漏洞预警 | PostgreSQL代码执行漏洞
漏洞预警 | PostgreSQL代码执行漏洞 浅安 浅安安全 2024-11-22 23:50 0x00 漏洞编号 – # CVE-2024-10979 0x01 危险等级 – 高危 0x02 漏洞概述 PostgreSQL是一个免费的对象-关系数据库服务器,它的Slogan是“世界上最先进的开源关系型数据库”。它具有强大的功能、稳定的性能、高度的可扩展性和丰富的数据类型
继续阅读标签: POC
【未公开】HertzBeat(赫兹跳动) 开源实时监控系统存在默认口令漏洞
【未公开】HertzBeat(赫兹跳动) 开源实时监控系统存在默认口令漏洞 xiachuchunmo 银遁安全团队 2024-11-22 23:04 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **HertzBeat(赫兹跳动) 是一个开源实时监控系统,无需Agent,性能集群,兼容Prometheus,自定义监控和状态页构建能力。HertzB
继续阅读Nacos Derby命令执行漏洞利用脚本(11月22日更新)
Nacos Derby命令执行漏洞利用脚本(11月22日更新) XiaomingX 网络安全者 2024-11-22 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系
继续阅读通达OA前台任意用户登录漏洞复现
通达OA前台任意用户登录漏洞复现 WIN哥学安全 2024-11-22 14:37 点击上方 蓝字关注我们 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 漏洞描述 通达OA是一套使用比较广泛的办公系统。该漏洞因为使用uid作为身份标识,攻
继续阅读【漏洞通告】NVIDIA Base Command Manager身份验证缺失漏洞(CVE-2024-0138)
【漏洞通告】NVIDIA Base Command Manager身份验证缺失漏洞(CVE-2024-0138) 启明星辰安全简讯 2024-11-22 08:48 一、漏洞概述 漏洞名称 NVIDIA Base Command Manager身份验证缺失漏洞 CVE ID CVE-2024-0138 漏洞类型 身份验证缺失 发现时间 2024-11-22 漏洞评分 9.8 漏洞等级 高危
继续阅读九思OA dl.jsp 任意文件读取漏洞复现及POC
九思OA dl.jsp 任意文件读取漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-11-22 08:43 FOFA body="/jsoa/login.jsp" 漏洞复现 将payload进行base64编码 POC POST /jsoa/dl.jsp?JkZpbGVOYW1lPS4uLy4uLy4uL1dFQi1JTkYvd2ViLnhtb
继续阅读宏景eHR uploadLogo.do 任意文件上传漏洞
宏景eHR uploadLogo.do 任意文件上传漏洞 Superhero nday POC 2024-11-22 08:16 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致
继续阅读什么!这条PoC/EXP的作者竟是?
什么!这条PoC/EXP的作者竟是? 原创 Chili GobySec 2024-11-22 08:00 不知道有没有细心的师傅发现,在今天我们的例行更新的漏洞列表中,有个漏洞被打上了一个神秘的标签。 想必大家已经猜到了,这条是首个由Goby安全社区的新成员—AI Bot所创作编写的PoC/EXP。给Goby提交过漏洞的同学都知道,每一个Goby的漏洞上线,都需要经过层层审核,不止是PoC的检测逻
继续阅读【漏洞复现】某平台-AdjustWorkHours-sql注入漏洞
【漏洞复现】某平台-AdjustWorkHours-sql注入漏洞 原创 南极熊 SCA御盾 2024-11-22 03:02 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直
继续阅读【漏洞复现】九思OA dl任意文件读取漏洞
【漏洞复现】九思OA dl任意文件读取漏洞 原创 清风 白帽攻防 2024-11-22 01:07 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 九思OA产品由北京九思协同软件有限公司(简称九思软件)研发,专为企事业单位和政府机关提供高端协同办公解决方案,助
继续阅读唯徳知识产权管理系统WSFM.asmx接口处存在任意文件上传漏洞【漏洞复现|附nuclei-POC】
唯徳知识产权管理系统WSFM.asmx接口处存在任意文件上传漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2024-11-22 00:32 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 唯徳知识产权管理系统WSFM.asmx接口
继续阅读46套.NET系统漏洞威胁情报(11.22更新)
46套.NET系统漏洞威胁情报(11.22更新) 专攻.NET安全的 dotNet安全矩阵 2024-11-22 00:20 46 某克医疗系统SQL注入漏洞 46.1 漏洞概述 某 克电子技术有限公司医疗急救管理系统存在SQL注入漏洞。 该应用的***Service存在SQL注入漏洞。 POST /a**/****vice.asmx HTTP/1.1 X-Requested-With: XMLH
继续阅读漏洞预警 | 电信网关配置管理系统任意文件上传漏洞
漏洞预警 | 电信网关配置管理系统任意文件上传漏洞 浅安 浅安安全 2024-11-22 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 电信网关配置管理系统是一个用于管理和配置电信网络中网关设备的软件系统。它可以帮助网络管理员实现对网关设备的远程监控、配置、升级和故障排除等功能,从而确保网络的正常运行和高效性能。 0x03
继续阅读【未公开】安科瑞企业用电监控预警系统存在SQL注入漏洞
【未公开】安科瑞企业用电监控预警系统存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-21 23:04 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **安科瑞现有研发工程技术人才500多人,聚焦用户侧能效系统和能源互联网,具备从云平台软件到终端元器件的一站式服务能力,形成了“云-边-端”的能源互联网生态体系,目前已有1
继续阅读【漏洞扫描】Spring框架的漏洞扫描
【漏洞扫描】Spring框架的漏洞扫描 CllmsyK 七芒星实验室 2024-11-21 23:00 项目介绍 YYBaby是一款针对Spring框架的漏洞扫描及漏洞利用图形化工具 更新日志 更新日志 【Bug反馈请点击Help关于处联系作者】 ========================================== Top&NSdemon YYBaby_v0.9 Spri
继续阅读漏洞管理工具 — miscan(11月22日更新)
漏洞管理工具 — miscan(11月22日更新) mifine666 Web安全工具库 2024-11-21 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权
继续阅读关键的 Windows漏洞使数百万台服务器面临攻击
关键的 Windows漏洞使数百万台服务器面临攻击 BaizeSec 白泽安全实验室 2024-11-21 12:55 一、事件概述 Kerberos协议最初由麻省理工学院(MIT)在1980年代开发,目的是为了提供一个安全的身份验证机制,特别是在分布式计算环境中。它通过使用密钥分发中心(KDC)和基于凭证的认证机制,确保了用户身份的安全性和网络通信的保密性。从Windows 2000开始,微软在
继续阅读PoC,AnyDesk 漏洞暴露用户 IP 地址,CVE-2024-52940
PoC,AnyDesk 漏洞暴露用户 IP 地址,CVE-2024-52940 独眼情报 2024-11-21 09:57 AnyDesk是一款由德国公司AnyDesk Software GmbH推出的远程桌面软件。用户可以通过该软件远程控制计算机,同时还能与被控制的计算机之间进行文件传输。 流行的远程桌面软件 AnyDesk 中新发现的一个漏洞可能允许攻击者获取用户的 IP 地址,带来严重的隐私
继续阅读【漏洞通告】Ubuntu needrestart权限提升漏洞(CVE-2024-48990)
【漏洞通告】Ubuntu needrestart权限提升漏洞(CVE-2024-48990) 启明星辰安全简讯 2024-11-21 08:19 一、漏洞概述 漏洞名称 Ubuntu needrestart权限提升漏洞 CVE ID CVE-2024-48990 漏洞类型 LPE 发现时间 2024-11-21 漏洞评分 7.8 漏洞等级 高危 攻击向量 本地 所需权限 低 利用难度 低 用
继续阅读「漏洞复现」Altenergy电力系统控制软件 status_zigbee SQL注入漏洞复现(CVE-2024-11305)
「漏洞复现」Altenergy电力系统控制软件 status_zigbee SQL注入漏洞复现(CVE-2024-11305) 冷漠安全 冷漠安全 2024-11-21 04:49 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联
继续阅读【漏洞通告】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2024-0012)
【漏洞通告】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2024-0012) 安迈信科应急响应中心 2024-11-21 03:50 01 漏洞概况 Palo Alto Networks PAN-OS的WEB界面存在一个身份验证绕过漏洞,未经授权的攻击者可以利用该漏洞访问管理控制台,执行管理操作或提升权限,严重可导致服务器失陷。02 漏洞处置综合处置优先
继续阅读【漏洞通告】Windows 任务计划程序特权提升漏洞 (CVE-2024-49039)
【漏洞通告】Windows 任务计划程序特权提升漏洞 (CVE-2024-49039) 安迈信科应急响应中心 2024-11-21 03:50 01 漏洞概况 Windows 任务计划程序是系统中的一个组件,可以预先计划在特定时间或指定时间后启动程序或脚本,还可以设置为响应事件的触发形式。其中存在权限提升漏洞,攻击者可以利用该漏洞在目标系统获取更高的权限。02 漏洞处置综合处置优先级:高
继续阅读【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208)
【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208) 安迈信科应急响应中心 2024-11-21 03:50 01 漏洞概况 MTA在18.12.17之前版本的OFBiz中,由于权限控制不当,攻击者可以构造恶意请求通过服务端请求伪造(SSRF)的方式执行任意代码,导致服务器失陷。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Apache OFBiz远程代
继续阅读金蝶软件旗下产品历史漏洞合集
金蝶软件旗下产品历史漏洞合集 原创 xazlsec 信安之路 2024-11-21 03:38 近日完成了针对金蝶旗下 EAS、ERP 产品所出现过的历史漏洞进行梳理,并完成响应 POC 的编写,并且同步更新文库,每一个 POC 均对应一个文档,用于记录漏洞的复现过程及利用方式,一键检测如图: 上图是针对金蝶云星空 ERP 产品的检测,所涉及漏洞包括反序列化命令执行与任意文件读取漏洞,下图为金蝶
继续阅读宏景HCM uploadLogo.do接口存在任意文件上传漏洞 附POC
宏景HCM uploadLogo.do接口存在任意文件上传漏洞 附POC 2024-11-21更新 南风漏洞复现文库 2024-11-21 03:34 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. 宏景HCM 口简介 微信公众号搜
继续阅读【漏洞复现】某平台-Download-GetFile-readfile任意文件读取漏洞
【漏洞复现】某平台-Download-GetFile-readfile任意文件读取漏洞 原创 南极熊 SCA御盾 2024-11-21 03:05 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所
继续阅读【漏洞复现】数字通云平台智慧政务cookie登录绕过漏洞
【漏洞复现】数字通云平台智慧政务cookie登录绕过漏洞 原创 清风 白帽攻防 2024-11-21 01:22 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 数字通云平台的智慧政务OA产品,依托云计算、大数据和人工智能等前沿技术,专为政府部门设计,旨在提升
继续阅读【深度复现】D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞(CVE-2024-10914)
【深度复现】D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞(CVE-2024-10914) 原创 红岸基地赵小龙 暗影网安实验室 2024-11-21 01:00 产品简介 D.LinK NASQ 设备是一种基于网络的存储解决方案,作为网络存储设备,旨在为企业提供大容量的存储空间,并通过网络连接实现数据的访问和管理。这种设备不仅满足了企业对数据存储的需求,还提供了高效的数据共享和
继续阅读Palo Alto Networks PAN-OS身份认证绕过+远程代码执行漏洞
Palo Alto Networks PAN-OS身份认证绕过+远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-11-21 00:59 漏洞概况 PAN-OS 是 Palo Alto Networks 公司开发的下一代防火墙操作系统,为 Palo Alto Networks 防火墙提供安全功能和集中管理能力。 微步情报局近日捕获到Palo Alto Networks PanOS
继续阅读用友畅捷通-TPlus系统FileUploadHandler.ashx接口处存在文件上传漏洞【漏洞复现|附nuclei-POC】
用友畅捷通-TPlus系统FileUploadHandler.ashx接口处存在文件上传漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2024-11-21 00:30 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 用友畅捷通-T
继续阅读