【漏洞通告】Apache OFBiz多个远程代码执行漏洞安全风险通告
【漏洞通告】Apache OFBiz多个远程代码执行漏洞安全风险通告 嘉诚安全 2024-11-19 01:28 漏洞背景 近日,嘉诚安全监测到Apache OFBiz中修复了两个远程代码执行漏洞,漏洞编号分别是:CVE-2024-47208和CVE-2024-48962。 Apache OFBiz是一个著名的电子商务平台,提供了创建基于最新J2EE/ XML规范和技术标准,构建大中型企业级、跨平
继续阅读标签: SQL注入
网络安全认知科普(五):业务本身也可能就是漏洞,就是风险
网络安全认知科普(五):业务本身也可能就是漏洞,就是风险 原创 JUN哥 君说安全 2024-11-19 00:18 ❤* 请点击上方 ⬆ ⬆ ⬆ 关注*君说安全!❤免责声明: 本文素材(包括内容、图片)均来自互联网,仅为传递信息之用。如有侵权,请联系作者删除。 “ 因此 ,安全是发展的前提和保障。 没有网络安全,就没有国家安全 ,更谈不上业务安全。” 在当今数字化时代,企业业务的复杂性和多样
继续阅读漏洞预警 | Laravel环境变量注入漏洞
漏洞预警 | Laravel环境变量注入漏洞 浅安 浅安安全 2024-11-19 00:00 0x00 漏洞编号 – # CVE-2024-52301 0x01 危险等级 – 高危 0x02 漏洞概述 Laravel是Laravel社区的一个Web 应用程序框架。 0x03 漏洞详情 CVE-2024-52301 漏洞类型: 环境变量注 入 影响: 获取 敏感信息 简述:
继续阅读【未公开】百择唯供应链存在RankingGoodsList2 SQL注入漏洞
【未公开】百择唯供应链存在RankingGoodsList2 SQL注入漏洞 原创 xioy 我吃饼干 2024-11-19 00:00 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。 任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。 作者不对任何因使用本文信息或工具而产生
继续阅读【漏洞预警】Apache HertzBeat < 1.6.1 消息通知模版注入漏洞CVE-2024-41151
【漏洞预警】Apache HertzBeat < 1.6.1 消息通知模版注入漏洞CVE-2024-41151 cexlife 飓风网络安全 2024-11-18 14:03 漏洞描述: Apache HertzBeat是开源的实时监控工具,支持自定义监控消息通知模板,在受影响版本中,由于针对消息通知模板的内容存在未限制的反序列化逻辑,具有系统登录权限的攻击者可以利用该漏洞执行任意代码。 影
继续阅读【漏洞预警】Apache OFBiz远程代码执行漏洞CVE-2024-47208
【漏洞预警】Apache OFBiz远程代码执行漏洞CVE-2024-47208 cexlife 飓风网络安全 2024-11-18 14:03 漏洞描述: ApacheOFBiz是一个著名的电子商务平台,提供了创建基于最新J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架,Apache OFBiz中修复了一个远程代码执行
继续阅读安全热点周报:俄罗斯黑客利用 Windows 零日漏洞乌克兰实体进行持续攻击
安全热点周报:俄罗斯黑客利用 Windows 零日漏洞乌克兰实体进行持续攻击 奇安信 CERT 2024-11-18 10:20 安全资讯导视 • 国家密码管理局《关键信息基础设施商用密码使用管理规定》公开征求意见 • 欧盟发布《通用人工智能实践准则草案(初稿)》 • 国际石油巨头哈里伯顿因网络攻击损失超2.5亿元 PART01 漏洞情报 1.Ivanti Endpoint Manager SQ
继续阅读僵尸网络利用 GeoVision 0day 安装 Mirai 恶意软件
僵尸网络利用 GeoVision 0day 安装 Mirai 恶意软件 Bill Toulas 代码卫士 2024-11-18 09:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 一个恶意软件僵尸网络正在利用已达生命周期的 GeoVision 设备中的一个 0day 漏洞发动 DDoS 或密币挖掘攻击。 该漏洞是CVE-2024-11120,是由 The Shadowserver F
继续阅读远程代码执行风险威胁用户安全,Zoom紧急修复多个安全漏洞;颠覆传统安全架构,Zscaler创新发布新型零信任分段方案 | 牛览
远程代码执行风险威胁用户安全,Zoom紧急修复多个安全漏洞;颠覆传统安全架构,Zscaler创新发布新型零信任分段方案 | 牛览 安信安全 安信安全 2024-11-18 09:00 新闻速览 •世界互联网大会“互联网之光”博览会“网络安全主题展”11月19日开展 •黑客组织假冒猎头瞄准航空航天人才实施针对性钓鱼攻击 •研究人员成功破解利用BitLocker加密的新型勒索软件 •远程代码执行风险威
继续阅读【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208)
【漏洞通告】Apache OFBiz远程代码执行漏洞(CVE-2024-47208) 启明星辰安全简讯 2024-11-18 08:56 一、漏洞概述 漏洞名称 Apache OFBiz远程代码执行漏洞 CVE ID CVE-2024-47208 漏洞类型 代码注入、SSRF 发现时间 2024-11-18 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互
继续阅读Palo Alto Networks确认近期披露的零日漏洞正在被积极利用
Palo Alto Networks确认近期披露的零日漏洞正在被积极利用 鹏鹏同学 黑猫安全 2024-11-18 03:31 上周,Palo Alto Networks 警告客户限制对其下一代防火墙管理界面的访问,因为 PAN-OS 中存在潜在的远程代码执行漏洞(CVSSv4.0 基本分数:9.3)。当时该网络安全公司没有提供关于该漏洞的更多细节,并且不知道该漏洞正在被积极利用。 其安全公告中写
继续阅读僵尸网络利用GeoVision零日漏洞入侵已停产设备
僵尸网络利用GeoVision零日漏洞入侵已停产设备 鹏鹏同学 黑猫安全 2024-11-18 03:31 Shadowserver基金会的研究人员观察到僵尸网络正在利用GeoVision EOL设备中的零日漏洞入侵野外设备。被追踪为CVE-2024-11120(CVSS 9.8)的GeoVision零日漏洞是一种未经验证的命令注入漏洞,Shadowserver基金会首先发现,TWCERT则帮助验
继续阅读工具 | 集成高危漏洞exp的实用性渗透工具
工具 | 集成高危漏洞exp的实用性渗透工具 渗透安全团队 2024-11-18 03:02 由于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 01 工具介绍 该工具使用了ExpDemo-JavaFX项目,保留了核心的数据包请求接口,使用jdk1.8环境开发。目前编写了oa、设备、框架、产品等多个系列,对相关漏洞进行复现和分析,极力避免exp的误报和有效性。 截止到目前为止,已实现了
继续阅读【漏洞复现】某平台-down-sql注入漏洞
【漏洞复现】某平台-down-sql注入漏洞 原创 南极熊 SCA御盾 2024-11-18 01:42 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均
继续阅读安全公司曝光黑客利用 Office 已知漏洞散播 Remcos RAT 木马程序
安全公司曝光黑客利用 Office 已知漏洞散播 Remcos RAT 木马程序 信安网络技术 2024-11-18 00:36 IT之家 11 月 15 日消息,安全公司 Fortinet 发布报告,称最近有黑客利用 5 年前公布的 CVE-2017-0199 漏洞,瞄准 Office 企业用户发动攻击。 IT之家参考报告获悉,相关黑客首先发送一批伪造成公司业务往来信息的网络钓鱼邮件,其中带有含
继续阅读【未公开】某公司SRM智联云采系统inquiry存在SQL注入漏洞
【未公开】某公司SRM智联云采系统inquiry存在SQL注入漏洞 原创 xiachuchunmo 银遁安全团队 2024-11-17 23:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **某公司SRM智联云采系统针对企业供应链管理难题,及智能化转型升级需求,智联云采依托人工智能、物联网、大数据、云等技术,通过软硬件系统化方案,帮助企业实
继续阅读【安全圈】安全公司曝光黑客利用 Office 已知漏洞散播 Remcos RAT 木马程序
【安全圈】安全公司曝光黑客利用 Office 已知漏洞散播 Remcos RAT 木马程序 安全圈 2024-11-17 11:00 关键词 黑客 安全公司 Fortinet 发布报告,称最近有黑客利用 5 年前公布的 CVE-2017-0199 漏洞,瞄准 Office 企业用户发动攻击。 IT 之家参考报告获悉,相关黑客首先发送一批伪造成公司业务往来信息的网络钓鱼邮件,其中带有含有木马的 Ex
继续阅读某全新H5购物商城系统存在前台SQL注入漏洞
某全新H5购物商城系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2024-11-17 03:57 点击上方 蓝字关注我们 并设为 星标 0x00 前言 该源码采用HTML5技术开发,可以完美适配各种移动设备,以及iOS和Android系统。同时,易支付接口更为商家提供了便捷的交易功能,让顾客可以轻松通过手机进行网络支付,享受到更加便捷的购物体验。 该源码界面设计十分简洁、清爽,同时还保证
继续阅读应用程序系统中的 SQL 注入 (CVE-2024-50766)
应用程序系统中的 SQL 注入 (CVE-2024-50766) haidragon 安全狗的自我修养 2024-11-17 00:49 可以通过 XAMPP 配置为运行 sqlite 数据库轻松在本地运行。 在未经身份验证的情况下玩应用程序,我在 takeSurvey.php 中发现了一个 SQL 注入,其中在 ?id=1 后添加 ‘ 会触发 sql 错误。 我们可以使用 sql 查
继续阅读某系统因属性污染导致的RCE漏洞分析
某系统因属性污染导致的RCE漏洞分析 黑白之道 2024-11-17 00:38 前几天在逛huntr的时候,发现一个很有意思的漏洞,他是通过反序列化从而去污染类和属性导致的rce,在作者的描述中大致说明的漏洞的原理,该漏洞是通过绕过Deepdiff的反序列化限制,包括绕过魔术方法和白名单绕过,通过魔术方法可以访问其他模块、类和实例,并使用这种任意属性写入,最终导致rce。 1、漏洞介绍 前几天在
继续阅读「漏洞复现」全新优客API接口管理系统 index/doc SQL注入漏洞
「漏洞复现」全新优客API接口管理系统 index/doc SQL注入漏洞 冷漠安全 冷漠安全 2024-11-16 16:33 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读用友U8 Cloud service/approveservlet SQL注入漏洞
用友U8 Cloud service/approveservlet SQL注入漏洞 Superhero Nday Poc 2024-11-16 16:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知
继续阅读【漏洞预警】易思智能物流无人值守系统SQL注入
【漏洞预警】易思智能物流无人值守系统SQL注入 thelostworld 2024-11-16 09:10 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!马赛克安全实验室情
继续阅读【漏洞预警】 易宝OA-GetProductInv SQL注入漏洞
【漏洞预警】 易宝OA-GetProductInv SQL注入漏洞 thelostworld 2024-11-16 09:10 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责
继续阅读(0day)某全新UI自助打印微信小程序系统SQL+RCE漏洞代码审计
(0day)某全新UI自助打印微信小程序系统SQL+RCE漏洞代码审计 原创 Mstir 星悦安全 2024-11-16 04:37 点击上方 蓝字关注我们 并设为 星标 0x00 前言 在数字化时代,打印服务的需求与日俱增。为了满足用户的便利需求,全新UI的自助打印系统/云打印小程序。 全新UI设计:采用2024年最新的UI设计风格,界面简洁美观,用户体验极佳。 云打印功能:支持用户通过小程序上
继续阅读漏洞预警 | HPE Aruba Networking Access Points命令注入漏洞
漏洞预警 | HPE Aruba Networking Access Points命令注入漏洞 浅安 浅安安全 2024-11-16 00:01 0x00 漏洞编号 – # CVE-2024-42509 0x01 危险等级 – 高危 0x02 漏洞概述 HPE Aruba Networking Access Points是HPE旗下的Aruba Networking推出的一
继续阅读两个Google Vertex AI平台漏洞曝光:可能导致权限提升与敏感数据外泄
两个Google Vertex AI平台漏洞曝光:可能导致权限提升与敏感数据外泄 锋刃科技 2024-11-15 23:56 近日,网络安全研究人员曝光了Google Vertex AI平台中的两个严重漏洞,如果被成功利用,攻击者可能通过这些漏洞提升权限并将存储在云端的机器学习模型(ML模型)和人工智能应用程序的数据外泄。 通过这两个漏洞,攻击者能够绕过正常的安全机制,获取对Google云端资源的
继续阅读用友漏洞一键探测利用
用友漏洞一键探测利用 信安404 2024-11-15 23:53 点击上方 蓝字关注我们 免责声明 ❝ 本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。 介绍 用友漏洞一键探测利用。 项目地址;https://github.com/Chave0v0/YONYOU-TOOL 有release 开源 支持漏洞 ActionHandlerServlet 反
继续阅读