SeaCMS admin_files.php CVE-2024-42599分析
SeaCMS admin_files.php CVE-2024-42599分析 原创 韭菜 fraud安全 2024-12-13 00:32 漏洞文件定位 根据漏洞通告提示问题文件在admin_files.php 快速浏览文件,发现做了白名单限制,php文件上传无法实现 但是漏洞通告说的是remote code execution vulnerability(远程代码执行) 那么查找远程代码执行的
继续阅读标签: vx
【成功复现】WordPress Elementor Page Builder路径遍历漏洞(CVE-2024-9935)
【成功复现】Wordpress Elementor Page Builder路径遍历漏洞(CVE-2024-9935) 原创 弥天安全实验室 弥天安全实验室 2024-12-13 00:13 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍WordPress和WordPress plugin都是WordPr
继续阅读漏洞预警 | Django拒绝服务和SQL注入漏洞
漏洞预警 | Django拒绝服务和SQL注入漏洞 浅安 浅安安全 2024-12-13 00:02 0x00 漏洞编号 – # CVE-2024-53907 CVE-2024-53908 0x01 危险等级 – 高危 0x02 漏洞概述 Django是Python编写的开源Web应用框架。 0x03 漏洞详情 CVE-2024-53907 漏洞类型: 拒绝服务 影响: 程
继续阅读漏洞预警 | 小米路由器任意文件读取漏洞
漏洞预警 | 小米路由器任意文件读取漏洞 浅安 浅安安全 2024-12-13 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 小米路由器是小米公司推出的一款智能路由器。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: 小米路由器的/api-third-party/download/extdisks
继续阅读最近打点用的一些java漏洞
最近打点用的一些java漏洞 进击的HACK 2024-12-12 23:55 好久没写文章了,把最近打点审的几个漏洞分享一下。 filter权限绕过 在 CurrentContextFilter 里,有四个关键方法。 需要关注的方法,很明显可以看出,应该是: isExcludeResource(request.getRequestURI()) isStaticResource(request.g
继续阅读闭源系统半自动漏洞挖掘工具 SinkFinder
闭源系统半自动漏洞挖掘工具 SinkFinder 进击的HACK 2024-12-12 23:55 闭源系统半自动漏洞挖掘工具,针对 jar/war/zip 进行静态代码分析,增加 LLM 大模型能力验证路径可达性,LLM 根据上下文代码环境给出该路径可信分数 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权
继续阅读“芝麻开门”无线攻击:针对中国锐捷网络的物联网设备漏洞
“芝麻开门”无线攻击:针对中国锐捷网络的物联网设备漏洞 原创 网空闲话 网空闲话plus 2024-12-12 23:21 综合claroty、锐捷网络、CISA网站消息,工业网络安全公司Claroty下属的team82研究发现,物联网(IoT)供应商锐捷网络的Reyee云管理平台存在10个安全漏洞,这些漏洞可能允许攻击者控制数千台连接的设备。锐捷网络设备广泛用于全球90多个国家的机场、学校等公共
继续阅读Ivanti修复了其客户成功平台 (CSA) 中一个最高严重级别的漏洞
Ivanti修复了其客户成功平台 (CSA) 中一个最高严重级别的漏洞 鹏鹏同学 黑猫安全 2024-12-12 23:00 Ivanti修复了其云服务应用(CSA)中的一个关键身份验证绕过漏洞,该漏洞被追踪为CVE-2024-11639(CVSS评分为10)。远程未经身份验证的攻击者可以利用此漏洞获取管理员访问权限。该漏洞由CrowdStrike的高级研究团队发现,影响5.0.2及以前的版本。
继续阅读《电力监控系统安全防护规定》2024年第27号令
《电力监控系统安全防护规定》2024年第27号令 苏说安全 2024-12-12 23:00 中华人民共和国国家发展和改革委员会令 第27号 《电力监控系统安全防护规定》已经2024年11月25日第18次委务会议审议通过,现予公布,自2025年1月1日起施行。 主任:郑栅洁 2024年11月25日 附件: 《电力监控系统安全防护规定》.pdf 数字引擎 助力新能源跨越发展 无人机大规模坠机事件 等
继续阅读【0day】深圳国威电子有限公司HB1910数字IP程控交换机存在远程命令执行漏洞
【0day】深圳国威电子有限公司HB1910数字IP程控交换机存在远程命令执行漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-12 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **深圳国威电子有限公司成立于1991年7月,是著名的程控交换机研发、生产、销售厂家。深圳国威电子有限公司HB1910数字IP程控交换机存
继续阅读聚焦纽创信安 | 上海ICCAD 2024-Expo
聚焦纽创信安 | 上海ICCAD 2024-Expo 原创 OSR市场部 纽创信安 2024-12-12 16:06 2024年12月11日至12日, “上海集成电路2024年度产业发展论坛暨第三十届集成电路设计业展览会”(ICCAD-Expo 2024)在上海世博展览馆成功举办,本届大会以“智慧上海,芯动世界”为主题,设置1场高峰论坛+9场分论坛,行业300多家企业参展,近万名集成电路业界精英人
继续阅读Palo零日漏洞凸显面向互联网的接口风险不断上升
Palo零日漏洞凸显面向互联网的接口风险不断上升 原创 何威风 祺印说信安 2024-12-12 16:01 最近的报告证实,针对 Palo Alto Networks 的下一代防火墙 (NGFW) 管理接口的严重零日漏洞正受到积极利用。虽然 Palo Alto 的快速建议和缓解指南为补救措施提供了起点,但此类漏洞的广泛影响需要全球组织予以关注。 针对面向互联网的管理界面的攻击激增凸显了不断演变的
继续阅读广联达OA系统漏洞批量检测工具 – GlodonScan
广联达OA系统漏洞批量检测工具 – GlodonScan LemonSec 2024-12-12 16:01 01 项目地址 https://github.com/OracleNep/GlodonScan 02 项目介绍 广联达OA系统漏洞批量检测工具 可检测的漏洞列表: 广联达OA EmailAccountOrgUserService SQL注入漏洞 广联达OA GetUserByE
继续阅读大众和斯柯达汽车存在漏洞,导致发动机故障和车主数据被盗
大众和斯柯达汽车存在漏洞,导致发动机故障和车主数据被盗 很近也很远 网络研究观 2024-12-12 15:59 PCAutomotive 的研究人员发现了斯柯达和大众汽车中的多个漏洞。 这些漏洞可能允许攻击者访问敏感系统、禁用车辆或提取用户数据。 安全研究人员在对斯柯达 Superb III 2022 (3V3) 2.0 TDI 车型进行详细分析时发现了这些漏洞。 斯柯达和大众汽车的漏洞 htt
继续阅读苹果通过 iOS 18.2 更新修复了密码应用程序中的加密漏洞
苹果通过 iOS 18.2 更新修复了密码应用程序中的加密漏洞 很近也很远 网络研究观 2024-12-12 15:59 在安全研究人员 Talal Haj Bakry 和 Mysk Inc. 的 Tommy Mysk 报告之后,Apple 在发布 iOS 18.2 时解决了其密码应用程序中的一个重要安全漏洞。 该漏洞被追踪为 CVE-2024-54492,涉及应用程序使用未加密的 HTTP 连接
继续阅读Burp Suite for Pentester:软件漏洞扫描程序和 Retire.js
Burp Suite for Pentester:软件漏洞扫描程序和 Retire.js 三沐 三沐数安 2024-12-12 15:54 不仅我们看到的前端或看不到的后端,都会导致应用程序易受攻击。动态 Web 应用程序本身包含很多内容,无论是 JavaScript 库、第三方功能、功能插件还是其他内容。但是,如果安装的功能或插件本身易受攻击怎么办? 因此,今天在本文中我们不会关注任何特定的漏洞
继续阅读主机侧命令执行监测的规避
主机侧命令执行监测的规避 原创 QWETVG T00ls安全 2024-12-12 14:11 使用场景 像一些0day防御系统,当我们打出来whoami等等极具特征的命令时,会有一个基于主机侧命令执行检测,会出现告警,那我们就需要进行一些规避,用来像权限查询,判断主站上有什么东西,我们该如何进行信息收集。 场景为当我们的C2上线后,或WebShell直接上线之后,我们可以用一些Windows的a
继续阅读「漏洞复现」电子图书阅读平台 downFile.aspx SQL注入漏洞
「漏洞复现」电子图书阅读平台 downFile.aspx SQL注入漏洞 冷漠安全 冷漠安全 2024-12-12 13:41 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关
继续阅读【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677)
【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677) 原创 聚焦网络安全情报 安全聚 2024-12-12 13:14 严 重 公 告 近日,安全聚实验室监测到 Apache Struts 中存在文件上传漏洞 ,编号为:CVE-2024-53677,CVSS:9.5 此漏洞允许未经身份验证的攻击者可以操纵文件上传参数以启用路径遍历,这可能导致上传可用于执行远程代码
继续阅读发现关键漏洞获得 $4,000 赏金奖励
发现关键漏洞获得 $4,000 赏金奖励 迪哥讲事 2024-12-12 12:30 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 文章原文:https://gugesay.com/archives/XXXX **不想错过任何消息?设置星标↓ ↓ ↓ 目录 子域枚举 发现 测试应用程序
继续阅读【安全圈】Windows 远程桌面服务漏洞允许攻击者执行远程代码
【安全圈】Windows 远程桌面服务漏洞允许攻击者执行远程代码 安全圈 2024-12-12 11:00 关键词 安全漏洞 2024 年 12 月 10 日,微软披露了Windows 远程桌面服务中的一个严重漏洞,能够让攻击者在受影响的系统上执行远程代码,从而对系统机密性、完整性和可用性构成严重威胁。 该漏洞被跟踪为 CVE-2024-49115,CVSS 评分为 8.1,由昆仑实验室的研究员
继续阅读【安全圈】知名企业级文件传输产品存在漏洞,正在被黑客利用
【安全圈】知名企业级文件传输产品存在漏洞,正在被黑客利用 安全圈 2024-12-12 11:00 关键词 安全漏洞 网络安全公司 Huntress 在周一警告称,影响企业软件制造商 Cleo 多个文件传输产品的漏洞未正确修补,并在过去至少一周内被利用。Cleo 是一家总部位于伊利诺伊州的公司,为超过 4200 家组织提供供应链和 B2B 集成解决方案。 该漏洞影响 Cleo 的LexiCom 、
继续阅读单洞赏金1万美刀的漏洞思路分享| 玲珑安全帮会直播
单洞赏金1万美刀的漏洞思路分享| 玲珑安全帮会直播 FreeBuf知识大陆 FreeBuf 2024-12-12 10:54 直播来啦! 国内挖洞日益内卷压力大? 想挖海外SRC却不知从何下手? 语言障碍、思路差异以及不熟悉的海外平台规则频频成为挑战美金的阻碍? 有问题!咱不怕!咱们请到了老师傅带带咱! O(∩_∩)O~ FreeBuf请来了我们的重磅嘉宾 玲珑安全学员:Reclu3a 为我们揭开
继续阅读微软 MFA 中存在AuthQuake 漏洞,可导致无限次暴力攻击
微软 MFA 中存在AuthQuake 漏洞,可导致无限次暴力攻击 代码卫士 2024-12-12 10:09 聚焦源代码安全,网罗国内外最新资讯! 作者:Ravie Lakshmanan 编译:代码卫士 网络安全研究员在微软的多因素认证 (MFA) 实现中发现了一个严重漏洞,可导致攻击者轻易绕过防御措施,越权访问受害者账户。 Oasis 安全公司的研究人员 Elad Luz 和 Tal Haso
继续阅读施耐德电气提醒注意 Modicon 控制器中的严重漏洞
施耐德电气提醒注意 Modicon 控制器中的严重漏洞 securityonline 代码卫士 2024-12-12 10:09 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 施耐德电气发布一份安全通知,提醒注意 Modicon M241、M251、M258和LMC058 可编程逻辑控制器 (PLCs) 中的一个严重漏洞CVE-2024-11737(CVSS评分9.8)。该漏洞可导致攻击者
继续阅读即将开班!“系统0day安全”系列课程:掌握漏洞挖掘重要技能
即将开班!“系统0day安全”系列课程:掌握漏洞挖掘重要技能 看雪课程 看雪学苑 2024-12-12 10:01 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握
继续阅读CNNVD | 关于Apache Struts安全漏洞的通报
CNNVD | 关于Apache Struts安全漏洞的通报 中国信息安全 2024-12-12 09:57 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况**** 近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts安全漏洞(CNNVD-202412-1393、CVE-2024-53677)情况的报送。成功利用漏洞的攻击者,可以操
继续阅读高危!Apache Struts文件上传漏洞安全风险通告
高危!Apache Struts文件上传漏洞安全风险通告 应急响应中心 亚信安全 2024-12-12 09:52 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Apache官方披露(CVE-2024-53677)Apache Struts FileUploadInterceptor 文件上传漏洞。在受影响版本中,若代码中使用了FileUploadInterceptor ,则可能在进行
继续阅读创宇安全智脑 | Mitel MiCollab 企业协作平台任意文件读取(CVE-2024-41713)等80个漏洞可检测
创宇安全智脑 | Mitel MiCollab 企业协作平台任意文件读取(CVE-2024-41713)等80个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-12 09:30 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、
继续阅读Shiro框架漏洞看了你就会了(含靶场复现)
Shiro框架漏洞看了你就会了(含靶场复现) 工作室-Lin 马哥网络安全 2024-12-12 09:01 一、shiro简介 Shiro是一个功能强大且易于使用的Java安全框架,旨在简化Java应用程序的安全开发。 它提供了身份认证(登录)、授权(访问控制)、加密、会话管理以及与Web集成的功能,可以应用于从小型移动应用到大型Web和企业应用的多种场景。 Shiro既可以独立运行,也可以与其
继续阅读