AI安全漏洞之VLLM反序列化漏洞分析与保姆级复现(附批量利用)
AI安全漏洞之VLLM反序列化漏洞分析与保姆级复现(附批量利用) 原创 Ting丶 Ting的安全笔记 2024-12-14 02:20 WingBy小密圈知识星球简介在文末。 前期准备 环境需要:Linux(这里使用kali)、Anaconda 首先安装Anaconda 前言:最好使用linux,如果使用windows可能会产生各种报错(各种各种各种!!!),最好使用Anaconda,方便独立管
继续阅读标签: RCE
CISA 确认勒索软件攻击利用了关键的 Cleo 漏洞
CISA 确认勒索软件攻击利用了关键的 Cleo 漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-14 01:00 导读 CISA 证实,Cleo Harmony、VLTrader 和 LexiCom 文件传输软件中的一个严重安全漏洞正被勒索软件攻击所利用。 该漏洞编号为 CVE-2024-50623,影响 5.8.0.21 之前的所有版本。漏洞可使未经身份验证的攻击者在网上暴露的易受攻击
继续阅读锐捷Reyee云管理平台发现严重漏洞
锐捷Reyee云管理平台发现严重漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-14 01:00 导读 网络安全公司 Claroty 的警告称,Reyee 云管理平台和 Reyee OS 网络设备中的漏洞可能允许黑客控制数万台设备。 Ruijie 设备使用 MQTT 消息协议进行通信,其中设备使用用户名/密码对向代理进行身份验证,其中用户名是序列号,密码是反向序列号的 SHA256 计算。
继续阅读【云原生攻防研究】Istio访问授权再曝高危漏洞
【云原生攻防研究】Istio访问授权再曝高危漏洞 黑伞安全 2024-12-13 14:33 一、概述 在过去两年,以Istio为代表的Service Mesh的问世因其出色的架构设计及火热的开源社区在业界迅速聚集了一批拥簇者,BAT等大厂先后也发布了自己的Service Mesh落地方案并在生产环境中部署运行。Service Mesh不仅可以降低应用变更过程中因为耦合产生的冲突(传统单体架构应用
继续阅读【复现】 Apache Struts 文件上传漏洞(CVE-2024-53677)风险通告
【复现】 Apache Struts 文件上传漏洞(CVE-2024-53677)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-12-13 11:39 赛博昆仑漏洞安全通告- Apache Struts 文件上传漏洞(CVE-2024-53677)风险通告 漏洞描述 Struts2框架是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Se
继续阅读Unix通用打印系统cups-browsed远程代码执行漏洞分析
Unix通用打印系统cups-browsed远程代码执行漏洞分析 启明星辰 ADLab 2024-12-13 11:18 更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn) 一、漏洞描述 2024年9月,安全研究员Simone Margaritelli披露了Unix通用打印系统CUPS(Common UNIX Printing Sys
继续阅读Apache修复 Struts 2 中的严重 RCE 漏洞
Apache修复 Struts 2 中的严重 RCE 漏洞 Connor Jones 代码卫士 2024-12-13 09:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache Struts 2 宣布修复11月披露的漏洞CVE-2024-53677。该漏洞的CVSS v3 评分为9.5,CVSS v4 评分为9.8。远程攻击者无需任何权限,即可利用该漏洞,对系统机密性、完整性和
继续阅读安全设备漏洞 Checklist
安全设备漏洞 Checklist 原创 老鑫安全 老鑫安全 2024-12-13 09:31 弯刀划过红玫瑰,爱我yao家英雄会 2024年最后一个有可能一举翻身的机会 安全设备漏洞 Checklist 【免责声明】本项目所涉及的技术、思路和工具仅供学习,任何人不得将其用于非法用途和盈利,不得将其用于非授权渗透测试,否则后果自行承担,与本项目无关。使用本项目前请先阅读法律法规。 一、身份与访问控制
继续阅读MyQ 打印服务器未经身份验证的 RCE (CVE-2024-28059)
MyQ 打印服务器未经身份验证的 RCE (CVE-2024-28059) Ots安全 2024-12-13 06:51 MyQ打印服务器,作为一款广泛应用于企业环境中的解决方案,旨在优化打印资源的使用,提高工作效率。 然而,近期 Positive Hack Days (PHDays) 在越南举行的 Positive Hack Talks in Vietnam 会议,技术员:Arseniy S
继续阅读【OleView.NET】Windows COM 攻击面漏洞扫描工具
【OleView.NET】Windows COM 攻击面漏洞扫描工具 独眼情报 2024-12-13 03:22 这是关于我最近对 OleView.NET(http://oleview.net/) 工具进行的一些改进的简短博客文章,该工具已作为 1.16 版本发布。该工具旨在发现 Windows COM 的攻击面,并找出诸如权限提升和远程代码执行等安全漏洞。这些更新最近在位于雷德蒙德的微软蓝帽子大
继续阅读思普企业运营管理平台 apilogin SQL注入漏洞
思普企业运营管理平台 apilogin SQL注入漏洞 Superhero nday POC 2024-12-13 03:21 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉
继续阅读Spring漏洞测试与利用
Spring漏洞测试与利用 黑白之道 2024-12-13 02:02 Spring Boot基础原理 Spring Boot是一款基于JAVA的开源框架,目的是为了简化Spring应用搭建和开发流程。是目前比较流行,大中小型企业常用的框架。正因为极大的简化了开发流程,才受到了绝大开发人员的喜爱。 0x01 Spring Boot 表达式 OGNL:Apache Commons Object-Gr
继续阅读Ivanti云服务严重漏洞:CVE-2024-11639(CVSS 10)建议立即修补
Ivanti云服务严重漏洞:CVE-2024-11639(CVSS 10)建议立即修补 E安全 2024-12-13 01:02 E安全消息,领先的IT管理和安全解决方案提供商Ivanti发布Cloud Services Application (CSA)关键安全更新。 更新的漏洞可能导致认证绕过、远程代码执行(RCE)和任意SQL执行。 CVE-2024-11639(CVSS 10):身份验证绕
继续阅读【成功复现】WordPress Elementor Page Builder路径遍历漏洞(CVE-2024-9935)
【成功复现】Wordpress Elementor Page Builder路径遍历漏洞(CVE-2024-9935) 原创 弥天安全实验室 弥天安全实验室 2024-12-13 00:13 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍WordPress和WordPress plugin都是WordPr
继续阅读闭源系统半自动漏洞挖掘工具 SinkFinder
闭源系统半自动漏洞挖掘工具 SinkFinder 进击的HACK 2024-12-12 23:55 闭源系统半自动漏洞挖掘工具,针对 jar/war/zip 进行静态代码分析,增加 LLM 大模型能力验证路径可达性,LLM 根据上下文代码环境给出该路径可信分数 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权
继续阅读最近打点用的一些java漏洞
最近打点用的一些java漏洞 进击的HACK 2024-12-12 23:55 好久没写文章了,把最近打点审的几个漏洞分享一下。 filter权限绕过 在 CurrentContextFilter 里,有四个关键方法。 需要关注的方法,很明显可以看出,应该是: isExcludeResource(request.getRequestURI()) isStaticResource(request.g
继续阅读“芝麻开门”无线攻击:针对中国锐捷网络的物联网设备漏洞
“芝麻开门”无线攻击:针对中国锐捷网络的物联网设备漏洞 原创 网空闲话 网空闲话plus 2024-12-12 23:21 综合claroty、锐捷网络、CISA网站消息,工业网络安全公司Claroty下属的team82研究发现,物联网(IoT)供应商锐捷网络的Reyee云管理平台存在10个安全漏洞,这些漏洞可能允许攻击者控制数千台连接的设备。锐捷网络设备广泛用于全球90多个国家的机场、学校等公共
继续阅读【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677)
【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677) 原创 聚焦网络安全情报 安全聚 2024-12-12 13:14 严 重 公 告 近日,安全聚实验室监测到 Apache Struts 中存在文件上传漏洞 ,编号为:CVE-2024-53677,CVSS:9.5 此漏洞允许未经身份验证的攻击者可以操纵文件上传参数以启用路径遍历,这可能导致上传可用于执行远程代码
继续阅读施耐德电气提醒注意 Modicon 控制器中的严重漏洞
施耐德电气提醒注意 Modicon 控制器中的严重漏洞 securityonline 代码卫士 2024-12-12 10:09 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 施耐德电气发布一份安全通知,提醒注意 Modicon M241、M251、M258和LMC058 可编程逻辑控制器 (PLCs) 中的一个严重漏洞CVE-2024-11737(CVSS评分9.8)。该漏洞可导致攻击者
继续阅读CNNVD | 关于Apache Struts安全漏洞的通报
CNNVD | 关于Apache Struts安全漏洞的通报 中国信息安全 2024-12-12 09:57 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况**** 近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts安全漏洞(CNNVD-202412-1393、CVE-2024-53677)情况的报送。成功利用漏洞的攻击者,可以操
继续阅读高危!Apache Struts文件上传漏洞安全风险通告
高危!Apache Struts文件上传漏洞安全风险通告 应急响应中心 亚信安全 2024-12-12 09:52 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Apache官方披露(CVE-2024-53677)Apache Struts FileUploadInterceptor 文件上传漏洞。在受影响版本中,若代码中使用了FileUploadInterceptor ,则可能在进行
继续阅读Shiro框架漏洞看了你就会了(含靶场复现)
Shiro框架漏洞看了你就会了(含靶场复现) 工作室-Lin 马哥网络安全 2024-12-12 09:01 一、shiro简介 Shiro是一个功能强大且易于使用的Java安全框架,旨在简化Java应用程序的安全开发。 它提供了身份认证(登录)、授权(访问控制)、加密、会话管理以及与Web集成的功能,可以应用于从小型移动应用到大型Web和企业应用的多种场景。 Shiro既可以独立运行,也可以与其
继续阅读【漏洞通告】Apache Struts 2远程代码执行漏洞安全风险通告
【漏洞通告】Apache Struts 2远程代码执行漏洞安全风险通告 嘉诚安全 2024-12-12 08:46 漏洞背景 近日,嘉诚安全监测到Apache Struts 2中存在一个远程代码执行漏洞,漏洞编号为: CVE-2024-53677。 Apache Struts 2是一个基于MVC设计模式的Web应用框架,可用于创建企业级Java web应用程序。 鉴于漏洞危害较大,嘉诚安全提醒相关
继续阅读【漏洞通告】Apache Struts 2 任意文件上传漏洞(S2-067)(CVE-2024-53677)
【漏洞通告】Apache Struts 2 任意文件上传漏洞(S2-067)(CVE-2024-53677) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-12-12 08:34 漏洞名称: Apache Struts 2 任意文件上传漏洞(S2-067)(CVE-2024-53677) 组件名称: Apache Struts2 影响范围: 2.0.0 ≤ Apache Struts 2 ≤
继续阅读【风险通告】Apache Struts存在文件上传漏洞(CVE-2024-53677)
【风险通告】Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒CERT评级 2级 CVSS3.1评分 8.1 CVE编号 CVE-2024-53677 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT
继续阅读【漏洞通告】Apache Struts 2远程代码执行漏洞(CVE-2024-53677)
【漏洞通告】Apache Struts 2远程代码执行漏洞(CVE-2024-53677) 启明星辰安全简讯 2024-12-12 07:56 一、漏洞概述 漏洞名称 Apache Struts 2远程代码执行漏洞 CVE ID CVE-2024-53677 漏洞类型 路径遍历、文件上传 发现时间 2024-12-12 漏洞评分 9.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用
继续阅读安全简讯(2024.12.12)
安全简讯(2024.12.12) 启明星辰安全简讯 2024-12-12 07:56 1. Cleo文件传输软件零日漏洞遭黑客利用进行数据盗窃攻击 12月10日,黑客正在积极利用Cleo管理文件传输软件中的新发现的零日漏洞,侵入全球数千家公司网络,包括Target、沃尔玛等知名企业,进行数据盗窃攻击。该漏洞存在于Cleo LexiCom、VLTrader和Harmony产品中,允许不受限制的文件上
继续阅读CNNVD关于Apache Struts安全漏洞的通报
CNNVD关于Apache Struts安全漏洞的通报 原创 CNNVD CNNVD安全动态 2024-12-12 07:31 点击蓝字 关注我们 漏洞情况**** 近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts安全漏洞(CNNVD-202412-1393、CVE-2024-53677)情况的报送。成功利用漏洞的攻击者,可以操纵文件上传参数来启用路径遍历,进而上传可用于执
继续阅读Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告
Apache Struts 文件上传漏洞(CVE-2024-53677)安全风险通告 奇安信 CERT 2024-12-12 07:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Struts 文件上传漏洞 漏洞编号 QVD-2024-50398,CVE-2024-53677 公开时间 2024-12-11 影响量级 十万级 奇安信评级 高危 CVSS 3.
继续阅读Apache Struts FileUploadInterceptor 目录遍历与文件上传漏洞(CVE-2024-53677)
Apache Struts FileUploadInterceptor 目录遍历与文件上传漏洞(CVE-2024-53677) 风险通告 阿里云应急响应 2024-12-12 06:11 2024年12月,Apache 官方披露 CVE-2024-53677 Apache Struts FileUploadInterceptor 文件上传漏洞。 01 风险描述 Apache Struts 是一个
继续阅读