【漏洞通告】WordPress Bricks Builder远程命令执行漏洞CVE-2024-25600 深瞳漏洞实验室 深信服千里目安全技术中心 2024-02-26 17:13 漏洞名称: WordPress Bricks Builder远程命令执行漏洞(CVE-2024-25600) 组件名称: WordPress Bricks Builder 影响范围: WordPress Bricks
继续阅读【安全圈】警告!ConnectWise 漏洞正被广泛利用,数千台服务器面临危险 安全圈 2024-02-25 19:00 关键词 安全漏洞 ConnectWise 周二表示,一个严重的 ConnectWise ScreenConnect 漏洞正在被广泛利用,该漏洞使数千台服务器面临被接管的风险。 ConnectWise周一发布了 ScreenConnect 23.9.7 的安全修复程序,披露了两个
继续阅读[经验分享]-SRC漏洞挖掘之道 点击关注👉 马哥网络安全 2024-02-25 18:00 一个 SRC 混子挖 SRC 的半年经验分享~, 基本都是文字阐述,希望能给同样在挖洞的师傅们带来一点新收获。 前期信息收集 还是那句老话, 渗透测试的本质是信息收集,对于没有 0day 的弱鸡选手来说,挖 SRC 感觉更像是对企业的资产梳理,我们往往需要花很长的时间去做信息收集,收集与此公司相关的信息,
继续阅读开源应用程序导致 XSS 到 RCE 漏洞缺陷 Ots安全 2024-02-25 17:09 跨站脚本 (XSS) 是 Web 应用程序中最常见的攻击之一。如果攻击者可以将 JavaScript 代码注入应用程序输出中,这不仅会导致 cookie 盗窃、重定向或网络钓鱼,而且在某些情况下还会导致系统完全受损。 在本文中,我将展示如何在 Evolution CMS、FUDForum 和 GitBuc
继续阅读【漏洞情报 | 新】WordPres Bricks Builder 前台RCE漏洞(CVE-2024-25600) Ts3a 划水但不摆烂 2024-02-25 07:31 免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 产品简介 Bricks Builder是一款用于WordPre
继续阅读dedecms之汗流浃背的审计1day 江南韵 湘安无事 2024-02-24 23:09 声明: 该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 前言: 又是我,深情哥大弟子江南韵( 压星河),最近跟着学了一手更新包审计
继续阅读某CMS的通用漏洞挖掘过程 | 干货 ShawnDing 渗透安全团队 2024-02-24 22:28 前言 本文所涉及的漏洞已提交CNVD且厂商已完成漏洞修复,请勿用于非授权测试!!! 现在比较严格,目标名称均以某CMS指代,见谅。 前言 本来计划在cnvd公开这个小漏洞的时候就把这篇小作文写了,最近一忙给整忘了,现在补上。 某次项目中遇到这个cms,进行了常规黑盒测试后没发现什么大问题,检查
继续阅读「深蓝洞察」2023 年度最死而不僵的漏洞 原创 深蓝洞察 DARKNAVY 2024-02-24 20:18 回顾 Android 的发展历程,各种反序列化相关的漏洞曾多次被公开披露和修复。 其中最具代表性的当属 Bundle Mismatch 相关的漏洞,它即是深蓝洞察去年发布的 2022 年度最“不可赦”的漏洞利用 所揭示的,堪称史上最大规模的在野攻击所利用的核心漏洞。 Google 引入了
继续阅读在看 | 周报:华莱士系统漏洞被薅羊毛;16人买卖100万条个人信息;2中国公民骗5000台iPhone被抓 管窥蠡测 安在 2024-02-24 18:05 热点事件,政策法规,产业要闻,资讯报告,尽在「网安周报」。与网安发展同步,采业界资讯共赏,天天见闻,周周必报。 安全事件 1、华莱士系统漏洞致储值套餐券免费领取 据称,原本属于储值用户专享的免费套餐券,疑似出现故障,被免费发放给了广大非储值
继续阅读“虚拟号码”场景下的逻辑漏洞挖掘(全网原创首发) 原创 庆尘qc Daylight庆尘 2024-02-24 14:51 引言 由于最近挖洞遇到的虚拟号码场景比较多,且都存在各种各样的问题,所以本篇文章来总结一下在该场景下应该如何有效地,快速地进行逻辑漏洞挖掘(文章中涉及真实信息,所以厚码,见谅) 一、漏洞分析 这里要讲的虚拟号码场景,应该不少师傅也都遇到过,一般流程如下 某些功能需要
继续阅读【漏洞通告】Microsoft Outlook 远程命令执行漏洞CVE-2024-21413 深益研究实验室 深信服千里目安全技术中心 2024-02-24 11:21 漏洞名称: Microsoft Outlook 远程代码执行漏洞(CVE-2024-21413) 组件名称: Microsoft Outlook 影响范围: Microsoft Office 2016 (64-bit editio
继续阅读人工智能开发供应链披露的八个漏洞 原创 何威风 祺印说信安 2024-02-24 00:01 人工智能网络安全初创公司Protect AI披露了用于开发内部人工智能和机器学习模型的开源供应链中发现的八个漏洞的详细信息。全部都有 CVE 编号,其中 1 个具有严重严重性,7 个具有高严重性。 这些漏洞通过 Protect AI 的二月份漏洞 报告 进行披露。他们是: – CVE-2023
继续阅读JAVA代码审计之XSS漏洞 原创 goddemon goddemon的小屋 2024-02-23 22:56 Part1 漏洞案例demo: 没有java代码审计XSS漏洞拿赏金的案例。 所以将就看看demo吧 漏洞原理:关于XSS漏洞的漏洞原理核心其实没啥好说的,网上一查一大堆。 反射性XSS漏洞 <%@ page language="java" contentTy
继续阅读苹果 Shortcuts 零点击漏洞可导致数据被盗 Nathan Eddy 代码卫士 2024-02-23 18:24 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果 Shortcuts 中存在一个危险漏洞 (CVE-2024-23204),可导致攻击者在无需获得权限的情况下访问设备的敏感数据。 苹果的 Shortcuts 应用为 macOS 和 iOS 而设置,旨在将任务自动化。对于
继续阅读Spring Boot系列漏洞(一) 威零安全团队 2024-02-23 18:00 ****## 现在只对常读和星标的公众号才展示大图推送,建议大家能把威零安全实验室“设为星标”,否则可能就看不到了啦! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 由于传播、利用本公众号所发布的而
继续阅读WordPress爆炸性0day,直接RCE!附POC 网络安全007 信安404 2024-02-23 17:50 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 师傅们,过年好呀! 现在安全行业越来越难混了,安全的门槛越来越低了,现在如
继续阅读Outlook高危远程代码执行漏洞,启明星辰提供解决方案 启明星辰集团 2024-02-23 17:01 Microsoft Office Outlook是微软开发的办公软件套装中的一个组件,主要功能是收发电子邮件,同时具有管理联系人信息、安排日程、分配任务等功能。 漏洞详情 近日, 启明星辰金睛安全研究团队 监测到微软二月份安全补丁中一个CVSS评分为9.8的漏洞 (Microsoft Outl
继续阅读【已复现】Microsoft Outlook 远程代码执行漏洞(CVE-2024-21413)安全风险通告 原创 QAX CERT 奇安信 CERT 2024-02-23 11:45 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Microsoft Outlook 远程代码执行漏洞 漏洞编号 QVD-2024-6258, CVE-2024-21413 公开时间 2024-02
继续阅读速修复!Joomla 漏洞可导致RCE攻击 Bill Toulas 代码卫士 2024-02-22 18:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Joomla 内容管理系统中存在5个漏洞,可被用于在易受攻击网站上执行任意代码。 这些漏洞影响多个 Joomla 版本,已在 5.0.3和4.4.3 中修复。这些漏洞概述如下: CVE-2024-21722:当用户的MFA方法被修改后
继续阅读极有可能被黑客利用,Outlook远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-02-22 11:48 01 漏洞概况**** Microsoft Outlook是微软办公软件套装的组件之一,用于收发电子邮件、日历、任务管理、联系人等功能。微步漏洞团队于近日检测到微软发布了二月份补丁,披露数个安全漏洞,其中包括Outlook远程代码执行漏洞(CVE-2024-21413)。该
继续阅读【安全圈】系统漏洞致储值套餐券免费领取,华莱士已报案! 安全圈 2024-02-21 19:00 关键词 程序漏洞 2月19日,#华莱士 出餐#话题登上微博热搜。据称,原本属于储值用户专享的免费套餐券,疑似出现故障,被免费发放给了广大非储值用户,引发大量网友抢券,且网络平台陆续有人倒卖华莱士套餐券。 一位经历过此事的网友告诉极目新闻记者,19日,他在华莱士微信小程序上领取了套餐券,此券可免费在官方
继续阅读速修复!ConnectWise ScreenConnect 中存在多个严重漏洞 THN 代码卫士 2024-02-21 18:23 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 ConnectWise 发布软件更新,修复了位于 ScreenConnect 远程桌面和访问软件中的两个漏洞,其中一个严重漏洞可导致在受影响系统上远程执行代码的后果。 这些漏洞目前尚无 CVE 编号,具体如下: 通
继续阅读Bricks WordPress网站生成器中存在RCE漏洞,黑客正在积极利用 网络安全应急技术国家工程中心 2024-02-21 16:29 国外媒体近期披露,威胁攻击者正在积极利用 Brick Builder 中的关键远程代码执行 (RCE) 漏洞,在易受攻击的网站上执行恶意 PHP 代码。 Bricks Builder 是一个高级 WordPress 插件,被“誉为”是创新的、社区驱动的可视化
继续阅读工具 | JumpServer堡垒机综合漏洞利用 渗透安全团队 2024-02-20 23:18 由于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 工具简介 JumpServer 堡垒机未授权综合漏洞利用, Exploit for CVE-2023-42442 / CVE-2023-42820 / RCE 2021 未授权任意用户密码重置 (CVE-2023-42820) 未授权一键
继续阅读CVE-2024-22234|Spring Security访问控制错误漏洞 alicy 信安百科 2024-02-20 22:13 0x00 前言 Spring是Java EE编程领域的一个轻量级开源框架。 Spring 框架的核心特性是可以用于开发任何 Java 应用程序,但是在 Java EE 平台上构建 web 应用程序是需要扩展的。 Spring 框架的目标是使 J2EE 开发变得更容
继续阅读信息安全漏洞周报(2024年第7期) CNNVD CNNVD安全动态 2024-02-20 20:10 点击蓝字 关注我们 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年2月5日至2024年2月11日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞312个。 接报漏洞情况 本周CNNVD接报漏洞4053个,其中信息技术产品漏洞(通用型漏洞)20个,网络信息系统漏洞(事件型
继续阅读未然通讯社:SolarWinds曝出五个严重的RCE漏洞;黑客利用新型Dropper在Windows上传播恶意软件 未然实验室 华为安全 2024-02-20 20:02 往期推荐 未然通讯社:支付赎金的勒索软件受害人比例降至新低;远程桌面软件AnyDesk遭遇数据泄露 未然通讯社:LockBit勒索软件团伙声称入侵了快餐巨头Subway;2023年有45%关键CVE未完成修复 未然通讯社:黑产团
继续阅读新年新征程!360漏洞云开工攒劲,百万奖金到账,真金白银等你来战! 360漏洞云 360漏洞云 2024-02-20 16:10 大吉大利 开工有喜 春风拂面,万象更新 正值开工之际,360漏洞云 百万预算 已到账 更多奖金,更多礼品 议价即所得,再赢豪华周边 2024!发!发!发! 为新年开工攒劲,为美好生活筑基 愿师傅满怀激情,再创佳绩 共写网络安全的崭新篇章 活动奖励 奖金更多,所议即所得
继续阅读漏洞通告 | Apache Solr 代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-02-20 10:48 01 漏洞概况**** Apache Solr是一个基于Java开发的高性能全文搜索服务器,是Apache Lucene项目的开源企业搜索平台。它提供了丰富的查询语言、可配置、可扩展的特性,并对索引、搜索性能进行了优化。近日,微步漏洞团队监测到Apache Solr 发布安
继续阅读Android、佳能漏洞已修复,Fortinet警告零日漏洞 原创 何威风 祺印说信安 2024-02-19 00:00 谷歌周一宣布修复 Android 中的 46 个漏洞,其中包括一个导致远程代码执行的严重错误。 该漏洞编号为 CVE-2024-0031,影响 Android 开源项目 (AOSP) 版本 11、12、12L、13 和 14,已在平台的系统组件中发现。 谷歌在其公告 中解释说:
继续阅读