【在野利用】ProjectSend 身份认证绕过漏洞(CVE-2024-11680)安全风险通告 奇安信 CERT 2024-11-28 03:45 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 ProjectSend 身份认证绕过漏洞 漏洞编号 QVD-2024-48602,CVE-2024-11680 公开时间 2024-11-26 影响量级 万级 奇安信评级 高危 CV
继续阅读某微信万能门店小程序系统存在前台任意文件上传漏洞 原创 Mstir 星悦安全 2024-11-28 03:41 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 █ 远山起风又起雾 无人知我来时路 █ 万能门店小程序DIY建站无限独立版非微擎应用,独立版是基于国内很火的ThinkPHP5框架开发的,适用于各行各业小程序、企业门店小程序! 万能门店微信小程序不限制小程序生成数量,支持多页面
继续阅读【漏洞复现】某平台-receiptDetail-mysql-sql注入漏洞 原创 南极熊 SCA御盾 2024-11-28 02:17 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而
继续阅读工具分享 | nuclei管理工具+9w poc不想要嘛? 原创 Perlh 不秃头的安全 2024-11-28 00:51 **nuclei管理工具+9w poc不想要嘛?**** 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。 还在学怎么挖通用漏洞和src吗?快来加入星球 由 于微信公众号推送机制改变了,快来 星标不再迷
继续阅读漏洞预警 | 懂微百择唯·供应链SQL注入漏洞 浅安 浅安安全 2024-11-28 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 懂微科技是一家专注于办公服务行业电商解决方案的提供商,致力于为办公服务行业赋能、提升效率和核心竞争力。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 懂微百择
继续阅读小米电动滑板车漏洞或致电子木马攻击:电池供电嵌入式系统上的勒索软件、跟踪、DoS和数据泄露问题研究 网空闲话 网空闲话plus 2024-11-27 23:39 Arxiv论文网11月27日发布研究成果,称帕多瓦大学和EURECOM的研究人员对小米电动滑板车的内部安全和隐私进行了首次分析,发现了四个关键设计漏洞,包括电池管理系统(BMS)的远程代码执行、固件未签名等问题。基于这些发现,研究者开发了
继续阅读美国Verizon、AT&T电信网络攻击案疑似内鬼kiberphant0m?此人声称获取了特朗普和哈里斯的通话记录 原创 网空闲话 网空闲话plus 2024-11-27 23:39 正当媒体热炒X台风入侵美国主要电信网络之际,一个名为kiberphant0m的威胁行为者浮出水面,这个被忽视威胁行为者近一段时间多次声称出售有关电信服务提供商、电信业务以及美国国家安全局的权限和数据,并直接了
继续阅读【神兵利器】JAVA JMX漏洞利用工具 原创 Heptagram 七芒星实验室 2024-11-27 23:01 基本介绍 beanshooter是一个JMX枚举和攻击工具,有助于识别JMX端点上的常见漏洞并提供了丰富的漏洞利用载荷和利用方式 工具编译 我们也可以通过beanshooter来枚举并注册EvilBean到JMXServer端,首先我们需要去下载beanshooter工具到本地,随后
继续阅读「漏洞复现」顺景ERP Download/GetFile 任意文件读取漏洞 冷漠安全 冷漠安全 2024-11-27 22:03 0x01免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关
继续阅读超过 2,000 个 Palo Alto 防火墙遭到最近修补的零日漏洞攻击 Rhinoer 犀牛安全 2024-11-27 16:00 黑客利用两个最近修补的零日漏洞发起攻击,已经攻破了 Palo Alto Networks 的数千个防火墙。 这两个安全漏洞分别是PAN-OS 管理 Web 界面中的身份验证绕过 ( CVE-2024-0012 ),远程攻击者可利用该漏洞获取管理员权限;以及 PAN
继续阅读顺景ERP GetFile接口存在任意文件读取漏洞 附POC 2024-11-27更新 南风漏洞复现文库 2024-11-27 15:14 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 顺景ERP简介 微信公众号搜索:南风漏洞复现文库
继续阅读G.O.S.S.I.P 阅读推荐 2024-11-27 又一个内核内存安全漏洞猎手 原创 G.O.S.S.I.P 安全研究GoSSIP 2024-11-27 13:26 全世界的计算机安全课程(甚至稍微深入一点的C语言课程)大概都会给学生看这么一幅图: 然后,大概就和学数学一样,老师教了一个非常简单的原理,接下来要你证明的题目一个也不会(手动狗头)。虽然上面这幅图清晰直观地展示了(动态)内存安全问
继续阅读macOS 漏洞 (CVE-2023-32428)本地提权,有poc 独眼情报 2024-11-27 12:57 安全研究员 Gergely Kalman 详细介绍了 Apple MallocStackLogging 框架中的一个高危漏洞,该漏洞可能允许攻击者在 macOS 系统上获得本地特权提升 (LPE)。该漏洞编号为 CVE-2023-32428,CVSS 评分为 7.8,它展示了如何利用看
继续阅读无需用户交互即可利用 Firefox CVE-2024-9680 和 Windows CVE-2024-49039中的零日漏洞 独眼情报 2024-11-27 12:57 在最近的一份网络安全报告中,ESET 研究人员揭露了与俄罗斯结盟的威胁行为者 RomCom 发起的协同攻击,该攻击利用了 Mozilla Firefox 和 Microsoft Windows 中的零日漏洞。这些漏洞之前并不为人
继续阅读【安全圈】Firefox和Tor浏览器遭遇神秘0Day漏洞攻击 安全圈 2024-11-27 11:01 关键词 网络攻击 近日,俄罗斯某APT组织被发现利用两个以前未知的漏洞攻击Windows PC上的Firefox和Tor浏览器用户。安全厂商ESET指出,这些零日漏洞攻击可能造成“广泛传播”,主要针对欧洲和北美的用户。 俄罗斯黑客通过一个伪装成假新闻组织的恶意网页进行传播。如果易受攻击的浏览器
继续阅读Palo Alto 防火墙 0day 由低级开发错误引发 代码卫士 2024-11-27 09:35 聚焦源代码安全,网罗国内外最新资讯! 作者:Lucian Constantin 编译:代码卫士 攻击者正在利用两个在野漏洞,经由 PAN-OS 管理 web 界面绕过认证并提权,以获得 Palo Alto Networks 防火墙上的root权限。 Palo Alto Networks 公司已修复
继续阅读俄黑客组织 RomCom 被指利用火狐和Windows 0day攻击用户 Sergiu Gatlan 代码卫士 2024-11-27 09:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 俄罗斯网络犯罪团伙 RomCom 最近组合利用两个0day漏洞,攻击位于欧洲和北美的火狐和Tor浏览器用户。 第一个漏洞CVE-2024-9680是位于火狐动画时间线特性中的释放后使用 (UAF) 漏
继续阅读网站漏洞致用户信息长期被爬,两家保险商被罚超8100万元 安全内参编译 安全内参 2024-11-27 09:33 关注我们 带你读懂网络安全 攻击者利用明文传输、API暴露、窃取管理账号等多种手法,持续爬取两家保险商线上系统的用户个人信息。 前情回顾·全球网络安全执法 – 四家上市公司因网络安全信披违规被罚5000万元 泄露全球数亿人信息,这家巨头被罚超3.6亿元 明文存储用户密码,
继续阅读【漏洞通告】GitLab 权限提升漏洞(CVE-2024-8114) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-11-27 08:44 漏洞名称: GitLab 权限提升漏洞(CVE-2024-8114) 组件名称: GitLab 影响范围: 8.12 ≤ GitLab < 17.4.517.5 ≤ GitLab < 17.5.317.6 ≤ GitLab < 17.6
继续阅读上周关注度较高的产品安全漏洞(20241118-20241124) 深信服千里目安全技术中心 2024-11-27 08:44 一、境外厂商产品漏洞 1、Google Android权限提升漏洞(CNVD-2024-45234) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞是由于Package
继续阅读大模型应用实践(一):AI助力Code Review安全漏洞发现 原创 腾讯啄木鸟团队 腾讯安全应急响应中心 2024-11-27 03:02 大模型技术的涌现,为行业不断突破安全防护的能力上限提供了新的契机。我们在将大模型技术引入安全垂类领域方面也做了很多尝试,并沉淀形成大模型应用实践系列文章。作为该系列的开篇,本文重点介绍在代码安全领域安全左移的落地实践经验。后续还将推出更多关于大模型在研发安
继续阅读GitLab LFS Token 权限提升漏洞(CVE-2024-8114)安全风险通告 奇安信 CERT 2024-11-27 03:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GitLab LFS Token 权限提升漏洞 漏洞编号 QVD-2024-48685,CVE-2024-8114 公开时间 2024-11-26 影响量级 百万级 奇安信评级 高危 CVS
继续阅读俄罗斯黑客组织Romcom利用0day漏洞攻击 Firefox、Tor 用户 会杀毒的单反狗 军哥网络安全读报 2024-11-27 01:00 导读 一个俄罗斯黑客组织 Romcom 利用两个此前未知的漏洞攻击 Windows PC 上的 Firefox 和 Tor 浏览器用户。 防病毒提供商 ESET 将该攻击描述为潜在的“大规模活动”,其目标是欧洲和北美的用户。 俄罗斯黑客通过一个恶意网页传
继续阅读多款AC集中管理平台未授权漏洞【漏洞复现|附nuclei-POC】 脚本小子 2024-11-27 00:50 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: AC集中管理平台未授权漏洞。 攻击者可通过访问未授权路径,非法获取包括AC用户名、密码、SSID(服
继续阅读【漏洞情报】快排查!开源分享功能域名遭灰黑产抢注,用作黑帽SEO 原创 十二 F12sec 2024-11-27 00:44 前言 “ 申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途! ” Part 1 “ 开源分享功能代码已被灰黑产抢注,whois已被企业更改为个人,icp备案已取消。大量网站前端调用该域名js,门户网站为主,分享功能存在该隐患。 http://stati
继续阅读漏洞及指纹库图形化工具 — James_synthesis_tooL(11月25日更新) vsdwef Web安全工具库 2024-11-26 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工
继续阅读远程代码执行(RCE)漏洞(CVE-2024-21534) XiaomingX 网络安全者 2024-11-26 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除
继续阅读Ruby 3.4 通用 RCE 反序列化小工具链 Ots安全 2024-11-26 15:28 我在 2018 年的一篇博客文章中分享了第一个利用 Ruby 反序列化的通用小工具链。从那时起,Ruby 已经有许多新版本,有时包括破坏已发布小工具链的代码更改。到目前为止,这些破坏只是暂时的,信息安全社区会根据需要发布新的小工具链。 – 2018 年 11 月 8 日 – Ru
继续阅读用友NC process接口存在SQL注入漏洞 附POC 2024-11-26更新 南风漏洞复现文库 2024-11-26 13:39 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. 用友NC简介 微信公众号搜索:南风漏洞复现文库
继续阅读CVE-2024-52940 AnyDesk信息泄露漏洞复现 原创 0x6270 0x6270安全团队 2024-11-26 13:00 前言 作者:0x6270 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 如果文章中的漏洞出现敏感内容产生了部分影响,请及时联系作者,望谅解。 一、漏洞概况 漏洞简述 AnyDesk是一款由德
继续阅读