Oracle VirtualBox 权限提升漏洞 (CVE-2024-21111):PoC 已发布 Naor Hodorov 独眼情报 2024-04-22 18:57 安全研究员Naor Hodorov公开了一个针对Oracle VirtualBox中严重漏洞(CVE-2024-21111)的概念验证(PoC)利用。这个漏洞影响了7.0.16之前的VirtualBox版本,允许具有基本访问权限的
继续阅读GPT-4 竟然会自动实施漏洞攻击,成功率高达87% 流苏 FreeBuf 2024-04-22 18:48 左右滑动查看更多 近日,伊利诺伊大学香槟分校的研究团队揭示了一项关于人工智能模型进行黑客攻击的新研究:只需要阅读CVE漏洞描述,GPT-4就可以瞬间化身黑客,成功实施漏洞攻击,综合成功率达到了惊人的87%。 在此次研究中,该团队共对包括GPT-4、GPT-3.5在内的10个AI大模型进行实
继续阅读Palo Alto Networks披露PAN-OS防火墙「满分」漏洞细节 Zicheng FreeBuf 2024-04-22 18:48 自3 月 26 日以来,Palo Alto Networks防火墙产品受到了疑似由国家支持的黑客攻击,近日,该企业披露了黑客进行攻击所利用漏洞的更多细节。 该漏洞被追踪为 CVE-2024-3400,CVSS 评分达10分,具体涉及PAN-OS 10.2、P
继续阅读雷神众测漏洞周报2024.4.15-2024.4.21 原创 雷神众测 雷神众测 2024-04-22 17:55 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读大语言模型(LLM)漏洞爆发,AI模型无一幸免 原创 FreddyLu666 FreeBuf播客电台 2024-04-22 17:50 作者 | FreddyLu666 编 | 疯狂冰淇淋 本文概述了人工智能初创公司Anthropic于2024年04月03日发表的一篇针对人工智能安全的论文,该公司在本论文中宣布的一种新的“越狱”技术,名为Many-shot Jailbreaking(多轮越狱)。文
继续阅读【漏洞通告】IP-guard WebServer权限绕过漏洞 安迈信科应急响应中心 2024-04-22 17:16 01 漏洞概况 IP-guard WebServer存在权限绕过漏洞,该漏洞是由于IP-guard访问控制不当导致,攻击者可利用该漏洞在未授权的情况下,构造恶意数据绕过权限校验,进而访问后台接口执行任意文件读取等操作,最终造成服务器敏感性信息泄露。02 漏洞处置综合处置
继续阅读【漏洞通告】Jumpserver Ansible Playbook远程代码执行漏洞 安迈信科应急响应中心 2024-04-22 17:16 01 漏洞概况 Jumpserver Ansible Playbook存在远程代码执行漏洞,攻击者可以绕过JumpServer的Ansible中的输入验证机制,在Celery容器中执行任意代码。由于Celery容器以root权限运行并具有数据库访问
继续阅读【漏洞通告】Jumpserver Jinja2 模板注入漏洞 安迈信科应急响应中心 2024-04-22 17:16 01 漏洞概况 JumpServer 存在Jinja2 模板注入漏洞,攻击者可以利用 JumpServer 的 Ansible 中的 Jinja2 模板注入漏洞,在 Celery 容器中执行任意代码。由于 Celery 容器以 root 权限运行并具有数据库访问权限,攻
继续阅读【漏洞通告】大华智慧园区 /portal/services/clientServer SQL注入漏洞 安迈信科应急响应中心 2024-04-22 17:16 01 漏洞概况 大华智慧园区 /portal/services/clientServer 接口存在SQL注入漏洞,攻击者利用此漏洞可以获取数据库敏感数据。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称大华智慧园区SQL注入漏洞漏
继续阅读上周关注度较高的产品安全漏洞(20240415-20240421) 原创 CNVD CNVD漏洞平台 2024-04-22 17:16 一、境外厂商产品漏洞 1 、Apache Zeppelin输入验证错误漏洞(CNVD-2024-17934) Apache Zeppelin是美国阿帕奇(Apache)基金会的一款基于Web的开源笔记本应用程序。该程序支持交互式数据分析和协作文档。Apache Z
继续阅读多个僵尸网络利用一年前的 TP-Link 漏洞进行路由器攻击 网络安全应急技术国家工程中心 2024-04-22 15:53 目前发现至少有六种不同的僵尸网络恶意软件正在利用去年命令注入安全问题影响的 TP-Link Archer AX21 (AX1800) 路由器。该缺陷编号为 CVE-2023-1389,是可通过 TP-Link Archer AX21 Web 管理界面访问的区域设置 API
继续阅读漏洞修复时如何确保业务不受影响?| 总第242周 原创 群秘 君哥的体历 2024-04-22 07:36 0x1本周话题 话题:漏洞修复时,怎么最大程度确保不产生对业务的影响? A1:只要动生产就要遵循变更流程,漏洞修复和日常的投产变更要求是一样的,都需要做好回归测试。本质都是变更,做好最坏影响分析,如果不接受“万一失败就断业务维修时间”的风险,那备机就备好,失败就切回,成功就继续灰
继续阅读任意用户登录漏洞挖掘思路 中铁13层打工人 信安路漫漫 2024-04-22 07:00 前言 任意用户登录漏洞以利用漏洞利用难度低、危害高、奖金高已经成为src/众测漏洞挖掘中的香饽饽,本文将分享一下众测/src中任意用户登录漏洞的挖掘思路。1.手机验证码问题导致的任意用户登录1.1 验证码爆破当登录流程使用手机验证码登录,没有图片验证码/图片验证码可重用/图片验证码简单可识别(可以使用capt
继续阅读时空智友企业流程化管控系统formservice存在SQL注入漏洞 南风徐来 南风漏洞复现文库 2024-04-21 23:05 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 时空智友企业流程化管控系统简介 微信公众号搜索:南风漏洞复
继续阅读用友U8-Cloud api/hr接口存在SQL注入漏洞 南风徐来 南风漏洞复现文库 2024-04-21 23:05 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友U8-Cloud接口简介 微信公众号搜索:南风漏洞复现文库 该文
继续阅读GPT-4化身黑客搞破坏,成功率87%!OpenAI要求保密提示词,网友复现ing 量子位 商密君 2024-04-21 22:01 91行代码、1056个token,GPT-4化身黑客搞破坏! 测试成功率达87%,单次成本仅8.8美元 (折合人民币约63元)。 这就是来自伊利诺伊大学香槟分校研究团队的最新研究。他们设计了一个黑客智能体框架,研究了包括GPT-4、GPT-3.5和众多开源模型在内
继续阅读kkfileview远程代码执行漏洞复现–保姆级复现 hl666 安全小子大杂烩 2024-04-21 21:51 kkFileView 远程代码执行漏洞复现: 漏洞成因: 在v4.2.0版本的更新中,由于前台上传功能在处理压缩包时,从仅获取文件名改为获取文件名及其目录,导致出现了Zip Slip漏洞。这使得攻击者可上传包含恶意代码的压缩包并覆盖系统文件,随后通过调用这些被覆盖的文件实
继续阅读从0到1 学会究极RCE 影域实验室 2024-04-21 20:02 究极RCE —by Dreamscape Lynn逸 – #### 漏洞成因 简介 RCE为两种漏洞的缩写,分别为Remote Command/Code Execute, 远程命令/代码执行. 远程命令执行 操作系统命令注入或简称 (命令执行 )是一种注入漏洞 ,攻击者注入的payload将作为操作系统命令执行 ,
继续阅读【安全圈】kkFileView文件上传代码执行漏洞 安全圈 2024-04-21 19:01 关键词 信息支援 一、漏洞概述 漏洞名称 kkFileView文件上传代码执行漏洞 CVE ID 暂无 漏洞类型 文件上传、RCE 发现时间 2024-04-17 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未知 k
继续阅读时空智友企业流程化管控系统 formservice SQL注入漏洞 原创 lcyunkong 云途安全 2024-04-21 18:44 0x00 阅读须知 免责声明:本文提供的信息和方法仅供网络安全专业人员用于教学和研究目的,不得用于任何非法活动。读者若使用文章内容从事任何未授权的行为,需自行承担所有法律责任和后果。本公众号及作者对由此引起的任何直接或间接损失不负责任。请严格遵守相关法律法规。
继续阅读Secx专访丨擅长入侵类漏洞挖掘,成功获得百万赏金! Timeline Sec 2024-04-21 18:30 大家好,我是Secx,深耕网络安全领域多年,目前在某互联网大厂从事安全研究工作。同时,我也是知名安全团队Timeline Sec SRC组技术负责人,以专业的技术和敏锐的洞察力,为团队的安全防御提供了坚实的支撑。 2021年末,我步入白帽挖洞行列,至今挖掘出多个高危漏洞,并成功获得了总
继续阅读以栈的视角来认识格式化字符串漏洞 Ltfall 看雪学苑 2024-04-21 17:59 一步一步看格式化字符串漏洞 格式化字符串漏洞实际上是printf 函数的使用不当产生的。首先来看一个正常的printf 函数: 可以看到其printf 函数由两部分组成,其一是要输出的字符串,而后面是字符串中要解析的参数,在上述例子中为clothes 和price 。 那么printf 函数是如何对其进行解
继续阅读揭秘Chrome V8漏洞利用!体验攻防实战全解析 小雪 看雪学苑 2024-04-21 17:59 浏览器漏洞利用一直是备受关注的热点话题。 浏览器作为用户与互联网进行交互的主要工具,也是黑客攻击的重要目标之一。当浏览器存在漏洞时,黑客可以利用这些漏洞进行恶意攻击,例如窃取用户的个人信息、安装恶意软件、篡改网页内容等。 随着网络攻击日益猖獗,企业对安全人才的需求愈发迫切。《 浏览器Pwn Chr
继续阅读geoserver漏洞解析以及测试方法 原创 铁锅炖大鹅 星网实验室 2024-04-21 14:22 相信各位师傅在HVV中,都遇到过geoserver系统,但是一般都是弱口令或者信息泄露、SSRF之类的,拿shell的案例不多,下面分享下geoserver系统后台的两种打法。 一、后台JNDI 注 ⼊ 测试版本:Version 2.13.3 数据储存—》添加新的数据存储—》PostGIS (J
继续阅读干货 | 分享一个.NET逻辑漏洞绕过的Tips 专攻.NET安全的 dotNet安全矩阵 2024-04-21 08:31 02 欢迎加入知识库 为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发
继续阅读CVE-2024-21007|WebLogic 远程代码执行漏洞 alicy 信安百科 2024-04-20 21:36 0x00 前言 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和J
继续阅读CVE-2024-3721|TBK DVR硬盘录像机命令注入漏洞(POC) alicy 信安百科 2024-04-20 21:36 0x00 前言 DVR,全称为Digital Video Recorder(硬盘录像机),即数字视频录像机,相对于传统的模拟摄像录像机,采⽤硬盘录像,故常常被称为硬盘录像机,也被称为DVR。 它是⼀套进⾏图像计算存储处理的计算机系统,具有对图像/语⾳和动态帧等进⾏⻓时
继续阅读N/A|kkFileView 任意文件上传导致远程代码执行漏洞(POC) alicy 信安百科 2024-04-20 21:36 0x00 前言 kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览,如doc,docx,xls,xlsx,ppt,pptx,pdf,txt,zip,rar,图片,视频,音频等。 0x0
继续阅读【安全圈】多个僵尸网络利用一年前的 TP-Link 漏洞进行路由器攻击 安全圈 2024-04-20 19:00 关键词 漏洞攻击 目前发现至少有六种不同的僵尸网络恶意软件正在利用去年命令注入安全问题影响的 TP-Link Archer AX21 (AX1800) 路由器。该缺陷编号为 CVE-2023-1389,是可通过 TP-Link Archer AX21 Web 管理界面访问的区域设置 A
继续阅读vctf apples leak libc操作复现(高版本libc overlapping) ElegyYuan0x1 看雪学苑 2024-04-20 18:02 题目中存在off_by_one libc版本2.34以上我们没办法使用常规的overlapping 泄露libc地址。 所以我们要精心构造一个chunk head来绕过新版本的检查机制,实现leak libc的操作。 文章中我们先讲原理
继续阅读