【漏洞预警】Argo CD 存在 CSRF 漏洞(CVE-2024-22259)
【漏洞预警】Argo CD 存在 CSRF 漏洞(CVE-2024-22259) cexlife 飓风网络安全 2024-03-15 17:50 漏洞描述:Argo CD 是一个声明式的 GitOps 持续交付工具,用于在 Kubernetes 环境中进行应用程序的持续交付和部署管理,受影响版本中由于未对argocd.argoproj.io 注释中的URL协议正确过滤,具有ArgoCD管理资源的写
继续阅读标签: SQL注入
Fortinet FortiClientEMS SQL注入漏洞(CVE-2023-48788)安全风险通告
Fortinet FortiClientEMS SQL注入漏洞(CVE-2023-48788)安全风险通告 奇安信 CERT 2024-03-15 16:52 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiClientEMS SQL注入漏洞 漏洞编号 QVD-2024-9228, CVE-2023-48788 公开时间 2024-03-14 影响量
继续阅读【已复现】 通天星CMSV6车载定位监控平台SQL注入致远程代码执行漏洞
【已复现】 通天星CMSV6车载定位监控平台SQL注入致远程代码执行漏洞 长亭安全应急响应中心 2024-03-15 16:51 通天星CMSV6车载定位监控平台是一种先进的车辆监控系统,提供实时定位、视频监控和车辆管理功能,用于提高车辆安全和运营效率。2024年3月,互联网上披露通天星CMSV6车载定位监控平台官方发布了新版本修复了一处SQL注入漏洞。长亭应急团队经过分析后发现该漏洞可通过SQL
继续阅读开发和安全人员看过来!Kubernetes RCE 漏洞允许完全接管 Windows 节点
开发和安全人员看过来!Kubernetes RCE 漏洞允许完全接管 Windows 节点 安全客 2024-03-15 15:01 广泛使用的 Kubernetes 容器管理系统中的一个安全漏洞允许攻击者在 Windows 端点上以系统权限远程执行代码,从而可能导致完全接管Kubernetes 集群内的所有 Windows 节点。 Akamai 安全研究员 Tomer Peled 发现了该漏洞,
继续阅读360漏洞情报:Fortinet FortiClientEMS SQL注入漏洞发布
360漏洞情报:Fortinet FortiClientEMS SQL注入漏洞发布 安全客 2024-03-15 15:01 漏洞信息: 漏洞编号: CVE-2023-48788 漏洞类型: SQL注入 漏洞等级:严重 (9.8) 所属厂商: Fortinet 发布时间: 2024-03-14 18:15:14 漏洞描述: Fortinet FortiClientEMS 是一款用于管理和保护 F
继续阅读漏洞通告 | 通天星CMSV6车载定位监控平台系列漏洞
漏洞通告 | 通天星CMSV6车载定位监控平台系列漏洞 原创 微步情报局 微步在线研究响应中心 2024-03-15 11:31 漏洞概况 通天星CMSV6车载定位监控平台拥有以位置服务、无线3G/4G视频传输、云存储服务为核心的研发团队,专注于为定位、无线视频终端产品提供平台服务,通天星CMSV6产品覆盖车载录像机 、单兵 录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。 微步漏洞团队通
继续阅读Fortinet 提醒注意端点管理软件中的严重RCE漏洞
Fortinet 提醒注意端点管理软件中的严重RCE漏洞 SERGIU GATLAN 代码卫士 2024-03-14 17:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet 修复了位于 FortiClient Enterprise Management Server (EMS) 软件中的一个严重漏洞,可导致攻击者在易受攻击的服务器上获得远程代码执行 (RCE)。 For
继续阅读黑客利用 Windows SmartScreen 漏洞投放 DarkGate 恶意软件
黑客利用 Windows SmartScreen 漏洞投放 DarkGate 恶意软件 安全客 2024-03-14 14:53 DarkGate 恶意软件操作发起的新一波攻击利用现已修复的 Windows Defender SmartScreen 漏洞来绕过安全检查并自动安装虚假软件安装程序。SmartScreen 是一项 Windows 安全功能,当用户尝试运行从 Internet 下载的无法
继续阅读弹出生成器WordPress插件漏洞利用
弹出生成器WordPress插件漏洞利用 THN 知机安全 2024-03-13 09:58 A new malware campaign is leveraging a high-severity security flaw in the Popup Builder plugin for WordPress to inject malicious JavaScript code. 一项新的恶意软
继续阅读抓包学的好,劳饭吃的饱,利用Burp Suite插件进行自动化漏洞挖掘【附完整代码】
抓包学的好,劳饭吃的饱,利用Burp Suite插件进行自动化漏洞挖掘【附完整代码】 Sec探索者 2024-03-13 09:53 需求分析 测试sql基本注入的载荷,在可能有sql发送测试包,目前只测试url中的,并可以根据错误回显判断出数据库类型,需要有用户界面,可以加载到Burp的Extensions模块 环境准备:Jython BurpSuite 是使用 Java 编程语言编写的,所以想
继续阅读Ultimate Member Plugin 漏洞致 10 万个 WordPress 网站遭受攻击
Ultimate Member Plugin 漏洞致 10 万个 WordPress 网站遭受攻击 SOC 赛欧思安全研究实验室 2024-03-13 09:30 – 意大利数据监管机构对Sora展开调查 网安并购 | 拟出资19亿元,控股国盾量子 网络攻击导致莱斯特市政府 IT系统和电话瘫痪 又是一天,英国的一个地方议会又遭到了网络攻击!莱斯特市议会正在努力应对网络攻击,这对居民造成
继续阅读【高危漏洞】 北京亿赛通电子文档安全管理系统存在SQL注入漏洞
【高危漏洞】 北京亿赛通电子文档安全管理系统存在SQL注入漏洞 皓月当空w 2024-03-13 09:14 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞早知道 漏洞名称:北京亿赛通电子文档安全管理系统存在SQL注入漏洞 漏洞出现时间:2024年3月13日 影响等级:高危 漏洞说明: 北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据
继续阅读About一个高价值漏洞采集与推送服务
About一个高价值漏洞采集与推送服务 zema1 黑客白帽子 2024-03-13 08:01 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 众所周知,CVE 漏洞库中 99% 以上的漏洞只是无现实意义的编号。我想集中精力看下当下需要关注的高价值漏洞有哪些,而不是被各类 RSS 和公众号的 威胁情报 淹没。于
继续阅读漏洞预警 | 畅捷通T+ SQL注入漏洞
漏洞预警 | 畅捷通T+ SQL注入漏洞 浅安 浅安安全 2024-03-13 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 畅捷通T+是一款主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 命令执行 简述:
继续阅读SpringBlade list接口存在SQL注入漏洞 附POC软件
SpringBlade list接口存在SQL注入漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-03-12 22:05 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. SpringBlade简介 微信公众号搜索:南风漏洞复现
继续阅读【安全圈】因Ultimate Member Plugin出现安全漏洞,10 万个 WordPress 网站遭受攻击
【安全圈】因Ultimate Member Plugin出现安全漏洞,10 万个 WordPress 网站遭受攻击 安全圈 2024-03-12 19:01 关键词 安全漏洞 WordPress安全公司Defiant的Wordfence团队最近发布了一个警告,指出Ultimate Member插件存在一个高危漏洞,可被利用进行跨站脚本(XSS)攻击,允许攻击者注入恶意脚本到WordPress网站。
继续阅读迅雷客户端被称存在多个高危漏洞
迅雷客户端被称存在多个高危漏洞 摸鱼的小A WIN哥学安全 2024-03-12 18:19 朋 友发给我的一篇文章,标题是《 Numerous vulnerabilities in Xunlei Accelerator application 》,也就是“在迅雷的加速器应用中发现数个漏洞”。 文章原文链接 我放在这里了: https://palant.info/2024/03/06/numero
继续阅读上周关注度较高的产品安全漏洞(20240304-20240310)
上周关注度较高的产品安全漏洞(20240304-20240310) 深信服千里目安全技术中心 2024-03-12 14:54 一、境外厂商产品漏洞 1、 IBM Security Guardium操作系统命令注入漏洞(CNVD-2024-11735) IBM Security Guardium是美国国际商业机器(IBM)公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审
继续阅读OpenSSH升级到9.6P1以修复CVE-2023-51385漏洞
OpenSSH升级到9.6P1以修复CVE-2023-51385漏洞 原创 网络安全菜鸟 安全孺子牛 2024-03-11 21:00 1.漏洞简介 漏洞详情: 此漏洞是由于OpenSSH中的ProxyCommand命令未对%h、%p或类似的扩展标记进行正确的过滤,攻击者可通过这些值注入恶意shell字符进行命令注入攻击。 影响范围: OpenSSH<9.6 官方补丁: 目前官方已修复该漏洞
继续阅读lineCTF-22Gotom复现含docker环境
lineCTF-22Gotom复现含docker环境 原创 Zacarx Zacarx随笔 2024-03-11 19:23 这个月今年陆陆续续学了挺多go的语法 于是找了一道不算很难的题目来看看 于是我在github找到了这个题 由于是国外的go题,国内docker拉取有一些问题 下面是我改进的: gotom.zip 解压直接运行run.sh即可一键启动 有任何问题可以直接公众号给我发消息或者
继续阅读可未经授权远程破坏系统,威联通披露其NAS产品三个漏洞
可未经授权远程破坏系统,威联通披露其NAS产品三个漏洞 看雪学苑 看雪学苑 2024-03-11 18:00 3月9日,知名网络附加存储(NAS)设备制造商威联通(QNAP)发布了一则安全公告,披露其NAS产品(如QTS、QuTS hero、QuTScloud和myQNAPcloud)中存在三个漏洞,攻击者能够利用这些漏洞通过网络来破坏系统安全或执行恶意代码。 漏洞详情如下: CVE-2024-2
继续阅读QNAP提醒注意NAS设备中严重的认证绕过漏洞
QNAP提醒注意NAS设备中严重的认证绕过漏洞 Bill Toulas 代码卫士 2024-03-11 17:54 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 QNAP提醒称,NAS 软件产品包括 QTS、QuTS hero、QuTScloud和myQNAPcloud 中存在多个漏洞,可导致攻击者访问设备。 QNAP披露了三个漏洞,它们可导致认证绕过、命令注入和SQL注入后果。虽然后两类
继续阅读雷神众测漏洞周报2024.3.04-2024.3.10
雷神众测漏洞周报2024.3.04-2024.3.10 原创 雷神众测 雷神众测 2024-03-11 16:08 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读CVE-2024-2330漏洞复现(POC)
CVE-2024-2330漏洞复现(POC) 原创 fgz AI与网安 2024-03-11 07:03 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 网康NS-ASG应用安全网关index.php sql注入 漏洞 02 — 漏洞影响 Nete
继续阅读【安全圈】谷歌修补Pixel漏洞,CISA发现可能被商业间谍软件供应商利用
【安全圈】谷歌修补Pixel漏洞,CISA发现可能被商业间谍软件供应商利用 安全圈 2024-03-10 19:00 关键词 安全漏洞 美国网络安全机构CISA周二将影响Pixel手机和Sunhillo软件的漏洞添加到其已知利用漏洞(KEV)目录中。 被利用的 Pixel 漏洞被跟踪为 CVE-2023-21237。谷歌在 2023 年 6 月修补该漏洞时警告说,它已经意识到“有限的、有针对性的漏
继续阅读Java实战篇-XXE漏洞利用从潜到深
Java实战篇-XXE漏洞利用从潜到深 进击安全 2024-03-09 16:02 目标 经典渗透场景 – 登录框(授权合法渗透) 初步挖掘 发现某 JSP路径返回包泄露了代码信息,且疑似存在XXE漏洞 通过泄露的代码构造出 post请求包 测试,漏洞存在 Poc: <?xml version="1.0" encoding="UTF-8"?>
继续阅读第89篇:方程式工具包远程溢出漏洞图形界面版V0.3(内置永恒之蓝、永恒冠军、永恒浪漫等)
第89篇:方程式工具包远程溢出漏洞图形界面版V0.3(内置永恒之蓝、永恒冠军、永恒浪漫等) 原创 abc123info 希潭实验室 2024-03-09 15:49 Part1 前言 大家好,我是ABC_123 。我从年前到现在,一直在整理曾经写过的红队工具,逐步把自己认为比较好用的原创工具发出来给大家用一用,方便大家在日常的攻防比赛、红队评估项目中解放双手,节省时间精力和体力。本期给大家分享的就
继续阅读思科Secure Client VPN劫持漏洞修复
思科Secure Client VPN劫持漏洞修复 THN 知机安全 2024-03-09 10:02 Cisco has released patches to address a high-severity security flaw impacting its Secure Client software that could be exploited by a threat actor t
继续阅读一款集成了JS接口提取漏洞扫描及内网渗透的工具
一款集成了JS接口提取漏洞扫描及内网渗透的工具 0x7eTeam 系统安全运维 2024-03-09 08:56 0x01 工具介绍 该工具就是作者练习javafx的产物,并没有高深莫测的功能,给自己的礼物。 0x02 功能简介基本内容 设置 代理—–推荐socksAPI配置基本工具 常用命令(爆破、文件上传、RDP相关、防火墙相关、Linux应急) 编码转换(Base6
继续阅读思科修补 VPN 产品中的高严重性漏洞
思科修补 VPN 产品中的高严重性漏洞 安全客 2024-03-08 11:54 思科发布了针对 Secure Client 中两个高严重性漏洞的补丁,Secure Client 是一款企业 VPN 应用程序,还包含安全和监控功能。 第一个漏洞被追踪为 CVE-2024-20337,影响 Secure Client 的 Linux、macOS 和 Windows 版本,并且可以在不进行身份验证的情
继续阅读