 2024-12-12 09:52 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Apache官方披露(CVE-2024-53677)Apache Struts FileUploadInterceptor 文件上传漏洞。在受影响版本中,若代码中使用了FileUploadInterceptor ,则可能在进行
继续阅读Shiro框架漏洞看了你就会了(含靶场复现) 工作室-Lin 马哥网络安全 2024-12-12 09:01 一、shiro简介 Shiro是一个功能强大且易于使用的Java安全框架,旨在简化Java应用程序的安全开发。 它提供了身份认证(登录)、授权(访问控制)、加密、会话管理以及与Web集成的功能,可以应用于从小型移动应用到大型Web和企业应用的多种场景。 Shiro既可以独立运行,也可以与其
继续阅读【风险通告】Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒CERT评级 2级 CVSS3.1评分 8.1 CVE编号 CVE-2024-53677 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT
继续阅读【风险通告】GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒CERT评级 2级 CVSS3.1评分 8.7 CVE编号 CVE-2024-11274 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-2024
继续阅读【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274) 启明星辰安全简讯 2024-12-12 07:56 一、漏洞概述 漏洞名称 GitLab Kubernetes Proxy Response NEL头注入漏洞 CVE ID CVE-2024-11274 漏洞类型 注入、信息泄露 发现时间 2024-12-12 漏洞
继续阅读【漏洞通告】Apache Struts 2远程代码执行漏洞(CVE-2024-53677) 启明星辰安全简讯 2024-12-12 07:56 一、漏洞概述 漏洞名称 Apache Struts 2远程代码执行漏洞 CVE ID CVE-2024-53677 漏洞类型 路径遍历、文件上传 发现时间 2024-12-12 漏洞评分 9.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用
继续阅读Zabbix SQL 注入 CVE-2024-42327 POC已公开 剁椒鱼头没剁椒 2024-12-12 07:37 Zabbix SQL注入漏洞 CVE-2024-42327 的 PoC 发布(CVSS 评分 9.9) 安全研究员 Alejandro Ramos 发布了 CVE-2024-42327 的详细技术分析和PoC。 CVE-2024-42327 是一个影响 Zabbix 的 SQL
继续阅读Cleo 0day漏洞 CVE-2024-50623 poc 公开 剁椒鱼头没剁椒 2024-12-12 07:37 CVE-2024-50623这一关键漏洞正在被恶意利用,使用Cleo文件传输软件的企业应立即开始防护。这个漏洞影响Cleo LexiCom、VLTrader和Harmony产品,允许攻击者在易受攻击的系统上远程执行恶意代码。 Cleo 公司最初于 2024 年 10 月报告并解决了
继续阅读Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告 奇安信 CERT 2024-12-12 07:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Struts 文件上传漏洞 漏洞编号 QVD-2024-50398,CVE-2024-53677 公开时间 2024-12-11 影响量级 十万级 奇安信评级 高危 CVSS 3.
继续阅读(0day)杜特网上订单管理系统getUserImage存在SQL注入漏洞 原创 websec WebSec 2024-12-12 06:43 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致
继续阅读poc管理工具|精准漏扫|附10w+poc|Wavely|有他就够了 原创 淮橘安全 淮橘安全 2024-12-12 02:08 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 “ 设为星标 ”, 否则可能就看不到了啦
继续阅读【漏洞通告】ProFTPD 权限提升漏洞(CVE-2024-48651) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 ProFTPD在1.3.9rc2之前的版本中存在一个权限提升漏洞。经过身份验证的用户如果没有明确得加入任何附加组,会错误地从父进程继承附加组GID 0(root)。攻击者可以利用该漏洞将普通用户权限提升至root权限,严重可导致服务器失陷。02
继续阅读【漏洞通告】ProjectSend 身份认证绕过漏洞(CVE-2024-11680) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 ProjectSend 存在身份认证绕过漏洞,未授权的攻击者可以利用该漏洞修改应用程序的配置,执行任意命令,导致服务器失陷。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称ProjectSend身份认证绕过漏洞漏洞编号CVE编号CV
继续阅读【漏洞通告】Django Oracle数据库SQL注入漏洞(CVE-2024-53908) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 在使用Oracle作为后端数据库时,Django框架中存在一个SQl注入漏洞。通过django.db.models.fields.json.HasKey,攻击者可以将恶意语句作为lhs值注入数据库,从而导致数据泄露和服务器失陷
继续阅读漏洞发现,除了漏扫还能靠啥? 原创 ThreatBook 微步在线 2024-12-12 00:26 1998年,第一款全球知名开源漏扫工具Nessus创建并发布,没想到大受欢迎。相比于此前个人编写的脚本及工具来检测网络已知漏洞,Nessus功能更丰富也更趁手,适用的安全人员段位也更广泛。此后,随着国际标准漏洞命名系统(CVE)推出,漏洞严重性评分体系(CVSS)引入,漏洞发现成为了一件更专业的事
继续阅读漏洞预警 | Veeam Service Provider Console远程代码执行和信息泄露漏洞 浅安 浅安安全 2024-12-12 00:00 0x00 漏洞编号 – CVE-2024-42448 CVE-2024-42449 0x01 危险等级 – 高危 0x02 漏洞概述 Veeam Service Provider Console是Veeam Software
继续阅读漏洞预警 | Progress WhatsUp Gold远程代码执行漏洞 浅安 浅安安全 2024-12-12 00:00 0x00 漏洞编号 – CVE-2024-8785 0x01 危险等级 – 高危 0x02 漏洞概述 WhatsUp Gold是美国Progress Software公司开发的一款网络监控软件,可监控整个网络基础设施,迅速定位并解决网络中的问题,提高网
继续阅读【edu 0day预警】某公司教育教学监测与保障系统存在信息泄露漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-11 22:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **某公司是一家长期专注于高等教育教学质量保障领域研究及产品开发的高新技术企业,公司旨在通过技术创新和优质的服务让高校教学管理工作更科学、更高效、更容易
继续阅读【工具分享】Nuclei GUI 管理工具(附12W+poc) 原创 红岸基地赵小龙 暗影网安实验室 2024-12-11 09:20 工具简介 由于找不到好用的 POC 管理器,便自行开发,目前仅提供安装包下载。 功能介绍 实现功能: Nuclei POC 管理桌面应用,支持模版的增删查改操作 支持 Nuclei 扫描、多任务并行扫描 查看 Nuclei 模版请求和响应包 自定义 Nuclei
继续阅读【漏洞通告】Ivanti Cloud Services Application身份验证绕过漏洞(CVE-2024-11639) 启明星辰安全简讯 2024-12-11 07:39 一、漏洞概述 漏洞名称 Ivanti Cloud Services Application身份验证绕过漏洞 CVE ID CVE-2024-11639 漏洞类型 身份验证绕过 发现时间 2024-12-11 漏
继续阅读Nuclei|图形化|轻量化刷漏洞神器|11000+poc 海底天上月 海底生残月 2024-12-11 06:29 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底生残月及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 海底生残月 “ 设为星标 ”, 否则可能就看不到了啦
继续阅读