代码审计|NginxWebUI多处漏洞
代码审计|NginxWebUI多处漏洞 白帽子社区团队 2024-07-26 22:50 本文仅用于技术研究学习,请遵守相关法律,禁止使用本文所提及的相关技术开展非法攻击行为,由于传播、利用本文所提供的信息而造成任何不良后果及损失,与本账号及作者无关。 关于无问社区 无问社区致力于打造一个面向于网络安全从业人员的技术综合服务社区,可免费获取安全技术资料,社区内技术资料知识面覆盖全面,功能丰富。 特
继续阅读标签: RCE
第八课-系统学习代码审计:XXE和XSS(VUE中可能存在的漏洞)翻车讲解
第八课-系统学习代码审计:XXE和XSS(VUE中可能存在的漏洞)翻车讲解 原创 开发小鸡娃 安全随心录 2024-07-26 21:52 视频地址见:上几篇文章: 主要内容: 1、常见存在XXE漏洞的写法以及修复方法 2、XSS常见的位置:1、前后不分离2、前后端分离下,vue中可能存在XSS的地方(翻车 🙁 )。 进群:后台回复进群即可。 XXE漏洞概述 XXE漏洞,全称XML外部实体注
继续阅读Progress 提醒注意Telerik Report Server中的严重RCE漏洞
Progress 提醒注意Telerik Report Server中的严重RCE漏洞 Sergiu Gatlan 代码卫士 2024-07-26 17:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Progress Software 公司提醒客户修复位于 Telerik Report Server中一个严重的远程代码执行漏洞 (CVE-2024-6327),它可用于攻陷易受攻击的设
继续阅读「推安早报」0726 | Selenium Grid Rce、红队新技术、spring Skipper组件rce
「推安早报」0726 | Selenium Grid Rce、红队新技术、spring Skipper组件rce bggsec 甲方安全建设 2024-07-26 16:39 # 2024-07-26 「红蓝热点」每天快人一步 > 1. 推送「新、热、赞」,帮部分人阅读提效 2. 学有精读浅读深读,艺有会熟精绝化,觉知此事重躬行。推送只在浅读预览 3. 机读为主,人工辅助,每日数万网站,10
继续阅读最近的一些高危rce漏洞附poc
最近的一些高危rce漏洞附poc 白帽子社区团队 2024-07-25 22:32 最近的一些高危rce漏洞附poc 第一个 CVE-2024-36401(GeoServer GetPropertyValue RCE) GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插入操作,在Geo
继续阅读2024年HW漏洞专项
2024年HW漏洞专项 simeon的文章 小兵搞安全 2024-07-25 18:34 今天做漏洞情报收集时,找到一个不错的站,推荐给大家,网站地址: http://kpanda.wiki/#/navbar/hw 7-25漏洞合集 2024-07-25 A36-1Apache-CloudStack-PermissionAC C14-1创客13星-零售商城系统-任意文件上传 F26-1飞讯云
继续阅读CVE-2024-36401 JDK 11-22 通杀内存马
CVE-2024-36401 JDK 11-22 通杀内存马 原创 Numen cyber labs Numen Cyber Labs 2024-07-25 11:55 前言 在看到 yzddMr6 师傅的 《GeoServer property RCE注入内存马 》之后的第一反应是,在 JDK 15 之后不再默认包含 JS 引擎的解析包了,这也就意味着 JDK 15 之后无法按照这个思路去写内存
继续阅读2024 HW漏洞威胁情报合集
2024 HW漏洞威胁情报合集 进击的HACK 2024-07-24 21:49 0x01 亿赛通数据泄露防护系统NetSecConfigAjax接口存在SQL注入漏洞 POST /CDGServer3/NetSecConfigAjax;Service HTTP/1.1 Host: Content-Type: application/x-www-form-urlencoded command=u
继续阅读【这两天一些神POC】不废话
【这两天一些神POC】不废话 Ti TIPFactory情报工厂 2024-07-24 18:16 Craft CMS CVE-2023-41892-POC POST /ConditionsController.php HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML,
继续阅读漏洞预警 电信 网关 ipping.php 命令执行漏洞
漏洞预警 电信 网关 ipping.php 命令执行漏洞 by 融云安全-sm 融云攻防实验室 2024-07-24 15:17 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人
继续阅读护网第一天!浪潮云财务系统RCE已首发披露!
护网第一天!浪潮云财务系统RCE已首发披露! 原创 棉花糖糖糖 棉花糖fans 2024-07-22 23:19 0.前言 护网在即,棉花糖组建了蓝队情报共享群,为大家提供攻击IP、护网吃瓜、钓鱼木马信息、护网常用文档、0day披露等资讯,详情可见以下文章~ 护网时间已确定,你确定不需要这个蓝队情报共享群? 本文相关内容在群公告链接内实时更新。 人工坚持更新不易,如果对您有帮助,还请给本文点个赞,
继续阅读【漏洞预警】Nacos derby 接口SQL注入导致RCE漏洞
【漏洞预警】Nacos derby 接口SQL注入导致RCE漏洞 cexlife 飓风网络安全 2024-07-22 22:37 漏洞描述:Nacos是一个用于动态服务发现和配置以及服务管理的平台,Derby是一个轻量级的嵌入式数据库,接口/nacos/v1/cs/ops/derby和/nacos/v1/cs/ops/data/removal在使用Derby 数据库作为内置数据源时,用于运维人员进
继续阅读安全热点周报:本周新增四个在野利用漏洞,Magento、SolarWinds等企业级应用受波及
安全热点周报:本周新增四个在野利用漏洞,Magento、SolarWinds等企业级应用受波及 奇安信 CERT 2024-07-22 17:31 安全资讯导视 • Crowdstrike更新导致全球近千万台Windows蓝屏死机 • 重大事故!美国电信巨头AT&T几乎所有用户的电话记录泄露 • 北约发布新版《人工智能战略》概要 PART01 漏洞情报 1.JumpServer多个高危后
继续阅读速报:某EDR产品服务端RCE 0day漏洞临时加固方案
速报:某EDR产品服务端RCE 0day漏洞临时加固方案 原创 abc123info 希潭实验室 2024-07-21 22:22 Part1 前言 大家好,我是ABC_123 。一年一度的大考即将开始了,坊间确切消息,某EDR的服务端存在RCE的0day漏洞,具体影响版本不详。这里ABC_123给大家提供一个临时的加固方案,有其他修补建议欢迎在文末给我留言。 Part2 研究过程 一般一个单位最
继续阅读漏洞利用小工具V1.3更新
漏洞利用小工具V1.3更新 原创 ddwGeGe 弱口令验证机器人 2024-07-21 21:52 【 本文仅为学习和交流,切勿用作非法攻击 , 参与非法攻击与笔者无关 !!!】 最近比较忙,抽空更新一下小工具,修复部分bug问题,也收到一些师傅的反馈,调整部分漏洞的探测方式,由于精力有限(也卷不动了 ),后续可能不在更新优化工具,一切随缘吧 ~~ 声明: 作者不参与任何 HVV/GFYL/红队
继续阅读【漏洞预警】WooCommerce – Social Login数据篡改漏洞(CVE-2024-6636)
【漏洞预警】WooCommerce – Social Login数据篡改漏洞(CVE-2024-6636) 原创 聚焦网络安全情报 安全聚 2024-07-21 20:00 预警公告 严重 近日,安全聚实验室监测到 WooCommerce – Social Login 存在数据篡改漏洞,编号为:CVE-2024-6636,CVSS:9.8 此漏洞使得未经身份验证的攻击者能够
继续阅读用友U8 CRM 文件上传致RCE漏洞
用友U8 CRM 文件上传致RCE漏洞 合规渗透 合规渗透 2024-07-21 15:34 Fofa语法 title=” 用友 U8CRM” 漏洞POC POST /crmtools/tools/import.php?DontCheckLogin=1&issubmit=1 HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Window
继续阅读首发0day-1Panel面板最新前台RCE漏洞(内附Poc)
首发0day-1Panel面板最新前台RCE漏洞(内附Poc) 实战安全研究 2024-07-20 13:17 0x00 漏洞描述 1Panel 是新一代的 Linux 服务器运维管理面板,用户可以通过 Web 图形界面轻松管理 Linux 服务器,实现主机监控、文件管理、数据库管理、容器管理等功能。且深度集成开源建站软件 WordPress 和 Halo. 0x**01 影响范围 网站监控功能影
继续阅读「漏洞复现」数字通云平台 智慧政务OA PayslipUser SQL注入漏洞
「漏洞复现」数字通云平台 智慧政务OA PayslipUser SQL注入漏洞 冷漠安全 冷漠安全 2024-07-20 11:31 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平
继续阅读某TP拼团零售商城系统RCE漏洞审计
某TP拼团零售商城系统RCE漏洞审计 Mstir 星悦安全 2024-07-20 10:27 0x00 前言 ThinkPHP5 拼团拼购系统,支持热门商品,余额总览,红包分销,商品销售,购物车等功能,后台使用管理系统所构建. Fofa:”/public/static/plugins/zepto/dist/zepto.js” 框架:ThinkPHP 5.0.24 Debug
继续阅读【已复现】Nacos 后台 removal 接口 SQL 执行致远程代码执行漏洞
【已复现】Nacos 后台 removal 接口 SQL 执行致远程代码执行漏洞 长亭安全应急响应中心 2024-07-19 20:19 Nacos是一个开源的服务发现和配置管理平台,专门为微服务架构设计,用于帮助构建动态服务发现、服务配置管理、服务元数据及流量管理。2024年7月,互联网披露了一个Nacos的漏洞利用。经分析,攻击者可利用该漏洞获取操作系统权限,建议受影响的客户尽快修复漏洞。 漏
继续阅读SolarWinds 修复访问权限审计软件中的8个严重漏洞
SolarWinds 修复访问权限审计软件中的8个严重漏洞 Sergiu Gatlan 代码卫士 2024-07-19 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SolarWinds 修复了位于访问权限管理器 (Access Rights Manager, ARM) 软件中的8个严重漏洞,其中6个可导致攻击者获得易受攻击设备上的远程代码执行 (RCE) 权限。 ARM是企业
继续阅读CVE-2024-21181|Oracle WebLogic Server远程代码执行漏洞
CVE-2024-21181|Oracle WebLogic Server远程代码执行漏洞 alicy 信安百科 2024-07-19 17:59 0x00 前言 Weblogic是Oracle公司的Java应用服务器。可以用来集成和部署大型分布式Web应用、网络应用和数据库应用。 Weblogic最早由Weblogic公司开发,后来被BEA公司并入,所以早期Weblogic安装及界面有 BEA的
继续阅读汽车网络安全 — 漏洞该如何管理
汽车网络安全 — 漏洞该如何管理 谈思实验室 2024-07-19 17:53 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 01 漏洞获取途径汇总 俗话说站在巨人的肩膀上可以看得更远,在谈漏洞管理之前,了解历史上有哪些汽车网安事件,汽车威胁在哪里可以获取,对我们开展业务是非常有帮助的。 这里列举几个分享这些情报的平台: AUTO-ISAC:成立于2015年,是国外OEM共同维护
继续阅读漏洞通告 | 已修复!Nacos RCE 漏洞
漏洞通告 | 已修复!Nacos RCE 漏洞 原创 微步情报局 微步在线研究响应中心 2024-07-19 14:31 漏洞概况 Nacos是一个动态命名和配置服务的开源项目,旨在帮助用户构建云原生应用。它提供了动态服务发现、配置管理和服务共享等基础设施,适用于各种云环境,包括私有云、混合云和公有云。 2024年7月15日,微步漏洞团队监测到Nacos远程命令执行漏洞(https://x.thr
继续阅读「推安早报」0719 | nculei反制、yt-dlp反制、jump漏洞等
「推安早报」0719 | nculei反制、yt-dlp反制、jump漏洞等 bggsec 甲方安全建设 2024-07-19 09:13 2024-07-19 安全「信息差」# 每天快人一步 > 1. 推送「新、热、赞」,降噪增效 2. 查漏补缺,你可能错过了一些小东西 ### 0x01 下一代渗透测试工具Atexec-pro:利用任务调度器(无需端口445) > Atexec-pr
继续阅读Atlassian 修复Confluence等产品中的多个高危漏洞
Atlassian 修复Confluence等产品中的多个高危漏洞 Ionut Arghire 代码卫士 2024-07-18 21:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,软件厂商 Atlassian 发布安全更新,修复了位于 Bamboo、Confluence 和 Jira 产品中的多个高危漏洞。 Atlassian 公司紧急呼吁用户注意 Bamboo Data C
继续阅读思科紧急通告:本地智能软件管理器曝出高危漏洞,安全升级刻不容缓!
思科紧急通告:本地智能软件管理器曝出高危漏洞,安全升级刻不容缓! 信息安全大事件 2024-07-18 20:05 Cisco 已发布修补程序,以解决影响 Smart Software Manager On-Prem (Cisco SSM On-Prem) 的最大严重性安全漏洞,该漏洞可能使未经身份验证的远程攻击者更改任何用户(包括属于管理用户的用户)的密码。 该漏洞被跟踪为 CVE-2024-2
继续阅读【复现】JumpServer 后台文件写入漏洞(CVE-2024-40629)的风险通告
【复现】JumpServer 后台文件写入漏洞(CVE-2024-40629)的风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-07-18 19:03 赛博昆仑漏洞安全通告- JumpServer 后台文件写入漏洞(CVE-2024-40629)的风险通告 漏洞描述 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer 帮助企
继续阅读