赛克安全本周漏洞推送(12.15-12.20)涉及Cloudlog、bmcm、汉明科技-无线控制器、迈普无线系统等产品相关漏洞 原创 马赛克安全实验室 马赛克安全实验室 2024-12-20 06:17 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联
继续阅读信息安全漏洞周报【第002期】 零零捌信安观察 银天信息 2024-12-20 03:55 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读CVE-2024-11477:7-Zip 中的严重缺陷可让黑客控制 原创 清风 白帽攻防 2024-12-20 02:36 7-Zip是一款 完全免费 而且 开源的压缩软件,相比其他软件有更高的压缩比而且相对于WinRAR不会消耗大量资源。 7-Zip 文件压缩工具中发现了一个漏洞,攻击者可以通过特制的存档远程执行恶意代码。为了解决这个问题,开发人员发布了一个更新,但必须手动安装,因为该程序不支持
继续阅读漏洞预警 | GitLab Kubernetes Proxy Response NEL头注入漏洞 浅安 浅安安全 2024-12-20 00:02 0x00 漏洞编号 – CVE-2024-11274 0x01 危险等级 – 高危 0x02 漏洞概述 GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 0x03
继续阅读【漏洞复现】方正畅享全媒体新闻采编系统reportCenter存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-12-19 22:02 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **方正全媒体新闻采编系统是面向媒体深度融合的技术平台,以大数据和AI技术为支撑,集指挥中心、采集中心、编辑中心、发布中心、绩效考核中心、资料中心
继续阅读「漏洞复现」方正畅享全媒体新闻采编系统 screen.do SQL注入漏洞 冷漠安全 冷漠安全 2024-12-19 13:57 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无
继续阅读【漏洞通告】GitLab Kubernetes Proxy Response NEL 头注入漏洞(CVE-2024-11274) 安迈信科应急响应中心 2024-12-19 12:35 01 漏洞概况 由于 GitLab CE/EE 中的 Kubernetes 代理功能未正确处理或验证注入的 Network Error Logging (NEL)头,攻击者可通过在 Kubernetes
继续阅读【漏洞通告】OpenWrt Attended SysUpgrade 命令注入漏洞(CVE-2024-54143) 安迈信科应急响应中心 2024-12-19 12:35 01 漏洞概况 OpenWrt Attended SysUpgrade (ASU) 功能中存在命令注入漏洞和哈希截断问题,详情如下: Imagebuilder命令注入漏洞:由于在镜像构建过程中,用户提供的软件
继续阅读Fortinet 警告可能导致管理员访问漏洞的关键 FortiWLM 漏洞 信息安全大事件 2024-12-19 12:00 Fortinet 针对影响 Wireless LAN Manager (FortiWLM) 的现已修补的关键安全漏洞发布了公告,该漏洞可能导致敏感信息泄露。 该漏洞被跟踪为 CVE-2023-34990,CVSS 评分为 9.6 分(满分 10.0 分)。 “FortiWL
继续阅读创宇安全智脑 | 灵当 CRM uploadify.php 任意文件上传等70个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-19 09:50 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值
继续阅读【漏洞通告】BeyondTrust RS & PRA命令注入漏洞(CVE-2024-12356) 启明星辰安全简讯 2024-12-19 09:21 一、漏洞概述 漏洞名称 BeyondTrust RS & PRA命令注入漏洞 CVE ID CVE-2024-12356 漏洞类型 命令注入 发现时间 2024-12-19 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权
继续阅读附原文 |《2024年漏洞与威胁趋势报告》深度解读 原创 知识分享者 安全极客 2024-12-19 08:00 在信息技术飞速发展的当下,网络安全已然成为全球瞩目的焦点。安全极客社区精心译制的 《2024 年漏洞与威胁趋势报告》明确指出,2023 年堪称网络安全领域的重要分水岭。这一年,新发现漏洞的数量出现了前所未有的增长态势,其中高危或严重级别的漏洞占比高达一半,漏洞利用的时间线显著缩短,然而
继续阅读近期活跃利用高危漏洞自查!含文档管理、Exchange、Apache多个产品 微步情报局 微步在线研究响应中心 2024-12-19 06:37 近期,根据微步情报局跟踪及研判,发现当前存在多个漏洞被利用,涉及电子文档安全管理系统、电子邮件系统、应用程序开发框架 等多个产品及软件。现汇总如下,建议企业尽快自查: Microsoft Exchange Server 多个远程代码执行漏洞 漏洞编号 :
继续阅读(0day)安科瑞环保用电监管云平台存在SQL注入漏洞 原创 WebSec WebSec 2024-12-19 04:19 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支
继续阅读漏洞挖掘 | Swagger UI 目录枚举小总结 白帽子左一 白帽子左一 2024-12-19 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 通过 Swagger UI 目录枚举挖掘漏洞 前言 Swagger UI 被广泛用于可视化和交互式操作 API,但开发人员经常错误配置它,或无意间暴露了敏感的端点。通过
继续阅读美国数字车牌被曝存在漏洞,车牌号码可任意修改 网络安全与人工智能研究中心 2024-12-19 03:31 Reviver公司销售的数字车牌已在美国全境使用,但车主可以通过破解这些车牌,规避交通法规甚至逃避执法部门的监控。 安全内参12月17日消息,美国越来越多的州已经可以合法购买数字车牌,并在全国范围内使用。与传统金属车牌相比,数字车牌具有一些优势。例如,车主可以动态更改显示内容,个性化展示车牌
继续阅读漏洞预警 | 孚盟云SQL注入漏洞 浅安 浅安安全 2024-12-19 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 孚盟云是一种基于云计算和物联网技术的企业服务平台,致力于为企业提供高效、便捷的数字化管理和运营解决方案。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 窃取敏感信息 简述: 孚盟云的/Ajax/Mai
继续阅读漏洞预警 | 智邦国际ERP SQL注入漏洞 浅安 浅安安全 2024-12-19 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 智邦一体化ERP将企业物流、资金流、信息流等所有资源整合在一起,对销售、采购、生产、成本、库存、分销、运输、财务、人力资源进行规划,在一套系统内解决企业所有的管理问题。 0x03 漏洞详情 漏洞类
继续阅读漏洞预警 | Ivanti Cloud Services Application身份验证绕过、命令注入和SQL注入漏洞 浅安 浅安安全 2024-12-19 00:00 0x00 漏洞编号 – # CVE-2024-11639 CVE-2024-11772 CVE-2024-11773 0x01 危险等级 – 高危 0x02 漏洞概述 Ivanti Cloud Servic
继续阅读【神兵利器】高危漏洞EXP实用性工具 cseroad 七芒星实验室 2024-12-18 23:04 项目介绍 该工具使用了ExpDemo-JavaFX项目,保留了核心的数据包请求接口,使用jdk1.8环境开发。目前编写了oa、设备、框架、产品等多个系列,对相关漏洞进行复现和分析,极力避免exp的误报和有效性。 截止到目前为止,已实现了用友、泛微、蓝凌、万户、帆软报表、致远、通达、红帆、金和、金蝶
继续阅读【漏洞复现】泛微云桥e-Bridge checkMobile存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-12-18 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **泛微云桥e-Bridge 是一款办公自动化工具,主要提供文档管理、流程管理、协同办公、知识管理和移动办公等功能。它的目标是将企业内部的各种业务流
继续阅读【漏洞预警】Apache Tomcat 条件竞争漏洞(CVE-2024-50379) 原创 聚焦网络安全情报 安全聚 2024-12-18 11:30 严 重 公 告 近日,安全聚实验室监测到 Apache Tomcat 存在条件竞争漏洞 ,编号为:CVE-2024-50379,CVSS:9.8 此漏洞允许未经身份验证的攻击者在启用默认 servlet 写入时对不区分大小写的文件系统进行远程命令
继续阅读大众信息娱乐单元存在多个漏洞,可用于实时追踪车辆位置 代码卫士 2024-12-18 09:59 聚焦源代码安全,网罗国内外最新资讯! 作者:Pierluigi Paganini**** 编译:代码卫士 网络安全公司 PCAutomotive 在大众集团使用的一些汽车的信息娱乐单元中发现了多个漏洞,可被用于远程实现某种程度的控制并实时追踪车辆位置。 由Danila Parnishchev 和 Ar
继续阅读信息安全漏洞周报(2024年第51期) 原创 CNNVD CNNVD安全动态 2024-12-18 08:16 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周2024年12月9日至2024年12月15日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1265个。 接报漏洞情况 本周CNNVD接报漏洞28587个,其中信息技术产品漏洞(通用型漏洞)293个
继续阅读安全通告丨网络安全漏洞通告(2024年12月) 创信华通 2024-12-18 07:25 作为国内权威的安全漏洞通告组织,创信华通基于自身的威胁情报和漏洞挖掘能力,对全球最新的安全漏洞及安全事件进行跟踪研究,在第一时间向用户提供高危漏洞、威胁攻击的解决办法及情报资讯,以帮助用户提升网络安全的预警和响应能力。 一、 漏洞态势 / 2024.12 高危漏洞预警 在第一时间内向用户发布高危漏洞预警,通
继续阅读cve-2024-53376:CyberPanel RCE 已发布PoC 棉花糖fans 2024-12-18 04:55 安全研究员 Thanatos 发现流行的虚拟主机控制面板 CyberPanel 存在一个严重漏洞 (CVE-2024-53376),攻击者可利用该漏洞完全控制服务器。2.3.8 之前的 CyberPanel 版本易受此安全漏洞影响,通过验证的用户可注入并执行操作系统 (O
继续阅读【漏洞复现】某平台-getTotalData-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-18 02:25 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间
继续阅读极致经典 | 一次客户系统渗透,多种经典漏洞集合于一身 原创 犀利猪 犀利猪安全 2024-12-18 02:20 文章转载至: https://xz.aliyun.com/t/16747 作者:消失的猪猪 0x00 文章前言 一次客户系统的测试,全程码死,整个系统存在多种类型漏洞。给大家看看,展开思路,自我感觉属于是相当经典的一次测试,漏洞也是相当经典的几种漏洞。 0x01 测试开始 开局一个登
继续阅读充值499元成为VIP,开通权限后随时可约!|神漏洞!任意修改车牌号码,让其他车主支付过路费和罚单; 黑白之道 2024-12-18 01:56 充值499元成为VIP,开通权限后随时可约! “充值499元成为VIP 可与美女约会!” 还有这等好事? 近日有人落入圈套 先充会员再刷单 11月1日19时 家住日照高新的小王刷视频 时 看到一条 “同城交友”广告 “充值499注册成为会员 可与美女约会
继续阅读