VMware 修复Aria Automation 中严重的SQL注入漏洞
VMware 修复Aria Automation 中严重的SQL注入漏洞 Ryan Naraine 代码卫士 2024-07-11 17:21 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,VMware 修复了位于 Aria Automation 产品中的一个高危SQL注入漏洞,并提醒称认证的恶意用户可利用该漏洞操控数据库。 该漏洞的编号是CVE-2024-22280,攻击者通过特
继续阅读标签: SQL注入
NSA 的开源员工培训平台 SkillTree 中存在CSRF漏洞
NSA 的开源员工培训平台 SkillTree 中存在CSRF漏洞 Nate Nelson 代码卫士 2024-07-11 17:21 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国国家安全局 (NSA) 修复了位于开源的员工培训平台 SkillTree 上的一个跨站请求伪造 (CSRF) 漏洞,证明了在生产发布前捕获这类漏洞的难度所在。 SkillTree 是通过游戏元素如积分和成就
继续阅读RADIUS身份验证协议惊现三十年的漏洞,CERT呼吁紧急关注
RADIUS身份验证协议惊现三十年的漏洞,CERT呼吁紧急关注 网络安全应急技术国家工程中心 2024-07-11 16:11 近日,网络安全研究人员发现RADIUS网络身份验证协议中存在一个安全漏洞,Blast-RADIUS可以利用该漏洞发动中间人(MitM)攻击,并在特定情况下绕过完整性检查,CERT、InkBridge Networks等多个安全机构呼吁积极关注该漏洞。 关于Blast-RA
继续阅读上周关注度较高的产品安全漏洞(20240701-20240707)
上周关注度较高的产品安全漏洞(20240701-20240707) 国家互联网应急中心CNCERT 2024-07-11 15:44 一、境外厂商产品漏洞 1、Sonatype Nexus Repository存在路径遍历漏洞 Nexus Repository Manager是一个仓库管理系统。Sonatype Nexus Repository Manager存在路径遍历漏洞,攻击者可利用该漏洞获
继续阅读Evernote 应用中PDF.js字体注入导致跨平台远程代码执行漏洞
Evernote 应用中PDF.js字体注入导致跨平台远程代码执行漏洞 原创 bggsec 甲方安全建设 2024-07-11 08:00 前言 一句话总结(点击原文跳转) 主要描述了一个在Evernote应用中发现的关键性漏洞,该漏洞可以通过嵌入恶意PDF文件到笔记中,利用PDF.js的字体注入进行JavaScript代码执行,进而通过Electron的ipcRenderer和BrokerBri
继续阅读新型APT组织CloudSorcerer瞄准俄罗斯政府
新型APT组织CloudSorcerer瞄准俄罗斯政府 关键基础设施安全应急响应中心 2024-07-10 14:56 网络安全公司卡巴斯基发现,一个名为 CloudSorcerer的新型APT组织通过滥用公共云服务,对俄罗斯政府机构实施攻击并窃取数据。 卡巴斯基于 2024 年 5 月发现了这一活动,攻击者采用的技术与 CloudWizard 相似,但指出了恶意软件源代码的不同之处,称这是一种复
继续阅读再创佳绩 | 复旦白泽漏洞治理团队研究成果获软件工程顶会 FSE 杰出论文奖
再创佳绩 | 复旦白泽漏洞治理团队研究成果获软件工程顶会 FSE 杰出论文奖 原创 复旦白泽战队 复旦白泽战队 2024-07-10 09:01 1. Distinguished Paper Award 成果介绍 2024年7月15日至19日,软件工程领域最具有影响力,历史最悠久的国际旗舰学术会议之一 FSE(CCF A类)将在巴西召开。复旦大学系统软件与安全实验室在移动安全领域的最新研究成果“C
继续阅读SSRF 之 Azure Digital Twins Explorer
SSRF 之 Azure Digital Twins Explorer 原创 玲珑安全官方 芳华绝代安全团队 2024-07-09 20:51 正文Azure Digital Twins 是一个微软下的平台服务,允许开发者创建和运行数字孪生模型,这些模型能够反映物理世界中的实体及其关系,通过这些模型可以进行监控、分析和预测等操作。 1、进入主页面,创建一项新的数字孪生服务: 2、打开 Azure
继续阅读【漏洞通告】Apache CloudStack未授权远程代码执行漏洞(CVE-2024-38346)
【漏洞通告】Apache CloudStack未授权远程代码执行漏洞(CVE-2024-38346) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-07-09 17:49 漏洞名称: Apache CloudStack未授权远程代码执行漏洞(CVE-2024-38346) 组件名称: APACHE-CloudStack 影响范围: 4.0.0 ≤ Apache CloudStack ≤ 4.
继续阅读Java之SpringBoot漏洞利用姿势合集总结详细版
Java之SpringBoot漏洞利用姿势合集总结详细版 1849156050238568 Z2O安全攻防 2024-07-08 20:42 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用
继续阅读【漏洞预警】Apache CloudStack 未授权命令注入漏洞CVE-2024-38346
【漏洞预警】Apache CloudStack 未授权命令注入漏洞CVE-2024-38346 cexlife 飓风网络安全 2024-07-08 20:04 漏洞描述: CloudStack是一个开源的具有高可用性及扩展性的云计算平台,同时是一个开源云计算解决方案,Apache CloudStack集群服务运行在未认证端口上(默认为9090端口),攻击者可以滥用该端口,在目标hypervisor
继续阅读【安全圈】CocoaPods 曝关键漏洞,数百万 macOS 和 iOS 应用程序面临供应链攻击风险
【安全圈】CocoaPods 曝关键漏洞,数百万 macOS 和 iOS 应用程序面临供应链攻击风险 安全圈 2024-07-08 19:01 关键词 安全漏洞 最近,Objective-C 和 Swift 的著名依赖管理器 CocoaPods 的关键漏洞被曝光,使数百万 macOS 和 iOS 设备上的应用程序面临供应链攻击风险,可能会对一些苹果用户造成伤害。 问题出现在 CocoaPods 迁
继续阅读【已发现在野攻击】Rejetto HTTP File Server 模板注入漏洞(CVE-2024-23692)安全风险通告
【已发现在野攻击】Rejetto HTTP File Server 模板注入漏洞(CVE-2024-23692)安全风险通告 奇安信 CERT 2024-07-08 17:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Rejetto HTTP File Server 模板注入漏洞 漏洞编号 QVD-2024-21305,CVE-2024-23692 公开时间 2024-
继续阅读安全热点周报:本周新增两个在野利用漏洞,Rejetto HFS 和 Cisco NX-OS 成攻击新宠
安全热点周报:本周新增两个在野利用漏洞,Rejetto HFS 和 Cisco NX-OS 成攻击新宠 奇安信 CERT 2024-07-08 17:30 安全资讯导视 • 美国空军部首席信息官办公室发布《空军部零信任战略》 • 美国大型银行因勒索攻击关闭系统多天,客户无法访问账户或交易 • 著名远控软件TeamViewer IT系统遭APT攻陷,安全专家建议暂时删除 PART01 漏洞情报 1
继续阅读Apache 修复 Apache HTTP Server 中的源代码泄露漏洞
Apache 修复 Apache HTTP Server 中的源代码泄露漏洞 代码卫士 2024-07-08 17:07 聚焦源代码安全,网罗国内外最新资讯! 作者:Pierluigi Paganini**** 编译:代码卫士 Apache 软件基金会修复了Apache HTTP Server 中的多个漏洞,其中包括拒绝服务 (DoS)、远程代码执行和越权访问等问题。 其中一个漏洞是严重的源代码披
继续阅读影响 300 万款苹果 iOS / macOS 应用,CocoaPods 平台漏洞披露
影响 300 万款苹果 iOS / macOS 应用,CocoaPods 平台漏洞披露 网络安全应急技术国家工程中心 2024-07-08 15:59 最近,Objective-C 和 Swift 的著名依赖管理器 CocoaPods 的关键漏洞被曝光,使数百万 macOS 和 iOS 设备上的应用程序面临供应链攻击风险,可能会对一些苹果用户造成伤害。 问题出现在 CocoaPods 迁移到 Tr
继续阅读红队快速打点漏洞检测工具 | POC-bomber
红队快速打点漏洞检测工具 | POC-bomber LemonSec 2024-07-07 20:49 简介 POC bomber是一款漏洞检测工具,旨在利用大量高危害漏洞的POC/EXP快速获取目标服务器权限 本项目收集互联网各种危害性大的 RCE · 任意文件上传 · sql注入 等高危害且能够获取到服务器核心权限的漏洞POC/EXP,并集成在POC bomber武器库中,利用大量高危害POC
继续阅读信息安全漏洞月报(2024年6月)
信息安全漏洞月报(2024年6月) CNNVD CNNVD安全动态 2024-07-06 18:16 点击蓝字 关注我们 本期导读 漏洞态势 根据国家信息安全漏洞库(CNNVD)统计,2024年6月采集安全漏洞共3075个。 本月接报漏洞1089个,其中信息技术产品漏洞(通用型漏洞)941个,网络信息系统漏洞(事件型漏洞)148个。漏洞平台推送漏洞27043个。**** 重大漏洞通报 PHP 操作
继续阅读GeoServer 远程代码执行漏洞(CVE-2022-24816)
GeoServer 远程代码执行漏洞(CVE-2022-24816) 原创 SXdysq 南街老友 2024-07-06 16:15 漏洞简介 GeoServer 是一个用于共享地理空间数据的开源服务器。服务器实现行业标准 OGC 协议,例如 Web 要素服务 (WFS)、Web 地图服务 (WMS) 和 Web 覆盖服务 (WCS)。 GeoServer 附带了 JAI-EXT API 。默认
继续阅读「漏洞复现」宏景eHR sduty/getSdutyTree SQL注入漏洞
「漏洞复现」宏景eHR sduty/getSdutyTree SQL注入漏洞 冷漠安全 冷漠安全 2024-07-06 11:45 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台
继续阅读CVE-2024-6376 (CVSS 9.8)MongoDB Compass 存在代码注入漏洞
CVE-2024-6376 (CVSS 9.8)MongoDB Compass 存在代码注入漏洞 flyme 独眼情报 2024-07-06 10:38 最近的一项发现揭示了 MongoDB Compass 中的一个严重安全漏洞,MongoDB Compass 是一个广泛使用的图形用户界面 (GUI),用于查询、聚合和分析 MongoDB 数据。这款工具以其强大的功能和在 macOS、Window
继续阅读GeoServer property RCE注入内存马
GeoServer property RCE注入内存马 原创 yzddMr6 网络安全回收站 2024-07-04 21:07 背景 GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插入操作。在GeoServer 2.25.1, 2.24.3, 2.23.5版本及以前,未登录的任意用户
继续阅读【漏洞预警】XWiki Platform 未授权 代码注入漏洞 (CVE-2024-21650)
【漏洞预警】XWiki Platform 未授权 代码注入漏洞 (CVE-2024-21650) cexlife 飓风网络安全 2024-07-04 20:51 漏洞详情:XWiki Platform是XWiki基金会的一套用于创建Web协作应用程序的Wiki平台。XWiki Platform存在安全漏洞,该漏洞源于user registration功存在一个代码注入漏洞,未经授权的攻击者可以利用
继续阅读[含POC]宏景eHR LoadOtherTreeServlet SQL注入漏洞
[含POC]宏景eHR LoadOtherTreeServlet SQL注入漏洞 原创 漏洞预警机器人 安全光圈 2024-07-04 20:39 宏景eHR LoadOtherTreeServlet SQL注入漏洞 免责声明:本文内容为机器人搜集最新漏洞及POC分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关
继续阅读CVE-2024-0044,致使 Android 12/13 提权那些事
CVE-2024-0044,致使 Android 12/13 提权那些事 原创 Yang2635 小杨学安全 2024-07-04 19:09 前言 最近在倒腾 Android 逆向相关,期间了解了一个比较有意思的漏洞(CVE_2024_0044),这个漏洞可以突破 Android 12/13 系统提权备份应用数据(例如:提取微信数据,难怪最近各厂家先后突破 Android 12/13 提权备份,
继续阅读【安全圈】Microsoft MSHTML 漏洞被利用来传播 MerkSpy 间谍软件工具
【安全圈】Microsoft MSHTML 漏洞被利用来传播 MerkSpy 间谍软件工具 安全圈 2024-07-04 19:01 关键词 漏洞 据观察,未知黑客组织利用 Microsoft MSHTML 中现已修补的安全漏洞传播名为MerkSpy的间谍软件监视工具,主要针对加拿大、印度、波兰和美国目标。 Fortinet FortiGuard Labs 研究员 Cara Lin在上周发布的一份
继续阅读afrog-漏洞扫描(挖洞)工具【了解安装使用详细】
afrog-漏洞扫描(挖洞)工具【了解安装使用详细】 原创 大象只为你 大象只为你 2024-07-04 18:20 ★★ 免责声明★★ 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 1、afrog介绍 afrog 是一款性能卓越、快速稳定、PoC可定制的漏洞扫描(挖洞)工具,PoC涉及CVE
继续阅读创宇安全智脑 | OpenSSH 远程代码执行(CVE-2024-6387)等80个漏洞可检测
创宇安全智脑 | OpenSSH 远程代码执行(CVE-2024-6387)等80个漏洞可检测 创宇安全智脑 创宇安全智脑 2024-07-04 17:40 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威
继续阅读【漏洞复现】Artifex Ghostscript任意代码执行漏洞(CVE-2024-29510)
【漏洞复现】Artifex Ghostscript任意代码执行漏洞(CVE-2024-29510) 启明星辰安全简讯 2024-07-04 17:32 一、漏洞概述 漏洞名称 Artifex Ghostscript任意代码执行漏洞 CVE ID CVE-2024-29510 漏洞类型 格式字符串注入 发现时间 2024-07-04 漏洞评分 5.5 漏洞等级 中危 攻击向量 本地 所
继续阅读「漏洞复现」热网无线监测系统 SystemManager.asmx SQL注入漏洞
「漏洞复现」热网无线监测系统 SystemManager.asmx SQL注入漏洞 冷漠安全 冷漠安全 2024-07-03 19:49 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读