【漏洞通告】Apple多个在野高危漏洞安全风险通告
【漏洞通告】Apple多个在野高危漏洞安全风险通告 嘉诚安全 2024-11-21 03:00 漏洞背景 近日,嘉诚安全监测到Apple发布新版本,修复了存在在野利用的多款产品输入验证错误漏洞和多款产品跨站脚本漏洞,漏洞编号分别是: CVE-2024-44308和CVE-2024-44309。 iOS是由苹果公司开发的移动操作系统。iPadOS是苹果公司基于iOS研发的移动端操作系统系列。macO
继续阅读标签: 代码
某次代码审计从0day变Nday的路程(漏洞分析)
某次代码审计从0day变Nday的路程(漏洞分析) 原创 Ambition 进击安全 2024-11-21 02:21 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 在昨天一位师傅联系到我,说有一套代码找到了一个后台的任意文件上传漏洞,但是想变成前台漏洞,于是找到我进行分析
继续阅读雷神众测漏洞周报2024.11.11-2024.11.17
雷神众测漏洞周报2024.11.11-2024.11.17 原创 雷神众测 雷神众测 2024-11-21 01:51 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读苹果公司解决了两个正在被活跃利用的零日漏洞
苹果公司解决了两个正在被活跃利用的零日漏洞 鹏鹏同学 黑猫安全 2024-11-21 01:38 苹果公司发布了两个零日漏洞的安全更新,编号为CVE-2024-44309和CVE-2024-44308,影响了iOS、iPadOS、macOS、visionOS和Safari网络浏览器。这些漏洞目前正在被活跃利用。 漏洞CVE-2024-44309是一个Webkit中的Cookie管理问题,可能会导致
继续阅读【漏洞复现】数字通云平台智慧政务cookie登录绕过漏洞
【漏洞复现】数字通云平台智慧政务cookie登录绕过漏洞 原创 清风 白帽攻防 2024-11-21 01:22 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 数字通云平台的智慧政务OA产品,依托云计算、大数据和人工智能等前沿技术,专为政府部门设计,旨在提升
继续阅读【深度复现】D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞(CVE-2024-10914)
【深度复现】D-Link NAS设备 sc_mgr.cgi 未授权RCE漏洞(CVE-2024-10914) 原创 红岸基地赵小龙 暗影网安实验室 2024-11-21 01:00 产品简介 D.LinK NASQ 设备是一种基于网络的存储解决方案,作为网络存储设备,旨在为企业提供大容量的存储空间,并通过网络连接实现数据的访问和管理。这种设备不仅满足了企业对数据存储的需求,还提供了高效的数据共享和
继续阅读用友畅捷通-TPlus系统FileUploadHandler.ashx接口处存在文件上传漏洞【漏洞复现|附nuclei-POC】
用友畅捷通-TPlus系统FileUploadHandler.ashx接口处存在文件上传漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2024-11-21 00:30 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 用友畅捷通-T
继续阅读【未公开】百择唯供应链存在ReadAfterSaleList SQL注入漏洞
【未公开】百择唯供应链存在ReadAfterSaleList SQL注入漏洞 原创 xioy 我吃饼干 2024-11-21 00:02 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。 任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。 作者不对任何因使用本文信息或工具而产生
继续阅读漏洞预警 | GitLab未授权访问漏洞
漏洞预警 | GitLab未授权访问漏洞 浅安 浅安安全 2024-11-21 00:01 0x00 漏洞编号 – CVE-2024-9693 0x01 危险等级 – 高危 0x02 漏洞概述 GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 0x03 漏洞详情 CVE-2024-9693 漏洞类型: 未授权访
继续阅读漏洞预警 | JeecgBoot表达式注入漏洞
漏洞预警 | JeecgBoot表达式注入漏洞 浅安 浅安安全 2024-11-21 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 JeecgBoot是一款基于代码生成器的低代码开发平台。前后端分离架构 SpringBoot2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shi
继续阅读漏洞预警 | 用友YonBIP R5旗舰版任意文件读取漏洞
漏洞预警 | 用友YonBIP R5旗舰版任意文件读取漏洞 浅安 浅安安全 2024-11-21 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友YonBIP R5旗舰版是用友网络科技股份有限公司推出的一款企业级管理软件,广泛应用于大中型企业的资源管理、数据分析和业务流程自动化等领域。 0x03 漏洞详情 漏洞类型: 任意
继续阅读美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露;ChatGPT沙箱环境存多个严重安全隐患,仅20%漏洞被修复 | 牛览
美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露;ChatGPT沙箱环境存多个严重安全隐患,仅20%漏洞被修复 | 牛览 安全牛 2024-11-20 12:16 点击蓝字·关注我们 / aqniu 新闻速览 •2024年世界互联网大会“互联网之光”博览会在浙江乌镇开幕 •《工业和信息化领域数据安全合规指引》联合发布 •美国国会图书馆邮件系统遭攻击,近9个月通信内容或泄露 •ClickFi
继续阅读Apple 发布紧急更新以修补被积极利用的零日漏洞
Apple 发布紧急更新以修补被积极利用的零日漏洞 信息安全大事件 2024-11-20 11:55 Apple 发布了适用于 iOS 、 iPadOS 、 macOS 、 visionOS 及其 Safari Web 浏览器的安全更新,以解决在野外被积极利用的两个零日漏洞。 缺陷如下所列 : – CVE-2024-44308- JavaScriptCore 中的一个漏洞,在处理恶意
继续阅读苹果确认针对 macOS 系统的零日漏洞攻击
苹果确认针对 macOS 系统的零日漏洞攻击 原创 hackerson 黑客联盟l 2024-11-20 11:32 苹果已紧急推出重大的 macOS 和 iOS 安全更新,以修复两个已被利用的漏洞。 苹果在周二发布的一份公告中证实,这些漏洞由谷歌的威胁分析小组(TAG)发现,正在基于英特尔处理器的 macOS 系统上被积极利用。 按照惯例,苹果的安全响应团队并未提供所报告攻击的任何细节或失陷指标
继续阅读紫光档案管理系统 mergeFile SQL注入漏洞
紫光档案管理系统 mergeFile SQL注入漏洞 原创 CatalyzeSec CatalyzeSec 2024-11-20 11:24 FOFA app="紫光-档案管理系统" POC POST /Archive/ErecordManage/mergeFile HTTP/1.1 Host: Cache-Control: max-age=0 Accept-Language:
继续阅读周鸿祎世界互联网大会谈中国大模型发展:应扬长避短 选择自己的道路
周鸿祎世界互联网大会谈中国大模型发展:应扬长避短 选择自己的道路 360数字安全 2024-11-20 11:19 NEWS TODAY 11月20日,2024年世界互联网大会乌镇峰会在浙江乌镇举行,360集团创始人周鸿祎在全体会议上发表以“拥抱专业大模型,引领新工业革命发展”为题的主旨演讲时表示,大模型的出现将引领人类进入智能化时代,并成为新一轮工业革命的驱动引擎。他同时提出,中国的大模型产业发
继续阅读【安全圈】苹果发布紧急安全更新修复WebKit引擎中的漏洞 黑客已经利用漏洞展开攻击
【安全圈】苹果发布紧急安全更新修复WebKit引擎中的漏洞 黑客已经利用漏洞展开攻击 安全圈 2024-11-20 11:00 关键词 安全漏洞 苹果本周发布安全公告宣布对 WebKit 引擎的两处高危安全漏洞进行修复,值得注意的是这些漏洞在修复前已经遭到黑客的积极利用,因此属于零日漏洞的范畴。 CVE-2024-44308: 黑客可以通过特制的 Web 内容导致任意代码执行,苹果获得的报告称该漏
继续阅读CVE-2024-20767 和 CVE-2024-21216 的补救措施:保护自己免受最近两个可在野外利用的严重漏洞的侵害
CVE-2024-20767 和 CVE-2024-21216 的补救措施:保护自己免受最近两个可在野外利用的严重漏洞的侵害 Ots安全 2024-11-20 10:39 CVE-2024-20767- ColdFusion 路径遍历可能导致读取重要数据 CVE-2024-20767是 ColdFusion 版本 2023.6、2021.12 及更早版本中的一个漏洞。这些版本受到不当访问控制漏洞的
继续阅读【成功复现】D-Link NAS远程命令执行漏洞(Cookie)
【成功复现】D-Link NAS远程命令执行漏洞(Cookie) 原创 弥天安全实验室 弥天安全实验室 2024-11-20 10:30 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍D-Link DNS-320等都是中国友讯(D-Link)公司的一款NAS(网络附属存储)设备。D-Link NAS设备的
继续阅读「漏洞复现」ArcGIS 地理信息系统 任意文件读取漏洞
「漏洞复现」ArcGIS 地理信息系统 任意文件读取漏洞 冷漠安全 冷漠安全 2024-11-20 10:18 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自
继续阅读CNNVD | 关于Apache OFBiz安全漏洞的通报
CNNVD | 关于Apache OFBiz安全漏洞的通报 中国信息安全 2024-11-20 10:12 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于Apache OFBiz安全漏洞(CNNVD-202411-2279、CVE-2024-47208)情况的报送。攻击者可以利用漏洞向目标发送恶意请求,通
继续阅读苹果紧急发布安全更新,修复影响英特尔Mac的两个零日漏洞
苹果紧急发布安全更新,修复影响英特尔Mac的两个零日漏洞 看雪学苑 看雪学苑 2024-11-20 10:06 苹果公司针对基于英特尔处理器的Mac系统发布了紧急安全更新,修复了两个被积极利用的零日漏洞。这些漏洞涉及macOS的JavaScriptCore和WebKit组件,可能允许攻击者通过恶意网页内容执行任意代码或发起跨站脚本攻击。 苹果公司在11月19日发布了紧急安全更新,以修复两个零日漏洞
继续阅读苹果紧急修复已遭利用的两个0day
苹果紧急修复已遭利用的两个0day 代码卫士 2024-11-20 09:30 聚焦源代码安全,网罗国内外最新资讯! 作者:Lawrence Abrams 编译:代码卫士 苹果紧急修复了两个0day 漏洞,它们被用于针对基于 Intel 的 Mac 系统攻击活动中。 这两个0day漏洞位于 macOS Sequoia JavaScriptCore (CVE-2024-44308) 和 macOS
继续阅读【已复现】宝兰德BES应用服务器反序列化致远程代码执行漏洞
【已复现】宝兰德BES应用服务器反序列化致远程代码执行漏洞 长亭安全应急响应中心 2024-11-20 09:12 宝兰德BES应用服务器(BESAppServer)是一款遵循JavaEE和JakartaEE规范的企业级中间件,提供Web容器、EJB容器、JMS容器、事务服务、JNDI服务等关键组件,为企业级应用提供稳定、安全、高效的运行平台。2024年11月,宝兰德官方发布安全补丁修复了一个反序
继续阅读CNNVD关于Apache OFBiz安全漏洞的通报
CNNVD关于Apache OFBiz安全漏洞的通报 原创 CNNVD CNNVD安全动态 2024-11-20 09:05 点击蓝字 关注我们 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于Apache OFBiz安全漏洞(CNNVD-202411-2279、CVE-2024-47208)情况的报送。攻击者可以利用漏洞向目标发送恶意请求,通过服务端请求伪造的方式远程执行任意代码。Apa
继续阅读【漏洞通告】Oracle Agile PLM Framework文件泄露漏洞(CVE-2024-21287)
【漏洞通告】Oracle Agile PLM Framework文件泄露漏洞(CVE-2024-21287) 启明星辰安全简讯 2024-11-20 08:43 一、漏洞概述 漏洞名称 Oracle Agile PLM Framework文件泄露漏洞 CVE ID CVE-2024-21287 漏洞类型 信息泄露 发现时间 2024-11-19 漏洞评分 7.5 漏洞等级 高危 攻击向量 网
继续阅读【漏洞通告】Wget服务器端请求伪造漏洞(CVE-2024-10524)
【漏洞通告】Wget服务器端请求伪造漏洞(CVE-2024-10524) 启明星辰安全简讯 2024-11-20 08:43 一、漏洞概述 漏洞名称 Wget服务器端请求伪造漏洞 CVE ID CVE-2024-10524 漏洞类型 解析不当 发现时间 2024-11-20 漏洞评分 6.5 漏洞等级 中危 攻击向量 网络 所需权限 无 利用难度 高 用户交互 无 PoC/EXP 未公开
继续阅读taocms 3.0.1 本地文件泄露漏洞(CVE-2021-44983)
taocms 3.0.1 本地文件泄露漏洞(CVE-2021-44983) 原创 張童學 Nick安全 2024-11-20 07:54 0x01、漏洞环境 1、春秋云境: http://eci-2zecoe6tugruhx5kvq29.cloudeci1.ichunqiu.com:80 0x02、漏洞介绍 1、taocms 3.0.1 登陆后台后文件管理处存在任意文件下载漏洞。 0x03、漏洞复
继续阅读平板锅(Palo Alto)防火墙0day 漏洞分析及Exp
平板锅(Palo Alto)防火墙0day 漏洞分析及Exp 独眼情报 2024-11-20 07:42 watchTowr的研究人员Sonny近期发布了一份技术分析报告,深入剖析了影响Palo Alto Networks下一代防火墙(NGFW)的两个零日漏洞。这两个漏洞编号为CVE-2024-0012和CVE-2024-9474,已引起包括美国网络安全和基础设施安全局(CISA)在内的多个网络安
继续阅读