喰星云-数字化餐饮服务系统not_finish.php存在SQL注入漏洞
喰星云-数字化餐饮服务系统not_finish.php存在SQL注入漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息. 2. 漏洞复现 GET /logistics/home_warning/
继续阅读标签: SQL注入
喰星云-数字化餐饮服务系统not_out_depot.php存在SQL注入漏洞
喰星云-数字化餐饮服务系统not_out_depot.php存在SQL注入漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息. 2. 漏洞复现 GET /logistics/home_warni
继续阅读喰星云-数字化餐饮服务系统shelflife.php存在SQL注入漏洞
喰星云-数字化餐饮服务系统shelflife.php存在SQL注入漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息. 2. 漏洞复现 GET /logistics/home_warning/p
继续阅读喰星云-数字化餐饮服务系统stock.php存在SQL注入漏洞
喰星云-数字化餐饮服务系统stock.php存在SQL注入漏洞 原创 R0seK1ller 蟹堡安全团队 2024-08-04 20:27 1. 漏洞描述 喰星云-数字化餐饮服务系统 not_out_depot.php接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息. 2. 漏洞复现 GET /logistics/home_warning/php/s
继续阅读使用开源AI探寻0day的艺术
使用开源AI探寻0day的艺术 原创 破天KK KK安全说 2024-08-03 16:55 将分享如何使用经过微调的用于查找漏洞的开源 AI 模型 codeastra-7B 来识别各种开源项目(如 apache pulsar、apache airflow、apache cocoon、tensorflow、imagemagik 等)中的零日漏洞,以及如何构建一个结合静态分析工具(如 semgrep
继续阅读HW2024汇总-8.2(漏洞数196)
HW2024汇总-8.2(漏洞数196) 小白菜安全 小白菜安全 2024-08-03 09:34 漏洞清单 DAY-20240802 1、D-link DIR-600存在命令注入(CVE-2024-7357) 2、泛微E-Cology系统deleteRequestInfoByXml存在XXE漏洞 3、3C环境自动监测监控系统ReadLog文件读取漏洞 4、(暂无)深圳市拓普泰尔科技有限公司RG2
继续阅读【HW漏洞】致远互联FE协作办公平台apprvaddNew存在SQL注入漏洞
【HW漏洞】致远互联FE协作办公平台apprvaddNew存在SQL注入漏洞 小白菜安全 小白菜安全 2024-08-02 18:46 漏洞描述 致远互联FE协作办公平台apprvaddNew.jsp存在SQL注入漏洞,未经身份验证的攻击者可以通过此漏洞获取数据库敏感信息。 资产信息 body=”li_plugins_download” 漏洞复现 延时注入3秒 POST /
继续阅读【漏洞预警】用友NC Cloud SQL注入漏洞(CNVD-2024-34169)
【漏洞预警】用友NC Cloud SQL注入漏洞(CNVD-2024-34169) 原创 聚焦网络安全情报 安全聚 2024-08-02 18:41 预警公告 高危 近日,安全聚实验室监测到用友网络科技股份有限公司 NC Cloud 存在SQL注入漏洞,编号为:CNVD-2024-34169,漏洞评分:8 此漏洞允许攻击者构造特殊的请求,以获取数据库敏感信息。 01 漏洞描述 NC Cloud
继续阅读39个关键硬件漏洞隐患盘点
39个关键硬件漏洞隐患盘点 原创 陈发明 数世咨询 2024-08-02 16:00 2018年1月,计算机行业因Meltdown和Spectre两大处理器漏洞而陷入高度警戒。这两个漏洞打破了操作系统内核与用户空间内存之间的基本安全界限。这一缺陷源于现代CPU的性能特点——推测执行,要解决这个问题,全球范围内展开了历史上规模最大的补丁协调工作,涉及CPU制造商、设备制造商以及操作系统供应商。 Me
继续阅读HW2024汇总-8.1(漏洞数173)
HW2024汇总-8.1(漏洞数173) 小白菜安全 小白菜安全 2024-08-01 21:58 漏洞清单 DAY-20240801 1.用友NC Cloud queryPsnInfo SQL注入 2.【0day】致远互联FE协作办公平台apprvaddNew存在sql注入漏洞 3.FOG敏感信息泄露(CVE-2024-41108) 4.TOTOLINK-A3700R未授权访问漏洞 5.TOTO
继续阅读【8/1特辑】今日热点漏洞速递
【8/1特辑】今日热点漏洞速递 安恒研究院 安恒信息CERT 2024-08-01 19:24 漏洞导览 · 浪潮云财务系统存在远程命令执行漏洞 · 浪潮云财务系统存在远程命令执行漏洞 · 亿赛通新一代电子安全管理文档存在SQL注入漏洞 · 用友U8CLOUD存在任意文件读取漏洞 · 用友U8CLOUD存在SQL注入漏洞 · 赛蓝企业管理系统存在身份验证绕过漏洞 漏洞概况 在当前网络攻防演练中,
继续阅读告别无效扫描站点漏洞,这两个工具嘎嘎好用
告别无效扫描站点漏洞,这两个工具嘎嘎好用 FreeBuf 2024-08-01 19:04 师傅们好,今天想和大家 聊聊两个非常实用的工具,特别适合那些需要 频繁检测网站状态和安全性 的师傅们。 – 手动检测网站存活状态耗时耗力,难以判断网站的实际存活概率,结果整理和分类繁琐。 手动配置和管理扫描任务复杂,单一工具扫描能力有限,动态内容和定制需求难以处理,无法有效追踪和管理漏洞修复进度
继续阅读泛微ecology系统 WorkflowServiceXml 接口处存在SQL注入漏洞
泛微ecology系统 WorkflowServiceXml 接口处存在SQL注入漏洞 原创 V1xk 渗透小记 2024-07-30 20:44 欢迎来到 渗透小记公众号**** “ 免责声明: 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。” 建议把 渗透小记 公众号设置为 星标 ,这样能更快看
继续阅读某木报表RCE_0day
某木报表RCE_0day 原创 M9 白昼信安 2024-07-30 20:14 1、漏洞描述 接口是积木报表自带接口,正常访问会提示权限不足,但利用jmLink=YWFhfHxiYmI=可绕过权限校验。绕过权限校验后,可在请求体中注入内存马,可获取服务器权限。 2、漏洞路径 /jeecg-boot/jmreport/save?previousPage=xxx&jmLink=YWFhfHx
继续阅读新课已完结!零基础入门Android漏洞挖掘-入门篇
新课已完结!零基础入门Android漏洞挖掘-入门篇 釉子 看雪学苑 2024-07-30 17:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。对于个人而言,掌
继续阅读雷神众测漏洞周报2024.07.22-2024.07.28
雷神众测漏洞周报2024.07.22-2024.07.28 原创 雷神众测 雷神众测 2024-07-30 15:30 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读上周关注度较高的产品安全漏洞(20240722-20240728)
上周关注度较高的产品安全漏洞(20240722-20240728) 国家互联网应急中心CNCERT 2024-07-30 09:46 一、境外厂商产品漏洞 1、PDF-XChange Editor栈缓冲区溢出漏洞(CNVD-2024-33502) PDF-XChange Editor是PDF-XChange公司的一个运行在Microsoft Windows系统中的PDF文件查看软件。PDF-XCh
继续阅读2024hvv最新漏洞威胁情报7.29
2024hvv最新漏洞威胁情报7.29 Z2O安全攻防 2024-07-29 20:56 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失
继续阅读帆软报表ReportServer接口 SQL注入漏洞导致RCE
帆软报表ReportServer接口 SQL注入漏洞导致RCE 小白菜安全 小白菜安全 2024-07-28 23:23 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范
继续阅读Day5-HVV Windows LPE 0day漏洞在暗网出售,可直接打穿系统
Day5-HVV Windows LPE 0day漏洞在暗网出售,可直接打穿系统 原创 病毒獵手 童杭波 oldhand 2024-07-27 20:02 辛弃疾《青玉案·元夕》 众里寻他千百度,蓦然回首,那人却在,灯火阑珊处 HVV搞了5天,大家累了,我们缓解一下,突然今天在网站看到一个售卖0day漏洞的帖子,恰逢最近HVV阶段,小心红队购买0day实施攻击。 一名威胁行为者声称正在出售新的Wi
继续阅读【漏洞预警】OpenAM FreeMarker 模板注入漏洞(CVE-2024-41667)
【漏洞预警】OpenAM FreeMarker 模板注入漏洞(CVE-2024-41667) 原创 聚焦网络安全情报 安全聚 2024-07-27 19:30 预警公告 高危 近日,安全聚实验室监测到 OpenAM FreeMarker 存在模板注入漏洞,编号为:CVE-2024-41667,CVSS:8.8 此漏洞允许攻击者在应用程序的模板中插入恶意代码,利用模板注入漏洞来篡改页面内容、执行任
继续阅读通过 MemoryUserDatabaseFactory 中的路径操作进行 JNDI 注入远程代码执行
通过 MemoryUserDatabaseFactory 中的路径操作进行 JNDI 注入远程代码执行 Ots安全 2024-07-27 16:39 在这篇博文中,我将描述一个相对较新向量通过我独立于其他研究人员发现的 JNDI 注入实现远程代码执行。利用对象查找过程进行 JNDI 注入的概念并不是什么新鲜事。如果您不熟悉这一点,我建议您阅读Michael Stepankin 撰写的这篇精彩博客文
继续阅读「漏洞复现」用友U8 Cloud MeasureQueryFrameAction SQL注入漏洞
「漏洞复现」用友U8 Cloud MeasureQueryFrameAction SQL注入漏洞 冷漠安全 冷漠安全 2024-07-27 16:17 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,
继续阅读【泛微】漏洞利用PoC整理
【泛微】漏洞利用PoC整理 原创 F1rstb100d 智佳网络安全 2024-07-27 14:45 unsetunset泛微E-Mobile系列unsetunset E-mobile lang2sql接口任意文件上传漏洞 title=”移动管理平台-企业管理” POST /emp/lang2sql?client_type=1&lang_tag=1 HTTP/1.
继续阅读工具|OA漏洞利用工具,集成348+漏洞,包括nday、1day(未公开poc)
工具|OA漏洞利用工具,集成348+漏洞,包括nday、1day(未公开poc) YuanQiu安全 2024-07-27 12:05 免责声明 由于传播、本公众号 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任! 一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢! 一、工具介绍 介绍 OA漏洞是攻防中打点的常用的漏洞之一
继续阅读(0day)超级猫签名APP分发平台RCE漏洞审计
(0day)超级猫签名APP分发平台RCE漏洞审计 原创 Mstir 星悦安全 2024-07-27 11:39 0x00 前言 超级猫超级签名分发平台是一个安卓苹果APP分发平台,能够对所有安卓苹果的APP进行签名分发,使所有自行开发的APP能够签名使用,包括登录注册等功能,还提供有SDK Fofa:”/themes/97013266/public/static/css/pc.css
继续阅读红队终极指南:“A-poc/RedTeam-Tools”
红队终极指南:“A-poc/RedTeam-Tools” 原创 破天KK KK安全说 2024-07-27 09:47 网络安全一直在发展,那么红队行动呢?好吧,对于希望通过扮演坏人角色(以一种好的方式!)来增强防御能力的公司来说,这几乎是秘密武器。 在浩瀚的工具和技巧海洋中,GitHub 存储库 A-poc/RedTeam-Tools 脱颖而出,成为绝佳发现。 对于红队成员来说,这就像中了头彩,
继续阅读LangChain曝关键漏洞,数百万AI应用面临攻击风险
LangChain曝关键漏洞,数百万AI应用面临攻击风险 疯狂冰淇淋 FreeBuf 2024-07-27 09:31 左右滑动查看更多 LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日,来自Palo
继续阅读第八课-系统学习代码审计:XXE和XSS(VUE中可能存在的漏洞)翻车讲解
第八课-系统学习代码审计:XXE和XSS(VUE中可能存在的漏洞)翻车讲解 原创 开发小鸡娃 安全随心录 2024-07-26 21:52 视频地址见:上几篇文章: 主要内容: 1、常见存在XXE漏洞的写法以及修复方法 2、XSS常见的位置:1、前后不分离2、前后端分离下,vue中可能存在XSS的地方(翻车 🙁 )。 进群:后台回复进群即可。 XXE漏洞概述 XXE漏洞,全称XML外部实体注
继续阅读【安全圈】LangChain曝关键漏洞,数百万AI应用面临攻击风险
【安全圈】LangChain曝关键漏洞,数百万AI应用面临攻击风险 安全圈 2024-07-26 19:00 关键词 安全漏洞 LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日,来自Palo Alto
继续阅读