某一次PDF-XSS漏洞挖掘(安服系列)
某一次PDF-XSS漏洞挖掘(安服系列) 原创 漏洞谷 漏洞谷 2024-05-18 11:35 免责声明: 1.禁止未授权的渗透测试 2.该文章仅供学习参考,切勿拿去尝试 3.此文所提供的信息而造成的任何后果及损失,均由使用者本人负责 4.一切后果与文章作者无关 5.文章所涉及的全部漏洞,均是被修复完漏洞后才公开 一.漏洞名称 PDF-XSS 二.风险级别 自评:中危 三.漏洞描述 PDF-XS
继续阅读标签: 代码
游戏漏洞挖掘端游页游手游逆向课程免费领取
游戏漏洞挖掘端游页游手游逆向课程免费领取 原创 Fighter001 重生者安全 2024-05-18 10:35 0x00 课程介绍 适合人群: 游戏爱好者,网络爱好者,网络工程师,安全工程师,研发工程师 课程目标: 对游戏漏洞挖掘,有一个基础了解,可以动手挖到游戏漏洞,可在游戏中畅游,漏洞提交SRC获取高额奖金; 课程简介: 专注培养网络安全人才,帮助大家了解并学习网络安全,传授黑白帽实战技能
继续阅读记一次某双一流大学漏洞挖掘
记一次某双一流大学漏洞挖掘 黑白之道 2024-05-18 08:43 文章作者:先知社区(七*r) 文章来源:https://xz.aliyun.com/t/14456 1► 前言 本次项目测试的平台是某方开发的某某服务平台,算是个小0day或者说是1day吧,总之尚未公开且资产较少,因此记录一下。 2► 信息收集 识别链接发现是某方的xx服务平台 端口扫描仅开放80、443 无奈,只能搜一搜有
继续阅读自动化漏洞挖掘工具,集合Nuclei + Subfinder + Gau + Paramspider + httpx
自动化漏洞挖掘工具,集合Nuclei + Subfinder + Gau + Paramspider + httpx Mr.x 黑客白帽子 2024-05-18 08:31 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 🌟简介 NucleiScanner是一个强大的自动化工具,用于检测Web应用程序中的未知漏洞。
继续阅读CVE-2024-34220
CVE-2024-34220 A___bandon 漏洞猎人 2024-05-18 08:02 免责声明:本文所涉及的信息安全技术知识仅供参考和学习之用,并不构成任何明示或暗示的保证。读者在使用本文提供的信息时,应自行判断其适用性,并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做出的任何行为或决定不承担任何责任。在任何情况下,本文作者不对因使用本文内容而导致的任何直接、间接、特殊或
继续阅读漏洞预警 | Ruvar OA SQL注入漏洞
漏洞预警 | Ruvar OA SQL注入漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 璐华信息技术有限公司成立于2002年,是广东省双软认证企业、高新技术企业,国内领先的全行业人力资源管理系统、OA办公系统解决方案提供商。公司核心研发团队来自985、211高校,人均软件开发经验超
继续阅读漏洞预警 | User Meta敏感信息泄露漏洞
漏洞预警 | User Meta敏感信息泄露漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # CVE-2024-33575 0x01 危险等级 – 中危 0x02 漏洞概述 User Meta是一款WordPress前端注册登录与编辑资料插件,允许用户在前端页面进行注册、登录以及编辑个人资料的操作。这款插件还支持额外字段的用户注册,增加了用
继续阅读漏洞预警 | 联软安全数据交换系统任意文件读取漏洞
漏洞预警 | 联软安全数据交换系统任意文件读取漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 联软安全数据交换系统是联软科技发明的,融合网络隔离、网盘和DLP技术于一体的专业产品,它同时支持多网交换,查杀毒、审计审批、文档追踪和水印功能,是解决用户网络隔离、网间及网内数据传输、交换、
继续阅读CVE-2024-25641|Cacti 存在多个安全漏洞
CVE-2024-25641|Cacti 存在多个安全漏洞 alicy 信安百科 2024-05-17 21:56 0x00 前言 Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。 Cacti是通过 snmpget来获取数据,使用 RRDtool绘画图形,而且你完全可以不需要了解RRDtool复杂的参数。 0x01 漏洞描述 CVE-2024-256
继续阅读CVE-2024-4367|Mozilla PDF.js代码执行漏洞
CVE-2024-4367|Mozilla PDF.js代码执行漏洞 alicy 信安百科 2024-05-17 21:56 0x00 前言 PDF.js 是一个使用 HTML5 构建的便携式文档格式查看器。 pdf.js 是社区驱动的,并由 Mozilla 支持。我们的目标是为解析和呈现 PDF 创建一个通用的、基于 Web 标准的平台。 0x01 漏洞描述 在font_loader.js中存在
继续阅读关于调用安卓FileProvider组件的移动应用程序存在高危漏洞的风险提示
关于调用安卓FileProvider组件的移动应用程序存在高危漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2024-05-17 21:29 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,多个 调用安卓操作系统 FileProvider 组件的移动互联网应用程序(以下简称 APP )存在路径遍历高危漏洞,可被恶意利用实施网络攻击。 FileProvider
继续阅读详细的漏洞报告是怎样的
详细的漏洞报告是怎样的 裴伟伟 洞源实验室 2024-05-17 20:00 无论是做漏洞研究还是做安全测试,最终都需要以文本的方式将安全漏洞的信息呈现给需要理解漏洞的人,这个人可能是漏洞相关产品所在机构的审核人员,也可能是漏洞所属产品的研发人员,或者是产品经理之类的决策或管理人员。 一份详细且恰当的漏洞报告可以减少漏洞发现者或提交者与上述人员之间的沟通成本,尤其是描述复杂的漏洞。而现实中阅读漏洞
继续阅读Weblogic T3协议反序列化漏洞分析(上)
Weblogic T3协议反序列化漏洞分析(上) 原创 Sec0re 源鲁安全实验室 2024-05-17 19:42 此文章原创作者为源鲁安全实验室,转载请注明出处!此文章中所涉及的技术、思路和工具仅供网络安全学习为目的,不得以盈利为目的或非法利用,否则后果自行承担! 0x01 前言 在初入安全的时候,就听说过weblogic的大名,当然听说的并不是 weblogic如何如何好用,而是因为其漏洞
继续阅读WiFi 标准中存在漏洞 可导致 SSID 混淆攻击
WiFi 标准中存在漏洞 可导致 SSID 混淆攻击 Jai Vijayan 代码卫士 2024-05-17 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 比利时鲁汶大学的研究人员在 IEEE 802.11 WiFi 标准中发现了一个设计缺陷,可导致攻击者诱骗受害者连接到安全性弱的无线网络而非原来的预期网络。 VPN 审计网站 Top10VPN 和鲁汶大学的研究人员提到,这类攻
继续阅读【漏洞预警】FE业务协作平台存在文件上传漏洞
【漏洞预警】FE业务协作平台存在文件上传漏洞 cexlife 飓风网络安全 2024-05-17 17:02 漏洞描述: FE业务协同平台是用友在行业内不断创新和突破的一款基于平台的协同办公软件,/common/uploadFile.jsp接口存在文件上传漏洞,该系统接口存在任意文件上传,攻击者通过上传恶意jsp脚本文件,可以执行服务器上的任意代码,从而获得服务器的进一步控制权。影响范围:FE业务
继续阅读【漏洞预警】mlflow信息泄露漏洞(CVE-2024-3848)
【漏洞预警】mlflow信息泄露漏洞(CVE-2024-3848) cexlife 飓风网络安全 2024-05-17 17:02 漏洞描述: mlflоԝ/mlflоԝ版本2.11.0中存在一个路径遍历漏洞,该漏洞被识别为先前解决的CVE-2023-6909的绕过,该漏洞源于应用程序对工件URL的处理,其中可以使用“#”字符将路径插入片段,从而有效地跳过验证,这允许攻击者构建一个URL,该URL
继续阅读【漏洞预警】wandb信息泄露漏洞(CVE-2024-4642)
【漏洞预警】wandb信息泄露漏洞(CVE-2024-4642) cexlife 飓风网络安全 2024-05-17 17:02 漏洞描述: 由于HTTP302重定向处理不当,ԝаndb/ԝаndb存储库中存在服务端请求伪造(SSRF)漏洞,此问题允许有权访问’Uѕеr ѕеttinɡѕ->Wеbhооkѕ’函数的团队成员利用该漏洞访问内部HTTP(ѕ)服务器,在严重
继续阅读微软2024年5月补丁日重点漏洞安全预警
微软2024年5月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-05-17 15:27 补丁概述 2024 年 5 月 14 日,微软官方发布了 5 月安全更新,针对 62 个 Microsoft CVE 和 12 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 1 个严重漏洞(Critical)、59 个重要漏洞(Imp
继续阅读浙江大学 | V-SZZ:自动识别受CVE漏洞影响的版本范围
浙江大学 | V-SZZ:自动识别受CVE漏洞影响的版本范围 原创 octopus 安全学术圈 2024-05-17 15:02 原文标题:V-SZZ: Automatic Identification of Version Ranges Affected by CVE Vulnerabilities原作者:Lingfeng Bao,Xin Xia*,Ahmed E. Hassan,Xiaohu
继续阅读严重的 Git 漏洞!CVE-2024-32002允许在“克隆”操作期间远程执行代码
严重的 Git 漏洞!CVE-2024-32002允许在“克隆”操作期间远程执行代码 安全客 安全客 2024-05-17 14:15 新版本的 Git 已发布,修复了五个漏洞,其中最关键的漏洞 (CVE-2024-32002) 可被攻击者用来在“克隆”操作期间远程执行代码。 关于 GitGit是一种广泛流行的用于协作软件开发的分布式版本控制系统。它可以安装在运行 Windows、macOS、Li
继续阅读价值60亿元的艺术品拍卖活动因网络攻击延期;CNNVD通报微软多个安全漏洞 | 牛览
价值60亿元的艺术品拍卖活动因网络攻击延期;CNNVD通报微软多个安全漏洞 | 牛览 安全牛 2024-05-17 12:02 点击蓝字·关注我们 / aqniu 新闻速览 ㆍ国家网信办发布第十五批境内区块链信息服务备案清单 ㆍCNNVD通报微软多个安全漏洞 ㆍAndroid 和iOS将在新版本中引入反跟踪功能 ㆍ美国联邦首席安全官Chris DeRusha将离职,曾参与多项政府行政命令的制定
继续阅读由LFI所导致的RCE
由LFI所导致的RCE nullsub 迪哥讲事 2024-05-16 20:30 正文 创建博客/文章/文件功能出现问题。 原请求: POST /blog/new/ HTTP/1.1 Host: target.com User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:33.0) Gecko/20100101 Firefox/33.0 Accept: t
继续阅读【漏洞通告】Cacti 远程代码执行漏洞CVE-2024-25641
【漏洞通告】Cacti 远程代码执行漏洞CVE-2024-25641 深瞳漏洞实验室 深信服千里目安全技术中心 2024-05-16 17:31 漏洞名称: Cacti 远程代码执行漏洞 组件名称: Cacti 影响范围: Cacti < 1.2.27 漏洞类型: 代码注入 利用条件: 1、用户认证:是 2、前置条件:默认配置 3、触发方式:远程 综合评价: <综合评定利用难度>
继续阅读攻击者正在利用Foxit PDF Reader漏洞传播恶意软件
攻击者正在利用Foxit PDF Reader漏洞传播恶意软件 安全客 安全客 2024-05-16 16:38 Check Point Research 发现 PDF 漏洞正在广泛传播,主要针对 Foxit Reader 用户。通过触发安全警告,毫无戒心的用户可能会被欺骗执行有害命令。 许多攻击者已经在利用该漏洞,该漏洞利用了“福昕阅读器(Foxit Reader)中警告消息的设计缺陷”。 尽管
继续阅读【谷歌一周内修复第三个在野利用】Google Chrome V8类型混淆漏洞(CVE-2024-4947)安全风险通告
【谷歌一周内修复第三个在野利用】Google Chrome V8类型混淆漏洞(CVE-2024-4947)安全风险通告 奇安信 CERT 2024-05-16 15:04 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome V8类型混淆漏洞 漏洞编号 QVD-2024-18433,CVE-2024-4947 公开时间 2024-05-15 影响量级 千万
继续阅读VMware 修复Workstation 和 Fusion 产品中的多个漏洞
VMware 修复Workstation 和 Fusion 产品中的多个漏洞 THN 代码卫士 2024-05-16 11:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VMware Workstation 和 Fusion 产品中存在多个漏洞,可被威胁行动者用于访问敏感信息、触发拒绝服务条件并在某些条件下执行代码。 这四个漏洞影响 Workstation 17.x 和 Fusion
继续阅读谷歌紧急修复周内第3个已遭利用的0day
谷歌紧急修复周内第3个已遭利用的0day Sergiu Gatlan 代码卫士 2024-05-16 11:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Chrome 发布紧急 Chrome 安全更新,修复了一周内已遭利用的第3个 0day 漏洞。 谷歌在本周三的安全公告中提到,“谷歌发现 CVE-2024-4947的一个在野利用。” 谷歌发布125.0.6422.60/.61 Ma
继续阅读2024-05微软漏洞通告
2024-05微软漏洞通告 火绒安全 火绒安全 2024-05-15 19:01 微软官方发布了2024年05月的安全更新。本月更新公布了68个漏洞,包含27个远程执行代码漏洞、17个特权提升漏洞、7个信息泄露漏洞、5个身份假冒漏洞、3个拒绝服务漏洞、2个安全功能绕过漏洞、1个篡改漏洞,其中1个漏洞级别为“Critical”(高危),59个为“Important”(严重)。建议用户及时使用火绒安全
继续阅读微软五月补丁星期二值得关注的3个0day及其它
微软五月补丁星期二值得关注的3个0day及其它 综合编译 代码卫士 2024-05-15 18:00 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 五月补丁星期二,微软共计修复59个CVE漏洞,加上第三方CVE漏洞,则五月共修复63个漏洞。和四月补丁日一致,微软仍未修复Pwn2Own 大赛上披露的多个漏洞。在所修复的漏洞中,只有1个被评级为“严重”等级,57个是“重要”级别,1个是“中危”
继续阅读新漏洞太多让美国NVD面临崩溃,还可能引发供应链风
新漏洞太多让美国NVD面临崩溃,还可能引发供应链风 关键基础设施安全应急响应中心 2024-05-15 14:59 美国用于追踪安全漏洞的联邦数据库几乎陷入停顿。对新披露的漏洞和风险的分析几乎已经不存在,专家警告说,巨大的积压和持续的问题可能导致关键部门的供应链风险。 简单地说:国家漏洞数据库出了问题,而且没有一个有效的解决办法。 为了解决NVD的问题,就必须解决另外一个关键问题,Cyber Th
继续阅读