Litespeed曝高速缓存漏洞,威胁数百万WordPress网站
Litespeed曝高速缓存漏洞,威胁数百万WordPress网站 小薯条 FreeBuf 2024-08-22 19:02 近日,有研究人员在插件的用户模拟功能中发现了未经身份验证的权限升级漏洞 (CVE-2024-28000),该漏洞是由 LiteSpeed Cache 6.3.0.1 及以下版本中的弱散列检查引起的。这个漏洞可能会让攻击者在创建恶意管理员账户后接管数百万个网站。 LiteSp
继续阅读标签: RCE
魔形女再袭?最新Android通杀漏洞CVE-2024-31317分析与利用研究
魔形女再袭?最新Android通杀漏洞CVE-2024-31317分析与利用研究 Flanker Flanker论安全 2024-08-22 18:56 摘要 本文分析了CVE-2024-31317这个Android用户态通杀漏洞的起因,并分享了笔者的利用研究和方法。通过这个漏洞,我们可以获取任意uid的权限,近似于突破Android沙箱获取任意app的权限。这个漏洞具有类似于笔者当年发现的 魔形
继续阅读SourceCheck V3.5焕新登场 | 恶意代码检测与组件版本兼容分析能力全面升级
SourceCheck V3.5焕新登场 | 恶意代码检测与组件版本兼容分析能力全面升级 开源网安 2024-08-22 18:15 开源组件安全及合规管理平台SourceCheck,可对企业第三方组件进行安全分析与管控,避免软件带病上线。近日, SourceCheck V3.5焕新登场,提升恶意代码检测与批量检测水平、强化组件版本兼容能力、打造可视化漏洞评分体系 ,助力企业提升开源治理能力,进一
继续阅读零基础入门Android漏洞挖掘
零基础入门Android漏洞挖掘 釉子 看雪学苑 2024-08-22 17:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。对于个人而言,掌握漏洞挖掘技能不仅有
继续阅读帆软报表 channel 反序列化漏洞分析与利用
帆软报表 channel 反序列化漏洞分析与利用 泾弦安全 泾弦安全 2024-08-22 12:50 国家利益 高于一切 🔥师傅您好: 为了确保您不错过我们的最新网络安全资讯、技术分享和前沿动态,请将我们设为星标🌟! 这样,您就能轻松追踪我们的每一篇精彩内容,与我们一起共筑网络安全防线! 感谢您的支持与关注! 💪 免责声明:文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造
继续阅读第十五课-系统学习代码审计:SSRF漏洞利用和常见防御写法以及绕过方式
第十五课-系统学习代码审计:SSRF漏洞利用和常见防御写法以及绕过方式 开发小鸡娃 安全随心录 2024-08-21 22:31 SSRF漏洞 读完需要 6 分钟 速读仅需 2 分钟 视频教程:( https://www.bilibili.com/video/BV1KT421k7ZE ) 主要内容: 1、Java 中发起网络请求的常见类 2、不同类支持的不同协议 3、防御手法 4、绕过手法 /SS
继续阅读Atlassian Bamboo Data Center and Server中存在RCE漏洞
Atlassian Bamboo Data Center and Server中存在RCE漏洞 DO SON 代码卫士 2024-08-21 18:08 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Atlassian 公司发布 Bamboo Data Center and Server 产品安全公告,修复了一个高危的远程代码执行 (RCE) 漏洞CVE-2024-21689,CVSS评分
继续阅读CISA:严重的 Jenkins 漏洞已被用于勒索攻击
CISA:严重的 Jenkins 漏洞已被用于勒索攻击 THN 代码卫士 2024-08-21 18:08 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 将影响Jenkins的一个严重漏洞 (CVE-2024-23897) 纳入其“已知已遭利用漏洞 (KEV)”分类表中,原因是该漏洞已被用于勒索攻击中。 该漏洞的CVSS评分为9.8,是一个路径遍
继续阅读印度国家支付系统部分中断:因供应商高风险漏洞迟迟不修后被黑
印度国家支付系统部分中断:因供应商高风险漏洞迟迟不修后被黑 关键基础设施安全应急响应中心 2024-08-21 16:10 图:National Payments Corporation of India / Facebook Jenkins官方在今年1月修复CVE-2024-23897漏洞时POC已公开,距今已有半年多时间,但是C-Edge Technologies并没有及时修复,以至于遭到攻击
继续阅读F5修复BIG-IP 和 NGINX Plus 中的多个高危漏洞
F5修复BIG-IP 和 NGINX Plus 中的多个高危漏洞 Ionut Arghire 代码卫士 2024-08-20 18:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 F5 公司发布2024年8月季度安全通告,为9个漏洞发布补丁,其中包括为 BIG-IP和NGINX Plus 高危漏洞发布的补丁。 在这些漏洞中,最严重的是影响 BIG-IP Next Central Man
继续阅读某报表玩坏的反序列化漏洞
某报表玩坏的反序列化漏洞 uname 黑伞安全 2024-08-20 16:36 起因 某次护网应急响应,发现了最新版的某报表的被打掉了,日记记录channel触发的反序列化进行攻击的,和springkill大哥一起愉快调试两天了,想着已经玩了一个多月,差不多见光死了,就和大家分享下得了。 历史漏洞 某报表channel反序列化漏洞历史爆出三个链子,一个cb, 一个singobject的二次反序列
继续阅读「推安早报」0819 | Chrome、Zabbix等漏洞、红队工具更新
「推安早报」0819 | Chrome、Zabbix等漏洞、红队工具更新 bggsec 甲方安全建设 2024-08-19 17:32 # 2024-08-19 「红蓝热点」每天快人一步 > 1. 推送「新、热、赞」,帮部分人阅读提效 2. 学有精读浅读深读,艺有会熟精绝化,觉知此事重躬行。推送只在浅读预览 3. 机读为主,人工辅助,每日数万网站,10w推特速读 4. 推送可能大众或小众,不
继续阅读安全热点周报:SolarWinds 和 Microsoft 漏洞被在野利用,立即应用补丁
安全热点周报:SolarWinds 和 Microsoft 漏洞被在野利用,立即应用补丁 奇安信 CERT 2024-08-19 17:30 安全资讯导视 • 美国NIST正式发布首批3项后量子加密标准 • 伊朗遭遇大规模网络攻击,银行系统瘫痪 • 巴黎奥运会期间共发生超140起网络攻击事件 PART01 漏洞情报 1.Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞安全风险通告
继续阅读SolarWinds Web Help Desk是 0day时或已遭利用
SolarWinds Web Help Desk是 0day时或已遭利用 Ionut Arghire 代码卫士 2024-08-19 17:26 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全局CISA在上周四提醒称,位于SolarWinds Web Help Desk 中一个新的严重漏洞已遭利用。 该漏洞的编号为CVE-2024-28986(CVSS评分9.8),是一个Jav
继续阅读【0day】DouPHP 1.7 Release 20220822 远程代码执行漏洞
【0day】DouPHP 1.7 Release 20220822 远程代码执行漏洞 安全之眼SecEye 2024-08-19 17:11 点击上方「蓝字」,关注我们 因为公众号现在只对常读和星标的公众号才能展示大图推送,建议大家进行星标 。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 01 免责声明 免责声明: 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文
继续阅读24HVV漏洞威胁最新情报(全)
24HVV漏洞威胁最新情报(全) 原创 LHACK安全 LHACK安全 2024-08-19 10:01 免责声明 本文所提供的技术、信息或工具仅供学习和参考使用。 请不要将这些信息用于任何非法或不当行为。 使用本文内容引起的任何损失或后果,完全由使用者负责,作者不承担任何责任。 使用这些信息即表示您同意本免责声明,并承诺遵守所有相关法律法规和道德规范。 HVV专项漏洞情报**** K35-1开源
继续阅读Windows TCP/IP 远程执行代码漏洞 CVE-2024-38063
Windows TCP/IP 远程执行代码漏洞 CVE-2024-38063 云梦DC 云梦安全 2024-08-19 09:32 漏洞背景 2024年8月13日,微软发布了一个高危的安全漏洞公告,涉及Windows操作系统中的TCP/IP协议栈。该漏洞被标识为CVE-2024-38063,属于远程代码执行(RCE)漏洞,具有极高的攻击潜力。这一漏洞使得攻击者能够通过网络发送特制的数据包,从而在目
继续阅读Redis未授权访问利用RCE脚本
Redis未授权访问利用RCE脚本 原创 道玄安全 道玄网安驿站 2024-08-18 19:30 “ redis-rce” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以及想挖SRC逻辑漏洞 的朋
继续阅读某微商城系统RCE漏洞审计
某微商城系统RCE漏洞审计 Mstir 实战安全研究 2024-08-18 12:01 0x00 前言 微商城系统有优选,超值捡漏功能,人气销量,以及商家推荐功能,还有订单查询,智能客服等功能. Fofa:"/Mao_Public/js/jquery-2.1.1.min.js" 0x01 前台SQL注入漏洞 位于 /goods.php 存在很明显的SQL注入漏洞,直接GET传入
继续阅读预装应用漏洞导致数百万Google Pixel 手机用户面临风险
预装应用漏洞导致数百万Google Pixel 手机用户面临风险 flyme 独眼情报 2024-08-17 14:18 iVerify 的网络安全研究人员与 Palantir Technologies 和 Trail of Bits 合作,发现全球数百万台 Google Pixel 设备存在严重漏洞。该漏洞源自预装的“Showcase.apk”应用程序包,存在严重的安全风险,允许网络犯罪分子执行
继续阅读Windows TCP/IP RCE漏洞曝光,影响所有启用IPv6的系统
Windows TCP/IP RCE漏洞曝光,影响所有启用IPv6的系统 FreeBuf 商密君 2024-08-17 14:15 本周二(8月13日),微软警告客户立即修补一个严重的TCP/IP远程代码执行(RCE)漏洞,该漏洞被利用的可能性增加,会影响所有使用默认启用IPv6的Windows系统。 该安全漏洞由昆仑实验室的研究人员发现,并被追踪为CVE-2024-38063,它是由整数下溢漏洞
继续阅读通过浏览器扩展中的链接消息实现通用代码执行
通过浏览器扩展中的链接消息实现通用代码执行 Ots安全 2024-08-17 11:33 通过在浏览器和浏览器扩展中链接各种消息传递 API,我演示了如何从网页跳转到“通用代码执行”,从而破坏同源策略和浏览器沙盒。我提供了两个影响数百万用户的新漏洞披露作为示例。此外,我还演示了如何结合使用大型数据集查询和静态代码分析来大规模发现此类漏洞。 注意:扩展案例研究已于 4 月向其所有者披露,但尚未修补,
继续阅读漏洞预警 | 用友U8Cloud反序列化和SQL注入漏洞
漏洞预警 | 用友U8Cloud反序列化和SQL注入漏洞 浅安 浅安安全 2024-08-17 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友U8Cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。 0x03 漏洞详情 漏洞类型: 反序列化 影响: 执行任意命令 简述: 用友
继续阅读Sonatype Nexus Repository3 任意文件下载漏洞(CVE-2024-4956)
Sonatype Nexus Repository3 任意文件下载漏洞(CVE-2024-4956) 船山信安 2024-08-17 05:00 0x01 组件介绍 Sonatype Nexus Repository 3(通常简称为Nexus3)是一个由Sonatype开发的仓库管理工具,用于管理和托管各种软件构件(如Maven构件、Docker镜像等),它提供了一种集中化的方式来存储、管理和分发
继续阅读【利用场景更新】Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞(CVE-2024-38063)安全风险通告
【利用场景更新】Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞(CVE-2024-38063)安全风险通告 代码卫士 2024-08-16 19:58 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞 漏洞编号 QVD-2024-36353,CVE-2024-38063 公开时间 2024-08-
继续阅读【总结】设备漏洞挖掘思路
【总结】设备漏洞挖掘思路 黑白之道 2024-08-16 09:57 在日常渗透过程中,可能会遇到各种路由,上网行为管理等设备,这时候该怎么去对这些设备进去快速挖掘就成为我们想要解决的问题 1.信息收集 1.1 弱口令搜索 对于设备黑盒来说,信息收集也是一个比较重要的过程,更多的时候可以去寻找web后台密码,一些设备可以得到比如通过寻找网上的用户指导手册可得,如 也可以通过cnvd以及cve查找相
继续阅读exploit_db漏洞复现&分析1_CVE-2024-40110
exploit_db漏洞复现&分析1_CVE-2024-40110 原创 Ry4n Crush Sec 2024-08-16 09:30 前言 近期想通过复现和分析漏洞,提高代码和漏洞方面的能力,exploit-db是一个很合适的平台,提供了漏洞poc和源码包等等,后续会持续更新该系列。 本次选择了一个RCE: Poultry Farm Management System v1.0 
继续阅读微软2024年8月发布补丁,解决88个CVE漏洞问题
微软2024年8月发布补丁,解决88个CVE漏洞问题 原创 Tenable SRT Tenable安全 2024-08-16 09:18 微软解决了88个CVE漏洞,其中有7个关键漏洞和10个零日漏洞,其中6个已经被恶意利用 背景 微软在2024年8月发布的“补丁星期二”补丁中修补了88个漏洞,其中7个被评为严重漏洞,80个被评为高危漏洞,1个被评为中危漏洞。。 本月的更新包括以下修补程序: &#
继续阅读【漏洞复现】Web user login存在RCE漏洞
【漏洞复现】Web user login存在RCE漏洞 原创 pitaya Sec探索者 2024-08-16 08:03 点击蓝字,关注Sec探索者,一起探索网络安全技术 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢! 01**** 漏洞描述 We
继续阅读