Hugging Face 等AI即服务平台易受严重漏洞影响,遭AI供应链攻击
Hugging Face 等AI即服务平台易受严重漏洞影响,遭AI供应链攻击 Deeba Ahmed 代码卫士 2024-04-09 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司 Wiz.io 发现,AI即服务(即 AI Cloud)平台如 Hugging Face 等易受严重风险,可导致攻击者提升权限、获得跨租户访问权限并可能接管CI/CD管道。 问题简述 AI
继续阅读标签: RCE
6款较流行的开源漏洞扫描工具推荐及特点分析
6款较流行的开源漏洞扫描工具推荐及特点分析 安全牛 2024-04-09 12:40 未修补的漏洞是网络犯罪分子最容易攻击的目标之一。 企业中很多的数据安全事件往往由于已知的漏洞造成的,尽管相关的安全补丁已经发布,但许多企业由于种种原因并不能及时发现并修补这些漏洞。 当组织想要开展全面且持续的漏洞扫描工作时,通常需要得到广泛的安全社区支持。在此过程中,安全人员可以借助一些的流行开源漏洞扫描工具。由
继续阅读中间件安全-CVE漏洞复现-Docker+Websphere+Jetty
中间件安全-CVE漏洞复现-Docker+Websphere+Jetty 原创 兰陵猪猪哼 小黑子安全 2024-04-09 07:42 中间件-Docker Docker容器是使用沙盒机制,是单独的系统,理论上是很安全的,通过利用某种手段,再结合执行POC或EXP,就可以返回一个宿主机的高权限Shell,并拿到宿主机的root权限,可以直接操作宿主机文件。 它从容器中逃了出来,因此我们形象的称为
继续阅读CVE-2024-25869
CVE-2024-25869 原创 fgz AI与网安 2024-04-09 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 PHP会员管理系统-不受限制的文件上传到RCE漏洞 02 — 漏洞影响 Membership Manageme
继续阅读某oa命令执行漏洞挖掘思路
某oa命令执行漏洞挖掘思路 中铁13层打工人 Hacking黑白红 2024-04-08 23:53 前段时间看到某系统爆出一个RCE,随后找到了源码对漏洞进行分析,并利用历史漏洞找到了其他突破点,进而找到新的漏洞。 前段时间看到某系统爆出一个RCE,随后找到了源码对漏洞进行分析,并利用历史漏洞找到了其他突破点,进而找到新的漏洞。 0x01 历史漏洞分析 首先来看一个历史漏洞,Ognl表达式注入导
继续阅读【漏洞预警】Adobe Magento Open Source命令注入漏洞(CVE-2024-20720)
【漏洞预警】Adobe Magento Open Source命令注入漏洞(CVE-2024-20720) cexlife 飓风网络安全 2024-04-08 23:14 漏洞描述:Adobe Magento Open Source是Adobe公司的一套开源的PHP电子商务系统,该系统提供权限管理、搜索引擎和支付网关等功能,近日监测到威胁者正在利用AdobeMagentoOpenSource命令注
继续阅读技术分享|某办公系统代码执行漏洞分析及检测优化
技术分享|某办公系统代码执行漏洞分析及检测优化 Town GobySec 2024-04-08 17:37 G o b y 社 区 第 37 篇 技 术 分 享 文 章 全 文 共 : 5012 字 预 计 阅 读 时 间 : 13 分 钟 01 概述 最近国内某知名 OA 厂商出了一个远程代码执行漏洞,漏洞的产生原因是系统在处理上传的 Phar 文件的时候存在缺陷,导致攻击者能够上传经过伪装之后
继续阅读产品中又现4个漏洞,Ivanti 宣布安全大检修
产品中又现4个漏洞,Ivanti 宣布安全大检修 Jai Vijayan 代码卫士 2024-04-08 17:36 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司的首席执行官 Jeff Abbott 上周表示,公司将改变安全实践,即使目前在本已漏洞密布的 Ivanti Connect Secure 和 Policy Secure 远程访问产品中又发现其它一些漏洞。 Ab
继续阅读中间件安全-CVE漏洞复现-Weblogic+JBoss+GlassFish
中间件安全-CVE漏洞复现-Weblogic+JBoss+GlassFish 原创 兰陵猪猪哼 小黑子安全 2024-04-08 07:54 服务攻防测试流程: 使用 vulfocus 靶场: 案例演示: 中间件-Weblogic-工具 梭哈 探针默认端口:7001,Weblogic是Oracle公司推出的J2EE应用服务器 使用 vulfocus 靶场复现漏洞 漏洞:weblogic-cve_2
继续阅读思科提醒注意Small Business路由器中的XSS漏洞
思科提醒注意Small Business路由器中的XSS漏洞 代码卫士 2024-04-07 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科提醒注意 Small Business RV016、RV042、RV042G、RV082和RV325路由器中的一个XSS漏洞。 该中危漏洞编号是CVE-2024-20362,位于思科 Small Business RV016、RV042
继续阅读CVE-2024-0015复现 (DubheCTF DayDream)
CVE-2024-0015复现 (DubheCTF DayDream) WoodenmanDu 看雪学苑 2024-04-05 17:59 DayDream是DubheCTF的一个AndroidPwn题,当时就立了flag一定要复现这个题。 DayDream ◆简单说一下,DayDream这个模块是关于android的屏保,下面是google的开发文档。 https://developer.and
继续阅读某办公系统反序列化漏洞分析复现
某办公系统反序列化漏洞分析复现 白帽子 2024-04-05 00:02 最近看到某办公系统 出了远程代码执行漏洞,公开的资料中路径或payload都打了厚码,所以就搭了一个环境康一下。漏洞版本介于20180516和20240222之间,于是在52上了找了20200421版本进行搭建。 0x01 初步分析 通过使用公开的闭源POC工具进行验证,再查看中间件Apache的access日志,发现了以下
继续阅读符号连接替换漏洞复现
符号连接替换漏洞复现 h11ba1 巢安实验室 2024-04-04 22:50 简介 在18.06.1-ce-rc2版本之前的Docker中,docker cp命令对应的后端API存在基于竞争的符号链接替换漏洞,能够导致目录穿越。攻击者可以利用此漏洞以root权限实现宿主机文件系统的任意读写,CVSS 3.x评分为7.5分。漏洞原理CVE-2018-15664是一个TOCTOU(time-of-
继续阅读CVE-2023-38203
CVE-2023-38203 原创 Abandon6 漏洞猎人 2024-04-04 07:47 免责声明:本文所涉及的信息安全技术知识仅供参考和学习之用,并不构成任何明示或暗示的保证。读者在使用本文提供的信息时,应自行判断其适用性,并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做出的任何行为或决定不承担任何责任。在任何情况下,本文作者不对因使用本文内容而导致的任何直接、间接、特殊
继续阅读Nginxwebui后台命令执行审计
Nginxwebui后台命令执行审计 uname 黑伞安全 2024-04-03 17:56 本文首发先知:https://xz.aliyun.com/t/14227 前言 半年前,审计过一次这套代码,那时候想着后台有命令执行的功能点,就没关注rce,审计了一些别的水洞。这次hookdd没事,说审计了一个rce,说一起看看,所以这次就只看rce,最后就有个以下几个洞。本次使用的3.9.8版本,但是
继续阅读热门WordPress 插件 LayerSlider 中存在严重漏洞
热门Wordpress 插件 LayerSlider 中存在严重漏洞 THN 代码卫士 2024-04-03 16:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 插件 LayerSlider 中存在一个严重漏洞,可被滥用于提取数据库中的敏感信息如密码哈希。 该漏洞的编号是CVE-2024-2879,CVSS评分为9.8,为SQL注入漏洞,影响7.9.11至7.10
继续阅读xz-utils后门漏洞 CVE-2024-3094 分析
xz-utils后门漏洞 CVE-2024-3094 分析 360漏洞研究院 360漏洞研究院 2024-04-01 21:08 1 事件背景 3月29日,微软PostgreSQL开发人员Andres Freund在oss-security上公告[1]他发现开源项目xz-utils存在后门漏洞。该项目遭到供应链攻击,项目维护者jiaT75(jia Tan)通过上传二进制测试文件和篡改编译脚本,使得
继续阅读Weblogic CVE-2021-2394漏洞复现分析原创
Weblogic CVE-2021-2394漏洞复现分析原创 原创 huang7k 路旅安全 2024-04-01 20:28 01 影响范围 Oracle WebLogic Server : 12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 02 漏洞复现 POC: 本地序列化与反序列化,dnslog收到请求 03 利用链分析 利用链: sink: org.eclipse.per
继续阅读【漏洞预警】JumpServer 多漏洞安全风险通告
【漏洞预警】JumpServer 多漏洞安全风险通告 原创 网星安全 网星安全 2024-04-01 19:32 01 漏洞介绍 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。其开源、零门槛等特性帮助大量客户实现企业服务器用户授权、运维管理、安全审计等需求。 近日,网星安全团队从JumpServer官方Github监测到,有用户反馈发现JumpServer
继续阅读深入研究 CVE-2023–46298: Next.js 中的拒绝服务漏洞
深入研究 CVE-2023–46298: Next.js 中的拒绝服务漏洞 Ots安全 2024-04-01 18:58 谈谈我对 CVE-2023-46298 的研究。Snyk 将该漏洞归类为拒绝服务漏洞,影响 13.4.20-canary.13 之前的所有 Next.js 版本。 原因是这是一个非常新的漏洞,而且有很多网站都在使用 Next.js。此外,我在一次渗透测试中遇到了一个易受攻击的
继续阅读思科IOS 漏洞可导致未认证的远程DoS 攻击
思科IOS 漏洞可导致未认证的远程DoS 攻击 Becky Bracken 代码卫士 2024-04-01 17:42 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科为旗舰款 IOS 和 IOS XE 操作系统软件发布安全更新,为Access Point 软件发布补丁。 思科发布 Cisco IOS 发布14个漏洞安全更新,其中14个漏洞是拒绝服务漏洞,可导致系统崩溃、异常重新加载以及
继续阅读记一次非法网站资金盘股票基金的渗透-漏洞挖掘
记一次非法网站资金盘股票基金的渗透-漏洞挖掘 漏洞挖掘 渗透安全HackTwo 2024-04-01 00:00 0x01 前言 简单的描述一下,在某次客户的授权渗透中发行客户网站被植入了暗链,一般这种暗链都是些非法网站,于是我就点开了这个暗链发现是一个资金盘,简简单单的翻了一下,立马锁定目标站,具体过程直接来看思路! 末尾可领取字典等资源文件 0x02 漏洞信息收集网站打开后是一
继续阅读ScreenConnect 管理员应尽快修补关键的 RCE 漏洞
ScreenConnect 管理员应尽快修补关键的 RCE 漏洞 胡金鱼 嘶吼专业版 2024-03-29 14:00 ConnectWise 提醒 ScreenConnect 管理员应立即修补其服务器,以防止威胁分子用远程代码执行 (RCE) 攻击。 据悉,此安全错误是由于身份验证绕过弱点造成的,攻击者可以利用该弱点来访问机密数据,或在不需要用户交互的低复杂性攻击中在服务器上远程执行任意代码。
继续阅读SSRF自动化漏洞检测利用工具|漏洞探测
SSRF自动化漏洞检测利用工具|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-03-29 00:01 0x01 工具介绍 SSRFmap 是一个用于自动化发现和利用服务器端请求伪造(SSRF)漏洞的工具。根据您提供的信息,这个工具可以将一个 Burp Suite 的请求文件作为输入,然后针对其中的特定参数执行模糊测试。SSRF 是一种漏洞,攻击者可以利用它迫使服务器代表他们执行请求。 下
继续阅读CISA称微软 SharePoint RCE 漏洞已遭在野利用
CISA称微软 SharePoint RCE 漏洞已遭在野利用 Sergiu Gatlan 代码卫士 2024-03-28 17:29 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA 提醒称攻击者正在利用微软 SharePoint 代码注入漏洞发动攻击。而组合一个严重的提权漏洞,即可执行预认证RCE攻击。第一个漏洞的编号是CVE-2023-24955,可导致具有Site Owner
继续阅读谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day
谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day Sergiu Gatlan 代码卫士 2024-03-28 17:29 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,谷歌修复了 Chrome web浏览器中的7个漏洞,其中两个是在 Pwn2Own 2024温哥华大赛中发现。 第一个0day是 CVE-2024-2887,是位于开放标准 WebAssembl
继续阅读0328-新型僵尸网络感染全球88个国家/地区-主流AI算力框架漏洞威胁全球数千大模型-印度国防部等机构被黑客打穿
0328-新型僵尸网络感染全球88个国家/地区-主流AI算力框架漏洞威胁全球数千大模型-印度国防部等机构被黑客打穿 网络盾牌 网络盾牌 2024-03-28 16:21 点击上方蓝色文字关注我们 今日全球网安资讯摘要**** 特别关注 新型僵尸网络感染全球88个国家/地区,超6千台华硕路由器遭攻击 主流AI算力框架漏洞威胁全球数千大模型 印度国防部等机构被黑客打穿,泄露 8.8GB 数据 特别关注
继续阅读要闻 | 主流 AI 算力框架漏洞威胁全球数千大模型
要闻 | 主流 AI 算力框架漏洞威胁全球数千大模型 内生安全联盟 2024-03-28 15:37 近日,知名网络安全公司Oligo Security发现人工智能行业主流算力框架Ray的一个未修复安全漏洞正被黑客野外大规模利用,攻击AI工作负载并窃取敏感(生产)数据和算力。 包括亚马逊、Uber、OpenAI等数以千计的人工智能企业受到影响,数百个集群已经遭到攻击,超过10亿美元算力遭到“劫持”
继续阅读主流AI算力框架漏洞威胁全球数千大模型
主流AI算力框架漏洞威胁全球数千大模型 网络安全应急技术国家工程中心 2024-03-28 15:14 近日,知名网络安全公司Oligo Security发现人工智能行业主流算力框架Ray的一个未修复安全漏洞正被黑客野外大规模利用,攻击AI工作负载并窃取敏感(生产)数据和算力。 包括亚马逊、字节跳动、Uber、OpenAI等数以千计的人工智能企业受到影响,数百个集群已经遭到攻击,超过10亿美元算力
继续阅读小米WiFi路由器漏洞挖掘-WAN 命令注入、LAN 认证后堆栈缓冲区溢出、LAN 身份验证命令注入、WAN 堆栈缓冲区溢出
小米WiFi路由器漏洞挖掘-WAN 命令注入、LAN 认证后堆栈缓冲区溢出、LAN 身份验证命令注入、WAN 堆栈缓冲区溢出 Ots安全 2024-03-28 12:09 我们的研究重点是MI AIoT Router AC2350在 LAN 和 WAN 接口上获得远程代码执行。我们在路由器中发现了多个漏洞,允许攻击者获得路由器的 root 访问权限。我们向小米发送了 8 份关于他们的HackerO
继续阅读