Ubuntu Linux 受到“需要重启”漏洞的影响,该漏洞会导致本地提权到 root
Ubuntu Linux 受到“需要重启”漏洞的影响,该漏洞会导致本地提权到 root Rhinoer 犀牛安全 2024-11-29 16:01 自 10 多年前推出的 Ubuntu Linux 21.04 版本以来,在默认使用的 needrestart 实用程序中发现了五个本地权限提升 (LPE) 漏洞。 这些漏洞由 Qualys 发现,编号为 CVE-2024-48990、CVE-2024-
继续阅读标签: SQL注入
记一次小程序渗透测试到通杀RCE(0day)
记一次小程序渗透测试到通杀RCE(0day) 实战安全研究 2024-11-29 14:39 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 朋友委托我帮忙测一下他搭建的小程序,记录一下,从一个小程序开始挖掘,直接挖到通杀所有同类型站点的组合拳RCE,部分截图厚码请见谅. 0x01前期准备 寻找小程序目录可以通过设置-文件管理-打开文件夹-Applet目录里就是存放小程序的文件夹了. 先用
继续阅读漏洞推送|某信公交apply存在SQL注入漏洞
漏洞推送|某信公交apply存在SQL注入漏洞 小白菜安全 小白菜安全 2024-11-29 12:07 漏洞描述 海信智能公交企业管理系统是一款基于大数据和人工智能技术构建的综合管理系统,旨在全面提升公交企业的安全保障能力、运营生产效率、企业管理水平、决策分析能力和乘客出行体验。该系统apply存在SQL注入漏洞,攻击者通过该漏洞获取敏感信息。 资产信息 fofa:”HisModul
继续阅读速修复!Advantech 工业WiFi 访问点中存在20个漏洞
速修复!Advantech 工业WiFi 访问点中存在20个漏洞 Ravie Lakshmanan 代码卫士 2024-11-29 10:27 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Advantech EKI 工业级无线访问点设备中存在20个漏洞,可被攻击者通过提升后的权限绕过认证并执行代码。 上周三,网络安全公司 Nozomi Networks 在一篇文章分析中提到,“这些漏洞带
继续阅读【漏洞复现】安科瑞环保用电监管云平台 HomenewLogin SQL注入漏洞复现
【漏洞复现】安科瑞环保用电监管云平台 HomenewLogin SQL注入漏洞复现 河北镌远 河北镌远网络科技有限公司 2024-11-29 10:23 点击箭头处 “蓝色字” ,关注我们哦!! 产品简介 AcrelCloud-3000环保用电监管云平台依托创新的物联网电力传感技术,实时采集企业总用电、生产设备及环保治理设备用电数据,通过关联分析、超限分析、停电分析、停限产分析,结合及时发现环保治
继续阅读懂微百择唯·供应链 RankingGoodsList2 SQL注入致RCE漏洞
懂微百择唯·供应链 RankingGoodsList2 SQL注入致RCE漏洞 Superhero nday POC 2024-11-29 09:29 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读【漏洞通告】ProjectSend身份验证绕过漏洞安全风险通告
【漏洞通告】ProjectSend身份验证绕过漏洞安全风险通告 嘉诚安全 2024-11-29 07:50 漏洞背景 近日,嘉诚安全监测到ProjectSend修复了一个身份验证绕过漏洞,漏洞编号为: CVE-2024-11680。 ProjectSend是一个开源文件共享Web应用程序,旨在促进服务器管理员和客户端之间的安全、私密文件传输。 鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版
继续阅读【漏洞通告】Zabbix SQL注入漏洞安全风险通告
【漏洞通告】Zabbix SQL注入漏洞安全风险通告 嘉诚安全 2024-11-29 07:50 漏洞背景 近日,嘉诚安全监测到Zabbix中修复了一个SQL注入漏洞,漏洞编号为: CVE-2024-42327。 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等。 鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本
继续阅读Shiro漏洞利用工具
Shiro漏洞利用工具 黑白之道 2024-11-29 06:18 1► 工具介绍 2► 工具使用 C:\Tools\Red_Tools\ShiroEXP>java -jar ShiroEXP.jar -h _____ __ _ ______ _ __ ____ / ___/ / /_ (_) _____ ____ / ____/ | |/ / / __ \ \__ \ / __ \ / /
继续阅读WPS最新0day漏洞?电脑被控仅仅是一个PDF(含视频)
WPS最新0day漏洞?电脑被控仅仅是一个PDF(含视频) 原创 余老师 白帽子安全笔记 2024-11-29 05:18 继上篇文章,我们发现使用Adobe 打开PDF 可导致电脑被远程控制《无法被拦截的PDF钓鱼》 ,而现在使用WPS 的用户也面临同样的问题,赶紧一起来看下。 WPS-PDF注入 此方式由于无需利用漏洞,无需伪装,正常PDF 弹出一个对话框要求重定向到外部网站,引导用户下载所谓
继续阅读仍未出补丁,Windows新的PE漏洞及完整利用代码
仍未出补丁,Windows新的PE漏洞及完整利用代码 二进制空间安全 2024-11-29 03:34 part1 点击上方 蓝字关注我们 往期推荐 解密还原被BitLocker加密的数据 MySQL渗透实战 比netcat更高级的网络渗透基础工具 黑客渗透超级管理终端 一款超乎想象的Windows提权工具 世界顶级渗透测试标准方法 Nmap的三种漏洞扫描模式原理及实战讲解 Windows下24种
继续阅读【漏洞复现】某平台-statusList-sql注入漏洞
【漏洞复现】某平台-statusList-sql注入漏洞 原创 南极熊 SCA御盾 2024-11-29 03:21 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后
继续阅读「漏洞复现」《黄药师》药业管理软件 XSDService.asmx SQL注入漏洞
「漏洞复现」《黄药师》药业管理软件 XSDService.asmx SQL注入漏洞 冷漠安全 冷漠安全 2024-11-29 02:30 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读Java反序列化漏洞之JNDI注入原理及利用IDEA漏洞复现
Java反序列化漏洞之JNDI注入原理及利用IDEA漏洞复现 原创 神农Sec 神农Sec 2024-11-29 01:38 扫码领资料 获网安教程 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 本篇文章我也是看过很多的博客写的,中间也遇到很多问题,JNDI注入漏洞的危害还是蛮高的。下面我们从RMI
继续阅读漏洞预警 | 任我行协同CRM普及版SQL注入漏洞
漏洞预警 | 任我行协同CRM普及版SQL注入漏洞 浅安 浅安安全 2024-11-29 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 任我行协同CRM普及版是由成都市任我行信息技术有限公司开发的一款客户关系管理软件。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 任我行协同CRM普及版的
继续阅读漏洞预警 | 辰信景云终端安全管理系统SQL注入漏洞
漏洞预警 | 辰信景云终端安全管理系统SQL注入漏洞 浅安 浅安安全 2024-11-29 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 辰信景云终端安全管理系统通过统一的安全管理平台,整合多种终端防护技术,覆盖终端资产管理、病毒防护、补丁修复、安全审计等功能,全面保护企业的终端设备免受安全威胁。 0x03 漏洞详情 漏洞类
继续阅读构建 Spectre:用于 XSS 漏洞利用的红队工具(第 1 部分)
构建 Spectre:用于 XSS 漏洞利用的红队工具(第 1 部分) haidragon 安全狗的自我修养 2024-11-28 23:12 介绍 每个红队成员都有他们最喜欢的工具集,但有时当它们都没有完全满足你的需求时,你会碰壁。这就是我在处理基于浏览器的攻击时发现自己遇到的情况,尤其是围绕 XSS 利用的攻击。有很好的工具可以查找 XSS 漏洞,但我想要一些可以快速、动态和交互式地显示影响
继续阅读【0Day】圣乔ERP系统name*存在SQL注入漏洞
【0Day】圣乔ERP系统name*存在SQL注入漏洞 原创 xiachuchunmo 银遁安全团队 2024-11-28 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 *圣乔 ERP系统是杭州圣乔科技有限公司开发的一款企业级管理软件,旨在为企业提供一套全面、集成化的管理解决方案,帮助企业实现资源的优化配置和高效利用。该系统集成了财务
继续阅读Nacos2.4.3新版漏洞利用方式总结
Nacos2.4.3新版漏洞利用方式总结 船山信安 2024-11-28 16:37 ilter分析寻找未授权接口 HttpRequestContextFilter 获取请求头信息, AuthFilter 获取uri,token,权限控制 ParamCheckerFilter 处理参数,过滤恶意字符 AuthFilter, 请求头如果存在jwt秘钥,那么就进入下个filter, 如果配置了naco
继续阅读Altenergy电力系统控制软件 status_zigbee SQL注入漏洞(CVE-2024-11305)
Altenergy电力系统控制软件 status_zigbee SQL注入漏洞(CVE-2024-11305) Superhero nday POC 2024-11-28 13:48 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行
继续阅读【工具推荐】springboot打点工具,内置目前springboot所有漏洞
【工具推荐】springboot打点工具,内置目前springboot所有漏洞 wh1t3zer Z2O安全攻防 2024-11-28 13:28 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习
继续阅读【漏洞预警】Zabbix SQL注入漏洞(CVE-2024-42327)
【漏洞预警】Zabbix SQL注入漏洞(CVE-2024-42327) cexlife 飓风网络安全 2024-11-28 13:17 漏洞描述: Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等,Zabbix中修复了一个SQL注入漏洞(CVE-2024-42327),该漏洞的CVSS评分为9.9,Zabbix前端的C
继续阅读【漏洞通告】Zabbix 服务器SQL注入漏洞(CVE-2024-42327)
【漏洞通告】Zabbix 服务器SQL注入漏洞(CVE-2024-42327) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-11-28 10:01 漏洞名称: Zabbix 服务器sql注入漏洞 (CVE-2024-42327) 组件名称: Zabbix 影响范围: 6.0.0 ≤ Zabbix < 6.0.32rc16.4.0 ≤ Zabbix < 6.4.17rc1Zabb
继续阅读开源文件共享软件存在严重漏洞CVE-2024-11680,已有公开的PoC
开源文件共享软件存在严重漏洞CVE-2024-11680,已有公开的PoC 原创 棉花糖糖糖 棉花糖fans 2024-11-28 09:55 编者荐语: 新开的号,以后新闻、情报乱七八糟的将会在新号发,还会再开一个工具号专门发工具,fans这个号将只用来给大家分享一些娱乐向的内容 CVE-2024-11680 CVE-2024-11680 根据VulnCheck的报告,开源文件共享应用程序Pro
继续阅读创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测
创宇安全智脑 | 用友 NC process SQL注入等73个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-11-28 09:31 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态
继续阅读【漏洞通告】ProjectSend身份验证绕过漏洞(CVE-2024-11680)
【漏洞通告】ProjectSend身份验证绕过漏洞(CVE-2024-11680) 启明星辰安全简讯 2024-11-28 08:39 一、漏洞概述 漏洞名称 ProjectSend身份验证绕过漏洞 CVE ID CVE-2024-11680 漏洞类型 身份验证不当 发现时间 2024-11-28 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 Po
继续阅读【漏洞通告】Zabbix SQL注入漏洞(CVE-2024-42327)
【漏洞通告】Zabbix SQL注入漏洞(CVE-2024-42327) 启明星辰安全简讯 2024-11-28 08:39 一、漏洞概述 漏洞名称 Zabbix SQL注入漏洞 CVE ID CVE-2024-42327 漏洞类型 SQL注入 发现时间 2024-11-28 漏洞评分 9.9 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公
继续阅读构建电子政务全渠道安全防御体系 梆梆安全亮相2024网络安全创新发展大会
构建电子政务全渠道安全防御体系 梆梆安全亮相2024网络安全创新发展大会 梆梆安全 2024-11-28 08:01 2024年11月27日,由中国计算机学会计算机安全专业委员会指导,国家信息中心下属《信息安全研究》杂志社主办的“2024网络安全创新发展大会”在北京成功召开。大会以“数实融合 安全赋能”为主题,重点围绕数字中国建设、数字安全治理等方面议题展开讨论。梆梆安全受邀参加本次大会,并与现场
继续阅读「漏洞复现」安科瑞环保用电监管云平台 GetEnterpriseInfoById SQL注入漏洞
「漏洞复现」安科瑞环保用电监管云平台 GetEnterpriseInfoById SQL注入漏洞 冷漠安全 冷漠安全 2024-11-28 05:45 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法
继续阅读【漏洞复现】某平台-receiptDetail-mysql-sql注入漏洞
【漏洞复现】某平台-receiptDetail-mysql-sql注入漏洞 原创 南极熊 SCA御盾 2024-11-28 02:17 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而
继续阅读