Beanshell 反序列化分析(CVE-2016-2510)
Beanshell 反序列化分析(CVE-2016-2510) 船山信安 2025-02-12 16:46 版本 <!– https://mvnrepository.com/artifact/org.beanshell/bsh (beanshell1)–> <dependency> <groupId>org.beanshell</gro
继续阅读标签: vx
【漏洞挖掘】记一次985证书站Oracle注入绕WAF
【漏洞挖掘】记一次985证书站Oracle注入绕WAF 越南王子 Web安全工具库 2025-02-12 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。个人微
继续阅读BurpSuite插件 | 自动化漏洞POC探测
BurpSuite插件 | 自动化漏洞POC探测 Tsojan 星落安全团队 2025-02-12 16:00 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 一个集成的BurpSuite漏洞探测插件。 本着市面上各大漏洞探测插件的功能比较单一,因此与 TsojanSecTeam 成员决定在已有
继续阅读OpenSSL软件库曝高危漏洞,可实施中间人攻击
OpenSSL软件库曝高危漏洞,可实施中间人攻击 FreeBuf 商密君 2025-02-12 14:45 OpenSSL 修补了由苹果发现的高严重性漏洞 CVE-2024-12797,该漏洞可能导致中间人攻击。 OpenSSL 项目在其安全通信库中修复了一个高严重性漏洞,编号为 CVE-2024-12797。OpenSSL 软件库用于在计算机网络中实现安全通信,防止窃听并确保通信双方的认证。该库
继续阅读【漏洞预警】WinZip 7Z 文件解析越界写入远程代码执行漏洞 (CVE-2025-1240)
【漏洞预警】WinZip 7Z 文件解析越界写入远程代码执行漏洞 (CVE-2025-1240) cexlife 飓风网络安全 2025-02-12 14:45 漏洞描述: WinZip 7Z文件解析越界写入远程代码执行漏洞,该漏洞允许远程攻击者在安装了WinZip的受影响系统上执行任意代码。要利用此漏洞,需要用户与恶意页面或恶意文件交互,具体漏洞存在于7Z文件的解析过程中,该问题源于对用户提供数
继续阅读从云服务器 SSRF 漏洞到接管你的阿里云控制台
从云服务器 SSRF 漏洞到接管你的阿里云控制台 迪哥讲事 2025-02-12 13:31 文章首发于: 火线Zone社区(https://zone.huoxian.cn/) 0x00 前言 本文将以阿里云为例,对云服务中的一些攻防手法进行演示,首先利用 Terraform 进行 ECS SSRF 漏洞环境的搭建,然后通过实例中存在的 SSRF 漏洞一步步拿下该云服务账户的所有的阿里云服务权限。
继续阅读CVE-2024-29509:Artifex Ghostscript PDFPassword 处理期间的堆缓冲区溢出 _
CVE-2024-29509:Artifex Ghostscript PDFPassword 处理期间的堆缓冲区溢出 _ Ots安全 2025-02-12 11:54 目标 – Ghostscript < 10.03.0 解释 PDFPassword Ghostscript 提供 PDF 解密功能,使用字符串 解密加密的 PDF 文档。具体来说, 当使用R5(RC4 128 位加
继续阅读CVE-2024-29510 – 使用格式字符串利用 Ghostscript
CVE-2024-29510 – 使用格式字符串利用 Ghostscript Ots安全 2025-02-12 11:54 总结 这是针对 CVE-2024-29510 的一篇文章,CVE-2024-29510 是 Ghostscript ≤ 10.03.0(但 ≥ 9.50)中的一个格式字符串漏洞。我们展示了如何利用此漏洞绕过-dSAFER沙盒并获得代码执行。 此漏洞对提供文档转换和预览功能的
继续阅读OpenSSL高危安全漏洞 CVE-2024-12797
OpenSSL高危安全漏洞 CVE-2024-12797 网安百色 2025-02-12 11:34 点击上方 蓝字 关注我们吧~ OpenSSL项目公布了一个严重漏洞(CVE-2024-12797),影响广泛使用的加密库的3.2、3.3和3.4版本。 该漏洞是由苹果公司在2024年12月发现的,它能允许针对TLS和DTLS连接的中间人(MitM)攻击,这些连接依赖原始公钥(rpk)进行服务器身份
继续阅读漏洞复现 || DATAGerry 终端节点接口敏感信息泄露
漏洞复现 || DATAGerry 终端节点接口敏感信息泄露 韩文庚 我爱林 2025-02-12 11:19 免责声明 我爱林攻防研究院的技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
继续阅读【安全圈】Microsoft补丁积极利用零时缺陷-CVE-2025-21418 & CVE-2025-21391
【安全圈】Microsoft补丁积极利用零时缺陷-CVE-2025-21418 & CVE-2025-21391 安全圈 2025-02-12 11:01 关键词 安全漏洞 微软已推出了 2025 年 2 月 “周二补丁日” 的安全更新,修复了多个产品中的 67 个漏洞。 本月的补丁涵盖了 3 个严重级别为 “关键” 和 53 个严重级别为 “重要” 的漏洞,修复范围涉及 Windows
继续阅读【安全圈】OpenSSL 修补了高严重性漏洞 CVE-2024-12797
【安全圈】OpenSSL 修补了高严重性漏洞 CVE-2024-12797 安全圈 2025-02-12 11:01 关键词 安全漏洞 OpenSSL 修补了漏洞 CVE-2024-12797,这是 Apple 发现的一个高严重性漏洞,可引发中间人攻击。 OpenSSL 项目解决了其安全通信库中的一个高严重性漏洞,编号为 CVE-2024-12797。 OpenSSL软件库 允许在计算机网络上
继续阅读攻击者利用新零日漏洞劫持Fortinet防火墙
攻击者利用新零日漏洞劫持Fortinet防火墙 AI小蜜蜂 FreeBuf 2025-02-12 10:53 Fortinet近日发布警告,称威胁攻击者正在利用FortiOS和FortiProxy中的一个新零日漏洞(CVE-2025-24472,CVSS评分为8.1)来劫持Fortinet防火墙。该漏洞是一个身份验证绕过问题,远程攻击者可以通过构造恶意CSF代理请求获取超级管理员权限。 漏洞详情与
继续阅读博客更新:SSRF漏洞详细讲解(多个实验场景复现),别再SSRF文件下载了
博客更新:SSRF漏洞详细讲解(多个实验场景复现),别再SSRF文件下载了 Patrick.Lin SecurePulse 2025-02-12 10:38 文章地址:https://www.securepulse.website/archives/ssrflou-dong-xiang-jie 关注公众号,及时获取博客更新信息
继续阅读【风险通告】微软2月安全更新补丁和多个高危漏洞风险提示
【风险通告】微软2月安全更新补丁和多个高危漏洞风险提示 安恒研究院 安恒信息CERT 2025-02-12 10:33 漏洞公告 微软官方发布了2月安全更新公告,包含了Windows Core Messaging、Windows Lightweight Directory Access Protocol (LDAP)、Windows Storage、Microsoft SharePoint Ser
继续阅读【漏洞通告】微软2月多个安全漏洞
【漏洞通告】微软2月多个安全漏洞 启明星辰安全简讯 2025-02-12 10:30 一、漏洞概述 2025年2月12日,启明星辰集团VSRC监测到微软发布了2月安全更新,本次更新修复了63个漏洞,涵盖权限提升、远程代码执行、欺骗等多种漏洞类型。漏洞级别分布如下:4个严重级别漏洞,56个重要级别漏洞,1个中危级别漏洞,2个低危级别漏洞( 漏洞 级别依据微软官方数据)。 其中, 11个漏洞被微软标记
继续阅读拿到了 SpringBoot 开发的系统,该如何代码审计分析漏洞?分享下我的一二三步的思路。
拿到了 SpringBoot 开发的系统,该如何代码审计分析漏洞?分享下我的一二三步的思路。 原创 润霖@闪石星曜 闪石星曜CyberSecurity 2025-02-12 10:19 嗨,大家好,这里是闪石星曜CyberSecurity。 众所周知,Java 语言生态在中大型企业中的使用率居高不下,可谓是如日中天,经久不衰。 使用 SpringBoot 架构来开发的 JavaWeb 系统,更是数
继续阅读OpenSSL 高危漏洞可用于中间人攻击
OpenSSL 高危漏洞可用于中间人攻击 do son 代码卫士 2025-02-12 09:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员在 OpenSSL 中发现了一个高危漏洞CVE-2024-12797,影响传统X.509证书替代方法原始公钥 (RPKs) 的实现。 该漏洞可导致攻击者通过模拟服务器的方式执行中间人攻击。OpenSSL 在安全公告中解释称,“使用 RFC
继续阅读【漏洞通告】Ivanti CSA远程命令执行漏洞(CVE-2024-47908)
【漏洞通告】Ivanti CSA远程命令执行漏洞(CVE-2024-47908) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-02-12 09:46 漏洞名称: Ivanti CSA远程命令执行漏洞(CVE-2024-47908) 组件名称: Ivanti Cloud Services Application (CSA) 影响范围: Ivanti CSA ≤ 5.0.4 漏洞类型: 命令执
继续阅读2025-02微软漏洞通告
2025-02微软漏洞通告 火绒安全 火绒安全 2025-02-12 09:17 微软官方发布了2025年2月的安全更新。本月更新公布了141个漏洞,包含26个远程执行代码漏洞、20个特权提升漏洞、9个拒绝服务漏洞、5个身份假冒漏洞、2个安全功能绕过漏洞、1个篡改漏洞、1个信息泄露漏洞,其中4个漏洞级别为“Critical”(高危),57个为“Important”(严重)。建议用户及时使用火绒安全
继续阅读【安全更新】微软2月安全更新多个产品高危漏洞通告
【安全更新】微软2月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2025-02-12 09:09 通告编号:NS-2025-0007 2025-02-12 TAG: 安全更新、Windows、Microsoft Office、Azure、Apps、Microsoft Visual Studio 漏洞危害: 攻击者利用本次安全更新中的漏洞,可造成权限提升、远程代码执行等 版
继续阅读汽车供应链攻击、0day漏洞攻击……2024年网络安全领域呈现这些态势
汽车供应链攻击、0day漏洞攻击……2024年网络安全领域呈现这些态势 网络安全和信息化 2025-02-12 08:48 汽车供应链攻击、国产化软件系统攻击、通信设备成武器、0day漏洞攻击……2024年,具有“国家级”背景的组织在网络空间发起的高隐蔽性、高破坏性攻击活动更加频繁,其影响早已在全球网络空间层面外,成为地缘政治乃至全球政治气候的“晴雨表”。 “因此,加强国际合作、共同应对数字安全挑
继续阅读信息安全漏洞周报(2025年第6期)
信息安全漏洞周报(2025年第6期) 原创 CNNVD CNNVD安全动态 2025-02-12 08:31 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年2月3日至2025年2月9日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞656个。 接报漏洞情况 本周CNNVD接报漏洞9500个,其中信息技术产品漏洞(通用型漏洞)212个,网络
继续阅读Nftables整型溢出提权利用(CVE-2023-0179)
Nftables整型溢出提权利用(CVE-2023-0179) 蚁景网安 2025-02-12 08:30 前言 在CVE-2023-0179-Nftables整型溢出 中,分析了漏洞的成因,接下来分析漏洞的利用。 漏洞利用 根据漏洞成因可以知道,payload_eval_copy_vlan函数存在整型溢出,导致我们将vlan头部结构拷贝到寄存器(NFT_REG32_00-NFT_REG32_15
继续阅读苹果在紧急更新中修复了正被积极利用的 iOS 零日漏洞 CVE-2025-24200
苹果在紧急更新中修复了正被积极利用的 iOS 零日漏洞 CVE-2025-24200 HackSee安全团队 HackSee 2025-02-12 07:03 苹果公司周一发布了带外安全更新,以修复 iOS 和 iPadOS 系统中的一个安全漏洞。该公司表示,这个漏洞已在现实中被利用。 这个漏洞被分配了 CVE 标识符 CVE-2025-24200(通用漏洞评分系统(CVSS)评分为 4.6),被
继续阅读月圆人团圆 良宵更美好 | CAPPVD漏洞库祝您元宵节快乐
月圆人团圆 良宵更美好 | CAPPVD漏洞库祝您元宵节快乐 CAPPVD漏洞库 2025-02-12 06:10 月圆人团圆 良宵更美好 工业和信息化部移动互联网 App产品安全漏洞专业库 (简称:CAPPVD漏洞库) 祝大家元宵节快乐
继续阅读NetGear发布安全公告提醒用户修补关键WiFi路由器漏洞
NetGear发布安全公告提醒用户修补关键WiFi路由器漏洞 胡金鱼 嘶吼专业版 2025-02-12 06:00 Netgear修复了两个影响多个WiFi路由器模型的关键漏洞,并敦促客户尽快将其设备更新为最新的固件。安全漏洞会影响多个WiFi 6接入点(WAX206,WAX214V2和WAX220)和Nighthawk Pro游戏路由器模型(XR1000,XR1000V2,XR500)。 尽管没
继续阅读Apache Tomcat文件包含漏洞(CVE-2020-1938)处置标准作业程序(SOP)
Apache Tomcat文件包含漏洞(CVE-2020-1938)处置标准作业程序(SOP) 原创 SSS 方桥安全漏洞防治中心 2025-02-12 05:00 01 SOP基本信息 SOP名称:Apache Tomcat文件包含(CVE-2020-1938)漏洞处置SOP 编写日期:2024-8-26 修订日期:2024-8-28 编写人员:SSS(Linux系统管理员) 审核人员:T小组
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第6期,总第24期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第6期,总第24期] 原创 安钥 方桥安全漏洞防治中心 2025-02-12 05:00 感谢所有参与漏洞处置SOP征文活动的每一个人,为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程经常
继续阅读美国政府首度披露根据漏洞公平程序披露零日漏洞情况
美国政府首度披露根据漏洞公平程序披露零日漏洞情况 原创 奇安侦察兵 奇安网情局 2025-02-12 04:12 编者按 美国著名安全调查记者金·泽特近日撰文,分析美国政府执行漏洞公平程序(VEP)情况,并认为特朗普政府可能未来四年可能倾向于更多地利用而非披露零日漏洞。 美国国家情报总监办公室1月发布报告,首次公布了VEP的具体数字。根据该文件,2023 财年,根据VEP向供应商或公众披露的漏洞总
继续阅读