CVE-2024-12856 四信Four-Faith路由器存在命令注入漏洞
CVE-2024-12856 四信Four-Faith路由器存在命令注入漏洞 云梦DC 云梦安全 2024-12-31 03:52 CVE-2024-12856漏洞描述 Four-Faith 路由器型号 F3x24 和 F3x36 受到操作系统 (OS) 命令注入漏洞的影响。至少固件版本 2.0 允许经过身份验证的远程攻击者在通过 apply.cgi 修改系统时间时通过 HTTP 执行任意 OS
继续阅读标签: vx
CVE-2024-52046 Apache MINA反序列化漏洞
CVE-2024-52046 Apache MINA反序列化漏洞 云梦安全 2024-12-31 03:52 漏洞描述 Apache MINA 中的 ObjectSerializationDecoder 使用 Java 的原生反序列化协议来处理传入的序列化数据,但缺乏必要的安全检查和防御。 此漏洞允许攻击者通过发送特制的恶意序列化数据来利用反序列化过程,从而可能导致远程代码执行 (RCE) 攻击。
继续阅读【漏洞复现】某平台-Process-login-bypass登录绕过漏洞
【漏洞复现】某平台-Process-login-bypass登录绕过漏洞 原创 南极熊 SCA御盾 2024-12-31 03:09 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造
继续阅读Telegram小小0day-查询任意手机号码
Telegram小小0day-查询任意手机号码 原创 安全路人A 军机故阁 2024-12-31 03:02 年底了,更新一直不稳定,分享给大家一个情报角度下tg的小0day,其实主要原因是看到已经有很多国内外在用这个点了,所以这个点才能分享出来。效果是查询使用新版本tg的任意手机号对应的tg账号信息。有需要的可以看看。 今年4月因为tg rce 0day问题,tg更新了一个大版本,这版本有个不算
继续阅读【0Day漏洞预警】锐捷RG-EW1200G存在逻辑缺陷
【0Day漏洞预警】锐捷RG-EW1200G存在逻辑缺陷 什么安全 什么安全 2024-12-31 02:13 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 漏洞描述 该系统因设计鉴权缺失,未经身份校验的用户可远程关闭路由器
继续阅读美国财政部“史诗级”黑客事件:祸起网安公司产品漏洞
美国财政部“史诗级”黑客事件:祸起网安公司产品漏洞 原创 网空闲话 网空闲话plus 2024-12-31 01:34 前情回顾 号外号外!美国财政部工作站遭黑 美国财政部在致监管该机构的参议院委员会主席及资深成员的披露信中表示,由于此次黑客攻击事件背后怀疑是一个高级持续性威胁(APT)组织,因此将其视为“重大网络安全事件”。 祸起网络安全公司产品漏洞 据Bleepingcomputer早先的报道
继续阅读【漏洞通告】Apache Traffic Control SQL注入漏洞安全风险通告
【漏洞通告】Apache Traffic Control SQL注入漏洞安全风险通告 嘉诚安全 2024-12-31 01:31 漏洞背景 近日,嘉诚安全监测到Apache Traffic Control中存在一个SQL注入漏洞,漏洞编号为: CVE-2024-45387。 Apache Traffic Control(ATC)是一个开源的、基于Web的负载均衡和流量管理解决方案,主要用于管理和配
继续阅读攻击者正在利用 Four-Faith 工业路由器中的命令注入漏洞来部署反向 shell
攻击者正在利用 Four-Faith 工业路由器中的命令注入漏洞来部署反向 shell 会杀毒的单反狗 军哥网络安全读报 2024-12-31 01:00 导读 漏洞情报公司 VulnCheck 警告称,已观察到威胁组织利用 Four-Faith 工业路由器中的漏洞来部署反向 shell。 该漏洞编号为 CVE-2024-12856(CVSS 评分为 7.2),是一个操作系统命令注入问题,可以远程
继续阅读漏洞预警 | GeoServer远程代码执行漏洞
漏洞预警 | GeoServer远程代码执行漏洞 浅安 浅安安全 2024-12-31 00:03 0x00 漏洞编号 – # CVE-2024-36404 0x01 危险等级 – 高危 0x02 漏洞概述 GeoServer是一个用Java编写的开源服务器,它允许用户共享、处理和编辑地理空间数据。为了互操作性而设计,它使用开源标准发布来自任何主要空间数据源的数据。 0x0
继续阅读漏洞预警 | Sophos Firewall SQL注入、弱凭证和代码注入漏洞
漏洞预警 | Sophos Firewall SQL注入、弱凭证和代码注入漏洞 浅安 浅安安全 2024-12-31 00:03 0x00 漏洞编号 – # CVE-2024-12727 CVE-2024-12728 CVE-2024-12729 0x01 危险等级 – 高危 0x02 漏洞概述 Sophos防火墙是由Sophos公司提供的一款功能强大、易于管理的网络安全产
继续阅读漏洞预警 | 方正全媒体采编系统SQL注入漏洞
漏洞预警 | 方正全媒体采编系统SQL注入漏洞 浅安 浅安安全 2024-12-31 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 方正全媒体新闻采编系统是一个面向媒体深度融合的技术平台,它以大数据和AI技术为支撑,集成了指挥中心、采集中心、编辑中心、发布中心、绩效考核中心、资料中心等多个功能,全面承载“策采编审发存传评”的
继续阅读警惕!锐捷网络云平台曝严重漏洞,全球约 5 万台设备或遭远程控制!
警惕!锐捷网络云平台曝严重漏洞,全球约 5 万台设备或遭远程控制! 原创 Hankzheng 技术修道场 2024-12-31 00:00 【利用弱密码恢复、SSRF、危险函数等漏洞,黑客可发动“Open Sesame”攻击,获取设备序列号,进而控制整个网络!】 近日,网络安全研究人员发现锐捷网络 开发的云管理平台存在多个安全漏洞,攻击者可以利用这些漏洞控制接入该平台的网络设备 。 Claroty
继续阅读【大量存在】成都和力九垠科技有限公司Common存在文件上传漏洞
【大量存在】成都和力九垠科技有限公司Common存在文件上传漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-30 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 成都和力九垠科技有限公司成立于1999年,是一家专业从事零售业全流程解决方案的高科技公司,总部位于四川成都。多年来,九垠软件不忘初衷,一直致力于中国零售企业
继续阅读【漏洞通告】Apache Tomcat 远程代码执行漏洞
【漏洞通告】Apache Tomcat 远程代码执行漏洞 老鑫安全 2024-12-30 21:17
继续阅读CVE-2024-42327:Zabbix SQL注入漏洞分析漏洞分析
CVE-2024-42327:Zabbix SQL注入漏洞分析漏洞分析 船山信安 2024-12-30 18:00 漏洞简介 Zabbix 是一款开源的网络监控和报警系统,用于监视网络设备、服务器和应用程序的性能和可用性。 攻击者可以通过API接口,向 user.get API端点发送恶意构造的请求,注入SQL代码,以实现权限提升、数据泄露或系统入侵。 影响版本 6.0.0 <= Zabbi
继续阅读Four-Faith 路由器pre-auth 命令注入漏洞(CVE-2024-12856)
Four-Faith 路由器pre-auth 命令注入漏洞(CVE-2024-12856) 锋刃科技 2024-12-30 16:15 Four-Faith 路由器是一款专为工业通信设计的 IoT 设备,广泛用于远程数据采集和工业控制网络中,提供高效的无线连接解决方案。 01 漏洞描述 漏洞类型: Four-Faith 路由器pre-auth 命令注入漏洞(CVE-2024-12856) 简述:
继续阅读网安瞭望台第19期:D-Link 路由器网页管理界面漏洞,攻击者可获取设备访问权限
网安瞭望台第19期:D-Link 路由器网页管理界面漏洞,攻击者可获取设备访问权限 原创 扬名堂 东方隐侠安全团队 2024-12-30 15:50 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 HIPAA 规则:要求 72 小时数据恢复与年度合规审计 2024 年 12 月 30 日,拉维・拉克什马南报道了一则关乎
继续阅读【漏洞预警】Craft CMS register_argc_argv 致模板注入代码执行漏洞(CVE-2024-56145)
【漏洞预警】Craft CMS register_argc_argv 致模板注入代码执行漏洞(CVE-2024-56145) cexlife 飓风网络安全 2024-12-30 14:54 漏洞描述:Craft CMS是一个灵活、用户友好的内容管理系统,用于创建自定义的数字化网络体验等,CVE-2024-56145中,若开启了PHP配置中的 register_argc_argv,那么攻击者可构造恶
继续阅读【最新】推特蓝V公布 7zip 0day
【最新】推特蓝V公布 7zip 0day 原创 visionsec 安全视安 2024-12-30 12:38 声明 :该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 地址:https://x.com/NSA_Employee39/status/1873644808998367272 1. // 此漏洞利
继续阅读Springboot未授权之httptrace和logfile的实战利用
Springboot未授权之httptrace和logfile的实战利用 迪哥讲事 2024-12-30 12:30 声明:该公众号大部分文章来自作者日常学习笔记,未经授权,严禁转载,如需转载,联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 0x00 前言 相信大家在很多项目中,不论是渗透测试还是攻防演练中都遇到过很多spring
继续阅读CVE-2024-21182 – Oracle Weblogic Server 漏洞利用 PoC 发布
CVE-2024-21182 – Oracle Weblogic Server 漏洞利用 PoC 发布 Ots安全 2024-12-30 12:19 安全研究人员警告称,针对影响 Oracle WebLogic Server 的严重漏洞的概念验证 (PoC) 漏洞已公开发布。 该漏洞被标记为 CVE-2024-21182,对使用该服务器的组织构成重大风险,因为它允许未经身份验证的攻击者
继续阅读Krueger 是一种概念验证 (PoC) .NET 后利用工具
Krueger 是一种概念验证 (PoC) .NET 后利用工具 Ots安全 2024-12-30 12:19 Krueger 是一种概念验证 (PoC) .NET 后利用工具,用于远程终止端点检测和响应 (EDR),这是横向移动程序的一部分。Krueger 通过利用 Windows Defender 应用程序控制 (WDAC) 来完成此任务,WDAC 是 Microsoft 创建的内置应用程序控
继续阅读浙江某软件科技公司被处罚,因数据库存在安全漏洞
浙江某软件科技公司被处罚,因数据库存在安全漏洞 点击关注-> 安知讯 2024-12-30 11:53 近日,浙江台州公安机关工作中发现,浙江某软件科技公司受托搭建的数据库存在安全漏洞,数据库中承载的大量电子政务数据存在泄露风险。 经查,该公司主要为政府部门提供软件开发、信息系统建设和运维等服务。在与台州当地部分政府部门合作期间,该公司未对受托维护、处理的电子政务数据履行应尽的数据安全保护义
继续阅读近期 Apache Struts 2 严重漏洞开始被利用
近期 Apache Struts 2 严重漏洞开始被利用 三沐 三沐数安 2024-12-30 11:53 研究人员警告称,恶意攻击利用 Apache Struts 2 中最近修补的严重漏洞,导致远程代码执行 (RCE)。 在 Apache Struts 2 中一个严重漏洞被公开披露后不到一个月,威胁行为者就开始利用该漏洞。 该问题被标记为 CVE-2024-53677(CVSS 评分为 9.5)
继续阅读Brakeman:针对Ruby on Rails应用的静态分析安全漏洞扫描器
Brakeman:针对Ruby on Rails应用的静态分析安全漏洞扫描器 Alpha_h4ck FreeBuf 2024-12-30 11:23 关于Brakeman Brakeman是一款功能强大的静态安全分析工具,该工具旨在针对Ruby on Rails应用程序执行静态分析与安全漏洞扫描任务。 工具要求 gem 工具安装 使用 RubyGems: gem install brakeman
继续阅读复测 Apache Tomcat 远程代码执行漏洞(CVE-2024-50379)
复测 Apache Tomcat 远程代码执行漏洞(CVE-2024-50379) 原创 蚂蚁 网安守护 2024-12-30 11:05 环境搭建 struts2: 2.5.30 Idea : IntelliJ IDEA 2023.2.3 (Ultimate Edition) 注意事项 1、可以跨目录进行上传文件,除了../和./ ,必须知道目录,不然报错 2、功能点如果只是读取文件不落地,该漏
继续阅读【安全圈】WPA3协议存在安全漏洞,黑客可获取WiFi密码
【安全圈】WPA3协议存在安全漏洞,黑客可获取WiFi密码 安全圈 2024-12-30 11:00 关键词 安全漏洞 研究人员成功结合中间人攻击(MITM)和社会工程学技术,绕过了Wi – Fi保护协议——WPA3 ,进而获取网络密码。此次研究由西印度大学的Kyle Chadee、Wayne Goodridge和Koffka Khan开展,这一研究揭示了最新无线安全标准存在的安全漏洞
继续阅读ExpAttack:大语言模型越狱风险持续追踪框架
ExpAttack:大语言模型越狱风险持续追踪框架 knight 京东安全应急响应中心 2024-12-30 10:36 ExpAttack:大语言模型越狱风险持续追踪框架为京东安全蓝军的研究,总共分为四章。第一章将简要介绍大语言模型的风险,帮助大家全面了解大语言模型的风险概况,并详细阐述大语言模型的越狱风险。第二章将介绍当前大语言模型越狱风险管理的现状,分析现有风险管理中存在的问题,进而提出我们
继续阅读Palo Alto 修复已遭利用的严重PAN-OS DoS 漏洞
Palo Alto 修复已遭利用的严重PAN-OS DoS 漏洞 Ravie Lakshmanan 代码卫士 2024-12-30 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Palo Alto Networks 披露了一个影响 PAN-OS 软件的高危漏洞(CVE-2024-3393,CVSS 8.7),它可在易受攻击设备上引发拒绝服务 (DoS) 条件。 该漏洞影响 PA
继续阅读