【安全圈】WP-Members 插件中的安全漏洞导致脚本注入
【安全圈】WP-Members 插件中的安全漏洞导致脚本注入 安全圈 2024-04-04 10:07 关键词 漏洞 根据安全公司 Defiant 的建议,攻击者可以利用 WP-Members Membership WordPress 插件中的高严重性跨站脚本 (XSS) 漏洞将任意脚本注入网页。 该漏洞编号为 CVE-2024-1852,是输入清理和输出转义不充分造成的结果,允许攻击者创建将恶意
继续阅读标签: SQL注入
漏洞预警 | Apache Fineract SQL注入漏洞
漏洞预警 | Apache Fineract SQL注入漏洞 浅安 浅安安全 2024-04-04 09:01 0x00 漏洞编号 – # CVE-2024-23539 0x01 危险等级 – 高危 0x02 漏洞概述 Apache Fineract是一个开源的金融服务平台,旨在为全球范围内的金融机构提供可靠和可扩展的解决方案。 0x03 漏洞详情 CVE-2024-235
继续阅读漏洞预警 | JumpServer JINJA2注入代码执行漏洞
漏洞预警 | JumpServer JINJA2注入代码执行漏洞 浅安 浅安安全 2024-04-04 09:01 0x00 漏洞编号 – # CVE-2024-29202 0x01 危险等级 – 高危 0x02 漏洞概述 Jumpserver 是一款使用 Python, Django 开发的开源跳板机系统, 为互联网企业提供了认证,授权,审计,自动化运维等功能,基于ssh
继续阅读【漏洞预警】WordPress LayerSlider插件SQL注入漏洞(CVE-2024-2879)
【漏洞预警】WordPress LayerSlider插件SQL注入漏洞(CVE-2024-2879) cexlife 飓风网络安全 2024-04-03 23:05 漏洞描述: WordPress插件LayerSlider是一款可视化网页内容编辑器、图形设计软件和数字视觉效果应用程序,全球活跃安装量超过 1,000,000 次,近日监测到LayerSlider插件中存在一个SQL注入漏洞(CVE
继续阅读热门WordPress 插件 LayerSlider 中存在严重漏洞
热门Wordpress 插件 LayerSlider 中存在严重漏洞 THN 代码卫士 2024-04-03 16:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 插件 LayerSlider 中存在一个严重漏洞,可被滥用于提取数据库中的敏感信息如密码哈希。 该漏洞的编号是CVE-2024-2879,CVSS评分为9.8,为SQL注入漏洞,影响7.9.11至7.10
继续阅读联达OA UpLoadFile.aspx接口存在任意文件上传漏洞
联达OA UpLoadFile.aspx接口存在任意文件上传漏洞 南风徐来 南风漏洞复现文库 2024-04-01 23:12 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 联达OA UpLoadFile.aspx接口简介 微信公众号
继续阅读用友U8-Cloud FileServlet接口存在任意文件读取漏洞
用友U8-Cloud FileServlet接口存在任意文件读取漏洞 南风徐来 南风漏洞复现文库 2024-04-01 23:12 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友U8-Cloud简介 微信公众号搜索:南风漏洞复现文
继续阅读xz-utils后门漏洞 CVE-2024-3094 分析
xz-utils后门漏洞 CVE-2024-3094 分析 360漏洞研究院 360漏洞研究院 2024-04-01 21:08 1 事件背景 3月29日,微软PostgreSQL开发人员Andres Freund在oss-security上公告[1]他发现开源项目xz-utils存在后门漏洞。该项目遭到供应链攻击,项目维护者jiaT75(jia Tan)通过上传二进制测试文件和篡改编译脚本,使得
继续阅读【漏洞预警】JumpServer 多漏洞安全风险通告
【漏洞预警】JumpServer 多漏洞安全风险通告 原创 网星安全 网星安全 2024-04-01 19:32 01 漏洞介绍 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。其开源、零门槛等特性帮助大量客户实现企业服务器用户授权、运维管理、安全审计等需求。 近日,网星安全团队从JumpServer官方Github监测到,有用户反馈发现JumpServer
继续阅读【漏洞预警】XZ-Utils 5.6.0-5.6.1版本存在后门风险CVE-2024-3094
【漏洞预警】XZ-Utils 5.6.0-5.6.1版本存在后门风险CVE-2024-3094 cexlife 飓风网络安全 2024-04-01 17:51 漏洞描述:XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在Debian、Ubuntu、CentOS等发行版仓库中,开发者JiaT75在其GitHub仓库中发布
继续阅读【漏洞预警】Jumpserver<3.10.7 Jinja2注入远程代码执行漏洞CVE-2024-29202
【漏洞预警】Jumpserver<3.10.7 Jinja2注入远程代码执行漏洞CVE-2024-29202 cexlife 飓风网络安全 2024-04-01 17:51 漏洞描述:JumpServer是开源的堡垒机和运维安全审计系统,在JumpServer3.10.7之前版本中,攻击者可以通过构建恶意playbook模板利用Ansible中的Jinja2模板引擎从而在Celery容器中以
继续阅读思科IOS 漏洞可导致未认证的远程DoS 攻击
思科IOS 漏洞可导致未认证的远程DoS 攻击 Becky Bracken 代码卫士 2024-04-01 17:42 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科为旗舰款 IOS 和 IOS XE 操作系统软件发布安全更新,为Access Point 软件发布补丁。 思科发布 Cisco IOS 发布14个漏洞安全更新,其中14个漏洞是拒绝服务漏洞,可导致系统崩溃、异常重新加载以及
继续阅读上周关注度较高的产品安全漏洞(20240325-20240331)
上周关注度较高的产品安全漏洞(20240325-20240331) 原创 CNVD CNVD漏洞平台 2024-04-01 17:02 一、境外厂商产品漏洞 1、 Apache Superset资源管理错误漏洞(CNVD-2024-14775) Apache Superset 是美国阿帕奇( Apache )基金会的一个数据可视化和数据探索平台。 Apache Superset 2.1.2 及之前
继续阅读雷神众测漏洞周报2024.3.25-2024.3.31
雷神众测漏洞周报2024.3.25-2024.3.31 原创 雷神众测 雷神众测 2024-04-01 15:50 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读谷歌报告显示:2023 年 50% 的0day漏洞利用背后都是间谍软件供应商
谷歌报告显示:2023 年 50% 的0day漏洞利用背后都是间谍软件供应商 网络安全应急技术国家工程中心 2024-04-01 15:49 导读 谷歌威胁分析小组 (TAG) 和谷歌子公司 Mandiant 表示,他们观察到 2023 年攻击中利用的 0day 漏洞数量显着增加,其中许多与间谍软件供应商及其客户有关。 谷歌研究人员周三表示,他们观察到 2023 年有 97 个 0day 漏洞被利
继续阅读【复现】JumpServer 后台模板注入漏洞(CVE-2024-29202)的风险通告
【复现】JumpServer 后台模板注入漏洞(CVE-2024-29202)的风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-04-01 10:56 赛博昆仑漏洞安全通告- JumpServer 后台模板注入漏洞(CVE-2024-29202)的风险通告 漏洞描述 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer 帮助企
继续阅读CISA称微软 SharePoint RCE 漏洞已遭在野利用
CISA称微软 SharePoint RCE 漏洞已遭在野利用 Sergiu Gatlan 代码卫士 2024-03-28 17:29 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA 提醒称攻击者正在利用微软 SharePoint 代码注入漏洞发动攻击。而组合一个严重的提权漏洞,即可执行预认证RCE攻击。第一个漏洞的编号是CVE-2023-24955,可导致具有Site Owner
继续阅读【漏洞复现】CVE-2023-51385:OpenSSH命令注入
【漏洞复现】CVE-2023-51385:OpenSSH命令注入 原创 fatmo 赛博安全狗 2024-03-28 14:52 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。 简介 OpenSSH 是 SSH 协议的免费开源实现。 S SH协议族可以用来进行远程控制, 或在计算机之间传送文件
继续阅读3月漏洞快报 | GeoServer 文件上传漏洞、Atlassian Confluence 路径遍历漏洞……
3月漏洞快报 | GeoServer 文件上传漏洞、Atlassian Confluence 路径遍历漏洞…… 原创 梆梆安全 梆梆安全 2024-03-28 14:23 近日,梆梆安全专家整理发布安全漏洞报告,主要涉及以下产品/组件: GeoServer、Atlassian Confluence、Fortinet FortiClientEMS、JetBrains Team
继续阅读【漏洞通告】用友NC Cloud runScript SQL注入漏洞
【漏洞通告】用友NC Cloud runScript SQL注入漏洞 安迈应急响应中心 安迈信科应急响应中心 2024-03-28 12:47 01 漏洞概况 用友NC Cloud runScript 接口存在SQL注入漏洞,攻击者利用此漏洞可以获取数据库敏感数据。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称飞企互联/cooperate/videotexMonitor.jsp SQ
继续阅读小米WiFi路由器漏洞挖掘-WAN 命令注入、LAN 认证后堆栈缓冲区溢出、LAN 身份验证命令注入、WAN 堆栈缓冲区溢出
小米WiFi路由器漏洞挖掘-WAN 命令注入、LAN 认证后堆栈缓冲区溢出、LAN 身份验证命令注入、WAN 堆栈缓冲区溢出 Ots安全 2024-03-28 12:09 我们的研究重点是MI AIoT Router AC2350在 LAN 和 WAN 接口上获得远程代码执行。我们在路由器中发现了多个漏洞,允许攻击者获得路由器的 root 访问权限。我们向小米发送了 8 份关于他们的HackerO
继续阅读剖析复杂漏洞并在 Ichitaro Word 中实现任意代码执行
剖析复杂漏洞并在 Ichitaro Word 中实现任意代码执行 Ots安全 2024-03-28 12:09 1. Cisco Talos 去年披露了 JustSystems 的 Ichitaro 文字处理器中的多个漏洞。这些漏洞非常复杂,是通过广泛的逆向工程发现的。 CVE-2023-35126及其同类( CVE-2023-34366、 CVE-2023-38127和CVE-2023-3812
继续阅读10 大 Web 应用程序漏洞
10 大 Web 应用程序漏洞 点击关注👉 马哥网络安全 2024-03-28 12:01 为了帮助公司应对 Web 应用程序漏洞并保护自己的 Web 应用程序,开放 Web 应用程序安全项目 (OWASP) 在线社区创建了 OWASP 前十排行榜。当我们跟踪他们的排名时,我们注意到我们对主要漏洞的排名方式有所不同。出于好奇,我们决定找出差异到底有多大。这就是为什么我们建立了自己的排名,该排名反映
继续阅读谷歌针对PWN2OWN 2024演示的两个Chrome零日漏洞进行了处理
谷歌针对PWN2OWN 2024演示的两个Chrome零日漏洞进行了处理 鹏鹏同学 黑猫安全 2024-03-28 11:47 本周,谷歌解决了Chrome浏览器中的几个漏洞,包括两个零日漏洞,分别被跟踪为CVE-2024-2886和CVE-2024-2887,在Pwn2Own Vancouver 2024黑客竞赛期间展示。 高危漏洞CVE-2024-2886是一个位于WebCodecs中的使用后
继续阅读2023年零日漏洞在野利用激增,商业间谍软件是主要使用者
2023年零日漏洞在野利用激增,商业间谍软件是主要使用者 安全内参 2024-03-28 11:21 关注我们 带你读懂网络安全 根据谷歌威胁分析小组(TAG)和谷歌子公司Mandiant的最新报告,2023年被用于实施攻击的零日漏洞数量显著增加,其中许多与间谍软件供应商及其客户有关。 2023年共计有97个零日漏洞被用于攻击,比前一年的62个漏洞激增了50%以上。尽管数量有所上升,但仍低于202
继续阅读商混ERP系统sys接口存在SQL注入漏洞|漏洞预警
商混ERP系统sys接口存在SQL注入漏洞|漏洞预警 原创 漏洞挖掘 渗透安全HackTwo 2024-03-28 00:01 0x01 产品简介 商混ERP系统是一种针对混凝土行业开发的综合性企业资源规划(ERP)系统。它集成了生产、销售、采购、财务等各个方面的功能,为混凝土生产企业提供了一个全面、高效的数字化管理平台。 这里我推荐利用 ZoomEye ****搜索引擎直接输入关键字即可,影响资
继续阅读【HackerOne 精品】6000 美金的 XSS 漏洞
【HackerOne 精品】6000 美金的 XSS 漏洞 迪哥讲事 2024-03-27 20:49 【HackerOne 精品】6000 美金的 XSS 漏洞 本系列专注 hackerone 平台披露的高质量报告 本篇介绍 yelp.com 价值 6k 美金的XSS漏洞 漏洞标题: yelp.com XSS ATO (via login keylogger, link Google acco
继续阅读可能吗?CISA竟想“彻底终结”SQL漏洞
可能吗?CISA竟想“彻底终结”SQL漏洞 小薯条 FreeBuf 2024-03-27 18:58 左右滑动查看更多 3月25日(本周一),网络安全与基础设施安全局(CISA)和联邦调查局(FBI)发布了 “安全设计 “警报。他们将 SQL 注入漏洞(SQLi)归入”不可饶恕的 “一类漏洞。 警报指出:尽管在过去二十年中,人们普遍了解并记录了 SQ
继续阅读DSN Injection(CVE-2022-3023)
DSN Injection(CVE-2022-3023) 原创 fatmo i春秋 2024-03-27 17:01 本文是 i春秋论坛签约作家「fatmo」分享的技术文章, 所涉及的内容仅限用于学习和研究目的,不得将正文内容用于商业或者非法用途 !**** 公众号旨在为大家提供更多的学习方法与技能技巧, 文章仅供学习参考。 fatmo 2年网络安全行业的从业经验,目前做安全开发的工作,擅长恶意代
继续阅读