「漏洞复现」同享人力资源管理系统-TXEHR V15 ActiveXConnector 信息泄露漏洞 冷漠安全 冷漠安全 2024-12-04 12:20 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读Veeam 针对服务提供商控制台中的严重 RCE 漏洞发布补丁 信息安全大事件 2024-12-04 11:53 Veeam 发布了安全更新,以解决影响服务提供商控制台 (VSPC) 的关键缺陷,该缺陷可能为在易受攻击的实例上远程执行代码铺平道路。 该漏洞被跟踪为 CVE-2024-42448,CVSS 评分为 9.9 分(满分 10.0 分)。该公司指出,该错误是在内部测试期间发现的。 Veea
继续阅读信息安全漏洞月报(2024年11月) 原创 CNNVD CNNVD安全动态 2024-12-04 11:25 点击蓝字 关注我们 漏洞态势 根据国家信息安全漏洞库(CNNVD)统计,2024年11月采集安全漏洞共3920个。 本月接报漏洞1825个,其中信息技术产品漏洞(通用型漏洞)1287个,网络信息系统漏洞(事件型漏洞)538个。漏洞平台推送漏洞93384个。 重大漏洞通报 Palo Alto
继续阅读微软驱动程序关键漏洞已被APT组织利用 老布 FreeBuf 2024-12-04 11:03 近日,微软被曝Windows AFD.sys漏洞(编号:CVE-2024-38193)正在被黑客组织利用。该漏洞被归类为自带易受攻击驱动程序(BYOVD)漏洞,可影响Windows套接字的注册I/O(RIO)扩展,并允许攻击者远程接管整个系统。 漏洞影响版本包括Windows 11(ARM64、x64,
继续阅读思科安全设备ASA十年老漏洞正在被利用 老布 FreeBuf 2024-12-04 11:03 近期,思科系统公司(Cisco Systems)更新了关于CVE-2014-2120的安全公告,警告客户该漏洞已在野外被利用。CVE-2014-2120是一个影响思科自适应安全设备(ASA)软件的WebVPN登录页面的跨站脚本(XSS)漏洞。该漏洞最初于2014年披露,它允许未经身份验证的远程攻击者对W
继续阅读【安全圈】思科安全设备ASA十年老漏洞正在被利用 安全圈 2024-12-04 11:00 关键词 安全漏洞 近期,思科系统公司(Cisco Systems)更新了关于CVE-2014-2120的安全公告,警告客户该漏洞已在野外被利用。CVE-2014-2120是一个影响思科自适应安全设备(ASA)软件的WebVPN登录页面的跨站脚本(XSS)漏洞。该漏洞最初于2014年披露,它允许未经身份验证的
继续阅读Veeam 提醒注意VSPC中的严重RCE漏洞 Sergiu Gatlan 代码卫士 2024-12-04 10:26 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Veeam 发布安全更新,修复了在内部测试过程中发现的两个 Service Provider Console (VSPC) 漏洞,其中一个是严重的远程代码执行 (RCE) 漏洞。 Veeam 提到,VSPC 是一款远程管理 B
继续阅读思科证实已存在10年的ASA产品漏洞正遭利用 Eduard Kovacs 代码卫士 2024-12-04 10:26 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周一,思科更新安全公告提醒称,已存在十年之久的一个漏洞正遭在野利用。 该漏洞的编号是CVE-2014-2120,是中危级别的XSS漏洞,影响思科ASA产品的 WebVPN 登录页面。 思科提到,未认证的远程攻击者能够诱骗 We
继续阅读从零开始:K8s安全测试与漏洞挖掘全攻略二 原创 枇杷哥 黑伞安全 2024-12-04 10:09 b站链接 https://www.bilibili.com/video/BV1PgzRYAEYe 大家好,欢迎来到K8s CTF挑战的第二关。今天我们来探讨一下网络命名空间以及如何利用流量分析进行信息搜集。 首先,我们刷新一下页面,看看这道题提供的两个提示。第一个提示指向了网络命名空间的问题,而
继续阅读奇安信获评工信部NVDB漏洞治理合作“三星级技术支撑单位” 奇安信集团 2024-12-04 10:03 12月3日,2024年第十三届电信和互联网行业网络安全年会在北京召开。在会上,工信部网络安全威胁和漏洞信息共享平台(NVDB)通用网络产品安全漏洞专业库对2024-2025年度技术支撑单位进行授牌仪式;针对年度在网络产品安全漏洞管理方面作出杰出贡献的单位进行表彰,奇安信被授予“三星级技术支撑单
继续阅读开源网安受邀出席2024四川网信企业家发展年会,展示网信安全领域优秀解决方案 开源网安 2024-12-04 09:39 近日,2024四川网信企业家发展年会在成都圆满举办,吸引了各市(州)党委网信办、网信企业、高校院所、行业协会、投融资机构及媒体等近200位代表参与。 开源网安受邀出席本次年会并为到场单位和企业展示开源网安核心技术——模糊测试解决方案SFuzz,目前该解决方案已广泛应用于工业、汽
继续阅读用友NC workflowService SQL注入1day代码分析 原创 island 深白网安 2024-12-04 09:17 免责声明:文章中内容来源于互联网,涉及的所有内容仅供安全研究与教学之用,读者将其信息做其他用途而造成的任何直接或者间接的后果及损失由用户承担全部法律及连带责任。文章作者不承担任何法律及连带责任!如有侵权烦请告知,我们会立即删除整改并向您致以歉意。 0x00.漏洞描述
继续阅读Java 反序列化之 XStream 反序列化 蚁景网安 2024-12-04 08:30 0x01 XStream 基础 XStream 简介 XStream 是一个简单的基于 Java 库,Java 对象序列化到 XML,反之亦然(即:可以轻易的将 Java 对象和 XML 文档相互转换)。 使用 XStream 实现序列化与反序列化 下面看下如何使用 XStream 进行序列化和反序列化操作
继续阅读新型漏洞攻击利用服务器进行恶意更新 胡金鱼 嘶吼专业版 2024-12-04 06:00 一组被称为“NachoVPN”的漏洞允许流氓 VPN 服务器在未修补的 Palo Alto 和 SonicWall SSL-VPN 客户端连接到它们时安装恶意更新。 安全研究人员发现,威胁者可以利用社交工程或网络钓鱼攻击中的恶意网站或文档,诱骗潜在目标将其 SonicWall NetExtender 和 Pa
继续阅读【成功复现】JeecgBoot SQL注入漏洞(CVE-2024-48307) 原创 弥天安全实验室 弥天安全实验室 2024-12-04 04:44 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍JeecgBoot是中国国炬(Jeecg)公司的一个适用于企业 Web 应用程序的 Java 低代码平台。采
继续阅读【漏洞复现】某平台-tag-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-04 04:09 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由
继续阅读ProFTPD 权限提升漏洞(CVE-2024-48651)安全风险通告 奇安信 CERT 2024-12-04 03:50 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 ProFTPD 权限提升漏洞 漏洞编号 QVD-2024-48879,CVE-2024-48651 公开时间 2024-11-29 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.1 威胁类型
继续阅读一文学会fastjson漏洞 simple学安全 simple学安全 2024-12-04 02:55 目录 漏洞简介 fastjson是一个高性能的json解析器和生成器,广泛用于Java项目中。fastjson允许开发者自定义反序列化行为,以便可以根据json中的不同字段自动创建不同类型的对象。 在Java中,反序列化是将字节数据(通常是json格式)转化回对象的过程。然而,fastjson在
继续阅读知名开源监控系统Zabbix存在SQL 注入漏洞 天唯科技 天唯信息安全 2024-12-04 02:38 Zabbix 存在 SQL 注入漏洞(CVE-2024-42327),该漏洞是由于在 Zabbix前端的CUser类中的addRelatedObjects函数未对输入数据进行充分验证和转义,导致具有API访问权限的恶意用户可以通过user.get API传递特制输入触发SQL注入攻击,进而利
继续阅读智联云采 SRM2.0 receiptDetail SQL注入漏洞 Superhero nday POC 2024-12-04 02:16 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读CVE-2017-7504 JBOSS反序列化漏洞复现 原创 Kiand 网安知识库 2024-12-04 02:00 一、漏洞描述 JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 二、漏洞环境搭
继续阅读Veeam 警告服务提供商控制台中存在严重 RCE 漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-04 01:00 导读 Veeam 今天发布了安全更新,以解决两个服务提供商控制台 (VSPC) 漏洞,其中包括在内部测试期间发现的严重远程代码执行 (RCE)。 该公司将 VSPC 描述为远程管理的 BaaS(后端即服务)和 DRaaS(灾难恢复即服务)平台,服务提供商控制台用来监控客户备
继续阅读Windows漏洞:MS08-067远程代码执行漏洞复现及深度防御 原创 繁星01 安全君呀 2024-12-04 00:10 将 安全君呀 设为”星标⭐️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容部分选取网络,如有侵权,请
继续阅读漏洞预警 | 7-Zip整数下溢漏洞 浅安 浅安安全 2024-12-04 00:00 0x00 漏洞编号 – CVE-2024-11477 0x01 危险等级 – 高危 0x02 漏洞概述 7-Zip是一款免费开源文件归档应用程序,具有高压缩比,可用于压缩和解压文件,支持多种存档格式。 0x03 漏洞详情 CVE-2024-11477 漏洞类型: 整数下溢 影响: 执行任
继续阅读漏洞预警 | Eking管理易任意文件上传漏洞 浅安 浅安安全 2024-12-04 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 EKing管理易是广州易凯软件技术有限公司专为广告制品制作企业开发的一款管理软件产品。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 上传恶意文件**** 简述: EKing管理易的/B
继续阅读漏洞预警 | 致翔OA SQL注入漏洞 浅安 浅安安全 2024-12-04 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 致翔OA是一款专注于协同办公与企业管理的办公自动化系统,旨在提升企业管理效率和信息化水平。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 致翔OA的/OpenWind
继续阅读发现利用LogoFAIL漏洞的BootKitty Linux UEFI启动工具包 鹏鹏同学 黑猫安全 2024-12-03 23:03 ESET安全研究人员最近发现了第一个专门攻击 Linux 系统的 UEFI 启动工具包,名为 Bootkitty。该工具包允许攻击者禁用 Linux 内核的签名验证功能,并在 Linux 初始化过程中预加载两个未知的 ELF 可执行文件。11 月 2024 年,一
继续阅读「漏洞复现」用友U8 CRM lead/leadconversion.php SQL注入漏洞 冷漠安全 冷漠安全 2024-12-03 22:02 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读单兵漏洞测试工具 — Yakit W4nk3r Web安全工具库 2024-12-03 16:01 Yakit,一个集成化的单兵漏洞测试工具,也是我用起来较为顺手的一个测试工具, 今天想从最基本的环境配置到漏洞挖掘中的实战一步步进行讲解 环境配置:yakit提供两种mitm中间人攻击环境配置 一种是无环境配置,另一种是有环境配置 无环境配置:电脑上下载谷歌浏览器,然后点击免配置启动,直
继续阅读CVE-2024-42327 Zabbix 严重漏洞POC已公开! 原创 一个不正经的黑客 一个不正经的黑客 2024-12-03 16:01 CVE-2024-42327 Zabbix API SQL注入漏洞公开POC 漏洞情况 官方通报: https://support.zabbix.com/browse/ZBX-25623 漏洞类型: SQL 注入(SQL Injection, CWE-89
继续阅读