标签: 代码

漏洞通告 | PHP CGI Windows平台远程代码执行漏洞

发布于 作者:

漏洞通告 | PHP CGI Windows平台远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-06-07 16:45 漏洞概况 PHP是一种开源的服务器端脚本语言,而PHP CGI是一种通过通用网关接口(CGI)运行PHP脚本的方法,用于处理HTTP请求并生成动态网页内容。 近日,微步漏洞团队获取到PHP CGI Windows平台远程代码执行漏洞情报(CVE-2024-45

继续阅读

PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)安全风险通告

发布于 作者:

PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)安全风险通告 奇安信 CERT 2024-06-07 15:45 ●  点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 PHP CGI Windows平台远程代码执行漏洞 漏洞编号 QVD-2024-21704,CVE-2024-4577 公开时间 2024-06-07 影响量级 十万级 奇安信评级 高危

继续阅读

由浅入深理解Nodejs原型链污染漏洞

发布于 作者:

由浅入深理解Nodejs原型链污染漏洞 原创 ye1s 山石网科安全技术研究院 2024-06-07 14:49 原型链污染是Nodejs应用程序中的一种安全漏洞,通过修改JavaScript对象的原型链来篡改应用程序的行为。这种漏洞可能导致恶意代码执行、绕过访问控制或泄露敏感数据等严重后果。 1、 原型和原型链 JavaScript没有父类和子类这个概念,也没有类和实例的区分,而JavaScri

继续阅读

2024攻防演练必修高危漏洞集合(3.0版)

发布于 作者:

2024攻防演练必修高危漏洞集合(3.0版) 漏洞情报中心 斗象智能安全 2024-06-07 13:30 高危风险漏洞一直是企业网络安全防护的薄弱点,也成为HW攻防演练期间红队的重要突破口;每年HW期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。 攻防演练在即,斗象情报中心依托漏洞盒子的海量漏洞数据、情报星

继续阅读

SRC逻辑漏洞合集

发布于 作者:

SRC逻辑漏洞合集 ming9 Z2O安全攻防 2024-06-06 23:57 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使

继续阅读

【新洞洞!】海康威视综合安防管理平台 AutoLoginTicket 远程代码执行漏洞

发布于 作者:

【新洞洞!】海康威视综合安防管理平台 AutoLoginTicket 远程代码执行漏洞 红队传奇林先生 月落安全 2024-06-06 23:27 免责声明 月落星沉研究室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,

继续阅读

德国政府会议信息遭泄露,思科修复 Webex 漏洞

发布于 作者:

德国政府会议信息遭泄露,思科修复 Webex 漏洞 Eduard Kovacs 代码卫士 2024-06-06 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 媒体报道称德国政府的 Webex 会议遭暴露,可能导致敌对势力获取高度敏感信息。本周二,思科发布安全公告。 德国媒体 Zeit Online 在5月4日发布文章指出,德国政府在实现思科 Webex 视频会议软件的过程中存在

继续阅读

单个漏洞10万元!飞书、火山引擎双倍积分专测进行中!

发布于 作者:

单个漏洞10万元!飞书、火山引擎双倍积分专测进行中! 字节跳动安全中心 2024-06-06 17:05 专测时间 6月4日-6月14日 专测范围 飞书、火山引擎 重点关注的漏洞类型:客户端漏洞、XSS、越权漏洞、逻辑漏洞、 开源组件的0day、SSRF等 报告标题请备注【飞书专测】、【火山专测】 奖励方案 奖励一:飞书、火山引擎的高危严重漏洞享有2倍积分 奖励对象: 2023/07/01-202

继续阅读

【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告

发布于 作者:

【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告 奇安信 CERT 2024-06-06 10:50 ●  点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache OFBiz 路径遍历漏洞 漏洞编号 QVD-2024-21464,CVE-2024-36104 公开时间 2024-06-02 影响量级 万级 奇安信评级 高危 CVSS

继续阅读

用友NC pagesServlet SQL注入致RCE漏洞

发布于 作者:

用友NC pagesServlet SQL注入致RCE漏洞 小白菜安全 小白菜安全 2024-06-05 22:31 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围

继续阅读

命令执行绕过技巧

发布于 作者:

命令执行绕过技巧 哈拉少安全小队 2024-06-05 19:46 前言 前面的一篇文章说了一下SQL注入的绕过技巧,这篇文章再来看看命令执行的绕过技巧。 空格绕过 有时,在执行命令时会发现空格被过滤导致无法执行,可以尝试通过下面的方式 > < <> 重定向符 %20(space) %09(tab) $IFS$9 ${IFS}(最好用这个) $IFS {cat,flag.t

继续阅读

【漏洞预警】Progress Telerik Report Server身份验证绕过漏洞(CVE-2024-4358)

发布于 作者:

【漏洞预警】Progress Telerik Report Server身份验证绕过漏洞(CVE-2024-4358) cexlife 飓风网络安全 2024-06-05 18:38 漏洞描述:Progress Software的Telerik Report Server是一款功能强大的报表服务器解决方案,具备全面的报告管理功能,可帮助组织创建、部署、交付和管理报告,近日监测到Progress T

继续阅读

【漏洞预警】Zyxel NAS 未授权文件上传限制不当可致远程代码执行

发布于 作者:

【漏洞预警】Zyxel NAS 未授权文件上传限制不当可致远程代码执行 cexlife 飓风网络安全 2024-06-05 18:38 漏洞描述:Zyxel NAS326和NAS542设备中的CGI 程序file_upload-cgi中存在远程代码执行漏洞,未经身份验证的威胁者可通过将恶意设计的配置文件上传到易受攻击的设备导致执行任意代码。修复建议:正式防护方案:供应商已发布了CVE-2024-2

继续阅读

记一次某HR管理系统漏洞挖掘

发布于 作者:

记一次某HR管理系统漏洞挖掘 原创 mkbk 小黑说安全 2024-06-05 18:22 0x01 前言 某次审计过程记录,也是比较常见的一个系统,懂得都懂。 0x02 分析与利用 权限绕过: 通过关键字关联到过滤器。 通过之前黑哥文章中提到的jar包定位工具,定位存在于哪个jar包,这里也贴一下代码吧。 import os import zipfile import sys # 确保有足够的命

继续阅读

IOT漏洞复现——PSV-2020-0437

发布于 作者:

IOT漏洞复现——PSV-2020-0437 a2ure 看雪学苑 2024-06-05 17:59 最近在利用之前开发过的模糊测试工具对于各大路由器厂商的固件进行测试,并且进行漏洞挖掘,因此为了方便进一步对于获得的漏洞进行利用,学习了一些之前公开的漏洞复现原理,再次进行复现,本篇文章参考了 PSV-2020-0437:Buffer-Overflow-on-Some-Netgear-Routers

继续阅读

合勤紧急修复NAS设备中的RCE漏洞

发布于 作者:

合勤紧急修复NAS设备中的RCE漏洞 Bill Toulas 代码卫士 2024-06-05 17:29 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 合勤 (Zyxel) 网络公司紧急发布安全更新,修复了影响已达生命周期的老旧NAS 设备中的三个严重漏洞。 这三个漏洞影响运行固件版本5.21 (AAZF.16) Co及更早版本的NAS326以及影响5.21 (ABAG.13) Co及更早

继续阅读

AMD前瞻执行之内存访问预测器逆向分析与漏洞利用

发布于 作者:

AMD前瞻执行之内存访问预测器逆向分析与漏洞利用 网络安全应急技术国家工程中心 2024-06-05 14:57 前瞻执行(又称推测执行)是一种有效降低由流水线停滞引起的性能损失的重要方法。骑士战队对AMD前瞻执行技术中的内存访问预测器进行了逆向工程,揭示了两个关键预测器的内部结构和状态机设计。通过进一步的实验分析,我们发现这些预测器可以在瞬态执行期间被故意操作和更改,从而导致跨安全域的信息泄露。

继续阅读

2024攻防演练必修高危漏洞集合(2.0版)

发布于 作者:

2024攻防演练必修高危漏洞集合(2.0版) 漏洞情报中心 斗象智能安全 2024-06-05 13:30 高危风险漏洞一直是企业网络安全防护的薄弱点,也成为HW攻防演练期间红队的重要突破口;每年HW期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。 攻防演练在即,斗象情报中心依托漏洞盒子的海量漏洞数据、情报星

继续阅读

漏洞通告 | 派网Panalog远程代码执行漏洞

发布于 作者:

漏洞通告 | 派网Panalog远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2024-06-05 11:35 漏洞概况 Panalog大数据日志审计系统定位于将大数据产品应用于高校、 公安、 政企、 医疗、 金融、 能源等行业之中,针对网络流量的信息进行日志留存,可对用户上网行为进行审计,逐渐形成大数据采集、 大数据分析、 大数据整合的工作模式,为各种网络用户提供服务。 近日,微步漏

继续阅读

校园网管理系统未授权访问一键断网漏洞(付脚本,6月3日更新)

发布于 作者:

校园网管理系统未授权访问一键断网漏洞(付脚本,6月3日更新) Zaxk1337 网络安全者 2024-06-04 22:17 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除

继续阅读

海康威视综合安防管理平台 AutoLoginTicket 远程代码执行漏洞

发布于 作者:

海康威视综合安防管理平台 AutoLoginTicket 远程代码执行漏洞 原创 SXdysq 南街老友 2024-06-04 22:05 漏洞描述 综合安防管理平台基于 ” 统一软件技术架构” 理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。该平台适用于全行业通用综合安防业务,对各系统资源进行了整合和集中管理,实现统一部署、配置、管理和调度。海康威视综合安防管理

继续阅读

【已复现】ShowDoc item_id SQL注入漏洞

发布于 作者:

【已复现】ShowDoc item_id SQL注入漏洞 黑伞安全 2024-06-04 20:18 微信公众号:黑伞安全关注可了解更多的网络安全技术分享。如有问题或建议,请公众号留言;如果你觉得挖不到src漏洞,希望黑伞安全知识星球对你有帮助,欢迎加入 回复:showdoc 领取poc ShowDoc 是一个开源的在线文档协作平台,它支持Markdown、图片等多种格式,方便团队成员共同编辑和分

继续阅读

SploitScan:一款多功能实用型安全漏洞管理平台

发布于 作者:

SploitScan:一款多功能实用型安全漏洞管理平台 Alpha_h4ck FreeBuf 2024-06-04 19:02 关于SploitScan SploitScan是一款功能完善的实用型网络安全漏洞管理工具,该工具提供了用户友好的界面,旨在简化广大研究人员识别已知安全漏洞的相关信息和复现过程。 SploitScan可以帮助网络安全专业人员快速识别和测试已知安全漏洞,如果你需要寻求加强安全

继续阅读

光伏行业首次证实被攻击!基础设施遭漏洞利用劫持

发布于 作者:

光伏行业首次证实被攻击!基础设施遭漏洞利用劫持 原创 ThreatBook 微步在线 2024-06-04 18:31 根据日本《产经新闻》报道,光伏行业遭到可能是全球首例公开证实的针对太阳能电网基础设施的破坏性网络攻击。一家大型太阳能工控电子制造商(CONTEC)大约800台用于监控发电量及检测异常情况的远程监控设备(SolarView Compact)被劫持,并被用于进一步盗窃企业银行账户。2

继续阅读