「漏洞复现」用友NC yerfile/down SQL注入漏洞(XVE-2024-34596) 冷漠安全 冷漠安全 2024-12-05 21:28 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用
继续阅读CVE-2024-22399 – SwingLazyValue利用链构造分析 船山信安 2024-12-05 18:00 前言 通过Apache Seata Hessian反序列化漏洞(CVE-2024-22399)来分析一下该漏洞中所用到的SwingLazyValue利用链的构造过程 分析过程 序列化代码 ,将序列化后的数据保存到mimeTypeParameterList.ser中
继续阅读【漏洞预警】Django Oracle SQL注入漏洞(CVE-2024-53908) cexlife 飓风网络安全 2024-12-05 14:29 漏洞描述: Django是一个基于Python的开源Web应用框架,Django发布安全公告,修复了Django中的一个SQL注入漏洞(CVE-2024-53908),Django应用使用Oracle数据库作为后端时,当Django应用中的djan
继续阅读万能门店小程序管理系统 doPageGetFormList SQL注入漏洞 Superhero nday POC 2024-12-05 13:03 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们
继续阅读立即修复,微软驱动程序关键漏洞已被APT组织利用 信息安全大事件 2024-12-05 12:24 近日,微软被曝Windows AFD.sys漏洞(编号:CVE-2024-38193)正在被黑客组织利用。该漏洞被归类为自带易受攻击驱动程序(BYOVD)漏洞,可影响Windows套接字的注册I/O(RIO)扩展,并允许攻击者远程接管整个系 统。 漏洞影响版本包括Windows 11(ARM64、x
继续阅读谷歌浏览器类型混淆漏洞让攻击者能够执行远程代码 Zicheng FreeBuf 2024-12-05 11:20 据Cyber Security News消息,最近,独立研究人员在谷歌Chrome 的 V8 JavaScript 引擎中发现了一个严重性较高的类型混淆漏洞。 该漏洞被追踪为 CVE-2024-12053,当程序为一种数据类型分配内存,却错误地将其视为另一种数据类型时,就会出现类型混淆
继续阅读【安全圈】立即修复,微软驱动程序关键漏洞已被APT组织利用 安全圈 2024-12-05 11:01 关键词 安全漏洞 近日,微软被曝Windows AFD.sys漏洞(编号:CVE-2024-38193)正在被黑客组织利用。该漏洞被归类为自带易受攻击驱动程序(BYOVD)漏洞,可影响Windows套接字的注册I/O(RIO)扩展,并允许攻击者远程接管整个系统。 漏洞影响版本包括Windows 1
继续阅读【安全圈】谷歌浏览器类型混淆漏洞让攻击者能够执行远程代码 安全圈 2024-12-05 11:01 关键词 安全漏洞 据Cyber Security News消息,最近,独立研究人员在谷歌Chrome 的 V8 JavaScript 引擎中发现了一个严重性较高的类型混淆漏洞。 该漏洞被追踪为 CVE-2024-12053,当程序为一种数据类型分配内存,却错误地将其视为另一种数据类型时,就会出现类型
继续阅读大模型的反序列化导致的RCE漏洞 sule01u 黑伞安全 2024-12-05 10:04 大模型的反序列化导致的RCE漏洞 话说最近字节实习生通过编写、篡改代码等形式恶意攻击团队研究项目模型训练任务的事闹的沸沸扬扬,那气氛都到这了,我们来聊聊大模型的rce漏洞吧 引言 这可以从今年的CVE-2024-3568开始聊聊, CVE-2024-3568是Huggingface的Transformer
继续阅读CVE-2024-42448 (CVSS 9.9):Veeam VSPC 中的严重 RCE 漏洞 Ots安全 2024-12-05 09:53 知名备份和灾难恢复解决方案提供商 Veeam Software 已发布紧急安全更新,以解决其服务提供商控制台 (VSPC) 中的两个严重漏洞。其中一个漏洞被标识为 CVE-2024-42448,CVSS 评分为 9.9,可能允许远程攻击者在易受攻击的系统上
继续阅读【漏洞通告】Django Oracle SQL注入漏洞(CVE-2024-53908) 启明星辰安全简讯 2024-12-05 08:41 一、漏洞概述 漏洞名称 Django Oracle SQL注入漏洞 CVE ID CVE-2024-53908 漏洞类型 SQL注入 发现时间 2024-12-05 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无
继续阅读【漏洞通告】SailPoint IdentityIQ访问控制不当漏洞(CVE-2024-10905) 启明星辰安全简讯 2024-12-05 08:41 一、漏洞概述 漏洞名称 SailPoint IdentityIQ访问控制不当漏洞 CVE ID CVE-2024-10905 漏洞类型 访问控制不当 发现时间 2024-12-04 漏洞评分 10.0 漏洞等级 高危 攻击向量 网络 所
继续阅读【漏洞分享】通达 OA getdata RCE 通达OA 命令执行漏洞 通杀漏洞 Undoubted Security 2024-12-05 06:28 前言 声明:本文仅供学习参考使用,如若造成其他不良影响,均与本公众号无关! 漏洞复现 fofa查询语句: app="通达OA网络智能办公系统" 利用脚本进行检测:
继续阅读9个超级实用BurpSuite插件,SRC漏洞挖掘利器打包推荐 Mstir 星悦安全 2024-12-05 04:52 点击上方 蓝字 关注我们 并设为 星标 part 01 一、前言 BETTER 工具打包下载地址在文末,不想看介绍直接拉到底下查看即可 前段时间自己在做项目的时候,需要用到一些漏洞扫描工具,以及一些被动扫描的工具,其中BurpSuite中的几个插件起到了关键性的作用,其实在实际
继续阅读CVE-2024-31317 复现 原创 腹黑 白帽100安全攻防实验室 2024-12-05 03:30 前言 前两天看到JD的公众号发了篇CVE-2024-31317漏洞的分析,通篇看下来感觉还是比较有意思,且车机目前主流方案均为安卓系统且都在该漏洞的有限范围内,遂开始复现。因为是用户态的提权,需先获取对应用户权限。因此在车联网场景下存在一定的限制,目前主流做法是限制未知签名的APK安卓且无法
继续阅读Lineaje 报告显示开源软件漏洞增多 独眼情报 2024-12-05 03:11 Lineaje 发布了一份报告,强调了全球软件供应链中的漏洞,重点关注开源组件的依赖性。 这份名为《跨越界限:打破信任》的报告由 Lineaje AI Labs 编写,分析了超过 700 万个开源软件包。报告显示,超过 95% 的安全漏洞源自开源软件包依赖项,其中很大一部分漏洞没有已知的修复方法。这一发现凸显了依
继续阅读Lorex 2K 安全摄像头存在五个漏洞 可让黑客完全控制,已有可用 PoC 独眼情报 2024-12-05 03:11 Rapid7 的最新研究揭示了 Lorex 2K 室内 Wi-Fi 安全摄像头中的一系列严重漏洞,这引起了消费者对安全的严重担忧。这些漏洞是在 2024 年 Pwn2Own IoT 竞赛期间发现的,攻击者可以利用这些漏洞入侵设备,可能访问实时信息并远程执行恶意代码。 Rapid
继续阅读Veeam 备份和复制漏洞曝光:高危漏洞使数据面临风险 独眼情报 2024-12-05 03:11 知名备份、恢复和数据管理解决方案提供商 Veeam Software 发布了 安全更新,以解决其 Veeam Backup & Replication 软件中的多个漏洞。这些漏洞可能允许经过身份验证的攻击者执行恶意代码、未经授权访问敏感信息并破坏连接系统的完整性。 这些漏洞中最严重的漏洞 C
继续阅读Zabbix 漏洞CVE-2024-42327 (CVSS 9.9)的 PoC 发布 独眼情报 2024-12-05 03:11 安全研究员 Alejandro Ramos 发布了针对 CVE-2024-42327 的详细技术分析和概念验证 (PoC) 漏洞利用代码,CVE-2024-42327 是一个影响 Zabbix(一种广泛使用的开源企业网络和应用程序监控平台)的严重 SQL 注入漏洞。该漏
继续阅读暗网犯罪份子常用通讯软件 uTox 被曝 0day 独眼情报 2024-12-05 03:11 大水冲了龙王庙呀 一个知名暗网论坛可能正在出售针对 uTox 即时通讯客户端 0.18.1 版本的远程代码执行(RCE)0-day漏洞。 这一公告凸显了依赖该平台进行安全通讯的用户可能面临的潜在风险。 此类漏洞的出售可能带来严重后果,因为远程代码执行漏洞使攻击者能够在目标系统上执行任意代码,可能导致数据
继续阅读【漏洞复现】某平台-webservice-GetUDEFStreamID-delay-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-05 02:55 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操
继续阅读【漏洞复现】金华迪加现场大屏系统存在任意文件上传getshell漏洞 原创 清风 白帽攻防 2024-12-05 01:07 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 金华迪加现场大屏互动系统是一种创新的互动展示解决方案,融合了先进的技术与创意设计,旨在
继续阅读CISA 警告 Zyxel 防火墙漏洞可能被利用进行攻击 会杀毒的单反狗 军哥网络安全读报 2024-12-05 01:00 导读 美国网络安全机构 CISA 周二警告称,多款 Zyxel 防火墙设备中的路径遍历漏洞已被利用。 该漏洞编号为 CVE-2024-11667(CVSS 评分为 7.5),是一个高严重性漏洞,影响 Zyxel ATP、USG FLEX 和 USG20(W)-VPN 系列设
继续阅读漏洞预警 | GitLab权限提升漏洞 浅安 浅安安全 2024-12-05 00:03 0x00 漏洞编号 – CVE-2024-8114 0x01 危险等级 – 高危 0x02 漏洞概述 GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 0x03 漏洞详情 CVE-2024-8114 漏洞类型: 权限提升
继续阅读大模型安全漏洞:AI时代的“隐形炸弹”(附下载) 原创 说安全 如何安全 说安全 如何安全 2024-12-04 23:32 在这个日新月异的AI时代,大模型作为智能技术的核心驱动力,正以前所未有的速度改变着我们的生活和工作方式。从智能客服到自动驾驶,从医疗诊断到金融风控,大模型的应用场景越来越广泛,其背后所蕴含的巨大潜力和商业价值也愈发凸显。然而,在享受AI带来的便捷与高效的同时,你是否意识到,
继续阅读WordPress Query Console漏洞EXP(CVE-2024-50498) p0et08 Web安全工具库 2024-12-04 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,
继续阅读Zabbix api_jsonrpc.php接口存在SQL注入漏洞CVE-2024-42327 附POC 2024-12-4更新 南风漏洞复现文库 2024-12-04 15:08 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Zab
继续阅读钓鱼网页散播银狐木马,远控后门威胁终端安全 原创 火绒安全 火绒安全 2024-12-04 13:44 在当今网络环境下,许多人都有通过搜索引擎下载应用程序的习惯,虽然这种方式简单又迅速,但这也可能被不法分子所利用,通过设置钓鱼网站来欺骗用户。这些钓鱼网站可能会通过各种方式吸引用户点击,从而进行病毒的传播,危害个人或企业的信息安全。 我们期望本篇文章有助于帮助您提高网络安全防范意识,通过官方正规的
继续阅读【漏洞复现】CVE-2024-9935 混子Hacker 混子Hacker 2024-12-04 13:17 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 道阻且长,行则将至;行而不辍,未来可期 —— CVE-2024-9935 Word
继续阅读