标签: SQL注入

HyperSQL数据库存在严重漏洞,可导致RCE后果

发布于 作者:

HyperSQL数据库存在严重漏洞,可导致RCE后果 John Leyden 代码卫士 2022-10-25 20:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员在HyperSQL Database (HSQLDB) 中发现了一个严重漏洞,可带来远程代码执行 (RCE) 风险。 HSQLDB 提供基于Java的SQL关系数据库系统。该技术是第二大最热门的嵌入式SQL数据库,

继续阅读

一个值1万美元奖励的GitHub 登录欺骗漏洞

发布于 作者:

一个值1万美元奖励的GitHub 登录欺骗漏洞 Jessica Haworth 代码卫士 2022-10-25 20:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员 Saajan Bhujel 发现了欺骗GitHub 登录接口的方法,并借此获得1万美元的漏洞奖励金。 Bhujel 发现可通过一个绕过更改该网站的CSS,从而诱骗用户登录至虚假页面。GitHub 使用开源Jav

继续阅读

JavaScript 沙箱 vm2修复远程代码执行漏洞

发布于 作者:

JavaScript 沙箱 vm2修复远程代码执行漏洞 Ben Dickson 代码卫士 2022-10-08 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门的 JavaScript 沙箱环境 vm2 中存在一个bug,可导致恶意人员绕过沙箱防火措施并在主机设备上发动远程代码执行攻击。 Vm2的每周下载量超过400万次,在Node.js服务器中创建了安全的上下文,在无需攻陷

继续阅读

新的攻击活动利用了MICROSOFT EXCHANGE服务器上新的0 day RCE漏洞

发布于 作者:

新的攻击活动利用了MICROSOFT EXCHANGE服务器上新的0 day RCE漏洞 luochicun 嘶吼专业版 2022-10-08 12:00 8月初,在执行安全监控和事件响应服务时,GTSC SOC团队发现一个关键基础架构受到攻击,经过分析这是专门针对Microsoft Exchange应用程序的。在调查期间,GTSC Blue Team专家确定,攻击者利用了一个未公开的Exchan

继续阅读

GLPI htmLawedTest.php 远程命令执行漏洞 CVE-2022-35914

发布于 作者:

GLPI htmLawedTest.php 远程命令执行漏洞 CVE-2022-35914 原创 PeiQi文库 PeiQi文库 2022-10-05 13:23 漏洞描述 GLPI是一个用于IT资产管理的开源软件,用PHP编写,并在GPL许可下发布。 作为一种开源技术,任何人都可以运行,修改或开发代码。GLPI 10.0.2及之前版本存在安全漏洞,该漏洞源于PHP htmlawed 模块中 允许

继续阅读

【技术干货】CVE-2022-34916 Apache Flume 远程代码执行漏洞分析

发布于 作者:

【技术干货】CVE-2022-34916 Apache Flume 远程代码执行漏洞分析 星阑科技 2022-09-29 10:01 xxhzz @PortalLab实验室 项目介绍 Apache Flume 是一个分布式的,可靠的,并且可用于高效地收集,汇总和移动大量日志数据的软件。它具有基于流数据流的简单而灵活的体系结构。它具有可调的可靠性机制以及许多故障转移和恢复机制,并且具有健壮性和容错性

继续阅读

悟空crm漏洞新用

发布于 作者:

悟空crm漏洞新用 原创 mazihan Tide安全团队 2022-09-28 17:03 概述 悟空软件长期为企业提供企业管理软件(CRM/HRM/OA/ERP等)的研发、实施、营销、咨询、培训、服务于一体的信息化服务。悟空软件以高科技为起点,以技术为核心、以完善的售后服务为后盾,秉承稳固与发展、求实与创新的精神,已为国内外上千家企业提供服务。 听说很厉害,搜索了下存在的旧版本漏洞,看看是否还

继续阅读

CVE-2014-1767提权漏洞学习笔记

发布于 作者:

CVE-2014-1767提权漏洞学习笔记 1900 看雪学苑 2022-09-26 18:04 本文为看雪论坛优秀文章 看雪论坛作者ID:1900 1.漏洞描述 afd.sys驱动用于支持Win Socket应用程序。由于afd!AfdReturnTpInfo函数调用IoFreeMdl函数释放MDL内存的时候,没有及时将指针清空,导致再次调用的时候会再次释放相同的内存地址,导致双重释放的错误。通

继续阅读

CS4.5粗略预防CVE-2022-39197 XSS RCE

发布于 作者:

CS4.5粗略预防CVE-2022-39197 XSS RCE 原创 酒零 NOVASEC 2022-09-21 22:29 △△△点击上方“蓝字”关注我们了解更多精彩 0x00 免责声明 在学习本文技术或工具使用前,请您务必审慎阅读、充分理解各条款内容。 1、本团队分享的任何类型技术、工具文章等文章仅面向合法授权的企业安全建设行为与个人学习行为,严禁任何组织或个人使用本团队技术或工具进行非法活动

继续阅读

微软补丁星期二值得关注的漏洞

发布于 作者:

微软补丁星期二值得关注的漏洞 ZDI 代码卫士 2022-09-14 18:23 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在9月补丁星期二修复了79个漏洞,其中包括1个已遭利用的0day。在这79个漏洞中,15个位于微软Edge中,64个是新发布的。在这64个漏洞中,5个是“严重”级别,57个是“重要”级别,1个是“中危”级别,1个是“低危”级别。 值得重点关注的漏洞 (1)CV

继续阅读

【安全圈】CICD管道中的代码注入漏洞影响Google、Apache开源GitHub项目

发布于 作者:

【安全圈】CICD管道中的代码注入漏洞影响Google、Apache开源GitHub项目 安全圈 2022-09-08 19:00 关键词 CI/CD管道 根据网站FreeBuf消息,CI/CD管道中存在安全漏洞,攻击者可以利用这些漏洞来破坏开发过程并在部署时推出恶意代码。 近日,研究人员在Apache和Google的两个非常流行的开源项目的GitHub环境中发现了一对安全漏洞,可用于秘密修改项目

继续阅读

API NEWS | Bitbucket 服务器中的命令注入漏洞

发布于 作者:

API NEWS | Bitbucket 服务器中的命令注入漏洞 星阑科技 2022-09-08 10:43 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – 关于 Atlassian Bitbucket 服务器中的命令注入漏洞 关于每月发生的API安

继续阅读

V8 Array.prototype.concat函数出现过的issues和他们的POC们

发布于 作者:

V8 Array.prototype.concat函数出现过的issues和他们的POC们 苏啊树 看雪学苑 2022-09-06 18:05 本文为看雪论坛精华文章 看雪论坛作者ID:苏啊树 1:写在前面: 最近老是做一些根据文档和代码构造POC的事情,经常想着怎么锻炼这一方面的能力。以v8为例,如果让别人直接指出某个地方有问题,然后让我去找出来,构造POC以至于EXP,以我现在对v8的熟练程度

继续阅读

雷神众测漏洞周报2022.08.29-2022.09.04-4

发布于 作者:

雷神众测漏洞周报2022.08.29-2022.09.04-4 原创 雷神众测 雷神众测 2022-09-05 15:07 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不

继续阅读

原创Paper | Cisco RV340 wfapp 命令注入漏洞(CVE-2022-20827)分析

发布于 作者:

原创Paper | Cisco RV340 wfapp 命令注入漏洞(CVE-2022-20827)分析 原创 404实验室 知道创宇404实验室 2022-08-29 09:50 作者:Rivaille@知道创宇404实验室日期:2022年8月29日 漏洞原理 这个漏洞是cisco RV340 和cisco RV160 系列中存在的一个命令注入漏洞,命令注入发生在wfapp 中,漏洞原理如下。

继续阅读

GitLab存在严重漏洞,允许通过Github导入实现远程命令执行

发布于 作者:

GitLab存在严重漏洞,允许通过Github导入实现远程命令执行 看雪学苑 看雪学苑 2022-08-25 18:02 本周一,GitLab发布了其社区版(CE)和企业版(EE)的15.3.1、15.2.3、15.1.5版本,其中包含重要的安全修复程序。 在公告中,GitLab强烈建议用户立即将其GitLab升级到这些版本之一,因GitLab CE/EE中存在一个高危漏洞。 GitLab是一个使

继续阅读

超过8万台海康威视摄像头受漏洞影响

发布于 作者:

超过8万台海康威视摄像头受漏洞影响 网络安全应急技术国家工程中心 2022-08-25 15:43 概述 安全研究人员发现有超过8万台海康威视摄像头受到CVE-2021-36260漏洞的影响。CVE-2021-36260漏洞是一个命令注入漏洞,攻击者利用该漏洞可以发送伪造的消息给有漏洞的web服务器以实现命令注入。海康威视已于2021年9月通过固件更新修复了该漏洞。 但CYFIRMA研究人员发现分

继续阅读

2022最危险的五个API安全漏洞

发布于 作者:

2022最危险的五个API安全漏洞 关键基础设施安全应急响应中心 2022-08-24 14:56 API安全漏洞仍然是企业的眼中钉,访问控制漏洞几乎成了高危漏洞的代名词。 API作为系统功能之间的关键通信方法,在网络服务中扮演着关键作用,已经成为网络攻击的热门目标。 根据API安全公司Wallarm最新发布的“2022年一季度API漏洞”报告,第一季度共发现并报告了48个与API相关的漏洞(下图

继续阅读

精品新课!Windows内核漏洞分析与EXP编写技巧

发布于 作者:

精品新课!Windows内核漏洞分析与EXP编写技巧 看雪课程 看雪学苑 2022-08-21 17:59 内核,是一个操作系统的核心。 是基于硬件的第一层软件扩充,提供操作系统的最基本的功能,是操作系统工作的基础,它负责管理系统的进程、内存、设备驱动程序、文件和网络系统,决定着系统的性能和稳定性。 作为讲师,一直以来都想找寻一个比较简单、通俗易懂的方法将很难的东西传授给学员,但是“内核“这个知识

继续阅读

雷神众测漏洞周报2022.8.8-2022.8.14

发布于 作者:

雷神众测漏洞周报2022.8.8-2022.8.14 原创 雷神众测 雷神众测 2022-08-15 15:00 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改

继续阅读

使用AFL++复现历史CVE

发布于 作者:

使用AFL++复现历史CVE Azyka 看雪学苑 2022-08-12 19:07 本文为看雪论坛优秀文章 看雪论坛作者ID:Azyka 这是我做Fuzzing101的一些笔记,通过复现CVE的方式熟悉AFL++的基本使用方式,过程对我这样的萌新十分友好,同时中间涉及到的代码审计等方面还是值得后续学习的。 Exercise 1 – Xpdf CVE-2019-13288( https

继续阅读

CVE-2018-8453提权漏洞学习笔记

发布于 作者:

CVE-2018-8453提权漏洞学习笔记 1900 看雪学苑 2022-08-11 17:59 本文为看雪论坛优秀文章 看雪论坛作者ID:1900 1.漏洞描述 由于win32kfull中的NtUserSetWindowFNID在对窗口对象的fnid进行设置的时候,没有判断该窗口是否已经释放,这样就可以对一个已经释放的窗口进行fnid的设置。而在xxxSBTrackInit和xxxFreeWin

继续阅读

上周关注度较高的产品安全漏洞(20220801-20220807)

发布于 作者:

上周关注度较高的产品安全漏洞(20220801-20220807) 国家互联网应急中心CNCERT 2022-08-09 17:24 一、境外厂商产品漏洞 1、 Pexip Infinity输入验证错误漏洞(CNVD-2022-54746) Pexip Infinity (派视普视频会议云协作平台)是挪威派世( Pexip )公司的一款视频会议云协作平台。该产品可提供高质量安全的云会议功能。 Pe

继续阅读

VMware 修复CVSS评分9.8的身份验证绕过漏洞

发布于 作者:

VMware 修复CVSS评分9.8的身份验证绕过漏洞 看雪学苑 看雪学苑 2022-08-03 17:58 8 月 2 日,虚拟化和云计算巨头 VMware 发布了一项重要的安全公告 VMSA-2022-00 21 ,通告用户修复数个在 VMware产品中发现的安全漏洞。 这些漏洞包括身份验证绕过、远程代码执行和权限提升。身份验证绕过漏洞意味着具有Workspace ONE Access、VMw

继续阅读