一月漏洞信息简报
一月漏洞信息简报 原创 安全419 安全419 2025-02-11 18:08 本文根据CNVD和CISA官网和互联网公开数据整理,时间范围为2025年1月。 国内CNVD 1、一月新收录漏洞481个,其中高危漏洞227个,占比47.2%,接近一半; 2、一月新公开且被收录的漏洞285个,其中高危漏洞133个,占比46.7%; 3、一月新收录补丁信息495个,其中Adobe相关产品漏洞补丁84个
继续阅读标签: SQL注入
【oscp】JOY,ProFTPd拷贝漏洞提权
【oscp】JOY,ProFTPd拷贝漏洞提权 泷羽Sec-Norsea 2025-02-11 14:06 背对山河,踏清风明月 下载地址:https://www.vulnhub.com/entry/digitalworldlocal-joy,298/ 主机发现&端口扫描 image-20250205105254981 直接访问,泄露版本信息 image-20250204210945548
继续阅读【burpsuite靶场-服务端】XXE注入漏洞
【burpsuite靶场-服务端】XXE注入漏洞 原创 underatted 泷羽Sec-underatted安全 2025-02-11 07:42 XML外部实体(XXE)注入 在本节中,我们将解释什么是 XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种 XXE 注入,并总结如何防止 XXE 注入攻击。 1. 什么是XML外部实体注入? XML外部实体注入(也称为XXE)是一个 W
继续阅读【漏洞通告】OpenCart CoinRemitter SQL注入(CVE-2025-1117)
【漏洞通告】OpenCart CoinRemitter SQL注入(CVE-2025-1117) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况 在OpenCart的CoinRemitter 0.0.1/0.0.2中发现了一个关键漏洞。操纵参数coin会导致SQL注入。攻击可以远程发起。该漏洞已被公开披露并可能被利用。升级到版本0.0.3可以解决此问题。建议升级受
继续阅读【漏洞通告】newbee-mall 代码注入漏洞(CVE-2025-1114)
【漏洞通告】newbee-mall 代码注入漏洞(CVE-2025-1114) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况newbee-mall是newbee开源的一套电子商务系统。newbee-mall 1.0版本存在代码注入漏洞,该漏洞源于组件Add Category Page的文件/admin/categories/save中函数save的参数categoryNa
继续阅读新型 Aquabotv3 勒索软件利用 Mitel 命令注入漏洞发起攻击
新型 Aquabotv3 勒索软件利用 Mitel 命令注入漏洞发起攻击 胡金鱼 嘶吼专业版 2025-02-11 06:00 一种基于“Mirai”的僵尸网络恶意软件“Aquabot”的新变种已被发现正在积极利用 Mitel SIP 电话中的命令注入漏洞 CVE-2024-41710。 这项活动是由Akamai的安全情报和响应小组(SIRT)发现的,报告说这是属于其雷达的Aquabot的第三种变
继续阅读【漏洞通告】IBM Security Verify Directory命令执行漏洞(CVE-2024-51450)
【漏洞通告】IBM Security Verify Directory命令执行漏洞(CVE-2024-51450) 启明星辰安全简讯 2025-02-11 05:55 一、漏洞概述 漏洞名称 IBM Security Verify Directory命令执行漏洞 CVE ID CVE-2024-51450 漏洞类型 命令执行 发现时间 2025-02-11 漏洞评分 9.1 漏洞等级 严重 攻
继续阅读虹安Heimdall DLP数据泄漏防护系统 pushSetup.do SQL注入漏洞
虹安Heimdall DLP数据泄漏防护系统 pushSetup.do SQL注入漏洞 Superhero nday POC 2025-02-11 03:31 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及
继续阅读XE组织已从信用卡盗刷转向利用零日漏洞。
XE组织已从信用卡盗刷转向利用零日漏洞。 鹏鹏同学 黑猫安全 2025-02-11 01:35 Intezer和Solis Security的研究人员最近的一项调查揭示了XE组织近期行动的细节。XE组织至少从2013年开始活跃,是一个专注于信用卡盗刷和通过供应链攻击窃取密码的网络犯罪集团。Intezer发布的分析报告指出:“XE组织已从信用卡盗刷转向有针对性的信息窃取,这标志着其行动重点的重大转变
继续阅读网络攻击者利用SimpleHelp RMM漏洞实现持久访问和勒索软件攻击
网络攻击者利用SimpleHelp RMM漏洞实现持久访问和勒索软件攻击 汇能云安全 2025-02-11 01:32 2月11日,星期二,您好!中科汇能与您分享信息安全快讯: 01 索尼PlayStation网络一度大面积中断,导致服务全线中断 2月8日,索尼PlayStation网络遭遇大规模中断,导致全球玩家无法访问关键在线功能,包括账号登录、在线游戏、PlayStation商店等,引发玩家
继续阅读.NET 代码审计:发现某企业级 OA 系统中任意文件下载漏洞
.NET 代码审计:发现某企业级 OA 系统中任意文件下载漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-11 00:21 在企业级OA系统的业务交互过程中,文件上传和下载是常见的功能需求。然而,往往会在实现这些功能时忽视安全性,导致系统可能存在一些安全漏洞,特别是文件下载漏洞。 01. 漏洞代码分析 下面通过对某OA系统代码的审计,详细分析如何发现并利用任意文件下载漏洞,以
继续阅读漏洞预警 | ZZCMS SQL 注入漏洞
漏洞预警 | ZZCMS SQL 注入漏洞 浅安 浅安安全 2025-02-11 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 ZZCMS是一款适用于招商代理型的行业网站。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: ZZCMS的/index.php接口存在SQL注入漏洞,未经身份验证的攻击者可
继续阅读2024年度网络安全漏洞分析报告
2024年度网络安全漏洞分析报告 计算机与网络安全 2025-02-10 23:57 资料列表: https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ 会员进群和文件下载指南 随着信息技术的广泛应用,网络攻击的手段和技术层面越来越复杂,挑战企业和个人的安全防线的同时,也对社会的安全管理和意识提出了更高的要求。漏洞是网络防御的基础,深入了解漏洞本质、追踪其演变态势并采取
继续阅读朝鲜APT组织Kimsuky利用新型恶意软件ForceCopy发动网络攻击
朝鲜APT组织Kimsuky利用新型恶意软件ForceCopy发动网络攻击 BaizeSec 白泽安全实验室 2025-02-10 16:39 一.背景概述 近日,网络安全研究人员发现,朝鲜高级持续性威胁(APT)组织Kimsuky正在使用一种名为ForceCopy的新型恶意软件,针对特定目标进行网络攻击。该恶意软件通过伪装成合法文件或软件更新,诱骗用户下载并执行,从而窃取敏感信息并实施进一步的网
继续阅读经典漏洞复现:CrossFire老版本缓冲区溢出漏洞GetShell全解析
经典漏洞复现:CrossFire老版本缓冲区溢出漏洞GetShell全解析 原创 Z1eaf 泷羽Sec-Z1eaf 2025-02-10 15:24 背景 前面我们学习了利用Windows32位系统的缓冲区溢出漏洞来getshell,今天我们来利用Linux32位系统的缓冲区溢出漏洞来getshell,进一步学习和理解缓冲区溢出漏洞 – 首先,我们这次需要准备一个Linux32位系统
继续阅读【漏洞预警】CoinRemitter SQL注入漏洞(CVE-2025-1117)
【漏洞预警】CoinRemitter SQL注入漏洞(CVE-2025-1117) cexlife 飓风网络安全 2025-02-10 14:02 漏洞描述: CoinRemitter是一个加密货币支付网关,它作为商家网站和加密货币网络之间的桥梁,允许商家接收加密货币支付,多币种支持:支持多种主要加密货币,包括BTC、LTC、BCH、DOGE、TCN、DASH、BNB、ZANO等。在OреnC
继续阅读【漏洞通告】Adobe Experience Manager | 跨站点脚本(存储型 XSS)(CVE-2024-53966)
【漏洞通告】Adobe Experience Manager | 跨站点脚本(存储型 XSS)(CVE-2024-53966) 安迈信科应急响应中心 2025-02-10 13:40 01 漏洞概况 Adobe Experience Manager版本6.5.21及之前的版本存在存储型跨站脚本(XSS)漏洞,低权限攻击者可利用该漏洞向易受攻击的表单字段注入恶意脚本。当受害者浏览包含易受攻
继续阅读【漏洞通告】IBM Cognos Anaytics XML 外部实体注入(CVE-2024-49352)
【漏洞通告】IBM Cognos Anaytics XML 外部实体注入(CVE-2024-49352) 安迈信科应急响应中心 2025-02-10 13:40 01 漏洞概况IBM Cognos Analytics 11.2.0、11.2.1、11.2.2、11.2.3、11.2.4、12.0.0、12.0.1、12.0.2、12.0.3 和 12.0.4 版本在处理 XML 数据时存在 XML
继续阅读【相关分享】记两份逻辑漏洞(重码)
【相关分享】记两份逻辑漏洞(重码) 原创 隼目安全 隼目安全 2025-02-10 13:16 免责声明 ❝ 由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢! 笔者由于过春节走亲访友去
继续阅读月神漏洞实战分享 | 推广系统的“隐秘高危漏洞”
月神漏洞实战分享 | 推广系统的“隐秘高危漏洞” FreeBuf 2025-02-10 12:13 推广漏洞非常常见,不管是抖音、快手推广个人的作品,或者是百度、携程等商家的竞价推广,推广的流程都是统一的。在这个时代,流量=金钱,所以但凡发现一个推广漏洞,都是高危起步。 但是推广漏洞国内没有白帽子在研究,就连黑产其实也没有涉猎过多这方面(很多黑产来找我搞推广都被我拒绝了,也希望大家不要因为一时贪心
继续阅读合勤不打算修复已达生命周期路由器中的已遭利用漏洞
合勤不打算修复已达生命周期路由器中的已遭利用漏洞 Bill Toulas 代码卫士 2025-02-10 10:30 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 合勤公司发布了关于CPE系列设备中已遭活跃利用漏洞的安全通告称,没有补丁发布计划,督促用户使用受支持的型号。 VulnCheck 在2024年7月发现了这两个漏洞,不过GreyNoise 表示上周发现漏洞遭在野利用的迹象。 网络
继续阅读月神漏洞实战分享| 推广系统的“隐秘高危漏洞”
月神漏洞实战分享| 推广系统的“隐秘高危漏洞” FreeBuf知识大陆APP 2025-02-10 10:08 推广漏洞非常常见,不管是抖音、快手推广个人的作品,或者是百度、携程等商家的竞价推广,推广的流程都是统一的。在这个时代,流量=金钱,所以但凡发现一个推广漏洞,都是高危起步。 但是推广漏洞国内没有白帽子在研究,就连黑产其实也没有涉猎过多这方面(很多黑产来找我搞推广都被我拒绝了,也希望大家不要
继续阅读全年披露40000+漏洞,《2024年度网络安全漏洞分析报告》解码漏洞风险
全年披露40000+漏洞,《2024年度网络安全漏洞分析报告》解码漏洞风险 360数字安全 2025-02-10 10:04 News Today 随着信息技术的广泛应用,网络攻击的手段和技术层面越来越复杂,挑战企业和个人的安全防线的同时,也对社会的安全管理和意识提出了更高的要求。漏洞是网络防御的基础,深入了解漏洞本质、追踪其演变态势并采取相应防御措施,成为保障网络安全的关键所在。 近日,360数
继续阅读雷神众测漏洞周报2024.1.20-2024.2.9
雷神众测漏洞周报2024.1.20-2024.2.9 原创 雷神众测 雷神众测 2025-02-10 09:30 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读DayDayPoc-2024十大漏洞盘点
DayDayPoc-2024十大漏洞盘点 原创 烽火台实验室 Beacon Tower Lab 2025-02-10 07:53 导语 2024年转瞬即逝,DayDayPoc也已上线一年有余。这一年,DayDayPoc 平台注册人数已达1w+,已收录6000+个漏洞,作为交流与知识共享的重要阵地,我们始终坚持以漏洞研究为核心,以维护网络安全为使命。这一年,网络安全领域接连爆出了许多引人注目的漏洞。
继续阅读宏景eHRview存在SQL注入漏洞
宏景eHRview存在SQL注入漏洞 原创 骇客安全 骇客安全 2025-02-10 07:48 宏景人力资源信息管理系统 三、资产测绘 hunterapp.name=”宏景 HCM” 特征 四、漏洞复现 POST /templates/attestation/../../general/info/view HTTP/1.1 Host: User-Agent: Mozil
继续阅读滥用 libxml2 特性绕过 GitHub Enterprise 上的 SAML 身份验证 (CVE-2025-23369)
滥用 libxml2 特性绕过 GitHub Enterprise 上的 SAML 身份验证 (CVE-2025-23369) Ots安全 2025-02-10 05:44 去年,GitHub 针对影响其 SAML 身份验证实施的问题发布了一些 CVE,例如,您可以在 ProjectDiscovery 博客上阅读有关 CVE-2024-4985/CVE-2024-948 的信息。我决定查看一下,也
继续阅读【0day】码支付系统存在前台SQL注入漏洞
【0day】码支付系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2025-02-10 03:44 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 码支付是基于php开发的一套新型聚合收款、聚合支付系统,是一款专业的聚合免签收款系统,无需对接其余平台,个码就可收款,灰常的方便快捷,集成实现三网免挂功能,无需挂繁琐的监控软件就可实现回调,更便捷的监控方式,更优的产品质量. Fofa指
继续阅读信息安全漏洞月报(2025年1月)
信息安全漏洞月报(2025年1月) 原创 CNNVD CNNVD安全动态 2025-02-10 02:31 点击蓝字 关注我们 漏洞态势**** 根据国家信息安全漏洞库(CNNVD)统计,2025年1月采集安全漏洞共4268个。 本月接报漏洞1610个,其中信息技术产品漏洞(通用型漏洞)1031个,网络信息系统漏洞(事件型漏洞)579个。漏洞平台推送漏洞33579个。 重大漏洞通报 Fortine
继续阅读用友NC 漏洞分析–cartabletimeline存在SQL注入
用友NC 漏洞分析–cartabletimeline存在SQL注入 WLwl 神农Sec 2025-02-10 02:03 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://forum.butian.net/article/627 作者:WLwl 0x1
继续阅读