信息安全漏洞周报(2024年第48期)
信息安全漏洞周报(2024年第48期) 原创 CNNVD CNNVD安全动态 2024-11-28 01:34 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周2024年11月18日至2024年11月24日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1224个。接报漏洞情况本周CNNVD接报漏洞11584个,其中信息技术产品漏洞(通用型漏洞)281个,
继续阅读标签: SQL注入
漏洞预警 | 懂微百择唯·供应链SQL注入漏洞
漏洞预警 | 懂微百择唯·供应链SQL注入漏洞 浅安 浅安安全 2024-11-28 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 懂微科技是一家专注于办公服务行业电商解决方案的提供商,致力于为办公服务行业赋能、提升效率和核心竞争力。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 懂微百择
继续阅读【大量存在】用友U8C ajaxgetborrowdata存在SQL注入漏洞
【大量存在】用友U8C ajaxgetborrowdata存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-27 22:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **用友crm客户关系管理的第一需求就是对客户信息的集中管理和共享利用,即客户资源的企业化管理,避免因业务调整或人员变动造成的客户资源流失和客户管理盲
继续阅读顺景ERP GetFile接口存在任意文件读取漏洞 附POC
顺景ERP GetFile接口存在任意文件读取漏洞 附POC 2024-11-27更新 南风漏洞复现文库 2024-11-27 15:14 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 顺景ERP简介 微信公众号搜索:南风漏洞复现文库
继续阅读Palo Alto 防火墙 0day 由低级开发错误引发
Palo Alto 防火墙 0day 由低级开发错误引发 代码卫士 2024-11-27 09:35 聚焦源代码安全,网罗国内外最新资讯! 作者:Lucian Constantin 编译:代码卫士 攻击者正在利用两个在野漏洞,经由 PAN-OS 管理 web 界面绕过认证并提权,以获得 Palo Alto Networks 防火墙上的root权限。 Palo Alto Networks 公司已修复
继续阅读上周关注度较高的产品安全漏洞(20241118-20241124)
上周关注度较高的产品安全漏洞(20241118-20241124) 深信服千里目安全技术中心 2024-11-27 08:44 一、境外厂商产品漏洞 1、Google Android权限提升漏洞(CNVD-2024-45234) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞是由于Package
继续阅读【工具分享】某 FE 平台一键漏洞探测工具
【工具分享】某 FE 平台一键漏洞探测工具 M0untainShley 篝火信安 2024-11-27 06:35 0x00 简介 该程序是某 FE 平台一键漏洞探测工具,目前支持探测的漏洞类型有16个,同时支持单url以及批量探测。 0x01 开发/运行环境 基于 javafx jdk 1.8 进行开发,使用 jdk 1.8 运行。 0x02 支持探测的漏洞类型 uploadAttachment
继续阅读大模型应用实践(一):AI助力Code Review安全漏洞发现
大模型应用实践(一):AI助力Code Review安全漏洞发现 原创 腾讯啄木鸟团队 腾讯安全应急响应中心 2024-11-27 03:02 大模型技术的涌现,为行业不断突破安全防护的能力上限提供了新的契机。我们在将大模型技术引入安全垂类领域方面也做了很多尝试,并沉淀形成大模型应用实践系列文章。作为该系列的开篇,本文重点介绍在代码安全领域安全左移的落地实践经验。后续还将推出更多关于大模型在研发安
继续阅读IBM 修补数据虚拟化管理器、安全 SOAR 中的 RCE 漏洞
IBM 修补数据虚拟化管理器、安全 SOAR 中的 RCE 漏洞 原创 何威风 祺印说信安 2024-11-26 16:00 IBM 周一宣布修复其产品的多个漏洞,包括数据虚拟化管理器和安全 SOAR 中的两个高严重性远程代码执行 (RCE) 问题。 该漏洞编号为 CVE-2024-52899(CVSS 评分为 8.5),存在于 z/OS 数据虚拟化管理器中,可能允许远程经过身份验证的攻击者注入恶
继续阅读网安瞭望台第5期 :7zip出现严重漏洞、识别网络钓鱼诈骗的方法分享
网安瞭望台第5期 :7zip出现严重漏洞、识别网络钓鱼诈骗的方法分享 原创 扬名堂 东方隐侠安全团队 2024-11-26 14:28 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 7 – Zip存在高危漏洞,请立刻更新 2024 年 11 月 24 日,do son 报道了 7 – Zip
继续阅读用友NC process接口存在SQL注入漏洞 附POC
用友NC process接口存在SQL注入漏洞 附POC 2024-11-26更新 南风漏洞复现文库 2024-11-26 13:39 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. 用友NC简介 微信公众号搜索:南风漏洞复现文库
继续阅读360发布大模型安全警报:近40个漏洞易被利用,60美元即可投毒
360发布大模型安全警报:近40个漏洞易被利用,60美元即可投毒 中国信息安全 2024-11-26 10:59 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 11月25日,360数字安全集团漏洞研究院发布了全球首份一份《大模型安全漏洞报告》, 揭示了当前以大模型为核心的大量技术应用在计算机安全领域带来的诸多新风险和挑战。据报告统计,360安全团队在近期的研究
继续阅读低成本就能给大模型投毒?360发布全球首份大模型漏洞报告
低成本就能给大模型投毒?360发布全球首份大模型漏洞报告 360数字安全集团 FreeBuf 2024-11-26 10:57 11月25日,360数字安全集团漏洞研究院发布了全球首份《大模型安全漏洞报告》,揭示了当前以大模型为核心的大量技术应用在计算机安全领域带来的诸多新风险和挑战。 据报告统计,360安全团队在近期的研究中挖掘了近40个大模型相关的安全漏洞,覆盖模型层、框架层、应用层三大层面,
继续阅读QNAP修复NAS、路由器软件中的严重漏洞
QNAP修复NAS、路由器软件中的严重漏洞 Bill Toulas 代码卫士 2024-11-26 10:21 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 QNAP 在上周末发布安全通告,修复了多个漏洞,其中包括三个严重漏洞,用户应尽快予以修复。 从 QNAP Notes Station 3(该公司NAS系统中所用的记笔记和协作应用)版本开始,受如下两个漏洞的影响: CVE-2024-3
继续阅读惊喜开班!系统0day安全-IOT设备漏洞挖掘
惊喜开班!系统0day安全-IOT设备漏洞挖掘 看雪课程 看雪学苑 2024-11-26 10:00 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureNexusLab】,
继续阅读semcms存在多处漏洞(水一篇文章)
semcms存在多处漏洞(水一篇文章) 原创 自然嗨 嗨嗨安全 2024-11-26 09:14 声明 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 前期提要: 该cms的漏洞均已被修复,只探讨寻找漏洞的过程。 漏洞较为基础 。 如有侵权!请后台联系,删除文章。
继续阅读「漏洞复现」海信智能公交企业管理系统 AdjustWorkHours.aspx SQL注入漏洞
「漏洞复现」海信智能公交企业管理系统 AdjustWorkHours.aspx SQL注入漏洞 冷漠安全 冷漠安全 2024-11-26 08:47 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞
网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞 安全内参编译 安全内参 2024-11-26 08:36 关注我们 带你读懂网络安全 攻击者通过组合利用两个零日漏洞,实现了远程完全控制PAN-OS安全设备; 据第三方监测,自攻击活动开始以来,已有约2000台PAN-OS设备被入侵; 研究人员对官方修复补丁进行逆向工程,发现这些漏洞源于开发中的低级错误。 前情回顾·零日漏
继续阅读.NET内网实战:通过动态编译混淆代码执行Shellcode
.NET内网实战:通过动态编译混淆代码执行Shellcode 原创 专攻.NET安全的 dotNet安全矩阵 2024-11-26 08:22 01 阅读须知 此文所节选自小报童《.NET 内网实战攻防》专栏,主要 内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报刊,解锁更多的报刊内容。 02 基本介绍 本文内容部分节选自小 报童《
继续阅读如何通过发现 API漏洞赚到百万美刀
如何通过发现 API漏洞赚到百万美刀 迪哥讲事 2024-11-26 02:30 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发放了超过3亿美
继续阅读【漏洞复现】某平台-quickReceiptDetail-mysql-sql注入漏洞
【漏洞复现】某平台-quickReceiptDetail-mysql-sql注入漏洞 原创 南极熊 SCA御盾 2024-11-26 02:22 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提
继续阅读企望制造ERP系统 drawGrid.action SQL注入漏洞
企望制造ERP系统 drawGrid.action SQL注入漏洞 Superhero nday POC 2024-11-26 02:05 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读【漏洞复现】致翔OA接口open_juese.aspx存在SQL注入漏洞
【漏洞复现】致翔OA接口open_juese.aspx存在SQL注入漏洞 原创 漏洞文库 漏洞文库 2024-11-26 01:09 免责声明 **** 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的
继续阅读重点防范!官方最新通报一批恶意网址和高危漏洞
重点防范!官方最新通报一批恶意网址和高危漏洞 威努特安全网络 2024-11-26 00:02 近期,中国国家网络与信息安全信息通报中心持续发现一批境外恶意网址和恶意IP,有多个具有某大国政府背景的境外黑客组织,利用这些网址和IP持续对中国和其他国家发起网络攻击。 这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、网络钓鱼、勒索病毒等,以达到窃取商业秘密和知
继续阅读漏洞预警 | Apache Ofbiz表达式注入和模板注入漏洞
漏洞预警 | Apache Ofbiz表达式注入和模板注入漏洞 浅安 浅安安全 2024-11-26 00:01 0x00 漏洞编号 – CVE-2024-47208 CVE-2024-48962 0x01 危险等级 – 高危 0x02 漏洞概述 Apache OFBiz是Apache的一套企业资源计划系统,提供了一整套基于Java的Web应用程序组件和工具。 0x03 漏
继续阅读【神兵利器】Spring-Boot漏洞利用工具
【神兵利器】Spring-Boot漏洞利用工具 wh1t3zer 七芒星实验室 2024-11-25 23:00 项目介绍 SpringBootVul-GUI是 一个半自动化springboot打点工具,内置目前springboot所有漏洞 文件结构 ├──SpringbootVul-GUI ├── META-INF/ ├── resources/ # 存放资源文件、字典和exp的跨文件 ├──
继续阅读远程未授权访问漏洞(CVE-2024-23692)
远程未授权访问漏洞(CVE-2024-23692) XiaomingX Web安全工具库 2024-11-25 16:02 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
继续阅读HTB-Chemistry靶机渗透,CVE-2024-23334系统目录遍历,导致权限提升
HTB-Chemistry靶机渗透,CVE-2024-23334系统目录遍历,导致权限提升 原创 仙草里没有草噜丶 泷羽Sec 2024-11-25 11:58 ~ 两个人挺好,一个人也不错。 ~ Goby2024红队版工具分享,附2024年漏洞POC下载 谁的能拒绝这样一款终端呢? 靶机 image-20241125150033245 靶机渗透 首页 image-2024112312493406
继续阅读