漏洞预警 | Django拒绝服务和SQL注入漏洞
漏洞预警 | Django拒绝服务和SQL注入漏洞 浅安 浅安安全 2024-12-13 00:02 0x00 漏洞编号 – # CVE-2024-53907 CVE-2024-53908 0x01 危险等级 – 高危 0x02 漏洞概述 Django是Python编写的开源Web应用框架。 0x03 漏洞详情 CVE-2024-53907 漏洞类型: 拒绝服务 影响: 程
继续阅读标签: 代码
漏洞预警 | 小米路由器任意文件读取漏洞
漏洞预警 | 小米路由器任意文件读取漏洞 浅安 浅安安全 2024-12-13 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 小米路由器是小米公司推出的一款智能路由器。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: 小米路由器的/api-third-party/download/extdisks
继续阅读最近打点用的一些java漏洞
最近打点用的一些java漏洞 进击的HACK 2024-12-12 23:55 好久没写文章了,把最近打点审的几个漏洞分享一下。 filter权限绕过 在 CurrentContextFilter 里,有四个关键方法。 需要关注的方法,很明显可以看出,应该是: isExcludeResource(request.getRequestURI()) isStaticResource(request.g
继续阅读闭源系统半自动漏洞挖掘工具 SinkFinder
闭源系统半自动漏洞挖掘工具 SinkFinder 进击的HACK 2024-12-12 23:55 闭源系统半自动漏洞挖掘工具,针对 jar/war/zip 进行静态代码分析,增加 LLM 大模型能力验证路径可达性,LLM 根据上下文代码环境给出该路径可信分数 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权
继续阅读Ivanti修复了其客户成功平台 (CSA) 中一个最高严重级别的漏洞
Ivanti修复了其客户成功平台 (CSA) 中一个最高严重级别的漏洞 鹏鹏同学 黑猫安全 2024-12-12 23:00 Ivanti修复了其云服务应用(CSA)中的一个关键身份验证绕过漏洞,该漏洞被追踪为CVE-2024-11639(CVSS评分为10)。远程未经身份验证的攻击者可以利用此漏洞获取管理员访问权限。该漏洞由CrowdStrike的高级研究团队发现,影响5.0.2及以前的版本。
继续阅读【0day】深圳国威电子有限公司HB1910数字IP程控交换机存在远程命令执行漏洞
【0day】深圳国威电子有限公司HB1910数字IP程控交换机存在远程命令执行漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-12 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **深圳国威电子有限公司成立于1991年7月,是著名的程控交换机研发、生产、销售厂家。深圳国威电子有限公司HB1910数字IP程控交换机存
继续阅读聚焦纽创信安 | 上海ICCAD 2024-Expo
聚焦纽创信安 | 上海ICCAD 2024-Expo 原创 OSR市场部 纽创信安 2024-12-12 16:06 2024年12月11日至12日, “上海集成电路2024年度产业发展论坛暨第三十届集成电路设计业展览会”(ICCAD-Expo 2024)在上海世博展览馆成功举办,本届大会以“智慧上海,芯动世界”为主题,设置1场高峰论坛+9场分论坛,行业300多家企业参展,近万名集成电路业界精英人
继续阅读Palo零日漏洞凸显面向互联网的接口风险不断上升
Palo零日漏洞凸显面向互联网的接口风险不断上升 原创 何威风 祺印说信安 2024-12-12 16:01 最近的报告证实,针对 Palo Alto Networks 的下一代防火墙 (NGFW) 管理接口的严重零日漏洞正受到积极利用。虽然 Palo Alto 的快速建议和缓解指南为补救措施提供了起点,但此类漏洞的广泛影响需要全球组织予以关注。 针对面向互联网的管理界面的攻击激增凸显了不断演变的
继续阅读Burp Suite for Pentester:软件漏洞扫描程序和 Retire.js
Burp Suite for Pentester:软件漏洞扫描程序和 Retire.js 三沐 三沐数安 2024-12-12 15:54 不仅我们看到的前端或看不到的后端,都会导致应用程序易受攻击。动态 Web 应用程序本身包含很多内容,无论是 JavaScript 库、第三方功能、功能插件还是其他内容。但是,如果安装的功能或插件本身易受攻击怎么办? 因此,今天在本文中我们不会关注任何特定的漏洞
继续阅读主机侧命令执行监测的规避
主机侧命令执行监测的规避 原创 QWETVG T00ls安全 2024-12-12 14:11 使用场景 像一些0day防御系统,当我们打出来whoami等等极具特征的命令时,会有一个基于主机侧命令执行检测,会出现告警,那我们就需要进行一些规避,用来像权限查询,判断主站上有什么东西,我们该如何进行信息收集。 场景为当我们的C2上线后,或WebShell直接上线之后,我们可以用一些Windows的a
继续阅读「漏洞复现」电子图书阅读平台 downFile.aspx SQL注入漏洞
「漏洞复现」电子图书阅读平台 downFile.aspx SQL注入漏洞 冷漠安全 冷漠安全 2024-12-12 13:41 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关
继续阅读【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677)
【漏洞预警】Apache Struts 文件上传漏洞(CVE-2024-53677) 原创 聚焦网络安全情报 安全聚 2024-12-12 13:14 严 重 公 告 近日,安全聚实验室监测到 Apache Struts 中存在文件上传漏洞 ,编号为:CVE-2024-53677,CVSS:9.5 此漏洞允许未经身份验证的攻击者可以操纵文件上传参数以启用路径遍历,这可能导致上传可用于执行远程代码
继续阅读发现关键漏洞获得 $4,000 赏金奖励
发现关键漏洞获得 $4,000 赏金奖励 迪哥讲事 2024-12-12 12:30 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 文章原文:https://gugesay.com/archives/XXXX **不想错过任何消息?设置星标↓ ↓ ↓ 目录 子域枚举 发现 测试应用程序
继续阅读【安全圈】Windows 远程桌面服务漏洞允许攻击者执行远程代码
【安全圈】Windows 远程桌面服务漏洞允许攻击者执行远程代码 安全圈 2024-12-12 11:00 关键词 安全漏洞 2024 年 12 月 10 日,微软披露了Windows 远程桌面服务中的一个严重漏洞,能够让攻击者在受影响的系统上执行远程代码,从而对系统机密性、完整性和可用性构成严重威胁。 该漏洞被跟踪为 CVE-2024-49115,CVSS 评分为 8.1,由昆仑实验室的研究员
继续阅读【安全圈】知名企业级文件传输产品存在漏洞,正在被黑客利用
【安全圈】知名企业级文件传输产品存在漏洞,正在被黑客利用 安全圈 2024-12-12 11:00 关键词 安全漏洞 网络安全公司 Huntress 在周一警告称,影响企业软件制造商 Cleo 多个文件传输产品的漏洞未正确修补,并在过去至少一周内被利用。Cleo 是一家总部位于伊利诺伊州的公司,为超过 4200 家组织提供供应链和 B2B 集成解决方案。 该漏洞影响 Cleo 的LexiCom 、
继续阅读微软 MFA 中存在AuthQuake 漏洞,可导致无限次暴力攻击
微软 MFA 中存在AuthQuake 漏洞,可导致无限次暴力攻击 代码卫士 2024-12-12 10:09 聚焦源代码安全,网罗国内外最新资讯! 作者:Ravie Lakshmanan 编译:代码卫士 网络安全研究员在微软的多因素认证 (MFA) 实现中发现了一个严重漏洞,可导致攻击者轻易绕过防御措施,越权访问受害者账户。 Oasis 安全公司的研究人员 Elad Luz 和 Tal Haso
继续阅读施耐德电气提醒注意 Modicon 控制器中的严重漏洞
施耐德电气提醒注意 Modicon 控制器中的严重漏洞 securityonline 代码卫士 2024-12-12 10:09 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 施耐德电气发布一份安全通知,提醒注意 Modicon M241、M251、M258和LMC058 可编程逻辑控制器 (PLCs) 中的一个严重漏洞CVE-2024-11737(CVSS评分9.8)。该漏洞可导致攻击者
继续阅读CNNVD | 关于Apache Struts安全漏洞的通报
CNNVD | 关于Apache Struts安全漏洞的通报 中国信息安全 2024-12-12 09:57 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况**** 近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts安全漏洞(CNNVD-202412-1393、CVE-2024-53677)情况的报送。成功利用漏洞的攻击者,可以操
继续阅读创宇安全智脑 | Mitel MiCollab 企业协作平台任意文件读取(CVE-2024-41713)等80个漏洞可检测
创宇安全智脑 | Mitel MiCollab 企业协作平台任意文件读取(CVE-2024-41713)等80个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-12 09:30 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、
继续阅读【漏洞通告】Apache Struts 2远程代码执行漏洞安全风险通告
【漏洞通告】Apache Struts 2远程代码执行漏洞安全风险通告 嘉诚安全 2024-12-12 08:46 漏洞背景 近日,嘉诚安全监测到Apache Struts 2中存在一个远程代码执行漏洞,漏洞编号为: CVE-2024-53677。 Apache Struts 2是一个基于MVC设计模式的Web应用框架,可用于创建企业级Java web应用程序。 鉴于漏洞危害较大,嘉诚安全提醒相关
继续阅读【漏洞通告】Apache Struts 2 任意文件上传漏洞(S2-067)(CVE-2024-53677)
【漏洞通告】Apache Struts 2 任意文件上传漏洞(S2-067)(CVE-2024-53677) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-12-12 08:34 漏洞名称: Apache Struts 2 任意文件上传漏洞(S2-067)(CVE-2024-53677) 组件名称: Apache Struts2 影响范围: 2.0.0 ≤ Apache Struts 2 ≤
继续阅读【风险通告】GitLab存在敏感信息泄露漏洞(CVE-2024-11274)
【风险通告】GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒CERT评级 2级 CVSS3.1评分 8.7 CVE编号 CVE-2024-11274 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-2024
继续阅读关于防范Zabbix软件SQL注入超危漏洞的风险提示
关于防范Zabbix软件SQL注入超危漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2024-12-12 08:23 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源软件 Zabbix 存在 SQL 注入超危漏洞。 Zabbix 是一款开源网络监控软件,广泛用于监控网络设备、服务器和应用程序的状态。由于 Zabbix 软件未对用户输入数据进行严格验证和转
继续阅读【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274)
【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274) 启明星辰安全简讯 2024-12-12 07:56 一、漏洞概述 漏洞名称 GitLab Kubernetes Proxy Response NEL头注入漏洞 CVE ID CVE-2024-11274 漏洞类型 注入、信息泄露 发现时间 2024-12-12 漏洞
继续阅读安全简讯(2024.12.12)
安全简讯(2024.12.12) 启明星辰安全简讯 2024-12-12 07:56 1. Cleo文件传输软件零日漏洞遭黑客利用进行数据盗窃攻击 12月10日,黑客正在积极利用Cleo管理文件传输软件中的新发现的零日漏洞,侵入全球数千家公司网络,包括Target、沃尔玛等知名企业,进行数据盗窃攻击。该漏洞存在于Cleo LexiCom、VLTrader和Harmony产品中,允许不受限制的文件上
继续阅读Cleo 0day漏洞 CVE-2024-50623 poc 公开
Cleo 0day漏洞 CVE-2024-50623 poc 公开 剁椒鱼头没剁椒 2024-12-12 07:37 CVE-2024-50623这一关键漏洞正在被恶意利用,使用Cleo文件传输软件的企业应立即开始防护。这个漏洞影响Cleo LexiCom、VLTrader和Harmony产品,允许攻击者在易受攻击的系统上远程执行恶意代码。 Cleo 公司最初于 2024 年 10 月报告并解决了
继续阅读Zabbix SQL 注入 CVE-2024-42327 POC已公开
Zabbix SQL 注入 CVE-2024-42327 POC已公开 剁椒鱼头没剁椒 2024-12-12 07:37 Zabbix SQL注入漏洞 CVE-2024-42327 的 PoC 发布(CVSS 评分 9.9) 安全研究员 Alejandro Ramos 发布了 CVE-2024-42327 的详细技术分析和PoC。 CVE-2024-42327 是一个影响 Zabbix 的 SQL
继续阅读CNNVD关于Apache Struts安全漏洞的通报
CNNVD关于Apache Struts安全漏洞的通报 原创 CNNVD CNNVD安全动态 2024-12-12 07:31 点击蓝字 关注我们 漏洞情况**** 近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts安全漏洞(CNNVD-202412-1393、CVE-2024-53677)情况的报送。成功利用漏洞的攻击者,可以操纵文件上传参数来启用路径遍历,进而上传可用于执
继续阅读(0day)杜特网上订单管理系统getUserImage存在SQL注入漏洞
(0day)杜特网上订单管理系统getUserImage存在SQL注入漏洞 原创 websec WebSec 2024-12-12 06:43 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致
继续阅读Apache Struts FileUploadInterceptor 目录遍历与文件上传漏洞(CVE-2024-53677)
Apache Struts FileUploadInterceptor 目录遍历与文件上传漏洞(CVE-2024-53677) 风险通告 阿里云应急响应 2024-12-12 06:11 2024年12月,Apache 官方披露 CVE-2024-53677 Apache Struts FileUploadInterceptor 文件上传漏洞。 01 风险描述 Apache Struts 是一个
继续阅读