AI 平台 Replicate 曝“跨租户攻击”漏洞,用户模型可被黑客入侵
AI 平台 Replicate 曝“跨租户攻击”漏洞,用户模型可被黑客入侵 安世加 安世加 2024-05-30 18:13 5 月 28 日消息,安全公司 Wiz 近日发布报告,宣称开源 AI 模型共享平台 Replicate 存在重大漏洞,黑客可通过恶意模型进行“跨租户攻击”(注:即利用存在于多租户环境中的安全漏洞访问 / 干扰其他租户的数据资源),从而导致平台用户训练的 AI 模型内部机密数
继续阅读标签: SQL注入
影响所有版本,TP-Link路由器存在满分RCE漏洞
影响所有版本,TP-Link路由器存在满分RCE漏洞 看雪学苑 看雪学苑 2024-05-30 18:03 德国网络安全公司ONEKEY在一份报告中披露,TP-Link Archer C5400X游戏路由器中存在满分安全漏洞,允许远程黑客完全控制该设备。 据了解,TP-Link Archer C5400X是一款专为在线游戏和流媒体等高要求应用设计的高性能游戏路由器。该漏洞(CVE-2024-503
继续阅读全新课表6.18开班!系统0day安全-二进制漏洞攻防(第3期)
全新课表6.18开班!系统0day安全-二进制漏洞攻防(第3期) 看雪课程 看雪学苑 2024-05-30 18:03 在当今网络安全风起云涌的时代,漏洞攻击频频发生,系统安全备受关注。想要在这个数字化浪潮中立于不败之地,掌握系统0day安全攻防技术成为重要基石。它不仅是黑客和安全研究人员的技术利器,更是企业和组织抵御网络攻击的坚实屏障。 普通人在学习该门技术或工作中面临的痛点: -模糊测试、代码
继续阅读【漏洞预警】Fortinet FortiSIEM命令注入漏洞(CVE-2024-23108)
【漏洞预警】Fortinet FortiSIEM命令注入漏洞(CVE-2024-23108) cexlife 飓风网络安全 2024-05-29 22:19 漏洞描述: FortiSIEM是Fortinet公司的安全信息和事件管理 (SIEM) 解决方案,它通过提供增强的可见性和控制,帮助组织更有效地管理和保护其网络资产,2024年5月29日,监测到FortinetFortiSIEM命令注入漏洞(
继续阅读TP-Link 游戏路由器漏洞使用户面临远程代码攻击
TP-Link 游戏路由器漏洞使用户面临远程代码攻击 信息安全大事件 2024-05-29 20:03 TP-Link Archer C5400X 游戏路由器 中披露了一个严重性最高的安全漏洞,该漏洞可能通过发送特制请求在易受攻击的设备上导致远程代码执行。 该漏洞被跟踪为 CVE-2024-5035,CVSS 分数为 10.0 。它会影响路由器固件的所有版本,包括 1_1.1.6 及之前版本。它已
继续阅读【安全圈】AI 平台 Replicate 曝“跨租户攻击”安全隔离漏洞,用户自训练人工智能模型可被黑客入侵
【安全圈】AI 平台 Replicate 曝“跨租户攻击”安全隔离漏洞,用户自训练人工智能模型可被黑客入侵 安全圈 2024-05-29 19:00 关键词 信息窃取 安全公司 Wiz 近日发布报告,宣称开源 AI 模型共享平台 Replicate 存在重大漏洞,黑客可通过恶意模型进行“跨租户攻击”(IT之家注:即利用存在于多租户环境中的安全漏洞访问 / 干扰其他租户的数据资源),从而导致平台用户
继续阅读【安全圈】影响之前所有版本,TP-Link 路由器曝出满分漏洞
【安全圈】影响之前所有版本,TP-Link 路由器曝出满分漏洞 安全圈 2024-05-29 19:00 关键词 系统漏洞 近日,TP-Link Archer C5400X 游戏路由器被曝存在高危安全漏洞,未经认证的远程威胁攻击者能够通过发送特制请求,在受影响设备上任意执行代码。 据悉,安全漏洞被追踪为 CVE-2024-5035,CVSS 评分为 10.0,主要影响包括 1_1.1.6 及之前版
继续阅读精彩回顾!大模型安全边界:揭秘提示注入攻击、会话共享漏洞与AI幻觉毒化策略分享
精彩回顾!大模型安全边界:揭秘提示注入攻击、会话共享漏洞与AI幻觉毒化策略分享 原创 知识分享者 安全极客 2024-05-29 17:40 近日,安全极客和Wisemodel社区联合举办了“AI+Security”系列的首场线下活动,主题聚焦于“大模型与网络空间安全的前沿探索”。在此次活动中, Kelp AI Beta作者、资深安全专家宁宇飞针对《大模型安全边界: 揭秘提示注入攻击、会话共享漏洞
继续阅读ICONV,将字符集设置为 RCE:利用 GLIBC 攻击 PHP 引擎
ICONV,将字符集设置为 RCE:利用 GLIBC 攻击 PHP 引擎 原创 jinyu 影域实验室 2024-05-29 17:22 免责声明: 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失
继续阅读【公益译文】设计安全警报:消灭软件中的SQL注入漏洞
【公益译文】设计安全警报:消灭软件中的SQL注入漏洞 绿盟君 绿盟科技 2024-05-29 17:12 全文共2308字,阅读大约需4分钟。 一 恶意网络攻击者利用SQL注入漏洞破坏系统 SQL注入(即SQLi)漏洞是存在于商业软件产品中的持久型漏洞。在过去的二十年里,人们对SQLi漏洞有着广泛的了解和记录,也存在有效的缓解措施,但软件厂商仍不断开发可能出现该漏洞的产品,使许多客户面临风险。 几
继续阅读您还在苦恼先修哪个漏洞吗?
您还在苦恼先修哪个漏洞吗? 绿盟君 绿盟科技 2024-05-29 17:12 全文共2487字,阅读大约需5分钟。 在当今数字时代,网络攻击不断演变,漏洞修复已成为企业安全的重中之重。然而,随着漏洞数量的激增,如何有效处理和优先修复漏洞成为了一个挑战。根据绿盟科技发布的《2023年度安全事件观察报告》显示,全球共披露了30947个漏洞,每天平均有84.78个CVE被披露,创下历史新高。更令人担忧
继续阅读【攻防实战】某行业hw-如何利用nday拿下n个靶标
【攻防实战】某行业hw-如何利用nday拿下n个靶标 原创 胡图图 攻防实战指南 2024-05-29 16:27 点击上方蓝字关注我们 原创声明 本文由[ 攻防实战指南]原创,版权所有。未经本公众号书面授权,禁止任何形式的转载、摘编、复制或建立镜像。如需转载,请联系我们,违反上述声明者,我们将依法追究其法律责任 。 【序言】 上个月参加了某行业 HW,由于时间紧任务重,直接拿着 13页靶标就开始
继续阅读【漏洞通告】Showdoc远程代码执行漏洞
【漏洞通告】Showdoc远程代码执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2024-05-29 16:07 漏洞名称: Showdoc远程代码执行漏洞 组件名称: Showdoc 影响范围: Showdoc < 3.2.5 漏洞类型: 代码注入 利用条件: 1、用户认证:不需要用户认证 2、前置条件:默认配置 3、触发方式:远程 综合评价: <综合评定利用难度>:容易
继续阅读「漏洞复现」用友NC linkVoucher SQL注入漏洞
「漏洞复现」用友NC linkVoucher SQL注入漏洞 冷漠安全 冷漠安全 2024-05-28 22:10 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,
继续阅读零知识证明的先进形式化验证:两个ZK漏洞的深度剖析
零知识证明的先进形式化验证:两个ZK漏洞的深度剖析 原创 CertiK CertiK 2024-05-28 22:00 在之前的文章中,我们讨论了零知识证明的先进形式化验证:如何验证一条ZK指令 。通过形式化验证每条zkWasm指令,我们能够完全验证整个zkWasm电路的技术安全性和正确性。在本文中,我们将关注 发现漏洞的视角 ,分析在审计和验证过程中发现的具体漏洞,以及从中得到的经验和教训 。如
继续阅读CVE-2024-3552 WordPress-Web Directory Free SQL注入漏洞复现
CVE-2024-3552 WordPress-Web Directory Free SQL注入漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-05-28 19:02 漏洞描述 Web Directory Free是WordPress上建立在线目录网站的插件,使用该插件可以非常容易地将任何现有站点转换为功能齐全的目录业务网站。web-directory-free插件存在未
继续阅读某Android网址封装系统存在SQL注入漏洞
某Android网址封装系统存在SQL注入漏洞 原创 Swimt 星悦安全 2024-05-28 18:20 漏洞简介 Android网址封装系统可以将网址打包封装成APK(暂不支持打包成IOS 应用),类似于变色龙打包APP,不过现在网上打包APP的都开始收费(100软妹币/年)和实名了 源码带安装教程和常见问题的解决方案,这只是一个demo. 资产详情 fofa:body="暂未提供
继续阅读研究员披露WinRAR中的ANSI转义序列注入漏洞
研究员披露WinRAR中的ANSI转义序列注入漏洞 看雪学苑 看雪学苑 2024-05-28 17:59 近日,安全研究员Siddharth Dushantha发现WinRAR这款流行文件压缩软件中存在ANSI转义序列注入漏洞,可能被利用来欺骗用户或是导致系统崩溃。 该漏洞(Linux、Unix系统:CVE-2024-33899;Windows系统:CVE-2024-36052)影响早于WinRA
继续阅读TP-Link 修复热门C5400X 游戏路由器中的严重RCE漏洞
TP-Link 修复热门C5400X 游戏路由器中的严重RCE漏洞 BILL TOULAS 代码卫士 2024-05-28 17:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 TP-Link Archer C5400X 游戏路由器易受多个漏洞影响,可导致未认证的远程攻击者在设备上执行命令。 TP-Link Archer C5400X是一款高端的三频带游戏路由器,旨在为游戏和其它需求较
继续阅读【漏洞预警】Ampache命令注入漏洞(CVE-2024-1540)
【漏洞预警】Ampache命令注入漏洞(CVE-2024-1540) cexlife 飓风网络安全 2024-05-28 17:33 漏洞描述: Ampache是一款基于Web的音频/视频应用程序和文件管理器,Ampache存在命令注入漏洞,该漏洞源于程序未正确中和命令中的特殊元素,攻击者可利用该漏洞执行未经授权的命令,进而修改基本存储库或导致机密泄露。 修复建议: 厂商补丁:目前厂商已经发布了升
继续阅读【漏洞预警】Showdoc 未授权 SQL注入漏洞
【漏洞预警】Showdoc 未授权 SQL注入漏洞 cexlife 飓风网络安全 2024-05-28 17:33 漏洞描述: ShowDoc V3.2.5 之前的版本中存在SQL注入漏洞,攻击者可通过此漏洞获取登录登录token并进入后台。进入后台后可结合反序列化漏洞,写入WebShell,从而获取服务器权限。修复建议:正式防护方案:官方已经发布了修复补丁,请立即更新到安全版本:showdoc&
继续阅读用户面临远程代码攻击!TP-Link 游戏路由发现高危漏洞
用户面临远程代码攻击!TP-Link 游戏路由发现高危漏洞 安全客 安全客 2024-05-28 17:27 TP-Link Archer C5400X 游戏路由器 被披露存在一个最高严重性安全漏洞 ,该漏洞可能通过发送特制的请求导致易受攻击的设备执行远程代码。 该漏洞被标记为 CVE-2024-5035 ,CVSS 评分为 10.0。它会影响路由器固件的所有版本,包括 1_1.1.6 及之前版本
继续阅读上周关注度较高的产品安全漏洞(20240520-20240526)
上周关注度较高的产品安全漏洞(20240520-20240526) 国家互联网应急中心CNCERT 2024-05-28 16:20 一、境外厂商产品漏洞 1、IBM Cognos Controller信息泄露漏洞(CNVD-2024-23286) IBM Cognos Controller是美国国际商业机器(IBM)公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理
继续阅读漏洞通告 | Showdoc 远程代码执行漏洞
漏洞通告 | Showdoc 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-05-28 16:00 漏洞概况 ShowDoc是一个功能强大、易于使用、免费开源的文档管理系统。通过ShowDoc,可以方便地使用Markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线Excel文档。 近日,微步漏洞团队获取到Showdoc 远程代码执行漏洞情报(https://
继续阅读雷神众测漏洞周报2024.05.20-2024.05.26
雷神众测漏洞周报2024.05.20-2024.05.26 原创 雷神众测 雷神众测 2024-05-28 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读BBScan3.0,一个高并发的Web漏洞扫描工具,辅助API安全测试
BBScan3.0,一个高并发的Web漏洞扫描工具,辅助API安全测试 扫不到漏洞的 李姐姐的扫描器 2024-05-28 12:07 背景 随着时间推移,BBScan作为一款漏洞扫描工具已经过时,在9年前,这样的工具还能够以数量和速度优势,捡到一些中低危漏洞,但如今,确实是扫不到什么有价值的东西了。 常见Web框架 引 入了更多的默认安全设计、WAF/RASP等防护技术更加成熟,曾经常见的SQL
继续阅读【漏洞预警】Wireshark拒绝服务漏洞(CVE-2024-2955)
【漏洞预警】Wireshark拒绝服务漏洞(CVE-2024-2955) cexlife 飓风网络安全 2024-05-27 20:48 漏洞描述: Wireshark(前称Ethereal)是导线鲨鱼(Wireshark)团队的一套网络数据包分析软件,功能是截取网络数据包,并显示出详细的数据以供分析。 Wireshark 4.2.0至4.2.3版本和4.0.0至4.0.13版本存在拒绝服务漏洞,
继续阅读『漏洞复现』用友GRP-U8 sqcxIndex.jsp SQL注入漏洞(XVE-2024-12560)
『漏洞复现』用友GRP-U8 sqcxIndex.jsp SQL注入漏洞(XVE-2024-12560) 冷漠安全 冷漠安全 2024-05-27 19:12 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学
继续阅读漏洞复现 | Atlassian Confluence远程代码执行漏洞【附poc】
漏洞复现 | Atlassian Confluence远程代码执行漏洞【附poc】 原创 实战安全研究 实战安全研究 2024-05-27 18:44 免责声明 本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动 ,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失, 均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号 无关 ,本次测试仅供学习
继续阅读安全热点周报:本周新增三个活跃利用漏洞,影响Chrome用户、Flink用户和医疗机构
安全热点周报:本周新增三个活跃利用漏洞,影响Chrome用户、Flink用户和医疗机构 奇安信 CERT 2024-05-27 17:41 安全资讯导视 • 中央网信办等四部门发布《互联网政务应用安全管理规定》 • 强制性国家标准《智能网联汽车时空数据传感系统安全基本要求》公开征求意见 • 日本公开首例光伏电场网络攻击事件,超800台设备遭劫持 PART01 漏洞情报 1.Google Chro
继续阅读