D-Link多款产品account_mgr.cgi接口存在远程命令执行漏洞CVE-2024-10914 附POC 南风漏洞复现文库 2024-11-12 22:17 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. D-Link简介 微信
继续阅读【漏洞预警】kanboard代码执行漏洞(CVE-2024-51747) cexlife 飓风网络安全 2024-11-12 22:08 漏洞描述: Kаnbоаrd是一个专注于看板方法论的项目管理系统,经过身份验证的Kаnbоаrd管理员可以从服务器读取和删除任意文件,在Kаnbоаrd中可查看或下载的文件附件,是通过其在рrојесt_hаѕ_filеѕSQLitе数据库中的раth条目解析的
继续阅读Thinkphp3文件包含(CNVD-2024-39045) 摸鱼Sec 2024-11-12 21:37 声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 一.基础信息 一个月前发了一个tp5的鸡肋漏洞,限制必须只能windows系统,这里的tp3就不限制系统,但是还是存在一定的鸡肋,具体看下面文章吧,在7月份写文章的时候那天晚上喝酒了,可能会有错别
继续阅读GBounty:一款快速可靠高度可定制的Web安全漏洞检测工具 Alpha_h4ck FreeBuf 2024-11-12 19:11 关于GBounty GBounty是一款快速可靠高度可定制的Web安全漏洞检测工具,该工具基于Golang开发,旨在帮助安全测试人员有效识别 Web 应用程序中的潜在问题,并提升Web应用的安全性。 除此之外,GBounty还提供了一个 专门的存储库 ,其中保存了
继续阅读CVE-2024-4956:Nexus Repository 3目录穿越漏洞 原创 Arvin Timeline Sec 2024-11-12 18:58 关注我们❤️,添加星标🌟,一起学安全!作者:Arvin@TimeAxis Sec本文字数:1499阅读时长:2~3mins声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Sonatype Nexus Repository
继续阅读nginx-0.7.65_漏洞复现 原创 剑豪321 网络安全学习爱好者 2024-11-12 18:49 Nginx简介 Nginx(engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布
继续阅读漏洞推送|【未公开】东胜物流软件GetDataListCA存在SQL注入漏洞 原创 小白菜 小白菜安全 2024-11-12 18:45 漏洞描述 东胜物流软件是一款致力于为客户提供IT支撑的 SOP, 帮助客户大幅提高工作效率,降低各个环节潜在风险的物流软件。东胜物流软件 GetDataListCA 接口处存在 SQL 注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。 资产信息 fofa : b
继续阅读【成功复现】D-Link NAS远程命令执行漏洞(CVE-2024-10914) 原创 弥天安全实验室 弥天安全实验室 2024-11-12 18:22 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍D-Link DNS-320等都是中国友讯(D-Link)公司的一款NAS(网络附属存储)设备。D-Lin
继续阅读马自达 CMU 车机系统曝多项高危漏洞,可导致黑客远程执行代码 安世加 安世加 2024-11-12 18:15 11 月 10 日消息,安全公司趋势科技近日发现日本汽车制造商马自达旗下多款车型的 CMU 车机系统(Connect Connectivity Master Unit)存在多项高危漏洞,可能导致黑客远程执行代码,危害驾驶人安全。 IT之家获悉,这些漏洞影响 2014 至 2021 年款
继续阅读SDC2024 议题回顾 | 大模型软件生态系统的安全隐患:从传统漏洞到新型威胁 原创 SDC 2024 看雪学苑 2024-11-12 18:00 “ 大模型技术的迅猛发展和广泛应用,催生了一个庞大而复杂的软件生态系统,支撑着大模型的训练、推理、部署和服务。然而,随之而来的安全隐患也逐渐显现。 从”Shadowray”漏洞(CVE-2023-48022)到”P
继续阅读Openssh漏洞修复升级加固 长风实验室 2024-11-12 17:55 一、telnet服务安装 1、yum安装telnet服务 telnet 不是一个独立的服务,是受服务 xinetd 管理的子服务,所以使用 telnet 服务必须首先安装 xinetd 服务 yum 安装命令: yum -y install xinetd telnet telnet-server 2、telnet配置 2
继续阅读25家跨国企业数据泄露,MOVEit漏洞引发重大安全危机 安全内参 2024-11-12 17:50 关注我们 带你读懂网络安全 近日,据网络安全公司HudsonRock报道,一名网名为“Nam3L3ss”的黑客公开发布了利用MOVEit漏洞获取的大量企业员工数据,据称来自麦当劳、汇丰、亚马逊、联想、惠普等多家知名跨国企业。 25家跨国企业员工数据疑遭泄漏 MOVEit是一款被广泛使用的文件传输软
继续阅读马自达汽车系统漏洞引发安全危机:黑客可执行任意代码 谈思实验室 2024-11-12 17:42 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 摘要:马自达汽车被爆出存在多个严重安全漏洞,黑客可通过USB设备执行任意代码,影响包括马自达3、马自达6和马自达CX-5在内的多个车型。这些漏洞使得攻击者能够操纵数据库、创建文件,甚至可能控制车辆操作和安全。 随着智能汽车技术的发展,网络安全问题日益
继续阅读Autel MaxiCharger(CVE-2024-23967 /CVE-2024-23957解析) 原创 ByteInsight 安全脉脉 2024-11-12 17:20 这篇博客文章重点介绍了在 Pwn2Own Automotive 2024中被利用的Autel Maxicharger的两个漏洞。 CVE-2024-23967 Computest Sector 7的研究人员识别并利用了Au
继续阅读DataGear resolveSql 远程代码执行漏洞 原创 黑熊先生 黑熊安全 2024-11-12 16:57 亲爱的读者,我们诚挚地提醒您,黑熊安全公众号的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。黑熊安全团队及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持! POC POST /
继续阅读【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键 原创 知识分享者 安全极客 2024-11-12 16:47 基本信息 原文标题:Attention Is All You Need for LLM-based Code Vulnerability Localization 原文作者:Yue Li, Xiao Li, Hao Wu, Yue Zhang, Xiuzhen Cheng,
继续阅读CISA 警告:Palo Alto 重大漏洞已被攻击者利用 数世咨询 2024-11-12 16:00 美国网络安全和基础设施安全局(CISA)11 月 7 日警告说,攻击者正在利用 Palo Alto Expedition 缺失验证漏洞,该漏洞可让具有网络访问权限的威胁行为者接管 Expedition 管理帐户并访问配置机密和凭证。 该漏洞被跟踪为CVE-2024-5910(CVSS 得分:9.
继续阅读雷神众测漏洞周报2024.11.04-2024.11.10 原创 雷神众测 雷神众测 2024-11-12 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Synology 紧急发布 Pwn2Own 零日漏洞补丁 胡金鱼 嘶吼专业版 2024-11-12 14:00 网络附加存储 (NAS) 设备制造商 Synology 已修复了 Pwn2Own 黑客竞赛中被利用的两个关键零日漏洞。 Midnight Blue 安全研究员在该公司的 Synology Photos 和 BeePhotos for BeeStation 软件中发现了关键的零点击漏洞(
继续阅读(0day)全新优客API接口管理系统代码审计 原创 Mstir 星悦安全 2024-11-12 03:43 点击上方 蓝字关注我们 并设为 星标 0x00 前言 全新2024优客API接口管理系统,内置30+API接口,支持服务器信息,网站ICP备案,抖音无水印,QQ在线状态QQ头像,获取历史上的今天,IP签名档,ICO站标获,随机动漫图,网站标题获取,爱站权重获取,城市天气获取,随机一言,皮皮
继续阅读【漏洞预警】H3C CVM fileUpload/fd文件上传限制不当漏洞 cexlife 飓风网络安全 2024-11-11 22:07 漏洞描述: H3C CVM cas/fileUpload/fd接口任意文件上传漏洞Poc已公开,未授权的攻击者可以上传任意文件,获取webshell控制服务器权限,读取敏感信息等,官方已针对此漏洞发布漏洞修复版本,建议受影响用户及时升级到漏洞修复版本。修复方案
继续阅读从上传到入侵:揭秘文件上传漏洞的操作原理 原创 VlangCN HW安全之路 2024-11-11 21:20 大家好,今天我们来聊一个”老而弥坚”的漏洞类型 —— 文件上传漏洞。虽然这个漏洞存在很多年了,但直到现在依然频频出现在各种漏洞报告中。今天我们就来深入了解一下它的原理和各种校验方式。 上传过程中到底发生了什么? 说到文件上传,很多人可能觉得不就是选个文件,点击上传
继续阅读网络犯罪分子使用 Excel 漏洞来传播无文件 Remcos RAT 恶意软件 信息安全大事件 2024-11-11 20:17 网络安全研究人员发现了一种新的网络钓鱼活动,该活动传播了一种名为 Remcos RAT 的已知商业恶意软件的新无文件变体。 Remcos RAT“为购买提供广泛的高级功能,以远程控制属于买家的计算机,”Fortinet FortiGuard Labs 研究员 Xiao
继续阅读马自达汽车因这些未修复的漏洞极易遭黑客攻击 原创 hackerson 黑客联盟l 2024-11-11 19:51 趋势科技的零日漏洞倡议组织(ZDI)披露,多款马自达汽车车型的信息娱乐系统存在可能导致代码执行的漏洞。 趋势科技的零日漏洞倡议组织(ZDI)警告称,多款马自达汽车车型信息娱乐系统中的漏洞可能会让攻击者以根权限执行任意代码。 ZDI 解释说,出现这些问题是因为马自达连接主控单元(CMU
继续阅读未修补的漏洞允许黑客攻击马自达汽车 网安百色 2024-11-11 19:30 点击上方 蓝字 关注我们吧~ Trend Micro 的 Zero Day Initiative (ZDI) 警告说,多款马自达车型的信息娱乐系统中存在漏洞,可能允许攻击者以 root 权限执行任意代码。 ZDI 解释说,这些问题的存在是因为 Mazda Connect 连接主控单元 (CMU) 系统没有正确清理用户提
继续阅读马自达爆出安全漏洞,影响旗下多款车型 赛博研究院 赛博研究院 2024-11-11 19:25 趋势科技安全研究员披露,马自达旗下多款车型的CMU车机系统(Connect Connectivity Master Unit0)存在高危安全漏洞,威胁攻击者可利用漏洞非法获得Root权限,并执行任意代码。 据悉,安全漏洞涉及系统版本为74.00.324A的车机,主要影响马自达3(2014-2021年款)
继续阅读D-Link 决定不修复这个严重漏洞,影响6万多台 NAS 设备 Bill Toulas 代码卫士 2024-11-11 18:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 超过6万台已达生命周期的 D-Link NAS 设备易受命令注入漏洞 (CVE-2024-10914) 影响且利用已公开。 该漏洞的CVSS评分为9.2,位于 “cgi_user_add” 命令中,因该名称参数的
继续阅读为什么AI开发者必须拥抱漏洞研究与透明度? 安全客 2024-11-11 14:36 在AI技术飞速发展的今天,安全问题成为行业面临的重大挑战。谷歌云的研究员Phil Venables在其文章《为什么AI供应商应共享漏洞研究》中,深刻探讨了漏洞研究和透明度对于AI开发者的重要性。他指出, 随着AI技术日益融入到各行各业,确保其安全性变得尤为紧迫。为了建立一个更加安全、可信的AI生态系统,开发者必须
继续阅读苹果IOS端IPA签名工具Sign.php接口存在任意命令执行漏洞 附POC 2024-11-10更新 南风漏洞复现文库 2024-11-10 23:42 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 苹果IOS端IPA签名工具简介
继续阅读某订货系统文件上传漏洞分析 中铁13层打工人 Z2O安全攻防 2024-11-10 20:30 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果
继续阅读