Zabbix zbx_auditlog_global_script SQL注入漏洞(CVE-2024-22120) 原创 simeon的文章 小兵搞安全 2024-05-22 22:16 Zabbix是一个开源的监控软件工具,旨在帮助IT专业人士实时监控和确保各种网络服务、服务器及应用程序的稳定性和性能。它为监控IT基础设施提供了全面的解决方案,从网络设备、服务器、数据库到云服务和虚拟机均涵盖在内
继续阅读信息安全漏洞周报(2024年第21期) 网安百色 2024-05-22 19:34 点击蓝字 关注我们 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年5月13日至2024年5月19日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1632个。 接报漏洞情况 本周CNNVD接报漏洞7076个,其中信息技术产品漏洞(通用型漏洞)176个,网络信息系统漏洞(事件型漏洞)21个,
继续阅读CVE-2024-4367 PDF.js RCE 分析(译) 3bytes 3072 2024-05-22 18:45 CVE-2024-4367 – PDF.js中的任意JavaScript执行 摘要 本文详细介绍了由Codean Labs发现的PDF.js中的CVE-2024-4367漏洞。PDF.js是由Mozilla维护的基于JavaScript的PDF查看器。这个漏洞允许攻击者在打开恶意
继续阅读Veeam:Backup Enterprise Manager 中存在严重的认证绕过漏洞 Sergiu Gatlan 代码卫士 2024-05-22 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Veeam 提醒客户称修复一个严重漏洞,它可导致未认证攻击者通过 Veeam Backup Enterprise Manager (VBEM) 登录任何账户。 VBEM 是一款基于 w
继续阅读漏洞通告 | 猎鹰安全终端安全系统 V9 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-05-22 16:30 漏洞概况 猎鹰安全终端安全系统V9 是专门为政府、军工、能源、教育、医疗及集团化企业设计的终端安全管理平台。 近日,微步漏洞团队获取到两个猎鹰安全终端安全系统V9 远程代码执行漏洞情报(https://x.threatbook.com/v5/vul/XVE-2023
继续阅读Gradio component_server存在任意文件读取漏洞复现(CVE-2024-1561)CVE-2024-1561 南风徐来 南风漏洞复现文库 2024-05-20 23:07 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1.
继续阅读安全热点周报:谷歌、微软等厂商发布紧急补丁,防范本周新增的七个在野利用漏洞 奇安信 CERT 2024-05-20 19:42 安全资讯导视 • 国家安全部:境外一非政府组织非法搜集窃取我国自然保护区核心敏感数据 • 因供应商被黑,欧洲银行巨头桑坦德银行所有员工和多国客户数据泄露 • 美国CISA等多国机构发布公民社会网络安全指南 PART01 漏洞情报 1.Google Chrome V8类型
继续阅读【漏洞通告】Sonatype Nexus Repository3 任意文件下载漏洞CVE-2024-4956 深瞳漏洞实验室 深信服千里目安全技术中心 2024-05-20 18:27 漏洞名称: Sonatype Nexus Repository3 任意文件下载漏洞(CVE-2024-4956) 组件名称: Sonatype-Nexus 影响范围: Sonatype Nexus < 3.6
继续阅读安全动态回顾 | 16项网络安全国家标准获批发布 D-Link EXO AX4800路由器中的RCE零日漏洞PoC漏洞发布 胡金鱼 嘶吼专业版 2024-05-20 14:06 2024.5.6—5.12安全动态周回顾 2024.4.29—5.5安全动态周回顾 2024.4.22—4.28安全动态周回顾 2024.4.15—4.21安全动态周回顾 2024.4.8—4.14安全动态周回顾 2024
继续阅读D-Link NAS 未授权RCE 可可 巢安实验室 2024-05-19 23:00 0x01 产品介绍 D-Link 网络存储 (NAS)是中国友讯(D-link)公司的一款统一服务路由器。 0x 0 2 漏洞威胁 D-Link NAS nas_sharing.cgi接口存在命令执行漏洞,该漏洞存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响其 HTTP GET 请求处理
继续阅读CVE-2023-35001 – nf_tables – LPE – Pwn2Own Vancouver 2023 原创 星盟@Achilles 星盟安全 2024-05-19 20:09 简介 阅读本篇文章前,读者需要了解nf_tables中的虚拟机构成和执行过程。 漏洞存在于nf_tables模块的byteorder表达式执行过程,可导致栈溢出。 内核版本5
继续阅读CVE-2024-0517分析心得 XiaozaYa 看雪学苑 2024-05-19 17:59 Error Fold Allocations in VisitFindNonDefaultConstructorOrConstruct 这个漏洞发生在MaglevGraphBuilder::VisitFindNonDefaultConstructorOrConstruct 函数中,考虑之前分析的CVE
继续阅读JDBC反序列化漏洞 原创 joyboy fly的渗透学习笔记 2024-05-18 17:58 免责声明: 本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除整改并向您致以歉意。谢谢! JDBC简介: JDBC
继续阅读从未经身份验证的存储型 XSS 到 RCE Ots安全 2024-05-18 13:24 发现的漏洞导致 HESK (MFH)版本 2019.1.0 和低至版本 3.1.0 (2017 年 6 月 28 日)的Mods 出现三个不同的 CVE – CVE-2020-13992 :: 多个存储的 XSS 问题允许未经身份验证的远程攻击者滥用帮助台用户的登录会话 CVE-2020-1399
继续阅读自动化漏洞挖掘工具,集合Nuclei + Subfinder + Gau + Paramspider + httpx Mr.x 黑客白帽子 2024-05-18 08:31 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 🌟简介 NucleiScanner是一个强大的自动化工具,用于检测Web应用程序中的未知漏洞。
继续阅读CVE-2024-34220 A___bandon 漏洞猎人 2024-05-18 08:02 免责声明:本文所涉及的信息安全技术知识仅供参考和学习之用,并不构成任何明示或暗示的保证。读者在使用本文提供的信息时,应自行判断其适用性,并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做出的任何行为或决定不承担任何责任。在任何情况下,本文作者不对因使用本文内容而导致的任何直接、间接、特殊或
继续阅读CVE-2024-27130|QNAP 存在未经身份验证的RCE漏洞(POC) alicy 信安百科 2024-05-17 21:56 0x00 前言 QNAP 命名源自于高质量网络设备制造商(Quality Network Appliance Provider)。 QNAP 专注于储存、网络及智能影音产品创新,透过软件订阅制及多元化服务管道建构崭新的科技生态圈。 在 QNAP 的企业蓝图中,NA
继续阅读【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞 云弈安全 2024-05-17 18:01 01 漏洞信息 瑞友天翼应用虑拟化系统是基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。 近日,云
继续阅读【漏洞预警】mlflow信息泄露漏洞(CVE-2024-3848) cexlife 飓风网络安全 2024-05-17 17:02 漏洞描述: mlflоԝ/mlflоԝ版本2.11.0中存在一个路径遍历漏洞,该漏洞被识别为先前解决的CVE-2023-6909的绕过,该漏洞源于应用程序对工件URL的处理,其中可以使用“#”字符将路径插入片段,从而有效地跳过验证,这允许攻击者构建一个URL,该URL
继续阅读由LFI所导致的RCE nullsub 迪哥讲事 2024-05-16 20:30 正文 创建博客/文章/文件功能出现问题。 原请求: POST /blog/new/ HTTP/1.1 Host: target.com User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:33.0) Gecko/20100101 Firefox/33.0 Accept: t
继续阅读漏洞挖掘|一次在线商城漏洞挖掘 迪哥讲事 2024-05-15 20:30 点击下方名片即可关注,只更高质量文章**** 0x01 前言 最近事情比较多,一直没啥时间挖洞,正好今天简单挖点漏洞,并且讲一下思路原理,漏洞简单,没有RCE,目标是一个在线商城,本次信息收集采用互联网信息收集(包括不限于:shodan、fofa、hunter、google等)及本地灯塔信息收集(灯塔停止维护了、此处默哀2
继续阅读微软Outlook通杀0Day漏洞:黑客开价1,700,000美元 关键基础设施安全应急响应中心 2024-05-15 14:59 一个名为“Cvsp”的威胁参与者宣布出售所谓的Outlook远程代码执行 (RCE) 0day漏洞。这一所谓的漏洞旨在攻击跨x86和x64架构的各种Microsoft Office版本(2016、2019、LTSC 2021、365 Apps for Enterpri
继续阅读50000多个小型代理服务器容易受到关键的RCE缺陷的影响 网络安全应急技术国家工程中心 2024-05-13 15:51 最近披露的一个关键远程代码执行 (RCE) 缺陷显示,近 52000 个暴露在互联网上的 Tinyproxy 实例容易受到 CVE-2023-49606 的影响。 Tinyproxy 是一个开源 HTTP 和 HTTPS 代理服务器,旨在快速、小型和轻量级。它专为类 UNIX
继续阅读H3C两个漏洞的划水 原创 SXdysq 南街老友 2024-05-12 21:41 产品介绍 H3C用户自助服务平台是一种基于云计算和自动化技术的管理平台,旨在提供自助式、智能化的网络设备和服务管理解决方案。该平台通过集成多种功能和工具,帮助企业用户更高效地管理和维护其网络设备,并提供更好的用户体验。 漏洞简介 H3C用户自助服务平台 dynamiccontent.properties.xhtm
继续阅读Android Deep Link 问题和 WebView 漏洞利用 8ksec Ots安全 2024-05-12 12:10 在过去的几年里,Android 智能手机已经变得无处不在。我们有数百万用户依靠这些设备进行商务和个人通信、娱乐和工作。随着 Android 智能手机使用量的增加,应用程序中的安全漏洞数量大幅增加,这些漏洞可能使用户的个人数据面临风险。 Android 深度链接和 Andr
继续阅读Weblogic-CVE-2023-21839 漏洞解析 船山信安 2024-05-12 00:01 一、漏洞概述 RCE漏洞,该漏洞允许未经身份验证的远程,通过T3/IIOP协议网络访问并破坏WebLogic服务器,成功利用此漏洞可导致Oracle WebLogic服务器被接管,通过 rmi/ldap远程协议进行远程命令执行,,当 JDK 版本过低或本地存在小工具(javaSerialized
继续阅读金蝶Apusic应用服务器 createDataSource JNDI注入漏洞 安迈信科应急响应中心 2024-05-11 22:58 01 漏洞概况 由于金蝶Apusic应用服务器权限验证不当,导致攻击者可以向createDataSource接口执行JNDI注入,造成远程代码执行。利用该漏洞需低版本JDK且需要服务器上有数据库驱动02 漏洞处置综合处置优先级:高漏洞信息漏洞名称金蝶Ap
继续阅读G.O.S.S.I.P 阅读推荐 2024-05-11 可能是今年最令人拍案叫绝的exploit——俄罗斯方块黑客帝国! 原创 G.O.S.S.I.P 安全研究GoSSIP 2024-05-11 21:57 我们本月为投稿作者送出的礼物之一的益智游戏《Baba is You》是一款玩家可以在游戏过程中对游戏规则进行自修改的神作,也是一款用来进行memory corruption based exp
继续阅读