命令注入漏洞使数百万Node.js系统面临攻击
命令注入漏洞使数百万Node.js系统面临攻击 HackSee安全团队 HackSee 2024-12-24 08:10 在广泛使用的Node.js系统信息包中发现了一个严重的命令注入漏洞(CVE-2024-56334),该信息包每月下载量超过800万次,总下载量达到惊人的3.3亿次。此漏洞可能允许攻击者执行任意操作系统命令,可能导致远程代码执行(RCE)或特权升级,具体取决于软件包的使用情况。
继续阅读标签: SQL注入
【漏洞预警】CVE-2024-45387
【漏洞预警】CVE-2024-45387 独眼情报 2024-12-24 06:00 Apache Traffic Control:Traffic Ops 端点 PUT deliveryservice_request_comments中的 SQL 注入 受影响的版本: Apache Traffic Control 8.0.0 到 8.0.1 Apache Traffic Control 7.0.0
继续阅读「漏洞复现」方正畅享全媒体新闻采编系统 reportCenter.do SQL注入漏洞
「漏洞复现」方正畅享全媒体新闻采编系统 reportCenter.do SQL注入漏洞 冷漠安全 冷漠安全 2024-12-24 05:57 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台
继续阅读【漏洞复现】某平台-getPaperLayoutList-sql注入漏洞
【漏洞复现】某平台-getPaperLayoutList-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-24 02:42 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造
继续阅读PbootCMS前台SQL注入漏洞(下)
PbootCMS前台SQL注入漏洞(下) 原创 烽火台实验室 Beacon Tower Lab 2024-12-24 01:35 0x01前言 在前一篇文章中介绍了一个仍然可以用于最新版PbootCMS的老漏洞DVB-2021-2510,并对漏洞流程进行分析,给出了在有限条件下利用漏洞的方式。 本文将在前一篇文章的基础上继续给出新的PbootCMS SQL注入漏洞,并对利用方式进行更深入的探讨。
继续阅读【EDU】勤云科技期刊采编CMS存在SQL注入漏洞
【EDU】勤云科技期刊采编CMS存在SQL注入漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-23 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **勤云科技发展有限公司自2002年从事期刊信息化服务行业,是目前中国最大的期刊信息化综合服务提供商,也是中国服务用户最多、经验最丰富的期刊信息化企业之一,自成立以来勤云
继续阅读蓝凌EKP V16 未授权SQL注入漏洞分析
蓝凌EKP V16 未授权SQL注入漏洞分析 船山信安 2024-12-23 16:05 本地测试环境版本:V16.0.6.R.20220729 漏洞分析 漏洞路径在:/fssc/common/fssc_common_portlet/fsscCommonPortlet.do,对应的Action为FsscCommonPortletAction ,在其getICareByFdId 方法中存在注入漏洞:
继续阅读远程代码执行漏洞检测利用工具
远程代码执行漏洞检测利用工具 db1235800 网络安全者 2024-12-23 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。 0x01 工具介绍 XET
继续阅读YourPHPCMS checkEmail接口存在SQL注入漏洞 附POC
YourPHPCMS checkEmail接口存在SQL注入漏洞 附POC 2024-12-23更新 南风漏洞复现文库 2024-12-23 15:23 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. YourPHPCMS 简介 微信公
继续阅读【工具分享】Tomcat CVE-2024-50379 条件竞争文件上传 exp RCE
【工具分享】Tomcat CVE-2024-50379 条件竞争文件上传 exp RCE Undoubted Security 2024-12-23 12:33 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 使用方法 本位摘自: https://github.com/SleepingBag945/CVE-2024-5
继续阅读「漏洞复现」灵当CRM getMyAmbassador SQL注入漏洞
「漏洞复现」灵当CRM getMyAmbassador SQL注入漏洞 冷漠安全 冷漠安全 2024-12-23 10:34 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读每周网安资讯 (12.17-12.23)|Apple多款产品存在漏洞
每周网安资讯 (12.17-12.23)|Apple多款产品存在漏洞 交大捷普 2024-12-23 10:14 2024[ 每周网安资讯 ]12.17-12.23 网安资讯 1、四部门发布《中小企业数字化赋能专项行动方案(2025—2027年)》通知 方案中提出以习近平新时代中国特色社会主义思想为指导,贯彻落实习近平总书记关于加快推进新型工业化、促进中小企业专精特新发展系列重要指示精神,将推动中
继续阅读速更新!Sophos 热修复严重的防火墙漏洞
速更新!Sophos 热修复严重的防火墙漏洞 Ravie Lakshmanan 代码卫士 2024-12-23 09:59 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Sophos 发布热修复方案,修复了位于 Sophos 防火墙产品中的三个漏洞。这些漏洞可用于实现远程代码执行并在一定条件下导致提权访问系统。 在这三个漏洞中,其中两个是“严重”等级,目前尚未有证据表明这些漏洞已遭在野利用
继续阅读警惕!高危漏洞利用成为美国对中国企业网络攻击突破口
警惕!高危漏洞利用成为美国对中国企业网络攻击突破口 奇安信集团 2024-12-23 09:11 近日,国家互联网应急中心(CNCERT)通报已处置了两起疑似源自美国情报机构对我国大型科技企业进行网络攻击窃取商业秘密事件。通过对两起事件综合分析,发现了其共同特征:攻击者首先利用目标企业部署的第三方软件系统中的安全漏洞进行渗透,随后借助植入的木马或后门程序进一步窃取敏感信息。 显然,这两家科技企业之
继续阅读(1day)金华迪加现场大屏互动系统存在SQL注入漏洞
(1day)金华迪加现场大屏互动系统存在SQL注入漏洞 原创 WebSec WebSec 2024-12-23 02:03 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支
继续阅读深度剖析 CVE-2024-56145:Craft CMS 高危漏洞的利用与防御
深度剖析 CVE-2024-56145:Craft CMS 高危漏洞的利用与防御 云梦DC 云梦安全 2024-12-23 00:39 近日,安全社区披露了一个影响 Craft CMS 的严重漏洞(CVE-2024-56145)。该漏洞源于对用户输入模板路径的处理不当,攻击者可通过精心构造的路径执行任意代码,实现远程代码执行(RCE)。本篇文章将从漏洞原理、利用过程、防御措施三个角度,带您深入了解
继续阅读Sophos修复了其防火墙产品中的严重漏洞
Sophos修复了其防火墙产品中的严重漏洞 鹏鹏同学 黑猫安全 2024-12-22 23:01 Sophos已解决其Sophos防火墙解决方案中的三个漏洞,分别被追踪为CVE-2024-12727、CVE-2024-12728和CVE-2024-12729。这些漏洞影响Sophos Firewall v21.0 GA(21.0.0)及更早版本。以下是这些问题的描述: – CVE-20
继续阅读CISA 将 Progress Kemp LoadMaster 漏洞标记为易被攻击利用漏洞
CISA 将 Progress Kemp LoadMaster 漏洞标记为易被攻击利用漏洞 Rhinoer 犀牛安全 2024-12-22 17:08 美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中增加了三个新漏洞,其中包括影响 Progress Kemp LoadMaster 的关键操作系统命令注入。 该漏洞由 Rhino Security Labs 发现,编号
继续阅读一个不起眼的 PHP 漏洞如何导致 Craft CMS 出现 RCE
一个不起眼的 PHP 漏洞如何导致 Craft CMS 出现 RCE Ots安全 2024-12-22 07:02 大多数开发人员都同意,与 15 年前相比,PHP 是一种更加理智、更加安全和可靠的语言。PHP5早期的不良设计已让位于更好的开发生态系统,其中包括类、自动加载、更严格的类型、更理智的语法以及一大堆其他改进。安全性也没有被忽视。 register_globals 一些老读者可能还记得和
继续阅读CVE-2024-49112|Windows 轻量级目录访问协议(LDAP)远程代码执行漏洞
CVE-2024-49112|Windows 轻量级目录访问协议(LDAP)远程代码执行漏洞 alicy 信安百科 2024-12-22 00:00 0x00 前言 LDAP(Lightweight Directory Access Protocol)是一种用于访问和管理分布式目录服务的协议。它是一种开放的标准,用于在网络中存储和检索目录信息。LDAP最初由University of Michig
继续阅读CVE-2024-12727|Sophos Firewall SQL注入漏洞
CVE-2024-12727|Sophos Firewall SQL注入漏洞 alicy 信安百科 2024-12-22 00:00 0x00 前言 Sophos Firewall是一种网络安全解决方案,它可以部署在专门构建的设备、云网络(AWS/Azure)、虚拟设备或x86 Intel硬件上的软件设备上。防火墙应用支持多种网络安全特性,包括应用感知路由、TLS检测、深层包检测、远程接入VPN、
继续阅读【新day】CVE-2024-56145(Craft CMS 模板注入导致 RCE)
【新day】CVE-2024-56145(Craft CMS 模板注入导致 RCE) 原创 fkalis fkalis 2024-12-21 10:50 绪论 如果各位师傅觉得有用的话,可以给我点个关注~~ 如果师傅们有什么好的建议也欢迎联系我~~ 感谢各位师傅的支持~~ 正文部分 漏洞详情 Craft 是一种灵活、用户友好的 CMS,用于在 Web 及其他方面创建自定义数字体验。如果受影响版本的
继续阅读【翻译】身份验证失效:利用高级身份验证漏洞的完整指南
【翻译】身份验证失效:利用高级身份验证漏洞的完整指南 novasecio 安全视安 2024-12-21 04:24 声明 :该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 身份验证漏洞很有趣,因为它们本质上影响很大,并且经常允许未经授权的用户以提升的权限访问各种资源。尽管它们更难发现,在OWASP 十大
继续阅读「漏洞复现」Cloudlog 电台日志系统 request_form SQL注入漏洞
「漏洞复现」Cloudlog 电台日志系统 request_form SQL注入漏洞 冷漠安全 冷漠安全 2024-12-21 02:54 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读[PoC] Databricks 远程代码执行漏洞 CVE-2024-49194
[PoC] Databricks 远程代码执行漏洞 CVE-2024-49194 独眼情报 2024-12-20 12:33 Databricks JDBC 驱动程序中新发现的一个漏洞 (CVE-2024-49194) 可允许攻击者在易受攻击的系统上远程执行代码。该漏洞由阿里云智能安全团队的安全研究人员发现,严重性评级较高 (CVSSv3.1 评分为 7.3),影响驱动程序版本 2.6.38 及以
继续阅读Fortinet:注意FortiWLM漏洞,黑客可获得管理员权限
Fortinet:注意FortiWLM漏洞,黑客可获得管理员权限 Bill Toulas 代码卫士 2024-12-20 10:02 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet 披露了位于 Fortinet Wireless Manager(FortiWLM)中的一个严重漏洞CVE-2023-34990,可导致远程攻击者通过特殊构造的web请求执行越权代码或命令,从而控
继续阅读【漏洞通告】Sophos Firewall SQL注入漏洞(CVE-2024-12727)
【漏洞通告】Sophos Firewall SQL注入漏洞(CVE-2024-12727) 启明星辰安全简讯 2024-12-20 08:26 一、漏洞概述 漏洞名称 Sophos Firewall SQL注入漏洞 CVE ID CVE-2024-12727 漏洞类型 SQL注入 发现时间 2024-12-20 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用
继续阅读思科物联网无线AP遭遇严重命令注入漏洞
思科物联网无线AP遭遇严重命令注入漏洞 数世咨询 2024-12-20 08:00 思科公司的URWB硬件出现了一个难以忽视的漏洞,攻击者可利用伪造的 HTTP 请求劫持接入点的 Web 界面。 Cisco 称该问题 CVE-2024-20418 影响三种产品:Catalyst IW9165D 接入点、Catalyst IW9165E 接入点和无线客户端以及 Catalyst IW9167E 接入
继续阅读