可未经授权远程破坏系统,威联通披露其NAS产品三个漏洞
可未经授权远程破坏系统,威联通披露其NAS产品三个漏洞 看雪学苑 看雪学苑 2024-03-11 18:00 3月9日,知名网络附加存储(NAS)设备制造商威联通(QNAP)发布了一则安全公告,披露其NAS产品(如QTS、QuTS hero、QuTScloud和myQNAPcloud)中存在三个漏洞,攻击者能够利用这些漏洞通过网络来破坏系统安全或执行恶意代码。 漏洞详情如下: CVE-2024-2
继续阅读标签: 代码
QNAP提醒注意NAS设备中严重的认证绕过漏洞
QNAP提醒注意NAS设备中严重的认证绕过漏洞 Bill Toulas 代码卫士 2024-03-11 17:54 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 QNAP提醒称,NAS 软件产品包括 QTS、QuTS hero、QuTScloud和myQNAPcloud 中存在多个漏洞,可导致攻击者访问设备。 QNAP披露了三个漏洞,它们可导致认证绕过、命令注入和SQL注入后果。虽然后两类
继续阅读雷神众测漏洞周报2024.3.04-2024.3.10
雷神众测漏洞周报2024.3.04-2024.3.10 原创 雷神众测 雷神众测 2024-03-11 16:08 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读CVE-2024-0188
CVE-2024-0188 原创 fgz AI与网安 2024-03-11 07:03 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 RRJ Nueva Ecija 工程师在线门户change_password_teacher.php 弱密码 漏
继续阅读CVE-2024-2330漏洞复现(POC)
CVE-2024-2330漏洞复现(POC) 原创 fgz AI与网安 2024-03-11 07:03 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 网康NS-ASG应用安全网关index.php sql注入 漏洞 02 — 漏洞影响 Nete
继续阅读Vscan二次开发的版本开源、轻量、快速、跨平台的网站漏洞扫描工具|漏洞探测
Vscan二次开发的版本开源、轻量、快速、跨平台的网站漏洞扫描工具|漏洞探测 漏洞挖掘 渗透安全HackTwo 2024-03-11 00:00 0x01 工具介绍 基于veo师傅的漏扫工具vscan二次开发的版本,开源、轻量、快速、跨平台 的网站漏洞扫描工具,帮助您快速检测网站安全隐患。功能 端口扫描(port scan) 指纹识别(fingerprint) 漏洞检测(nday check)
继续阅读redis 4-unacc 未授权访问漏洞复现及其利用(全网最简单后渗透利用方法!!!)
redis 4-unacc 未授权访问漏洞复现及其利用(全网最简单后渗透利用方法!!!) admin 猎洞时刻 2024-03-10 20:03 点击上方蓝字关注我们 redis 4-unacc 未授权访问漏洞复现及其利用(全网最简单后渗透利用方法!!!) 一、漏洞详情 Redis默认情况下,会绑定在0.0.0.0:6379(在redis3.2之后,redis增加了protected-mode,在
继续阅读CVE-2021-32760漏洞分析与复现
CVE-2021-32760漏洞分析与复现 wx_游由 看雪学苑 2024-03-10 17:59 本文仅用于学习研究为目的,禁止用于任何非法目的,否则后果自负。 近日Containerd公布了一个安全漏洞,攻击者通过构造一个恶意镜像,能够在普通用户进行pull和提取镜像时,修改用户宿主机上现存文件的文件权限。该漏洞不能直接读取,写入或者执行用户的文件。 CVE-2021-32760漏洞被评估为
继续阅读.NET 反序列化Xunit1Executor漏洞分析
.NET 反序列化Xunit1Executor漏洞分析 专攻.NET安全的 dotNet安全矩阵 2024-03-10 09:21 01 Xunit1Executor漏洞复现 Xunit.Net 是一款 .NET 平台免费开源的单元测试框架,常用于并行测试和数据驱动测试。目前支持 .Net Framework 、 .Net Core 、 .Net Standard 、 UWP 、 Xamarin
继续阅读CVE-2024-27199(POC&EXP)
CVE-2024-27199(POC&EXP) 原创 fgz AI与网安 2024-03-10 06:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 TeamCity 权限绕过漏洞 02 — 漏洞影响 JetBrains TeamCi
继续阅读Spring漏洞利用工具 — Scan-Spring-GO(3月7日)
Spring漏洞利用工具 — Scan-Spring-GO(3月7日) sspsec 网络安全者 2024-03-10 00:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,
继续阅读漏洞实战(1):NACOS默认密钥漏洞QVD-2023-6271
漏洞实战(1):NACOS默认密钥漏洞QVD-2023-6271 原创 罗锦海 OneMoreThink 2024-03-09 23:33 原理 危害 攻击 资产发现 漏洞利用 防御 1、原理 NACOS[1],/nɑ:kəʊs/,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 在 <=2.2.0、<=1.4.4的版本中,NACOS的配置文件conf/applica
继续阅读实战SRC|某交友APP一分钱买会员漏洞
实战SRC|某交友APP一分钱买会员漏洞 迪哥讲事 2024-03-09 22:51 某交友APP一分钱买会员漏洞 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。 由于微信公众号推送机制改变了,快来 星标不再迷路,谢谢大家! 漏洞详情:**** 某交友APP存在逻辑缺陷,用户可以通过修改会员价格用一分钱购买价值388元的会员(玩
继续阅读帮管客CRM jiliyu接口存在SQL漏洞 附POC软件
帮管客CRM jiliyu接口存在SQL漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-03-09 20:17 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 帮管客CRM简介 微信公众号搜索:南风漏洞复现文库 该文章 南风漏
继续阅读【安全圈】VM虚拟机重大漏洞!立即升级
【安全圈】VM虚拟机重大漏洞!立即升级 安全圈 2024-03-09 19:00 关键词 安全漏洞 虚拟化产品供应商 VMware 发布了一份安全公告,披露了四个高风险漏洞。这些漏洞允许黑客或恶意软件绕过沙盒和虚拟机管理器的防护,从而危及宿主机的安全。特别是其中的两个漏洞,彻底颠覆了 VMware 产品的基本使命:它们让恶意软件能够直接逃脱并感染宿主机,对其他宿主机、内部网络以及其他虚拟机构成了严
继续阅读JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)-附py
JetBrains TeamCity 身份验证绕过漏洞(CVE-2024-27198)-附py Y1_K1NG Yi安全 2024-03-09 16:56 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感信息均 已
继续阅读Java实战篇-XXE漏洞利用从潜到深
Java实战篇-XXE漏洞利用从潜到深 进击安全 2024-03-09 16:02 目标 经典渗透场景 – 登录框(授权合法渗透) 初步挖掘 发现某 JSP路径返回包泄露了代码信息,且疑似存在XXE漏洞 通过泄露的代码构造出 post请求包 测试,漏洞存在 Poc: <?xml version="1.0" encoding="UTF-8"?>
继续阅读第89篇:方程式工具包远程溢出漏洞图形界面版V0.3(内置永恒之蓝、永恒冠军、永恒浪漫等)
第89篇:方程式工具包远程溢出漏洞图形界面版V0.3(内置永恒之蓝、永恒冠军、永恒浪漫等) 原创 abc123info 希潭实验室 2024-03-09 15:49 Part1 前言 大家好,我是ABC_123 。我从年前到现在,一直在整理曾经写过的红队工具,逐步把自己认为比较好用的原创工具发出来给大家用一用,方便大家在日常的攻防比赛、红队评估项目中解放双手,节省时间精力和体力。本期给大家分享的就
继续阅读Microsoft Designer AI SSRF漏洞
Microsoft Designer AI SSRF漏洞 安全路人A 军机故阁 2024-03-09 15:01 近期 5h3rl0ck 老哥发现并成功利用了 Microsoft 的一款 AI 产品的 SSRF(服务器端请求伪造)漏洞,产品为Microsoft Designer。 Microsoft Designer 是一款基于 AI 的图形设计应用,可帮助快速创建的社交媒体帖子、邀请函、数字明
继续阅读聊聊漏洞管理那点事儿
聊聊漏洞管理那点事儿 原创 马金龙 安全管理杂谈 2024-03-09 14:01 漏洞一旦被威胁成功利用就可能对资产造成损害,它存在于信息系统、软件、 硬件、协议、人员等各个方面。 漏洞管理也称脆弱性管理(Vulnerability Management),是指安全组织为了减少漏洞被黑客利用的机会,降低资产损害的可能性,对安全漏洞进行识别、验证、评估、处置等一系列措施的管理过程。 漏洞管理流程
继续阅读CVE-2023-25365 / Bypass通过文件上传XSS
CVE-2023-25365 / Bypass通过文件上传XSS Ots安全 2024-03-09 13:55 October CMS是一个基于Laravel PHP框架的自托管获奖平台。最初,我们试图上传,但这是不可能的,该应用程序有一个过滤器和分析源代码的源代码,我们意识到,它只允许以下扩展上传: 根据下面的gif,我们试图上传一个.html文件,但没有成功,消息如下: Bypass 我们发现
继续阅读朝鲜APT Kimsuky 团伙利用新ScreenConnect 漏洞作案
朝鲜APT Kimsuky 团伙利用新ScreenConnect 漏洞作案 原创 紫队 紫队安全研究 2024-03-09 11:58 黑客正在利用最近披露的 ScreenConnect 漏洞来部署先前与朝鲜威胁组织 Kimsuky 相关的恶意软件菌株的新变种。 这种新恶意软件被 Kroll 的研究人员称为 ToddlerShark,与 Kimsuky(也称为 APT43、Emerald Slee
继续阅读CISA警告:JetBrains TeamCity漏洞被利用
CISA警告:JetBrains TeamCity漏洞被利用 THN 知机安全 2024-03-09 10:02 The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Thursday added a critical security flaw impacting JetBrains TeamCity On-Pre
继续阅读思科Secure Client VPN劫持漏洞修复
思科Secure Client VPN劫持漏洞修复 THN 知机安全 2024-03-09 10:02 Cisco has released patches to address a high-severity security flaw impacting its Secure Client software that could be exploited by a threat actor t
继续阅读【安全通告】VMware ESXi 释放后使用漏洞等多个漏洞通告
【安全通告】VMware ESXi 释放后使用漏洞等多个漏洞通告 深瞳漏洞实验室 深信服千里目安全技术中心 2024-03-08 18:03 漏洞名称: VMware ESXi 释放后使用漏洞等多个漏洞 组件名称: VMware ESXi 安全公告链接: https://www.vmware.com/security/advisories/VMSA-2024-0006.html 官方解决方案:
继续阅读JFrog Artifactory 多个漏洞威胁软件供应链安全
JFrog Artifactory 多个漏洞威胁软件供应链安全 DO SON 代码卫士 2024-03-08 14:09 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 JForg Artifactory 中存在多个安全漏洞,可导致软件开发管道遭攻陷。 这些漏洞简述如下: CVE-2023-42509:机密泄露 (CVSS 6.6)。该漏洞存在的原因是 Artifactory 管理仓库配置的
继续阅读思科修补 VPN 产品中的高严重性漏洞
思科修补 VPN 产品中的高严重性漏洞 安全客 2024-03-08 11:54 思科发布了针对 Secure Client 中两个高严重性漏洞的补丁,Secure Client 是一款企业 VPN 应用程序,还包含安全和监控功能。 第一个漏洞被追踪为 CVE-2024-20337,影响 Secure Client 的 Linux、macOS 和 Windows 版本,并且可以在不进行身份验证的情
继续阅读供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞
供应链高危漏洞披露 | Winmail邮件系统曝出存储型XSS漏洞 原创 悬镜安全情报中心 悬镜安全 2024-03-08 11:32 01 漏洞概况 Winmail 是一款功能丰富的邮件服务器软件,支持 Windows 和 Linux 平台,可适配国产化信创平台,具备SMTP、POP3、IMAP、Webmail、邮件归档、Web管理、邮件网关、防毒杀毒、短信提醒、网络硬盘等功能。 2023年10
继续阅读CVE-2024-27198漏洞复现(POC)
CVE-2024-27198漏洞复现(POC) 原创 fgz AI与网安 2024-03-08 07:01 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 TeamCity 2023.11.3 及以下版本存在身份验证绕过漏洞 02 — 漏洞影响 J
继续阅读Reporter内置报表管理系统敏感信息泄露+远程RCE漏洞
Reporter内置报表管理系统敏感信息泄露+远程RCE漏洞 NT-V NightmareV 2024-03-08 07:00 声明: 请勿使用本文档提供的相关 操作及工具 开展任何违法犯罪活动 。 本技术类文档与工具仅支持学习安全技术使用,他用造成严重后果,请自行负责!!! 一、 漏洞名称 Reporter内置报表管理系统敏感信息泄露+远程RCE漏洞 二、 漏洞概述 Reporter内置报表管理
继续阅读