【1day】EduSoho配置文件泄露,获取数据库账号密码
【1day】EduSoho配置文件泄露,获取数据库账号密码 网络安全007 WIN哥学安全 2024-01-27 23:08 师傅们,我来啦,久等了!最近收到很多师傅们的私信我是否进去HC了,立马过来更新一波,不然真害怕你们一会乱说,不要乱传谣哦!我只是有时候学业忙不过来,实习项目太多搞不来,所以有时候没有太多时间去分享最近出的漏洞以及自己挖掘的、复现的一些漏洞,毕竟马上就要过年啦,我得回去开始大
继续阅读标签: 信息泄露
【漏洞通告】Jenkins任意文件读取漏洞CVE-2024-23897
【漏洞通告】Jenkins任意文件读取漏洞CVE-2024-23897 深瞳漏洞实验室 深信服千里目安全技术中心 2024-01-27 10:01 漏洞名称: Jenkins任意文件读取漏洞(CVE-2024-23897) 组件名称: Jenkins 影响范围: Jenkins ≤ 2.441 Jenkins ≤ LTS 2.426.2 漏洞类型: 任意文件读取 利用条件: 1、用户认证:否 2、
继续阅读afrog!快速稳定的漏洞扫描器
afrog!快速稳定的漏洞扫描器 白帽学子 2024-01-27 08:11 工具介绍 afrog 是一款快速、稳定的高性能漏洞扫描器。 支持用户自定义PoC,内置CVE、CNVD、默认密码、信息泄露、指纹识别、越权访问、任意文件读取、命令执行等多种类型。 通过afrog,网络安全专业人员可以快速验证和修复漏洞,这有助于增强他们的安全防御能力。 工具使用 默认情况下,afrog 会扫描所有内置 P
继续阅读漏洞预警 | 万户ezOFFICE任意文件读取漏洞
漏洞预警 | 万户ezOFFICE任意文件读取漏洞 原创 浅安 浅安安全 2024-01-27 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 万户ezOFFICE协同管理平台是一个综合信息基础应用平台分为企业版和政务版。解决方案由五大应用、两个支撑平台组成,分别为知识管理、工作流程、沟通交流、辅助办公、集成解决方案及应用支撑
继续阅读漏洞预警 | Jenkins任意文件读取漏洞
漏洞预警 | Jenkins任意文件读取漏洞 浅安 浅安安全 2024-01-27 08:00 0x00 漏洞编号 – # CVE-2024-23897 0x01 危险等级 – 高危 0x02 漏洞概述 Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。 0x03 漏洞详
继续阅读【原创0day】用友YonBIP ServiceDispatcher远程代码执行漏洞
【原创0day】用友YonBIP ServiceDispatcher远程代码执行漏洞 长亭应急响应 黑伞安全 2024-01-26 17:29 用友YonBIP是用友软件公司推出的一款企业智能化平台,旨在通过集成多种业务应用和服务,帮助企业实现数字化转型,提高运营效率和决策智能。2023年12月,长亭科技研究员发现用友YonBIP存在一个远程代码执行漏洞,并将其上报至监管。2024年1月,用友发布
继续阅读【安全圈】利用特斯拉、电动汽车充电器、信息娱乐漏洞,黑客从中获利130万美金
【安全圈】利用特斯拉、电动汽车充电器、信息娱乐漏洞,黑客从中获利130万美金 安全圈 2024-01-26 17:17 关键词 黑客入侵 网络安全研究人员和漏洞赏金猎人通过在 Zero Day Initiative 的 Pwn2Own Automotive 竞赛中入侵特斯拉、电动汽车充电器和信息娱乐系统而获得了超过 130 万美元的收入。 第一届 Pwn2Own Automotive 已经结束,Z
继续阅读【已复现】Jenkins任意文件读取漏洞(CVE-2024-23897)安全风险通告
【已复现】Jenkins任意文件读取漏洞(CVE-2024-23897)安全风险通告 原创 QAX CERT 奇安信 CERT 2024-01-26 15:12 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Jenkins任意文件读取漏洞 漏洞编号 QVD-2024-3674,CVE-2024-23897 公开时间 2024-01-25 影响量级 十万级 奇安信评级 高危 C
继续阅读金和OA-C6JHSoft-WebSQL延时注入漏洞(新接口)-漏洞挖掘
金和OA-C6JHSoft-WebSQL延时注入漏洞(新接口)-漏洞挖掘 原创 漏洞挖掘 渗透安全HackTwo 2024-01-25 00:01 0x01 产品简介 金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平
继续阅读JAVA常用组件未授权漏洞解析
JAVA常用组件未授权漏洞解析 Notadmin Hacking黑白红 2024-01-24 20:03 文章目录 前言 Druid未授权漏洞 修复建议 SwaggerUI未授权漏洞 Spring boot Actuator未授权漏洞 漏洞发现 Spring Eureka未授权访问漏洞 漏洞利用方式 漏洞危害 修复方式 总结 前言 在java项目中,经常会使用一些监控类的组件来监控系统的状态,如果
继续阅读记一次敏感信息泄露引发的逻辑漏洞挖掘
记一次敏感信息泄露引发的逻辑漏洞挖掘 任意门 暗影安全 2024-01-24 18:32 根据手头上的信息,最大化的利用,一次简单的漏洞挖掘,感觉过程很有意思分享一下~ 0x01初始 收集子域,也是渗透的初始。这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面,深入然后发现很多的敏感信息。也是从其中的一处敏感泄露,引发了众多漏洞的挖掘。整个测试其实就花了半个小时不
继续阅读速修复!Fortra GoAnywhere MFT 中存在严重的认证绕过漏洞
速修复!Fortra GoAnywhere MFT 中存在严重的认证绕过漏洞 Sergiu Gatlan 代码卫士 2024-01-24 17:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortra 提醒称 GoAnywhere MFT 7.4.1之前的版本中存在一个新的认证绕过漏洞,可导致攻击者创建新的管理员用户。 GoAnywhere MFT 用于保护与客户以及业务合作伙伴之
继续阅读实战|记录对某网站漏洞挖掘
实战|记录对某网站漏洞挖掘 迪哥讲事 2024-01-24 16:30 前言 记录一次对某网站漏洞挖掘,漏洞点为功能性漏洞,漏洞发生原因为逻辑判断问题,因涉及企业和个人信息,敏感信息将进行打码,后续漏洞将进行提交**** 漏洞过程 网站的主营业务为售卖服务,虚拟商品等,不同的种类,可以选择按数量购买或按时间购买,经过测试,此网站的某商品中,在选择数量时未进行上限判断,可进行科学计数法进行绕过,网站
继续阅读新骗术,警惕!|国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报
新骗术,警惕!|国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报 黑白之道 2024-01-21 17:23 新骗术,警惕! 网上订购了往返机票 出发后收到短信 需要改签 信以为真的市民 提供了银行账号、密码等信息 “改签”完了卡上的钱 就没了 一、骗术揭秘 “机票改签”诈骗常分三步走: 01 临行前一天收到“航班取消”短信 外省某地市民刘先生突然收到一条短信:“尊敬的某某旅客,您预定的某
继续阅读漏洞复现-cellinx 摄像机 uac.cgi 未授权添加用户漏洞(附exp)
漏洞复现-cellinx 摄像机 uac.cgi 未授权添加用户漏洞(附exp) Yi安全 2024-01-21 12:41 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感信息均 已做多层打马处理。 传播、利用本
继续阅读SpringBlade export-user SQL 注入漏洞
SpringBlade export-user SQL 注入漏洞 原创 fgz AI与网安 2024-01-21 09:50 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 SpringBlade export-user SQL 注入漏洞 02 —
继续阅读漏洞扫描神器AWVS又更新了,全新界面,快来下载体验吧!
漏洞扫描神器AWVS又更新了,全新界面,快来下载体验吧! 原创 有手不行 信安404 2024-01-21 09:03 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 版本介绍 版本:Acunetix-24.1.240111130-Wind
继续阅读叮~你有新的速递!CVE-2024-0305 RCE漏洞(附EXP)
叮~你有新的速递!CVE-2024-0305 RCE漏洞(附EXP) 冯宝宝 哪都通安全 2024-01-20 21:43 0x01 前言 Ncast盈可视高清智能录播系统 存在RCE漏洞 ,攻击者可以利用此漏洞执行任意命令 ,执行任意命令 ,通过该漏洞可以获取服务器权限 。 0x02 影响平台 Ncast 平台 0x03 漏洞复现 搜索语法 icon_hash="-1253433910
继续阅读【安全圈】UEFI启动固件曝出大量漏洞,数百万台计算机面临数据泄漏风险
【安全圈】UEFI启动固件曝出大量漏洞,数百万台计算机面临数据泄漏风险 安全圈 2024-01-20 19:01 关键词 数据泄漏 不久前,安全公司Quarkslab揭示了一系列影响UEFI固件(负责启动操作系统的核心软件)的九个安全漏洞,这一组漏洞被合称为Pixie Fail。这些九个漏洞都存在于TianoCoreEFI开发套件II(EDK II)中,它们的利用可能导致远程代码执行、拒绝服务(D
继续阅读【安全圈】国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报
【安全圈】国家漏洞库CNNVD:关于Oracle多个安全漏洞的通报 安全圈 2024-01-20 19:01 关键词 安全漏洞 近日,Oracle官方发布了多个安全漏洞的公告,其中Oracle产品本身漏洞89个,影响到Oracle产品的其他厂商漏洞169个。包括Oracle Financial Services Applications 安全漏洞(CNNVD-202401-1551、CVE-202
继续阅读因 API 的错误配置导致 PII 泄漏漏洞
因 API 的错误配置导致 PII 泄漏漏洞 dandh811 薯条机器猫 2024-01-20 18:51 PII 指个人身份信息(Personally identifiable information) 假定被测目标为:example.com 1. 初步枚举 一旦找到一个我觉得有趣的子域名,dirsearch 就是我立即使用的工具——它是我最喜欢的目录暴力破解工具之一。它的速度非常快,并且使用
继续阅读【Web实战】某头部直辖市攻防演练纪实-如何不用0day打下n个点
【Web实战】某头部直辖市攻防演练纪实-如何不用0day打下n个点 黑白之道 2024-01-20 09:48 目录 前言 案例一、某单位shiro绕WAF(利用shiro处理rememberMe字段值的feature) 案例二、某互联网厂商 Apisix绕阿里WAF拿下28个Rce 案例三、某开发商Nacos未授权访问读取配置信息到精准钓鱼进入内网 案例四、某国企-从一个任意文件读取到SSO沦陷
继续阅读Mandiant报告:APT黑客利用VMware漏洞作为0day漏洞攻击长达两年
Mandiant报告:APT黑客利用VMware漏洞作为0day漏洞攻击长达两年 军哥网络安全读报 2024-01-20 09:01 导读 至少自 2021 年底以来,一个某国黑客组织一直在利用一个关键的 vCenter Server 漏洞 (CVE-2023-34048) 作为 0day 漏洞攻击。 该漏洞已于去年 10 月得到修复,VMware本周三确认( https://www.bleepi
继续阅读【漏洞通告】VMware Aria Automation 访问控制错误漏洞CVE-2023-34063
【漏洞通告】VMware Aria Automation 访问控制错误漏洞CVE-2023-34063 深瞳漏洞实验室 深信服千里目安全技术中心 2024-01-17 18:01 漏洞名称: VMware Aria Automation 访问控制错误漏洞(CVE-2023-34063) 组件名称: VMware Aria Automation 影响范围: VMware Aria Automatio
继续阅读Google Chrome V8越界访问漏洞(CVE-2024-0519)安全风险通告
Google Chrome V8越界访问漏洞(CVE-2024-0519)安全风险通告 奇安信 CERT 2024-01-17 16:37 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome V8越界访问漏洞 漏洞编号 QVD-2024-2834,CVE-2024-0519 公开时间 2024-01-16 影响量级 千万级 奇安信评级 高危 CVSS 3
继续阅读Oracle 2024年1月补丁日多产品高危漏洞安全风险通告
Oracle 2024年1月补丁日多产品高危漏洞安全风险通告 奇安信 CERT 2024-01-17 16:37 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2024年1月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2024-01-17 影响对象数量级 百万级 奇安信评级 高危 利用可能性
继续阅读上周关注度较高的产品安全漏洞(20240108-20240114)
上周关注度较高的产品安全漏洞(20240108-20240114) 原创 CNVD CNVD漏洞平台 2024-01-15 17:43 一、境外厂商产品漏洞 1、Siemens Solid Edge缓冲区溢出漏洞(CNVD-2024-01409) Solid Edge是一个软件工具组合,可解决各种产品开发过程:3D设计,仿真,制造和设计管理。Siemens Solid Edge存在缓冲区溢出漏洞,
继续阅读一款常用的API漏洞扫描工具|渗透|简单实用
一款常用的API漏洞扫描工具|渗透|简单实用 淮橘安全 淮橘安全 2024-01-13 17:54 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 “ 设为星标 ”, 否则可能就看不到了啦 !公众号会经常分享一些0day
继续阅读研究人员为Apache OFBiz漏洞CVE-2023-51467创建了一个POC
研究人员为Apache OFBiz漏洞CVE-2023-51467创建了一个POC 鹏鹏同学 黑猫安全 2024-01-13 11:04 网络安全公司VulnCheck的研究人员为最近披露的Apache OfBiz关键漏洞CVE-2023-51467创建了一个概念验证(PoC)的攻击代码。 去年12月,专家们警告称Apache OfBiz存在一个影响其身份验证的零日漏洞,该漏洞是一款开源企业资源规
继续阅读CISA:Microsoft SharePoint 的关键漏洞已被积极利用
CISA:Microsoft SharePoint 的关键漏洞已被积极利用 军哥网络安全读报 2024-01-13 09:19 导读 CISA 警告说,攻击者现在正在利用一个关键的 Microsoft SharePoint 权限提升漏洞,该漏洞可以与另一个关键漏洞相结合以实现远程代码执行。 该安全漏洞的编号为CVE-2023-29357,该安全漏洞使远程攻击者能够通过使用欺骗性 JWT 身份验证令
继续阅读