防护验证通告|Apache OFBiz 未授权访问致代码执行漏洞(CVE-2024-38856) 原创 知其安安全研究院 知其安科技 2024-08-06 22:02 0x1 描述 Apache OFBiz是由Apache软件基金会维护的顶级项目。它是一个100%开源的企业资源管理(ERP)解决方案,基于最新的J2EE/XML规范和技术标准,适用于大中型企业级、跨平台、跨数据库、跨应用服务器的多
继续阅读Apache OFBiz ERP 中的新零日漏洞允许远程代码执行 信息安全大事件 2024-08-06 20:58 Apache OFBiz 开源企业资源规划 (ERP) 系统中披露了一个新的零日预认证远程代码执行漏洞,该漏洞可能允许威胁行为者在受影响的实例上实现远程代码执行。 该漏洞被跟踪为 CVE-2024-38856,CVSS 评分为 9.8 分(满分 10.0 分)。它会影响 18.12.
继续阅读探索AI聊天机器人工作流程实现RCE 原创 玲珑安全官方 芳华绝代安全团队 2024-08-06 19:31 前言 我发现了一个广泛使用的AI聊天机器人平台中的远程代码执行漏洞。该漏洞存在于聊天机器人的自定义工作流响应代码中,这些工作流允许开发人员通过创建定制的流程来扩展机器人的功能。 正文 在浏览自动化聊天机器人的多个特定功能时,其中一个引起我注意的功能是“Start from scratch”
继续阅读连续11年亮相BlackHat大会,360发布重磅漏洞研究成果 360数字安全 2024-08-06 18:35 近日,Black Hat USA 2024在拉斯维加斯重磅拉开帷幕。作为安全行业的知名大会,Black Hat USA每年都会向外界持续输送出最新的安全研究成果、创新技术等前沿资讯,是展现全球安全发展风向的最好窗口,被公认为“黑客界的奥斯卡”。 自2014年起,360已连续十一年登上B
继续阅读谷歌修复已遭利用的安卓内核0day漏洞 Sergiu Gatlan 代码卫士 2024-08-06 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本月安卓共修复46个漏洞,包括被用于目标攻击中的一个高危远程代码执行 (RCE) 漏洞。 在这些漏洞中,其中一个是 0day 漏洞CVE-2024-36971,它是位于 Linux 内核网络路由管理中的一个释放后使用漏洞。攻击者需要系
继续阅读Roundcube Webmail 多个XSS高危漏洞安全风险通告 奇安信 CERT 2024-08-06 14:15 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Roundcube Webmail 多个XSS高危漏洞 漏洞编号 CVE-2024-42008、CVE-2024-42009 公开时间 2024-08-04 影响量级 十万级 奇安信评级 高危 CVSS 3.1分
继续阅读上周关注度较高的产品安全漏洞(20240729-20240804) 国家互联网应急中心CNCERT 2024-08-06 14:11 一、境外厂商产品漏洞 1、Microsoft Outlook远程代码执行漏洞(CNVD-2024-34111)**** Microsoft Outlook是美国微软(Microsoft)公司的一套电子邮件应用程序。Microsoft Outlook存在远程代码执行漏
继续阅读【已复现】Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856)安全风险通告 代码卫士 2024-08-05 18:23 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache OFBiz 授权不当致代码执行漏洞 漏洞编号 QVD-2024-35284,CVE-2024-38856 公开时间 2024-08-04 影响量级 万级 奇安信评级 高危
继续阅读安全热点周报:本周新增四个在野利用漏洞,企业安全面临新威胁 奇安信 CERT 2024-08-05 16:25 安全资讯导视 • 自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》 • 美国白宫发布《联邦风险和授权管理计划现代化》备忘录 • 史上最高!一财富50强企业向勒索软件支付了超5.4亿元赎金 PART01 新增在野利用 1.VMware ESXi 身份认证绕过漏洞(CV
继续阅读【已复现】CVE-2024-38856 Apache OFbiz未授权RCE漏洞 青藤实验室 青藤实验室 2024-08-05 16:02 >>>> 漏洞名称: CVE-2024-38856 Apache OFbiz未授权RCE漏洞 >>>> 组件名称: Apache OFbiz >>>> 漏洞类型: 远程代码执行漏洞 >
继续阅读雷神众测漏洞周报2024.07.29-2024.08.04 雷神众测 雷神众测 2024-08-05 15:03 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读CVE-2024-38856:Apache OFBiz 存在未经授权的代码执行漏洞 flyme 独眼情报 2024-08-05 11:38 Apache OFBiz 是广泛采用的开源企业资源规划 (ERP) 平台,最近发现一个漏洞,由于可能存在未经授权的代码执行,因此引发了紧急安全警告。该漏洞的编号为 CVE-2024-38856 ,级别为“ 重要 ”,但安全专家警告各组织应立即采取行动,因为 E
继续阅读Calibre 电子书软件存在严重安全漏洞 flyme 独眼情报 2024-08-05 11:38 Calibre 是一款流行的跨平台电子书管理软件,存在三个重大安全漏洞。STAR Labs SG Pte. Ltd. 的研究人员发现这些漏洞可能会使数百万用户面临各种网络威胁。 图片:Starlabs 第一个漏洞被追踪为 CVE-2024-7008 (CVSS 5.3) ,它 使 攻击者能够将恶意
继续阅读CVE-2024-40725|Apache HTTP Server 源代码泄露漏洞(POC) alicy 信安百科 2024-08-03 22:04 0x00 前言 Apache HTTP Server(简称Apache),是Apache软件基金会的一个开放源代码的网页服务器,可以在大多数电脑操作系统中运行,由于其具有的跨平台性和安全性,被广泛使用,是最流行的Web服务器端软件之一。 Apache
继续阅读一文读懂2024HW & 2024HW漏洞合集 Hacking黑白红 2024-08-03 09:28 免责声明 请勿利用文章内的相关技术从事非法测试。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,请务必遵守网络安全法律法规。如文中内容涉及侵权行为,请及时联系作者,我们会立刻删除并致歉。文中内容仅供参考。 何为护网行动? 护
继续阅读【8/2特辑】今日热点漏洞速速自查! 安恒研究院 安恒信息CERT 2024-08-02 20:27 漏洞导览 · EKing-管理易存在任意文件上传漏洞 · EKing-管理易存在任意文件上传漏洞 · 金和OA存在任意用户添加漏洞 · 九思OA存在任意文件上传漏洞 · 方正全媒体采编系统存在任意文件读取漏洞 漏洞概况 在当前网络攻防演练中, 安恒信息 CERT正紧密关注近期曝光的安全漏洞,持续进
继续阅读39个关键硬件漏洞隐患盘点 原创 陈发明 数世咨询 2024-08-02 16:00 2018年1月,计算机行业因Meltdown和Spectre两大处理器漏洞而陷入高度警戒。这两个漏洞打破了操作系统内核与用户空间内存之间的基本安全界限。这一缺陷源于现代CPU的性能特点——推测执行,要解决这个问题,全球范围内展开了历史上规模最大的补丁协调工作,涉及CPU制造商、设备制造商以及操作系统供应商。 Me
继续阅读XCon2024议题||挖掘Windows系统组件中的认证前远程代码执行漏洞 XCon组委会 嘶吼专业版 2024-08-02 14:03 循万变·见未来——技术前瞻 未来,远程未授权漏洞的发掘将呈现三大趋势: 1、发掘难度越来越高 2、利用复杂程度越来越高,常常需要配合多个高质量漏洞,并结合目标程序的特性才能完成利用 3、云平台上远程漏洞的重要性越来越高 ——独立安全研究员 古河 在漏洞挖掘
继续阅读网络基础设施 Acronis 中的严重漏洞已遭在野利用 Ionut Arghire 代码卫士 2024-07-30 18:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司 Acronis 提醒称,其网络基础设施 (ACI) 产品受一个严重漏洞 (CVE-2023-45249) 影响。该漏洞目前已修复,已遭在野利用。 该漏洞的CVSS评分为9.8,是因使用默认密码引发的远程代
继续阅读新课已完结!零基础入门Android漏洞挖掘-入门篇 釉子 看雪学苑 2024-07-30 17:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。对于个人而言,掌
继续阅读雷神众测漏洞周报2024.07.22-2024.07.28 原创 雷神众测 雷神众测 2024-07-30 15:30 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读上周关注度较高的产品安全漏洞(20240722-20240728) 国家互联网应急中心CNCERT 2024-07-30 09:46 一、境外厂商产品漏洞 1、PDF-XChange Editor栈缓冲区溢出漏洞(CNVD-2024-33502) PDF-XChange Editor是PDF-XChange公司的一个运行在Microsoft Windows系统中的PDF文件查看软件。PDF-XCh
继续阅读「推安早报」0730 | outlook C2、ESXi漏洞、红蓝工具 bggsec 甲方安全建设 2024-07-30 08:41 # 2024-07-30 「红蓝热点」每天快人一步 > 1. 推送「新、热、赞」,帮部分人阅读提效 2. 学有精读浅读深读,艺有会熟精绝化,觉知此事重躬行。推送只在浅读预览 3. 机读为主,人工辅助,每日数万网站,10w推特速读 4. 推送可能大众或小众,不代
继续阅读2024hvv最新漏洞威胁情报7.29 Z2O安全攻防 2024-07-29 20:56 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失
继续阅读Ghostscript 库中存在 RCE 漏洞,现已被积极利用 网络安全应急技术国家工程中心 2024-07-29 16:02 Linux 系统上广泛使用的 Ghostscript 文档转换工具包中存在一个远程代码执行漏洞,目前正在遭受攻击。 Ghostscript 预装在许多 Linux 发行版上,并被各种文档转换软件使用,包括 ImageMagick、LibreOffice、GIMP、Inks
继续阅读【安全圈】Ghostscript 库中存在 RCE 漏洞,现已被积极利用 安全圈 2024-07-28 19:01 关键词 漏洞 Linux 系统上广泛使用的 Ghostscript 文档转换工具包中存在一个远程代码执行漏洞,目前正在遭受攻击。 Ghostscript 预装在许多 Linux 发行版上,并被各种文档转换软件使用,包括 ImageMagick、LibreOffice、GIMP、Ink
继续阅读二进制安全之栈溢出漏洞 原创 Cyb3rES3c Cyb3rES3c 2024-07-27 22:00 0x0声明 由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人承担,Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知,我们将立即删除相关内容并致歉。请遵守《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规。 0x1 漏洞原理 栈
继续阅读Day5-HVV Windows LPE 0day漏洞在暗网出售,可直接打穿系统 原创 病毒獵手 童杭波 oldhand 2024-07-27 20:02 辛弃疾《青玉案·元夕》 众里寻他千百度,蓦然回首,那人却在,灯火阑珊处 HVV搞了5天,大家累了,我们缓解一下,突然今天在网站看到一个售卖0day漏洞的帖子,恰逢最近HVV阶段,小心红队购买0day实施攻击。 一名威胁行为者声称正在出售新的Wi
继续阅读身份危机:Delinea 本地特权升级漏洞的奇怪案例 Ots安全 2024-07-27 16:39 在最近的一次客户接触中,CyberArk Red Team 发现并利用了 Delinea 权限管理器(以前称为 Thycotic 权限管理器)中的特权提升 (EoP) 漏洞 ( CVE-2024-39708 )。此漏洞允许非特权用户以 SYSTEM 身份执行任意代码。作为我们致力于为安全社区做出贡献
继续阅读