CVE-2024-52338:Apache Arrow 存在严重安全漏洞,允许未授权任意代码执行 计算机与网络安全 2024-12-01 01:57 进网络安全行业群 微信公众号 计算机与网络安全 回复 行业群 Apache软件基金会解决了Apache Arrow R语言包中的一个严重安全漏洞(CVE-2024-52338)。该漏洞影响4.0.0到16.1.0版本,使得攻击者能够在处理恶意制作的
继续阅读选择一个细分领域,成为专家,或许能发现漏洞甚至 0day 漏洞或逆向 n-day 漏洞,并撰写博客。 原创 蜘蛛 网安守护 2024-12-01 01:46 即使你没有获得那些 10 万美元的赏金,这也将是迈向 10 万美元工作的垫脚石。 什么细分领域?如何选择?有哪些例子? 信息安全领域非常广泛,从 web3 安全到 web2、移动端、桌面端、侦察、客户端、服务器端、密码学等等。这些都是笼统的术
继续阅读CVE-2024-11477|7-Zip代码执行漏洞(POC) alicy 信安百科 2024-12-01 01:30 0x00 前言 7-Zip( 7z解压软件) 是一款完全免费的压缩解压缩软件,同其他压缩软件 相比它的压缩速度更快压缩率更好,不仅支持众多主流格式、支持超线程,而且还有强大的AES-256加密算法可以为文件进行加密 ,增强文件的安全性。 它支持多种压缩格式,包括但不限于 7z、Z
继续阅读CVE-2024-42327|Zabbix SQL注入漏洞 alicy 信安百科 2024-12-01 01:30 0x00 前言 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 Zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。 Zabbix由2部分构成, Zabbix serv
继续阅读Advantech工业级Wi-Fi接入点多个安全漏洞 锋刃科技 2024-11-30 18:13 Advantech EKI 系列工业级 Wi-Fi 接入点是用于工业自动化和物联网(IoT)环境中的无线网络解决方案。它们设计用于提供高性能的无线连接,并支持远程监控与管理,适用于智能工厂、自动化生产线等应用。 01 漏洞描述 Advantech EKI 系列工业级 Wi-Fi 接入点中,发现了多达
继续阅读攻击者利用Windows 11整数溢出漏洞提升权限 原创 何威风 祺印说信安 2024-11-30 16:01 Windows 11 中发现了一个严重的安全漏洞,攻击者可以通过整数溢出漏洞获得提升的系统权限。 该漏洞影响ksthunk.sys 驱动程序,并在最近的 TyphoonPWN 2024 活动中成功演示,并获得第二名。 该漏洞存在于ksthunk.sys 的 CKSAutomationTh
继续阅读德国起草法律保护发现安全漏洞的研究人员 Rhinoer 犀牛安全 2024-11-30 16:00 德国联邦司法部起草了一项法律,为发现并负责任地向供应商报告安全漏洞的安全研究人员提供法律保护。 在规定范围内进行安全研究时,责任人将免于承担刑事责任和被起诉的风险。 联邦司法部长 Marco Buschmann 博士表示:“那些想要弥补 IT 安全漏洞的人应该得到认可,而不是一封检察官的来信。” 部
继续阅读「漏洞复现」昂捷CRM cwsfiledown.asmx 任意文件读取漏洞 冷漠安全 冷漠安全 2024-11-30 14:44 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无
继续阅读从 LFI 到 RCE 的旅程!!! 原创 菜狗 富贵安全 2024-11-30 12:15 安全新闻 从 LFI 到 RCE 的旅程!!! 今天开水了~别骂我 作为一名漏洞赏金猎人,我认为最重要的是我们尝试或遵循的利用漏洞的方法,最终导致漏洞产生更大的影响,我在这里也采取了同样的方法。 在搜索漏洞时,我在目标网站https://www.example.com/forum/attachment-s
继续阅读CVE-2024-46938|Sitecore CMS未经身份验证任意文件读取漏洞(POC) alicy 信安百科 2024-11-30 10:00 0x00 前言 Sitecore Experience Platform™ (XP) 是一款基于.NET WebForm技术构建的内容管理系统,可以将客户数据、分析、人工智能与营销自动化功能相结合,在任何渠道上实时提供个性化的内容,从而在客户旅程中与
继续阅读CVE-2024-11477: 7Zip 中的“代码执行”漏洞 Writeup TheN00bBuilder securitainment 2024-11-30 09:17 CVE-2024-11477-Writeup 大家好! 在本周的第一篇文章中,我开始讨论一个热门话题。周一,一位同事给我发了一条关于 CVE-2024-11477 的链接,这是一种声称存在于 7Zip 中的“代码执行”漏洞,影
继续阅读Docker Registry 未授权访问漏洞利用(工具+利用思路) 原创 黑熊先生 黑熊安全 2024-11-30 07:09 亲爱的读者,我们诚挚地提醒您,黑熊安全公众号的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。黑熊安全团队及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! 漏洞描述
继续阅读天清汉马vpn任意文件读取【漏洞复现】 原创 星河 网安探索队 2024-11-30 06:24 点 击 上 方 公 众 号 关 注 我 们 建议大家把公众号“网安探索队”设为星标,否则可能就看不到啦! 因 为 公 众 号 现 在 只 对 常 读 和 星 标 的 公 众 号 才 能 展 示 大 图 推 送 。 操 作 方 法 : 点 击 右 上 角 的 【 . . . 】 , 然 后 点 击 【
继续阅读地穴传说:微软 Unicode 排序规则异常导致软件漏洞 Ots安全 2024-11-30 06:19 2024 年 11 月 29 日 根据 Microsoft SQL Server,妖精表情符号和空字符串是同一件事。这里的问题是,几乎每种应用程序语言都倾向于不同意。这可能会导致我最喜欢的一种安全问题——两个系统之间奇怪的处理逻辑不一致导致漏洞。AppSec 的争吵夫妇。这篇文章是关于一种此类情
继续阅读俄国黑客组织 RomCom 利用 Firefox 和 Tor 浏览器零日漏洞,攻击欧洲和北美用户 原创 紫队 紫队安全研究 2024-11-30 03:59 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
继续阅读FreeBuf周报 | VPN正成为企业入侵的关键路径;知名压缩工具7-Zip存在严重漏洞 Alpha_h4ck FreeBuf 2024-11-30 02:02 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. VPN正在成为企业入侵的关键路径 研究人员发现了Palo Alt
继续阅读Windows驱动程序暴整数溢出漏洞可致权限提升 计算机与网络安全 2024-11-30 01:57 进网络安全行业群 微信公众号 计算机与网络安全 回复 行业群 一名独立研究员近期发现了Windows操作系统中ksthunk.sys驱动程序的严重漏洞,该驱动程序负责32位与64位进程间的通信,此漏洞允许攻击者通过整数溢出实现权限提升。该研究员近日在TyphoonPWN 2024大赛中演示了该漏
继续阅读某众测记录|细心 = or ≠ 漏洞 ? 实战安全研究 2024-11-30 01:03 群友投稿的文章 “近时间参加了某众测活动,资产是真的难打 RcyQJzSQDTJxz7RSO9hd3jHIdOHQm9c6Li22u8H3pSdPPcJLSAHphXyBpEsxa7zFAEt3kdJxGJQti3LWkV0ROBaGmE4qv5GQ3Cxtxa3FWDNqi4K2YTgEe6Bb
继续阅读施耐德电气、mySCADA 和 Automated Logic 产品中发现严重 ICS 漏洞 会杀毒的单反狗 军哥网络安全读报 2024-11-30 01:01 导读 Cyble ICS 漏洞最新报告披露施耐德电气、mySCADA 和 Automated Logic 等主要供应商的工业控制系统 (ICS) 中的几个严重漏洞。 这些漏洞中,有些被归类为高风险,使制造业、能源和通信等关键行业的系统面临
继续阅读漏洞挖掘|遇到APP数据加密如何解密测试 黑白之道 2024-11-30 00:43 原文首发在:Freebuf社区 https://www.freebuf.com/articles/mobile/413935.html**** 文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为! 0x01 加解密的意义 相信大部分测试过app的好兄
继续阅读俄罗斯关联RomCom组织利用零日漏洞攻击Mozilla和Windows系统 小蛛 狼蛛安全实验室 2024-11-30 00:15 This month in security with Tony Anscombe – November 2024 edition 2024-11-29, 来源:welivesecurity, AI评估:7分(漏洞披露) 在2024年11月,我们ESET发现了几个重
继续阅读【漏洞复现】九思OA getUserStatusByRole存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-11-30 00:02 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **九思OA系统是安装、实施、学习、操作、维护的OA系统,由北京九思协同软件有限公司开发。九思OA getUserStatusByRole存在SQL
继续阅读漏洞预警 | 东胜物流软件任意文件上传漏洞 浅安 浅安安全 2024-11-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 东胜物流软件是青岛东胜伟业软件有限公司Q一款集订单管理、仓库管理、运输管理等多种功能于一体的物流管理软件。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意脚本 简述: 东胜物流软件的
继续阅读漏洞预警 | 任子行网络安全审计系统SQL注入漏洞 浅安 浅安安全 2024-11-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 任子行网络安全审计系统是一款提供全方位网络流量监控与分析的安全解决方案,适用于政府、企业和公共机构。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 任子行网络安全
继续阅读漏洞预警 | 西迪特Wi-Fi Web管理系统远程命令执行和登录绕过漏洞 浅安 浅安安全 2024-11-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 西迪特提供的Wireless解决方案为客户提供一套云管理,可靠性高,覆盖范围广的无线组网产品。 0x03 漏洞详情 漏洞类型:远程代码执行 影响: 执行任意代码 简述:
继续阅读从404到RCE,挖洞像喝水一样简单 Z2O安全攻防 2024-11-29 21:39 免责声明 :请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 又到年底冲刺的阶段了,各种众测,攻防演练项目也都接踵而来。好久没有水文章了,今天来冒个泡
继续阅读Shiro漏洞利用工具 — ShiroEXP(11月26日更新) Y5neKO Web安全工具库 2024-11-29 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,
继续阅读Ubuntu Linux 受到“需要重启”漏洞的影响,该漏洞会导致本地提权到 root Rhinoer 犀牛安全 2024-11-29 16:01 自 10 多年前推出的 Ubuntu Linux 21.04 版本以来,在默认使用的 needrestart 实用程序中发现了五个本地权限提升 (LPE) 漏洞。 这些漏洞由 Qualys 发现,编号为 CVE-2024-48990、CVE-2024-
继续阅读【已复现】7-Zip 代码执行漏洞(CVE-2024-11477)安全风险通告 奇安信 CERT 2024-11-29 16:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 7-Zip 代码执行漏洞 漏洞编号 QVD-2024-48061,CVE-2024-11477 公开时间 2024-11-20 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 7.8 威胁类型
继续阅读记一次小程序渗透测试到通杀RCE(0day) 实战安全研究 2024-11-29 14:39 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 朋友委托我帮忙测一下他搭建的小程序,记录一下,从一个小程序开始挖掘,直接挖到通杀所有同类型站点的组合拳RCE,部分截图厚码请见谅. 0x01前期准备 寻找小程序目录可以通过设置-文件管理-打开文件夹-Applet目录里就是存放小程序的文件夹了. 先用
继续阅读