【漏洞通告】7-Zip代码执行漏洞(CVE-2024-11477)
【漏洞通告】7-Zip代码执行漏洞(CVE-2024-11477) 启明星辰安全简讯 2024-11-25 08:59 一、漏洞概述 漏洞名称 7-Zip代码执行漏洞 CVE ID CVE-2024-11477 漏洞类型 整数下溢 发现时间 2024-11-25 漏洞评分 7.8 漏洞等级 高危 攻击向量 本地 所需权限 无 利用难度 低 用户交互 是 PoC/EXP 未公开 在野利用
继续阅读标签: POC
【漏洞分享】泛微OA漏洞 任意文件读取 OA E-Cology ln.FileDownload 任意文件读取
【漏洞分享】泛微OA漏洞 任意文件读取 OA E-Cology ln.FileDownload 任意文件读取 Undoubted Security 2024-11-25 08:00 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 漏洞复现 fofa查询语句: fofa:app="泛微-OA(e-cology)
继续阅读【SQL注入】用友NC process SQL注入漏洞
【SQL注入】用友NC process SQL注入漏洞 原创 1ang 小羊安全屋 2024-11-25 06:49 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PA
继续阅读一文读懂CSRF漏洞
一文读懂CSRF漏洞 simple学安全 simple学安全 2024-11-25 06:38 目录 简介 CSRF漏洞全称跨站请求伪造漏洞,攻击者利用目标用户的身份,以目标用户的名义执行相关操作。在目标用户登录了网站的前提下,点击攻击者发送的恶意url,才能触发漏洞。 常见的修改密码、分享文章、点赞、发信息等功能处,都可能存在CSRF漏洞。 漏洞利用 测试CSRF漏洞,主要是使用BurpSuit
继续阅读科荣AIO系统UtilServlet接口处存在代码执行漏【漏洞复现|附nuclei-POC】洞
科荣AIO系统UtilServlet接口处存在代码执行漏【漏洞复现|附nuclei-POC】洞 原创 kingkong 脚本小子 2024-11-25 03:33 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 科荣AIO系统UtilServlet接口处存在代
继续阅读「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞
「漏洞复现」万能门店小程序管理系统 doPageGetFormList SQL注入漏洞 冷漠安全 冷漠安全 2024-11-25 02:58 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他
继续阅读【漏洞复现】某平台-cwsfiledown-DownFileBytes-任意文件读取漏洞
【漏洞复现】某平台-cwsfiledown-DownFileBytes-任意文件读取漏洞 原创 南极熊 SCA御盾 2024-11-25 02:42 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文
继续阅读海信智能公交企业管理系统 OrgInfoMng.aspx SQL注入漏洞
海信智能公交企业管理系统 OrgInfoMng.aspx SQL注入漏洞 Superhero nday POC 2024-11-25 02:12 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会
继续阅读【漏洞复现】明源云ERP报表 GetErpConfig.aspx存在信息泄露漏洞
【漏洞复现】明源云ERP报表 GetErpConfig.aspx存在信息泄露漏洞 原创 清风 白帽攻防 2024-11-25 01:14 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 明源云ERP系统是一款云端部署的企业管理解决方案,具备高效、灵活和可定制的
继续阅读漏洞挖掘-小白编写人生中第一个漏洞利用脚本
漏洞挖掘-小白编写人生中第一个漏洞利用脚本 原创 小白 吉吉说安全 2024-11-25 00:45 上次讲到了小白如何通过网络安全赚取自己人生中的第一桶金 ,上上篇文章的预告小白如何从脚本小子编写一个简单的脚本拖到现在,终于有时间来更新了。 作为小白我们在编写脚本的时候选择编程语言尽量选择好上手的,市面上常见的有java、php、python、 golang 等等 , java编写图形化 界面可
继续阅读漏洞预警 | 点企来客服系统硬编码未授权漏洞
漏洞预警 | 点企来客服系统硬编码未授权漏洞 浅安 浅安安全 2024-11-25 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 禾匠点企来客服系统是独立源码部署的客服系统,支持接入到小程序、公众号、网站、APP。 0x03 漏洞详情 漏洞类型: 硬编码token 影响: 敏感信息泄露**** 简述: 点企来客服管理系统的t
继续阅读漏洞预警 | 安克医疗急救办公管理系统SQL注入漏洞
漏洞预警 | 安克医疗急救办公管理系统SQL注入漏洞 浅安 浅安安全 2024-11-25 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 安克医疗急救办公管理系统是一款专为医疗急救领域设计的信息管理系统,旨在提高急救工作的效率和准确性。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 安克医
继续阅读【0Day】《黄药师》药业管理软件SetMedia_Picture_info存在SQL注入漏洞导致RCE
【0Day】《黄药师》药业管理软件SetMedia_Picture_info存在SQL注入漏洞导致RCE xiachuchunmo 银遁安全团队 2024-11-24 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 资产测绘 漏洞简介 **黄药师药店管理是专为零售药店打造的管理软件,集综合进销存管理,会员管理,GSP管理等于一身,其直观的界面,简
继续阅读【漏洞复现】CVE-2024-24809
【漏洞复现】CVE-2024-24809 混子Hacker 混子Hacker 2024-11-24 16:25 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 生活不可能像你想象的那么好,但也不会像你想象的那么糟。人的脆弱和坚强都超乎自己
继续阅读Goby2024红队版工具分享,附2024年漏洞POC下载
Goby2024红队版工具分享,附2024年漏洞POC下载 仙草里没有草噜丶 泷羽Sec 2024-11-24 14:42 ~ 我如约而至,你恰好在场 ~ 【CTF】CTF-OS,一个专门为CTF设计的操作系统 Goby是基于网络空间映射技术的下一代网络安全工具,通过为 目标网络 建立全面的资产知识库,生成网络安全事件和漏洞的应急响应。Goby 提供最全面的资产识别。Goby拥有预置超过10万条规
继续阅读威胁情报的尴尬:是个好能力,但不是个好生意!
威胁情报的尴尬:是个好能力,但不是个好生意! 原创 晓兵Jason 锐安全 2024-11-24 14:24 如果加星标,可以及时收到推送 《安全晓说》第 65 篇, 锐安全总第 294 篇原创 本文 1265 字,阅读时长约 4 分钟 威胁情报生意 ,今天 可以了解以下内容: 【1】威胁情报的商业价值不高 【2】威胁情报的产品不值钱 【3】威胁情报的生态发展没动力 【4】威胁情报生意应该怎么做?
继续阅读2024年wordpress、d-link等相关的多个cve漏洞poc
2024年wordpress、d-link等相关的多个cve漏洞poc 棉花糖fans 2024-11-24 12:14 ⚠️ 漏洞 ✅ CVE-2024-10914 在D-Link DNS-320、DNS-320LW、DNS-325和DNS-340L中发现的漏洞,版本直到20241028 GET /cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name
继续阅读「漏洞复现」爱数 AnyShare智能内容管理平台 Usrm_GetAllUsers 信息泄露漏洞
「漏洞复现」爱数 AnyShare智能内容管理平台 Usrm_GetAllUsers 信息泄露漏洞 冷漠安全 冷漠安全 2024-11-24 03:48 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用
继续阅读蓝队研判技巧(一)– 基础篇&WireShark篇
蓝队研判技巧(一)– 基础篇&WireShark篇 进击的HACK 2024-11-23 23:55 fkalis早期在i春秋的投稿文章 原文链接:https://bbs.ichunqiu.com/thread-63452-1-1.html 看了很多关于护网的文章,大多文章都只有关于面试题的文章,并没有真正的蓝队实战的一些分析,关于对可以流量如何进行研判的分析,因为我也是第一次
继续阅读【漏洞复现】通达OA submenu存在前台SQL注入漏洞
【漏洞复现】通达OA submenu存在前台SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-23 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台
继续阅读JeecgBoot小于3.6.0版本存在SQL注入漏洞
JeecgBoot小于3.6.0版本存在SQL注入漏洞 船山信安 2024-11-23 16:01 接口/sys/api/queryFilterTableDictInfo存在SQL注入漏洞 通过审计jeecgboot 3.6.0源代码,发现jeecgboot表接口存在SQL注入漏洞,通过构造表名和字段名,直接获取到数据库中的数据。 漏洞代码: 参数table、text、code可以直接带入到前端u
继续阅读「漏洞复现」微信活码系统 ucenter/index SQL注入漏洞
「漏洞复现」微信活码系统 ucenter/index SQL注入漏洞 冷漠安全 冷漠安全 2024-11-23 12:35 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作
继续阅读SBSCAN Spring框架渗透,这一个工具就够了|漏洞探测
SBSCAN Spring框架渗透,这一个工具就够了|漏洞探测 安全帮 2024-11-23 11:36 0x01 工具介绍 SBSCAN是一款专注于spring框架的渗透测试工具,可以对指定站点进行springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证。 下载地址在末尾 0x02 功能简介核心特性最全的敏感路径字典:最全的springboot站点敏感路径字典,帮你全
继续阅读CVE-2024-52301|Laravel注入漏洞
CVE-2024-52301|Laravel注入漏洞 alicy 信安百科 2024-11-23 10:25 0x00 前言 Laravel 是一个后端框架,提供了构建现代 Web 应用所需的所有功能,例如路由、验证、缓存、队列、文件存储等等。 0x01 漏洞描述 由于框架在非CLI模式下处理请求时未正确隔离PHP的argv参数,当register_argc_argv PHP指令被设置为on时,攻
继续阅读CVE-2024-0012|Palo Alto Networks PAN-OS身份验证绕过漏洞(POC)
CVE-2024-0012|Palo Alto Networks PAN-OS身份验证绕过漏洞(POC) alicy 信安百科 2024-11-23 10:25 0x00 前言 派拓网络(Palo Alto Networks)是一家网络安全公司,总部位于美国加利福尼亚州圣克拉拉市。公司的核心产品为“下一代防火墙”(Next-Generation Firewall)平台,提供网络活动的可视化能力,可
继续阅读winzip、7z 压缩软件存在漏洞需警惕以及一条不可信的 Linux 0day 漏洞预警
winzip、7z 压缩软件存在漏洞需警惕以及一条不可信的 Linux 0day 漏洞预警 独眼情报 2024-11-23 07:09 安全研究人员发现了广泛使用的文件归档工具 WinZip 中的一个严重漏洞,该漏洞可能允许攻击者绕过关键的安全措施并可能在用户的系统上执行恶意代码。 该漏洞被标记为 CVE-2024-8811,CVSS 评分为 7.8(高),影响 WinZip 76.8 版之前的所
继续阅读某CMS权限绕过漏洞(0Day)
某CMS权限绕过漏洞(0Day) Jie安全 2024-11-23 05:01 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 不会存在相关的POC,要POC的师傅可以划走啦,这个文章记录一下自己在给xx做代码审计的一次权限绕过,大致源码方式是(得到目标->提取指纹-&
继续阅读D-Link NAS设备 account_mgr.cgi 未授权RCE漏洞(CVE-2024-10914)
D-Link NAS设备 account_mgr.cgi 未授权RCE漏洞(CVE-2024-10914) Superhero nday POC 2024-11-23 03:26 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担
继续阅读漏洞预警 | Palo Alto Networks Expedition命令注入、SQL注入和明文存储漏洞
漏洞预警 | Palo Alto Networks Expedition命令注入、SQL注入和明文存储漏洞 浅安 浅安安全 2024-11-22 23:50 0x00 漏洞编号 – # CVE-2024-9463 CVE-2024-9464 CVE-2024-9465 CVE-2024-9466 0x01 危险等级 – 高危 0x02 漏洞概述 Palo Alto Netw
继续阅读漏洞预警 | PostgreSQL代码执行漏洞
漏洞预警 | PostgreSQL代码执行漏洞 浅安 浅安安全 2024-11-22 23:50 0x00 漏洞编号 – # CVE-2024-10979 0x01 危险等级 – 高危 0x02 漏洞概述 PostgreSQL是一个免费的对象-关系数据库服务器,它的Slogan是“世界上最先进的开源关系型数据库”。它具有强大的功能、稳定的性能、高度的可扩展性和丰富的数据类型
继续阅读