[翻译]Progress MOVEit Transfer身份认证绕过漏洞 (CVE-2024-5806) walker1995 沃克学安全 2024-06-28 20:43 原文地址: https://labs.watchtowr.com/auth-bypass-in-un-limited-scenarios-progress-moveit-transfer-cve-2024-5806/ 发表时间
继续阅读[翻译][AI安全]Probllama:Ollama 远程代码执行漏洞 (CVE-2024-37032) walker1995 沃克学安全 2024-06-28 20:43 原文地址: https://www.wiz.io/blog/probllama-ollama-vulnerability-cve-2024-37032 发表时间:2024年6月24日 作者: Sagi Tzadik Wiz R
继续阅读监听蓝牙对话的BlueSpy技术复现 原创 马云卓 洞源实验室 2024-06-28 20:02 本文是之前文章的BlueSpy技术的复现过程:https://mp.weixin.qq.com/s/iCeImLLPAwwKH1avLmqEpA 2个月前,网络安全和情报公司Tarlogic在西班牙安全大会RootedCon 2024上提出了一项利用蓝牙漏洞的BlueSpy技术,并在之后发布了一个名为
继续阅读影响 Linux 内核的 UAF 零日漏洞正在暗网被出售 信息安全大事件 2024-06-28 19:59 最近,一个安全警报震动了信息安全行业:一个恶意行为者在著名的暗网论坛 BreachForum 上宣布出售影响 Linux 内核的( UAF )零日漏洞。该漏洞允许低权限用户执行高权限代码,对受影响系统构成严重威胁。 漏洞详情 漏洞利用者指出该漏洞影响 6.6.15 – amd64 版本的 L
继续阅读【安全圈】MOVEit 又曝出高危漏洞,又要来一次供应链大事件? 安全圈 2024-06-28 19:00 关键词 系统漏洞 日前,MOVEit 文件传输工具中的一个安全漏洞再次引起业内人士的警觉,Progress 软件公司敦促客户尽快修补这个 “高危 “漏洞。 漏洞追踪编号为 CVE-2024-5806,存在于 MOVEit 管理软件的 SFTP 模块中,威胁攻击者可以利
继续阅读【安全圈】售价 15 万美元,影响 Linux 内核的 UAF 零日漏洞在暗网出售 安全圈 2024-06-28 19:00 关键词 系统漏洞 最近,一个安全警报震动了信息安全行业:一个恶意行为者在著名的暗网论坛 BreachForum 上宣布出售影响 Linux 内核的(UAF)零日漏洞。该漏洞允许低权限用户执行高权限代码,对受影响系统构成严重威胁。 漏洞详情 漏洞利用者指出该漏洞影响 6.6.
继续阅读Black Hat 2024:5G技术存在漏洞,易被绕过和DoS攻击 疯狂冰淇淋 FreeBuf 2024-06-28 18:55 左右滑动查看更多 无线服务提供商优先考虑正常运行时间和延迟时间,有时以牺牲安全性为代价,允许攻击者利用这一漏洞窃取数据,甚至更糟。 由于 5G 技术存在漏洞,移动设备面临着数据被肆意窃取和拒绝服务的风险。 在即将于拉斯维加斯举行的「Black Hat 2024」大会上
继续阅读【漏洞预警】GitLab 身份验证缺陷漏洞CVE-2024-5655 cexlife 飓风网络安全 2024-06-28 18:34 漏洞描述: GitLab社区版(CE)和企业版(EE)15.8至16.11.5、17.0至17.0.3以及17.1至17.1.1版本中存在一个访问控制不当漏洞,成功利用该漏洞可能导致威胁者在某些情况下以其他用户的身份触发pipeline。修复建议:正式防护方案:官方
继续阅读盛邦安全中标能源行业某单位百万级漏洞扫描便携式一体设备采购项目 盛邦安全WebRAY 2024-06-28 18:32
继续阅读GitLab 严重漏洞导致攻击者以任意用户身份运行管道 Bill Toulas 代码卫士 2024-06-28 17:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab 社区版和企业版的某些版本受一个严重漏洞 (CVE-2024-5655) 影响,可被攻击者用于以任何用户身份运行管道。 GitLab 是一款基于 web 的热门开源软件项目管理和工作跟踪平台,活跃的许可用户数量
继续阅读使用 SyntaxFlow 审计你的第一个“漏洞” 原创 V1ll4n Yak Project 2024-06-28 17:30 SyntaxFlow SyntaxFlow 是一个 Yaklang 出品的编译器级的高级静态分析语言。你可以使用 SyntaxFlow 分析被 Yaklang SSA 编译器编译后的程序(IrCode in Database)。 声明 SyntaxFlow 技术目前仅供
继续阅读GitLab身份认证绕过漏洞(CVE-2024-5655)安全风险通告 奇安信 CERT 2024-06-28 17:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GitLab身份认证绕过漏洞 漏洞编号 QVD-2024-24650,CVE-2024-5655 公开时间 2024-06-26 影响量级 百万级 奇安信评级 高危 CVSS 3.1分数 9.6 威胁类型 代
继续阅读2024攻防演练必修高危漏洞集合(4.0版) 漏洞情报中心 斗象智能安全 2024-06-28 14:38 高危风险漏洞一直是企业网络安全防护的薄弱点,也成为HW攻防演练期间红队的重要突破口;每年HW期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。 攻防演练在即,斗象情报中心依托漏洞盒子的海量漏洞数据、情报星
继续阅读尽快修补!新的 MOVEit 传输漏洞记录的漏洞正在被利用 信息安全大事件 2024-06-27 20:04 一个新披露的严重安全漏洞影响了 Progress Software MOVEit Transfer,在该漏洞的细节被公开披露后不久,就已经看到了漏洞利用的尝试。 该漏洞被跟踪为 CVE-2024-5806(CVSS 评分:9.1),涉及影响以下版本的身份验证绕过 – ̵
继续阅读【安全圈】现已修复!AirPods 最新固件曝出蓝牙漏洞,可能导致设备被窃听 安全圈 2024-06-27 19:00 关键词 系统漏洞 近日,苹果公司发布了 AirPods 的固件更新,但此版本固件曝出了一个严重漏洞,被追踪为 CVE-2024-27867,可能允许恶意行为者以未经授权的方式访问耳机。 该漏洞影响 AirPods第二代及更高版本、AirPods Pro所有型号、AirPods M
继续阅读「漏洞复现」易天智能eHR管理平台 CreateUser 任意用户添加漏洞 冷漠安全 冷漠安全 2024-06-27 18:23 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读苹果修复可导致窃听的 AirPods 蓝牙漏洞 THN 代码卫士 2024-06-27 17:40 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果为 AirPods 发布固件更新,修复了其中的认证漏洞 (CVE-2024-27867)。该漏洞可导致恶意人员以越权方式获得对耳机的访问权限。 该漏洞影响 AirPods(第2代及后续版本)、AirPods Pro(所有机型)、AirPods
继续阅读美国拟投资3.6亿元,研发医疗设备漏洞管理方案 安全内参 2024-06-27 16:39 关注我们 带你读懂网络安全 UPGRADE计划是美国卫生高级研究计划局推出的资助项目,旨在实现医疗设备网络安全自动化,让医护人员可以专注于病患护理。 前情回顾·医疗器械网络安全动态 – 权威指南:老旧医疗设备网络安全该怎么做? 美国修订法律:医疗器械上市需自证网络安全,否则不予通过 美国食品和药
继续阅读【已复现】Ollama 远程代码执行漏洞(CVE-2024-37032)安全风险通告第二次更新 奇安信 CERT 2024-06-27 16:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ollama 远程代码执行漏洞 漏洞编号 QVD-2024-21275,CVE-2024-37032 公开时间 2024-06-24 影响量级 万级 奇安信评级 高危 CVSS 3.1
继续阅读FastJson-RCE (CVE-2017-18349) 漏洞复现 原创 F0R 朱厌安全 2024-06-26 23:51 0X01 环境搭建 Java环境:JDK 8 物理机环境:Windows 11 Tomcat版本:8.5.0 Maven版本:3.9.8 IDEA版本:最新版本 漏洞验证工具:burpsuite2024版本、JNDIExploit-1.4-SNAPSHOT.jar (工
继续阅读Apple 修补了可能允许窃听的 AirPods 蓝牙漏洞 信息安全大事件 2024-06-26 21:19 Apple 发布了 AirPods的固件更新,可能允许恶意行为者以未经授权的方式访问耳机。 该身份验证问题被跟踪为 CVE-2024-27867,会影响 AirPods(第 2 代及后续机型)、AirPods Pro(所有型号)、AirPods Max、Powerbeats Pro 和 B
继续阅读一次报错所引发的五千漏洞赏金记录 迪哥讲事 2024-06-26 20:31 0x01 前言 Missing parameter?Parameter is null?一次众测实战教你如何高效的找出缺少的参数。 0x02 漏洞背景 一次众测项目,称其为https://uctenter.target.com。 0x03 漏洞挖掘过程 前期通过信息收集,找到一处目录organization 状态码返回3
继续阅读【漏洞通告】Progress MOVEit Transfer身份验证漏洞(CVE-2024-5806) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-06-26 19:36 漏洞名称: Progress MOVEit Transfer身份验证漏洞(CVE-2024-5806) 组件名称: MOVEit Transfer 影响范围: 2023.0.0 ≤ MOVEit Transfer <
继续阅读学习干货|保姆式实战等保测评Linux镜像(邀请码+综合全流程+未公开漏洞) 原创 爱州 州弟学安全 2024-06-26 19:00 0x01 前言 在之前,我们对等保测评的自查理论步骤做出来总结,分为上中下三篇文章,后期应多位师傅的要求,又自作了Windows等保测评镜像,对各步骤进行了模块化梳理,此次我们对Linux进行复现,依旧是对各模块步骤梳理,主要是为了加深印象,关于既往文章点以下名片
继续阅读马里兰大学 | 漏洞可利用性预测 原创 MJXV 安全学术圈 2024-06-26 17:58 原文标题:Expected Exploitability: Predicting the Development of Functional Vulnerability Exploits原文作者:Octavian Suciu, Connor Nelson†, Zhuoer Lyu†, Tiffany B
继续阅读MOVEit Transfer 软件中存在高危的认证不当漏洞 THN 代码卫士 2024-06-26 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Progress Software 公司的MOVEit Transfer 软件中存在一个高危漏洞 (CVE-2024-5806),可导致攻击者绕过该平台的认证机制。就在被披露的数小时后,该漏洞已遭利用。 MOVEit Transfe
继续阅读Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)安全风险通告 奇安信 CERT 2024-06-26 11:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Progress MOVEit Transfer身份认证绕过漏洞 漏洞编号 QVD-2024-24490,CVE-2024-5806 公开时间 2024-06-25 影响量
继续阅读漏洞挖掘|从实战中学习漏洞挖掘与渗透测试流程 迪哥讲事 2024-06-25 23:11 0x01 前言 作为一个职业又非职业性的漏洞挖掘者,除工作内做渗透和挖洞,其它挖洞基本上都是为了写公众号,并没有很专注的去了解职业SRC,清晰的记得有一次,挖到的一个在线商城漏洞,根据特征找到了存活站点一千多个,独立IP几百个,上交CNVD或一些广泛收录通用型漏洞的平台也可以换马内,但是我最后还是交了公益,现
继续阅读ctfshow之无字母数字的命令执行 原创 vientiane TimeAxis Sec 2024-06-25 23:06 点击蓝字关注我们 无字母数字的命令执行 ctfshow web入门 55 题目: <?php /* # -*- coding: utf-8 -*- # @Author: Lazzaro # @Date: 2020-09-05 20:49:30 # @Last Mod
继续阅读【漏洞情报】MetaCRM6存在文件上传漏洞 cexlife 飓风网络安全 2024-06-25 22:25 漏洞描述: MetaCRM6是一款客户关系管理系统,etaCRM6存在文件上传漏洞,攻击者可利用漏洞上传恶意文件。官方解决方案:厂商已发布补丁修复漏洞,请广大用户及时下载更新:http://www.metasoft.com.cn/buding.html
继续阅读