Windows 零日漏洞 CVE-2024-38193 在野外被利用:PoC 发布
Windows 零日漏洞 CVE-2024-38193 在野外被利用:PoC 发布 Ots安全 2024-12-09 07:44 在 afd.sys Windows 驱动程序中发现了一个严重的释放后使用漏洞,编号为 CVE-2024-38193。此漏洞的 CVSS 评分为 7.8,对 Windows 系统构成重大威胁,可能允许攻击者提升权限并执行任意代码。Exodus Intelligence 的
继续阅读标签: 代码
海信智能公交企业管理系统 AdjustWorkHours.aspx SQL注入漏洞
海信智能公交企业管理系统 AdjustWorkHours.aspx SQL注入漏洞 Superhero nday POC 2024-12-09 06:35 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告
继续阅读【活动】2024漏洞马拉松活动来袭,史无前例反爬专项单个奖励最高5w!
【活动】2024漏洞马拉松活动来袭,史无前例反爬专项单个奖励最高5w! 邀您专测的 Day1安全团队 2024-12-09 06:09 漏洞马拉松 –活动来袭– 01 活动时间 JSRC活动时间:12.9~12.23 02 提交地址 https://security.jd.com/ 03 马拉松高危奖 活动范围:京东全业务 提交格式:漏洞标题请添加【2024漏洞马拉松】 1
继续阅读有PoC,Windows 0day漏洞CVE-2024-38193在野外被利用
有PoC,Windows 0day漏洞CVE-2024-38193在野外被利用 独眼情报 2024-12-09 06:02 一个关键的Use-After-Free(释放后使用)漏洞CVE-2024-38193,已在Windows驱动程序afd.sys中被发现。这个漏洞的CVSS评分为7.8,对Windows系统构成重大威胁,可能允许攻击者提升权限并执行任意代码。安全研究员Luca Ginex来自E
继续阅读[含POC]CyberPanel upgrademysqlstatus 远程命令执行漏洞(CVE-2024-51567)
[含POC]CyberPanel upgrademysqlstatus 远程命令执行漏洞(CVE-2024-51567) 原创 漏洞预警机器人 安全光圈 2024-12-09 05:44 CyberPanel upgrademysqlstatus 远程命令执行漏洞(CVE-2024-51567) 免责声明:本文内容为机器人搜集最新漏洞及POC分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织
继续阅读劫持其他APT组织基础设施实施攻击,APT组织新战术曝光;罗克韦尔自动化软件曝多个严重漏洞,可被利用执行远程代码 | 牛览
劫持其他APT组织基础设施实施攻击,APT组织新战术曝光;罗克韦尔自动化软件曝多个严重漏洞,可被利用执行远程代码 | 牛览 安全牛 2024-12-09 05:41 点击蓝字·关注我们 / aqniu 新闻速览 •首届“数证杯”电子数据取证分析大赛闭幕 •我国公安机关查处新型侵犯公民个人信息案 •Scattered Spider黑客组织核心成员被捕,涉嫌发动860万次钓鱼攻击 •德国警方捣毁
继续阅读DockerUI存在默认口令漏洞,可导致拉取镜像,管理等操作
DockerUI存在默认口令漏洞,可导致拉取镜像,管理等操作 原创 Mstir 星悦安全 2024-12-09 04:40 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 DockerUI是一款开源的、强大的、轻量级的Docker管理工具。DockerUI覆盖了 docker cli 命令行 95% 以上的命令功能,通过可视化的界面,即使是不熟悉docker命令的用户也可以非常方便的进行D
继续阅读【漏洞复现】某平台-Sc-Interview-search-sql注入漏洞
【漏洞复现】某平台-Sc-Interview-search-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-09 02:16 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而
继续阅读【漏洞复现】英飞达医学影像存档与通信系统WebUserLogin.asmx存在信息泄露
【漏洞复现】英飞达医学影像存档与通信系统WebUserLogin.asmx存在信息泄露 什么安全 2024-12-09 02:12 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 产品介绍 英飞达医学影像存档与通信系统 Pic
继续阅读【漏洞复现】Palo Alto PAN-OS身份认证绕过CVE-2024-0012及命令执行漏洞CVE-2024-9474
【漏洞复现】Palo Alto PAN-OS身份认证绕过CVE-2024-0012及命令执行漏洞CVE-2024-9474 原创 清风 白帽攻防 2024-12-09 01:34 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 Palo Alto Networ
继续阅读CVE-2023-6553 WordPress存在的远程命令执行漏洞
CVE-2023-6553 WordPress存在的远程命令执行漏洞 TtTeam 2024-12-09 01:33 一、漏洞概述与影响范围: Backup Migration插件是WordPress中一个自动备份类的插件,可帮助管理员自动将网站备份到本地存储或Google Drive账户上,目前有超过9万次安装。本次排查的漏洞出现在Backup Migration 1.3.7及之前的所有版本,插
继续阅读X漏洞奖励计划收录扩大!高价收洞!(文末抽奖)
X漏洞奖励计划收录扩大!高价收洞!(文末抽奖) X情报社区 CKCsec安全研究院 2024-12-09 01:00 活动时间 2024/11/20-2024/12/31 活动亮点 1、0day收录范围扩大,不再受限于往期活动范围。 2、非0day开放收录,且新增以下两类收录: a.新增收录二进制非0day收录: 收录范围包括Windows、Linux、Chrome; b.新增收录公开时间在一年内
继续阅读Array Networks SSL VPN 产品曝严重漏洞,已被黑客利用
Array Networks SSL VPN 产品曝严重漏洞,已被黑客利用 原创 技术修道场 技术修道场 2024-12-09 00:39 美国网络安全和基础设施安全局 (CISA) 警告称,黑客正在积极利用 Array Networks AG 和 vxAG ArrayOS SSL VPN 产品中的一个远程代码执行漏洞。 图片来源于网络 漏洞细节 该漏洞编号为 CVE-2023-28461,CVS
继续阅读Windows 权限提升漏洞检测工具集
Windows 权限提升漏洞检测工具集 BC-SECURITY 夜组安全 2024-12-09 00:01 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!! 朋友们现在只对常读和星标的公众号才展示大图推
继续阅读漏洞预警 | Apache Arrow R package反序列化漏洞
漏洞预警 | Apache Arrow R package反序列化漏洞 浅安 浅安安全 2024-12-09 00:00 0x00 漏洞编号 – # CVE-2024-52338 0x01 危险等级 – 高危 0x02 漏洞概述 Apache Arrow是一种通用的列式格式和多语言工具箱,用于快速数据交换和内存分析。 0x03 漏洞详情 CVE-2024-52338 漏洞类
继续阅读漏洞预警 | Zyxel ZLD防火墙路径遍历漏洞
漏洞预警 | Zyxel ZLD防火墙路径遍历漏洞 浅安 浅安安全 2024-12-09 00:00 0x00 漏洞编号 – # CVE-2024-11667 0x01 危险等级 – 高危 0x02 漏洞概述 Zyxel是国际知名的网络宽带系统及解决方案供应商。 0x03 漏洞详情 CVE-2024-11667 漏洞类型: 目录遍历**** 影响: 获取敏感信息 简述: Z
继续阅读漏洞预警 | 思普企业运营管理平台SQL注入漏洞
漏洞预警 | 思普企业运营管理平台SQL注入漏洞 浅安 浅安安全 2024-12-09 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 思普企业运营管理平台是一款专为企业提供全方位运营管理解决方案的软件平台,旨在帮助企业实现运营流程的可视化、自动化和协同化管理,提升运营效率和管理水平。 0x03 漏洞详情 漏洞类型: SQL注
继续阅读挖洞荒?工作两年半的渗透测试实习生如何挖到第一个高危sql注入漏洞?慎用!
挖洞荒?工作两年半的渗透测试实习生如何挖到第一个高危sql注入漏洞?慎用! 迪哥讲事 2024-12-08 15:28 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 今天聊点歪门邪道。跟刚入行还是实习生的小伙子交流的时候
继续阅读「漏洞复现」圣乔ERP系统 DwrUtil SQL注入漏洞
「漏洞复现」圣乔ERP系统 DwrUtil SQL注入漏洞 冷漠安全 冷漠安全 2024-12-08 12:21 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!
继续阅读【大量存在】用友NC yerfile_down_bill存在SQL注入漏洞
【大量存在】用友NC yerfile_down_bill存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-12-07 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **用友NC是用友网络科技股份有限公司开发的一款企业级管理软件,旨在为企业提供全方位的管理服务。主要面向大型企业和集团公司,提供全面的财务和业务管理解决
继续阅读SD Express 卡漏洞导致笔记本电脑和游戏机遭受内存攻击
SD Express 卡漏洞导致笔记本电脑和游戏机遭受内存攻击 原创 很近也很远 网络研究观 2024-12-07 16:00 Positive Technologies 最近发布的一份报告揭示了一个名为 DaMAgeCard 的新漏洞,攻击者可以利用该漏洞利用 SD Express 内存卡直接访问系统内存。 该漏洞利用了 SD Express 中引入的直接内存访问 (DMA) 功能来加速数据传输
继续阅读Spring Properties 远程代码执行
Spring Properties 远程代码执行 srcincite securitainment 2024-12-07 15:54 Remote Code Execution with Spring Properties Spring Properties 远程代码执行 最近,一位以前的学生向我展示了一个非常有趣的 Spring 应用程序中的未经身份验证的漏洞,他们在利用这个漏洞时遇到了困难。上
继续阅读CVE-2024-53908|Django Oracle SQL注入漏洞
CVE-2024-53908|Django Oracle SQL注入漏洞 alicy 信安百科 2024-12-07 11:00 0x00 前言 Django是一个高级的Python Web框架,可以快速开发安全和可维护的网站。由经验丰富的开发者构建,Django负责处理网站开发中麻烦的部分,可以专注于编写应用程序,而无需重新开发。它是免费和开源的,有活跃繁荣的社区,丰富的文档,以及很多免费和付费
继续阅读「漏洞复现」EasyCVR-视频管理平台 taillog 任意文件读取漏洞
「漏洞复现」EasyCVR-视频管理平台 taillog 任意文件读取漏洞 冷漠安全 冷漠安全 2024-12-07 09:53 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无
继续阅读记一次简单的代码审计项目案例
记一次简单的代码审计项目案例 繁星01 安全君呀 2024-12-07 04:07 将 安全君呀 设为”星标 ⭐ ️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容部分选取网络,如有侵权,请告知删除。 前言 代码审计,最重要的就是
继续阅读漏洞分析 | 挖掘 .NET SqlSugar 框架SQL注入
漏洞分析 | 挖掘 .NET SqlSugar 框架SQL注入 原创 专攻.NET安全的 dotNet安全矩阵 2024-12-07 01:10 01 阅读须知 此文所节选自国内最专业的 [ .NET 代码审计 ] 体系化学习社区,主要 内容有 涉及 .NET代码审计体系化星球包括但不限于OWASP十大漏洞类型,涉及SQL注入漏洞、文件上传下载漏洞、任意文件操作漏洞、XML外部实体注入漏洞、跨站脚
继续阅读新的Windows 0day漏洞:攻击者几乎无需用户交互即可窃取 NTLM 凭据
新的Windows 0day漏洞:攻击者几乎无需用户交互即可窃取 NTLM 凭据 会杀毒的单反狗 军哥网络安全读报 2024-12-07 01:01 导读 0patch 的研究人员警告说,从 Windows 7 到最新的 Windows 11 2 4H2 、 Windows Server 2022 的所有 Windows Workstation 和 Server 版本都受到该 0day 漏洞影响。
继续阅读漏洞预警 | 九思OA SQL注入漏洞
漏洞预警 | 九思OA SQL注入漏洞 浅安 浅安安全 2024-12-07 00:30 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 九思OA办公自动化系统平台基于开发JAVA语言开发,封装了大量接口、构件,以多维门户形式展现,OA系统支持各种部署模式、各种操作系统、各种数据库和中间件,并具备完备的配置体系、接口体系和插件体系,支持未
继续阅读漏洞预警 | 昂捷ERP SQL注入漏洞
漏洞预警 | 昂捷ERP SQL注入漏洞 浅安 浅安安全 2024-12-07 00:30 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 昂捷信息,以软件开发为核心,聚焦于零售行业数字化赋能,为超市、便利店、百货、购物中心、专营专卖等各零售业态提供全面的数字化解决方案和咨询服务,是业界领先的全链路数字化解决方案服务商。 0x03 漏洞详
继续阅读【漏洞复现】EasyCVR视频管理平台taillog存在任意文件读取漏洞
【漏洞复现】EasyCVR视频管理平台taillog存在任意文件读取漏洞 xiachuchunmo 银遁安全团队 2024-12-06 23:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **EasyCVR视频管理平台,作为TSINGSEE青犀视频旗下的一款重要产品,是一款功能强大的视频融合+AI智能分析网关平台。平台基于分布式、负载均衡等
继续阅读