用友U8-CRM系统存在前台SQL注入漏洞
用友U8-CRM系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2024-12-13 04:57 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 用友U8CRM是一款集CRM、呼叫中心、OA核心应用于一体,提供前端营销、后端业务处理及员工管理一体化应用的管理软件。软件立足代理销售服务行业管理一体化的高度,以“整合、专业、智能、畅捷”为产品研发理念,弥补了代理销售服务行业信息化管理的
继续阅读标签: SQL注入
思普企业运营管理平台 apilogin SQL注入漏洞
思普企业运营管理平台 apilogin SQL注入漏洞 Superhero nday POC 2024-12-13 03:21 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉
继续阅读安科瑞环保用电监管云平台 GetEnterpriseInfoById SQL注入漏洞
安科瑞环保用电监管云平台 GetEnterpriseInfoById SQL注入漏洞 Superhero nday POC 2024-12-13 02:03 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时
继续阅读Spring漏洞测试与利用
Spring漏洞测试与利用 黑白之道 2024-12-13 02:02 Spring Boot基础原理 Spring Boot是一款基于JAVA的开源框架,目的是为了简化Spring应用搭建和开发流程。是目前比较流行,大中小型企业常用的框架。正因为极大的简化了开发流程,才受到了绝大开发人员的喜爱。 0x01 Spring Boot 表达式 OGNL:Apache Commons Object-Gr
继续阅读Ivanti云服务严重漏洞:CVE-2024-11639(CVSS 10)建议立即修补
Ivanti云服务严重漏洞:CVE-2024-11639(CVSS 10)建议立即修补 E安全 2024-12-13 01:02 E安全消息,领先的IT管理和安全解决方案提供商Ivanti发布Cloud Services Application (CSA)关键安全更新。 更新的漏洞可能导致认证绕过、远程代码执行(RCE)和任意SQL执行。 CVE-2024-11639(CVSS 10):身份验证绕
继续阅读漏洞预警 | Django拒绝服务和SQL注入漏洞
漏洞预警 | Django拒绝服务和SQL注入漏洞 浅安 浅安安全 2024-12-13 00:02 0x00 漏洞编号 – # CVE-2024-53907 CVE-2024-53908 0x01 危险等级 – 高危 0x02 漏洞概述 Django是Python编写的开源Web应用框架。 0x03 漏洞详情 CVE-2024-53907 漏洞类型: 拒绝服务 影响: 程
继续阅读闭源系统半自动漏洞挖掘工具 SinkFinder
闭源系统半自动漏洞挖掘工具 SinkFinder 进击的HACK 2024-12-12 23:55 闭源系统半自动漏洞挖掘工具,针对 jar/war/zip 进行静态代码分析,增加 LLM 大模型能力验证路径可达性,LLM 根据上下文代码环境给出该路径可信分数 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权
继续阅读Ivanti修复了其客户成功平台 (CSA) 中一个最高严重级别的漏洞
Ivanti修复了其客户成功平台 (CSA) 中一个最高严重级别的漏洞 鹏鹏同学 黑猫安全 2024-12-12 23:00 Ivanti修复了其云服务应用(CSA)中的一个关键身份验证绕过漏洞,该漏洞被追踪为CVE-2024-11639(CVSS评分为10)。远程未经身份验证的攻击者可以利用此漏洞获取管理员访问权限。该漏洞由CrowdStrike的高级研究团队发现,影响5.0.2及以前的版本。
继续阅读聚焦纽创信安 | 上海ICCAD 2024-Expo
聚焦纽创信安 | 上海ICCAD 2024-Expo 原创 OSR市场部 纽创信安 2024-12-12 16:06 2024年12月11日至12日, “上海集成电路2024年度产业发展论坛暨第三十届集成电路设计业展览会”(ICCAD-Expo 2024)在上海世博展览馆成功举办,本届大会以“智慧上海,芯动世界”为主题,设置1场高峰论坛+9场分论坛,行业300多家企业参展,近万名集成电路业界精英人
继续阅读广联达OA系统漏洞批量检测工具 – GlodonScan
广联达OA系统漏洞批量检测工具 – GlodonScan LemonSec 2024-12-12 16:01 01 项目地址 https://github.com/OracleNep/GlodonScan 02 项目介绍 广联达OA系统漏洞批量检测工具 可检测的漏洞列表: 广联达OA EmailAccountOrgUserService SQL注入漏洞 广联达OA GetUserByE
继续阅读「漏洞复现」电子图书阅读平台 downFile.aspx SQL注入漏洞
「漏洞复现」电子图书阅读平台 downFile.aspx SQL注入漏洞 冷漠安全 冷漠安全 2024-12-12 13:41 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关
继续阅读【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677)
【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677) 原创 聚焦网络安全情报 安全聚 2024-12-12 13:14 严 重 公 告 近日,安全聚实验室监测到 Apache Struts 中存在文件上传漏洞 ,编号为:CVE-2024-53677,CVSS:9.5 此漏洞允许未经身份验证的攻击者可以操纵文件上传参数以启用路径遍历,这可能导致上传可用于执行远程代码
继续阅读发现关键漏洞获得 $4,000 赏金奖励
发现关键漏洞获得 $4,000 赏金奖励 迪哥讲事 2024-12-12 12:30 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 文章原文:https://gugesay.com/archives/XXXX **不想错过任何消息?设置星标↓ ↓ ↓ 目录 子域枚举 发现 测试应用程序
继续阅读Shiro框架漏洞看了你就会了(含靶场复现)
Shiro框架漏洞看了你就会了(含靶场复现) 工作室-Lin 马哥网络安全 2024-12-12 09:01 一、shiro简介 Shiro是一个功能强大且易于使用的Java安全框架,旨在简化Java应用程序的安全开发。 它提供了身份认证(登录)、授权(访问控制)、加密、会话管理以及与Web集成的功能,可以应用于从小型移动应用到大型Web和企业应用的多种场景。 Shiro既可以独立运行,也可以与其
继续阅读【风险通告】GitLab存在敏感信息泄露漏洞(CVE-2024-11274)
【风险通告】GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒CERT评级 2级 CVSS3.1评分 8.7 CVE编号 CVE-2024-11274 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-2024
继续阅读关于防范Zabbix软件SQL注入超危漏洞的风险提示
关于防范Zabbix软件SQL注入超危漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2024-12-12 08:23 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源软件 Zabbix 存在 SQL 注入超危漏洞。 Zabbix 是一款开源网络监控软件,广泛用于监控网络设备、服务器和应用程序的状态。由于 Zabbix 软件未对用户输入数据进行严格验证和转
继续阅读【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274)
【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274) 启明星辰安全简讯 2024-12-12 07:56 一、漏洞概述 漏洞名称 GitLab Kubernetes Proxy Response NEL头注入漏洞 CVE ID CVE-2024-11274 漏洞类型 注入、信息泄露 发现时间 2024-12-12 漏洞
继续阅读Zabbix SQL 注入 CVE-2024-42327 POC已公开
Zabbix SQL 注入 CVE-2024-42327 POC已公开 剁椒鱼头没剁椒 2024-12-12 07:37 Zabbix SQL注入漏洞 CVE-2024-42327 的 PoC 发布(CVSS 评分 9.9) 安全研究员 Alejandro Ramos 发布了 CVE-2024-42327 的详细技术分析和PoC。 CVE-2024-42327 是一个影响 Zabbix 的 SQL
继续阅读(0day)杜特网上订单管理系统getUserImage存在SQL注入漏洞
(0day)杜特网上订单管理系统getUserImage存在SQL注入漏洞 原创 websec WebSec 2024-12-12 06:43 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致
继续阅读【漏洞通告】Django Oracle数据库SQL注入漏洞(CVE-2024-53908)
【漏洞通告】Django Oracle数据库SQL注入漏洞(CVE-2024-53908) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 在使用Oracle作为后端数据库时,Django框架中存在一个SQl注入漏洞。通过django.db.models.fields.json.HasKey,攻击者可以将恶意语句作为lhs值注入数据库,从而导致数据泄露和服务器失陷
继续阅读漏洞发现,除了漏扫还能靠啥?
漏洞发现,除了漏扫还能靠啥? 原创 ThreatBook 微步在线 2024-12-12 00:26 1998年,第一款全球知名开源漏扫工具Nessus创建并发布,没想到大受欢迎。相比于此前个人编写的脚本及工具来检测网络已知漏洞,Nessus功能更丰富也更趁手,适用的安全人员段位也更广泛。此后,随着国际标准漏洞命名系统(CVE)推出,漏洞严重性评分体系(CVSS)引入,漏洞发现成为了一件更专业的事
继续阅读工具 | ShiroEXP
工具 | ShiroEXP 浅安 浅安安全 2024-12-12 00:00 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介 ShiroEXP是一款Shiro漏洞利用工具。**** 0x01 功能说明 – 爆破key及加密方式 漏洞验证 爆破回显链 命令执行 Shell模式 注入内存马 全局代理 0
继续阅读Ivanti最严重的 CSA 认证绕过漏洞曝光
Ivanti最严重的 CSA 认证绕过漏洞曝光 老布 FreeBuf 2024-12-11 12:06 12月11日,Ivanti 向客户发出警告,提醒其 Cloud Services Appliance (CSA)解决方案存在一个新的最高严重性的认证绕过漏洞。 这个安全漏洞(编号 CVE-2024-11639)能够使远程攻击者在运行 Ivanti CSA 5.0.2 或更早版本的易受攻击设备上获
继续阅读银狐团伙再出新招,Web漏洞成切入点
银狐团伙再出新招,Web漏洞成切入点 安全客 2024-12-11 07:55 01 关于银狐 银狐木马是一种针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的恶意软件。该家族木马主要通过伪装成与工作相关的文件,如发票、财税文件等,诱骗用户点击下载和执行,从而实现对目标计算机的远程控制。 银狐通常利用“查_看_uninstall.exe”、“11月名单.exe”等文件名来针对性地误
继续阅读【漏洞通告】Ivanti Cloud Services Application身份验证绕过漏洞(CVE-2024-11639)
【漏洞通告】Ivanti Cloud Services Application身份验证绕过漏洞(CVE-2024-11639) 启明星辰安全简讯 2024-12-11 07:39 一、漏洞概述 漏洞名称 Ivanti Cloud Services Application身份验证绕过漏洞 CVE ID CVE-2024-11639 漏洞类型 身份验证绕过 发现时间 2024-12-11 漏
继续阅读雷神众测漏洞周报2024.12.02-2024.12.08
雷神众测漏洞周报2024.12.02-2024.12.08 原创 雷神众测 雷神众测 2024-12-11 07:20 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读零基础学习如何挖掘第一个SRC漏洞
零基础学习如何挖掘第一个SRC漏洞 听风安全 2024-12-11 01:01 众所周知,为了能够有效地应对黑客袭击,保障网络安全,国家大大加强了对网安方面人才建设的培养。网络安全相关岗位的薪酬非常高,相关证书的补贴也很多 ,因此学习网络安全、转行网络安全的人可谓是“蜂拥而至”。网络安全不缺人,但缺人才。 很多对网络安全感兴趣的朋友,总是在寻找适合的学习资源,今天就给大家分享一份非常详细的网络安全
继续阅读Ivanti 警告最高严重程度的 CSA 身份验证绕过漏洞
Ivanti 警告最高严重程度的 CSA 身份验证绕过漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-11 01:00 导读 Ivanti 向客户发出警告,称其云服务设备 (CSA) 解决方案中存在一个新的最高严重性身份验证绕过漏洞。 该安全漏洞编号为 CVE-2024-11639,由 CrowdStrike 高级研究团队报告。 漏洞可使远程攻击者通过使用备用路径或通道绕过身份验证,在运行
继续阅读【失败复现】Zabbix SQL注入漏洞(CVE-2024-42327)
【失败复现】Zabbix SQL注入漏洞(CVE-2024-42327) 弥天安全实验室 弥天安全实验室 2024-12-10 16:01 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Zabbix是Zabbix公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix 6
继续阅读一款能够自动化过滤扫描结果的目录扫描工具|漏洞探测
一款能够自动化过滤扫描结果的目录扫描工具|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-12-10 16:00 0x01 工具介绍 平时使用过 dirsearch|dirmap 等一些目录扫描工具,针对如今的 WEB 多样化,对扫描结果的过滤总感觉与预期不符合。因此下定决心造个轮子,就这样有了 dirsx。当时是使用 python 写的,但是可移植性不是很好。所以使用 golang 进行
继续阅读