「漏洞复现」九思OA workflowSync.getUserStatusByRole.dwr SQL注入漏洞 冷漠安全 冷漠安全 2024-12-02 00:03 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使
继续阅读漏洞预警 | PAN-OS Web管理界面身份认证绕过漏洞 浅安 浅安安全 2024-12-02 00:00 0x00 漏洞编号 – CVE-2024-0012 0x01 危险等级 – 高危 0x02 漏洞概述 PAN-OS是运行Palo Alto Networks下一代防火墙的软件。 0x03 漏洞详情 CVE-2024-0012 漏洞类型: 身份认证绕过 影响: 越权访
继续阅读漏洞预警 | SRM智联云采系统SQL注入漏洞 浅安 浅安安全 2024-12-02 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 智互联科技有限公司的SRM智联云采系统是一款专业的数字采购平台,旨在助力企业实现采购数字化转型,提升供应链管理的效率和协同能力。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息
继续阅读【0day】电子图书阅读平台downFile存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-12-01 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 电子图书阅读平台提供了超过千万册图书的在线阅读服务。其界面简洁,搜索功能强大,用户只需输入书名即可快速找到对应的电子书资源,并可选择多种格式进行下载阅读。它支持中文
继续阅读记一次从0到1的漏洞挖掘过程 发现Accesssecret泄露实现权限接管 越权等漏洞|挖洞技巧 漏洞挖掘 渗透安全HackTwo 2024-12-01 16:00 0x01 前言 通过分析目标系统的前端JS代码,发现了泄露的 heapdump 文件,从中提取云服务的 accesskey 和 accesssecret 实现权限接管。在某通用系统中,利用水平越权删除他人API和垂直越
继续阅读CVE-2024-42327|Zabbix SQL注入漏洞 alicy 信安百科 2024-12-01 01:30 0x00 前言 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 Zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。 Zabbix由2部分构成, Zabbix serv
继续阅读CVE-2024-11477|7-Zip代码执行漏洞(POC) alicy 信安百科 2024-12-01 01:30 0x00 前言 7-Zip( 7z解压软件) 是一款完全免费的压缩解压缩软件,同其他压缩软件 相比它的压缩速度更快压缩率更好,不仅支持众多主流格式、支持超线程,而且还有强大的AES-256加密算法可以为文件进行加密 ,增强文件的安全性。 它支持多种压缩格式,包括但不限于 7z、Z
继续阅读「漏洞复现」昂捷CRM cwsfiledown.asmx 任意文件读取漏洞 冷漠安全 冷漠安全 2024-11-30 14:44 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无
继续阅读CVE-2024-46938|Sitecore CMS未经身份验证任意文件读取漏洞(POC) alicy 信安百科 2024-11-30 10:00 0x00 前言 Sitecore Experience Platform™ (XP) 是一款基于.NET WebForm技术构建的内容管理系统,可以将客户数据、分析、人工智能与营销自动化功能相结合,在任何渠道上实时提供个性化的内容,从而在客户旅程中与
继续阅读CVE-2024-11477: 7Zip 中的“代码执行”漏洞 Writeup TheN00bBuilder securitainment 2024-11-30 09:17 CVE-2024-11477-Writeup 大家好! 在本周的第一篇文章中,我开始讨论一个热门话题。周一,一位同事给我发了一条关于 CVE-2024-11477 的链接,这是一种声称存在于 7Zip 中的“代码执行”漏洞,影
继续阅读Windows驱动程序暴整数溢出漏洞可致权限提升 计算机与网络安全 2024-11-30 01:57 进网络安全行业群 微信公众号 计算机与网络安全 回复 行业群 一名独立研究员近期发现了Windows操作系统中ksthunk.sys驱动程序的严重漏洞,该驱动程序负责32位与64位进程间的通信,此漏洞允许攻击者通过整数溢出实现权限提升。该研究员近日在TyphoonPWN 2024大赛中演示了该漏
继续阅读【漏洞复现】九思OA getUserStatusByRole存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-30 00:02 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **九思OA系统是安装、实施、学习、操作、维护的OA系统,由北京九思协同软件有限公司开发。九思OA getUserStatusByRole存在SQL
继续阅读漏洞预警 | 东胜物流软件任意文件上传漏洞 浅安 浅安安全 2024-11-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 东胜物流软件是青岛东胜伟业软件有限公司Q一款集订单管理、仓库管理、运输管理等多种功能于一体的物流管理软件。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意脚本 简述: 东胜物流软件的
继续阅读漏洞预警 | 任子行网络安全审计系统SQL注入漏洞 浅安 浅安安全 2024-11-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 任子行网络安全审计系统是一款提供全方位网络流量监控与分析的安全解决方案,适用于政府、企业和公共机构。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 任子行网络安全
继续阅读漏洞预警 | 西迪特Wi-Fi Web管理系统远程命令执行和登录绕过漏洞 浅安 浅安安全 2024-11-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 西迪特提供的Wireless解决方案为客户提供一套云管理,可靠性高,覆盖范围广的无线组网产品。 0x03 漏洞详情 漏洞类型:远程代码执行 影响: 执行任意代码 简述:
继续阅读【已复现】7-Zip 代码执行漏洞(CVE-2024-11477)安全风险通告 奇安信 CERT 2024-11-29 16:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 7-Zip 代码执行漏洞 漏洞编号 QVD-2024-48061,CVE-2024-11477 公开时间 2024-11-20 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 7.8 威胁类型
继续阅读记一次小程序渗透测试到通杀RCE(0day) 实战安全研究 2024-11-29 14:39 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 朋友委托我帮忙测一下他搭建的小程序,记录一下,从一个小程序开始挖掘,直接挖到通杀所有同类型站点的组合拳RCE,部分截图厚码请见谅. 0x01前期准备 寻找小程序目录可以通过设置-文件管理-打开文件夹-Applet目录里就是存放小程序的文件夹了. 先用
继续阅读漏洞推送|某信公交apply存在SQL注入漏洞 小白菜安全 小白菜安全 2024-11-29 12:07 漏洞描述 海信智能公交企业管理系统是一款基于大数据和人工智能技术构建的综合管理系统,旨在全面提升公交企业的安全保障能力、运营生产效率、企业管理水平、决策分析能力和乘客出行体验。该系统apply存在SQL注入漏洞,攻击者通过该漏洞获取敏感信息。 资产信息 fofa:”HisModul
继续阅读POC公布:Windows驱动程序暴整数溢出漏洞可致权限提升 安全客 2024-11-29 10:32 一名独立研究员近期发现了Windows操作系统中ksthunk.sys驱动程序的严重漏洞,该驱动程序负责32位与64位进程间的通信,此漏洞允许攻击者通过整数溢出实现权限提升。该研究员近日在TyphoonPWN 2024大赛中演示了该漏洞的利用,斩获大赛第二名。 该漏洞存在于 CKSAutomat
继续阅读【漏洞复现】安科瑞环保用电监管云平台 HomenewLogin SQL注入漏洞复现 河北镌远 河北镌远网络科技有限公司 2024-11-29 10:23 点击箭头处 “蓝色字” ,关注我们哦!! 产品简介 AcrelCloud-3000环保用电监管云平台依托创新的物联网电力传感技术,实时采集企业总用电、生产设备及环保治理设备用电数据,通过关联分析、超限分析、停电分析、停限产分析,结合及时发现环保治
继续阅读网络安全动态 一周速览 2024.11.23 – 2024.11.29 Sugar Delta Insights 2024-11-29 09:30 网络安全动态 一周速览 2024.11.23 – 2024.11.29 政策更新及合规动态 1.四部门联合印发《电信网络诈骗及其关联违法犯罪联合惩戒办法》 Source:https://www.secrss.com/articl
继续阅读懂微百择唯·供应链 RankingGoodsList2 SQL注入致RCE漏洞 Superhero nday POC 2024-11-29 09:29 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读【漏洞通告】Apache Arrow R package反序列化漏洞(CVE-2024-52338) 启明星辰安全简讯 2024-11-29 08:44 一、漏洞概述 漏洞名称 Apache Arrow R package反序列化漏洞 CVE ID CVE-2024-52338 漏洞类型 反序列化 发现时间 2024-11-29 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需
继续阅读【漏洞通告】Zyxel ZLD防火墙路径遍历漏洞(CVE-2024-11667) 启明星辰安全简讯 2024-11-29 08:44 一、漏洞概述 漏洞名称 Zyxel ZLD防火墙路径遍历漏洞 CVE ID CVE-2024-11667 漏洞类型 目录遍历 发现时间 2024-11-29 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EX
继续阅读Android Native内存型漏洞实例 原创 OPPO安珀实验室 OPPO安珀实验室 2024-11-29 08:30 前言 本文将结合5例Android安全公告公开的Native历史漏洞实例,分析C/C++内存型漏洞的产生场景,尤其是由C++面向对象特性导致的漏洞场景。 1.缺乏长度校验导致的堆溢出 漏洞信息 编号:CVE-2023-21118 来源:2023年5月安全公告披露 漏洞类型:I
继续阅读D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞 Superhero nday POC 2024-11-29 08:27 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除
继续阅读【漏洞通告】ProjectSend身份验证绕过漏洞安全风险通告 嘉诚安全 2024-11-29 07:50 漏洞背景 近日,嘉诚安全监测到ProjectSend修复了一个身份验证绕过漏洞,漏洞编号为: CVE-2024-11680。 ProjectSend是一个开源文件共享Web应用程序,旨在促进服务器管理员和客户端之间的安全、私密文件传输。 鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版
继续阅读【已复现】Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险通告第二次更新 奇安信 CERT 2024-11-29 06:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Mozilla Firefox Animation timelines 释放后重用漏洞 漏洞编号 QVD-2024-42093,CVE-2024-9680 公开时间 20
继续阅读0day速修 | H3C SecCenter SMP 安全管理平台远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-11-29 05:00 漏洞概况 H 3C SecCenter SMP(Security Manager Platform,安全业务管理平台)是一个负责网络安全业务的独立平台。 SMP 能够对网络中的防火墙、入侵防御安全设备进行统一管理,并适应各种网络规模需求,为部
继续阅读【漏洞复现】某平台-statusList-sql注入漏洞 原创 南极熊 SCA御盾 2024-11-29 03:21 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后
继续阅读