Windows BitLocker 漏洞暴露了 AES-XTS 加密
Windows BitLocker 漏洞暴露了 AES-XTS 加密 Ots安全 2025-01-23 05:04 Windows BitLocker全盘加密工具中存在一个中等严重程度的错误,导致 BitLocker 加密系统遭受针对 AES-XTS 加密模式的新型随机化攻击。 新漏洞CVE-2025-21210凸显了全盘加密系统攻击的复杂性。一旦利用该漏洞,攻击者便可操纵密文块,从而将敏感数据以
继续阅读标签: 信息泄露
漏洞预警 | 广联达Linkworks信息泄露漏洞
漏洞预警 | 广联达Linkworks信息泄露漏洞 浅安 浅安安全 2025-01-23 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 广联达Linkworks办公OA是一款综合办公自动化解决方案,旨在提高组织内部的工作效率和协作能力。它提供了一系列功能和工具,帮助企业管理和处理日常办公任务、流程和文档。 0x03 漏洞详情
继续阅读漏洞预警 | 叁拾叁OA SQL注入漏洞
漏洞预警 | 叁拾叁OA SQL注入漏洞 浅安 浅安安全 2025-01-22 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 叁拾叁OA是一款面向企业的办公自动化软件,主要目的是通过信息化手段提升企业的办公效率,帮助组织实现办公流程的自动化、信息的集成和共享,从而提升管理水平和工作效率。 0x03 漏洞详情 漏洞类型: SQ
继续阅读2024年度漏洞态势大揭秘:你的网络安全防线还稳固吗?(附下载)
2024年度漏洞态势大揭秘:你的网络安全防线还稳固吗?(附下载) 原创 说安全 如何安全 说安全 如何安全 2025-01-21 23:30 在这个万物互联的数字时代,网络已经成为我们生活、工作和学习中不可或缺的一部分。然而,随着网络的普及和深入,网络安全问题也日益凸显,成为悬在我们头顶的一把“达摩克利斯之剑”。《2024年度漏洞态势分析报告》的出炉,再次为我们敲响了网络安全的警钟。那么,面对日益
继续阅读ViewState反序列化漏洞详解
ViewState反序列化漏洞详解 原创 信安路漫漫 信安路漫漫 2025-01-21 23:00 前言 在一次测试过程中遇到了这个ViewState的反序列化漏洞,当时对于利用方式以及原理都不太清楚,因此有了这边文章,学习一下viewstate的漏洞原理以及利用方式。 ViewState基础介绍 ViewState机制 ViewState 是 ASP.NET(Active Server Page
继续阅读关于防范开源文件同步工具rsync多个安全漏洞的风险提示
关于防范开源文件同步工具rsync多个安全漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2025-01-21 10:48 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源文件同步工具 rsync 存在堆缓冲区溢出等多个漏洞,危害严重。 Rsync 是一款开源文件同步与数据传输工具,被广泛用于备份、镜像、数据迁移等场景。由于程序缺陷,存在堆缓冲区溢出、信息
继续阅读报名中!即将开班 | 无人机安全攻防入门:从整体架构到漏洞分析
报名中!即将开班 | 无人机安全攻防入门:从整体架构到漏洞分析 看雪课程 看雪学苑 2025-01-21 09:59 如今,无人机已经成为各行各业的重要工具,其应用场景日益广泛。例如从军事侦察到物流配送,从影视拍摄到农业监测。随着无人机技术的普及,其安全问题也逐渐凸显。例如无人机遭受黑客攻击、数据泄露、飞行失控等安全事件屡见不鲜,给个人隐私、企业资产乃至国家安全带来了严重威胁。 掌握无人机安全攻防
继续阅读奇安信2024《漏洞态势报告》:新增漏洞再创新高,总体威胁持续加深
奇安信2024《漏洞态势报告》:新增漏洞再创新高,总体威胁持续加深 虎符智库 2025-01-21 09:57 本文 2660 字 阅读约需 9 分钟 2025年1月21日,奇安信发布《2024年度网络安全漏洞威胁态势研究报告》(以下简称:《报告》)。《报告》指出,2024年全球新增漏洞数量再创新高,漏洞利用成为网络攻击的重中之重。开源项目、云计算、物联网(IoT)、国 产软件以及关键基础设
继续阅读中小企业及创业公司信息安全建设指南
中小企业及创业公司信息安全建设指南 原创 Monyer 梦之光芒 梦之光芒的电子梦 2025-01-21 09:17 注:本文以问答的形式来形成这份“中小企业及创业公司信息安全建设指南”,文中探讨了信息安全之于公司发展前期、团队建设、安全运营阶段及安全价值的各方面问题,助力企业做好信息安全建设。 一、公司发展前期 – 一家公司从什么时候起,应该研究建立信息安全部门? 几乎所有的大公司都
继续阅读靶机复现-pikachu靶场文件包含漏洞
靶机复现-pikachu靶场文件包含漏洞 泷羽SEC-ohh 2025-01-21 07:28 本篇文章旨在为网络安全渗透测试靶机复现学习。通过阅读本文,读者将能够对渗透pikachu靶场文件包含漏洞复现有一定的了解 原文学习链接 CSDN博主: One_Blanks 靶机资源下载 phpstudy pikachu 一、前言 文件包含漏洞是编程中的一种安全隐患,常见于PHP等语言。它源于程序运行时
继续阅读盘点 2024 年备受关注的那些高风险漏洞
盘点 2024 年备受关注的那些高风险漏洞 原创 404实验室 知道创宇404实验室 2025-01-21 07:20 2024年,网络安全领域接连曝出了一系列高危漏洞,这些漏洞不仅影响范围广泛,而且破坏力极大,对全球的网络安全构成了严峻挑战。以下是我们从今年的安全漏洞应急中总结出的一些颇具危害性和影响力的网络安全漏洞,排名不分先后,当然,我们也从Seebug漏洞平台访问数据和ZoomEye网络空
继续阅读Google Cloud研究人员揭露Rsync文件同步工具中的多个安全漏洞
Google Cloud研究人员揭露Rsync文件同步工具中的多个安全漏洞 Hankzheng 技术修道场 2025-01-21 05:31 近日,Google Cloud漏洞研究团队的Simon Scannell、Pedro Gallegos和Jasiel Spelman在Unix系统上广泛使用的文件同步工具Rsync中发现了多达六个安全漏洞。这些漏洞中,部分可被攻击者利用在客户端上执行任意代码
继续阅读2025年十大最佳漏洞管理工具
2025年十大最佳漏洞管理工具 e安在线 e安在线 2025-01-21 05:01 在检测、分析,和修补Web以及网络应用程序中的漏洞方面,漏洞管理工具都发挥着重要的作用。 安全领域常用的术语包括漏洞、风险和威胁。漏洞是指系统中可能造成威胁的弱点,风险是指潜在的损害或损失,威胁是指利用漏洞造成的不利事件。发现这些弱点是保护公司资产和数据的关键。 漏洞管理工具的目标是识别问题。许多公司和安全研究人
继续阅读SecScan强大的端口扫描与漏洞扫描工具——梭哈!!!
SecScan强大的端口扫描与漏洞扫描工具——梭哈!!! Secu的矛与盾 Secu的矛与盾 2025-01-21 04:50 介绍 SecScan 是一款集漏洞探测、端口扫描、指纹识别为一体的安全工具,拥有多样化的漏洞检测方法,支持对目标自动化进行 端口扫描->指纹识别->服务口令探测->漏洞探测 流程,旨在帮助用户/红队选手快速发现漏洞风险,提升漏洞管理效率。 核心亮点 一、
继续阅读工具集:BucketVulTools 【存储桶配置不当漏洞检测插件】
工具集:BucketVulTools 【存储桶配置不当漏洞检测插件】 wolven Chan 风铃Sec 2025-01-21 04:18 工具介绍 Burpsuite存储桶配置不当漏洞检测插件,目前支持阿里云,华为云,腾讯三个厂商的检测,存储桶文件遍历,acl读写,Policy读写及未授权上传。 用法 存储桶相关配置检测自动化,访问目标网站将会自动检测,如:访问的网站引用存储桶上的静态资源,就会
继续阅读上周关注度较高的产品安全漏洞(20250113-20250119)
上周关注度较高的产品安全漏洞(20250113-20250119) 国家互联网应急中心CNCERT 2025-01-21 03:13 一、境外厂商产品漏洞 1、IBM Security Directory Integrator操作系统命令注入漏洞 IBM Security Directory Integrator是美国国际商业机器(IBM)公司的一个集成开发环境和运行时服务。IBM Securit
继续阅读锐捷-Smartweb管理系统-密码信息泄露漏洞
锐捷-Smartweb管理系统-密码信息泄露漏洞 骇客安全 骇客安全 2025-01-21 03:00 漏洞描述 锐捷网络股份有限公司无线smartweb管理系统存在逻辑缺陷漏洞,攻击者可从漏洞获取到管理员账号密码,从而以管理员权限登录。 漏洞影响 锐捷网络股份有限公司 无线smartweb管理系统 FOFA title="无线smartWeb–登录页面" 漏洞复现 登录页面
继续阅读Yubico警告Linux和macOS用户,pam-u2f中存在2FA安全漏洞
Yubico警告Linux和macOS用户,pam-u2f中存在2FA安全漏洞 SOC 赛欧思安全研究实验室 2025-01-21 02:28 CVE-2024-53691:针对严重 QNAP RCE 漏洞发布 PoC 漏洞利用程序 无需拆机!Windows 11 BitLocker加密文件被破解 又又又出事,1.5 万台 Fortinet 设备配置信息在暗网泄露 黑客滥用微软 VSCode 远程
继续阅读漏洞预警 | 飞企互联FE业务协作平台SQL注入、远程代码执行和任意文件上传漏洞
漏洞预警 | 飞企互联FE业务协作平台SQL注入、远程代码执行和任意文件上传漏洞 浅安 浅安安全 2025-01-21 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 飞企互联FE业务协作平台是由飞企互联开发的一款企业级业务协作管理平台,旨在通过数字化工具提升企业协作效率,实现业务流程的全方位优化。 0x03 漏洞详情 漏洞类
继续阅读漏洞预警 | 九思OA任意文件读取漏洞
漏洞预警 | 九思OA任意文件读取漏洞 浅安 浅安安全 2025-01-21 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 九思OA办公自动化系统平台基于开发JAVA语言开发,封装了大量接口、构件,以多维门户形式展现,OA系统支持各种部署模式、各种操作系统、各种数据库和中间件,并具备完备的配置体系、接口体系和插件体系,支持未
继续阅读SimpleHelp远程访问软件曝高危漏洞,可导致文件窃取、权限提升和远程代码执行
SimpleHelp远程访问软件曝高危漏洞,可导致文件窃取、权限提升和远程代码执行 Hankzheng 技术修道场 2025-01-21 00:01 近日,网络安全研究人员披露了SimpleHelp远程访问软件中的多个安全漏洞,这些漏洞可能导致信息泄露、权限提升和远程代码执行(RCE)。Horizon3.ai研究员Naveen Sunkavally在一份技术报告中指出,这些漏洞“极易被逆向和利用”
继续阅读因WordPress新漏洞,全球数百万网站面临被攻击风险
因WordPress新漏洞,全球数百万网站面临被攻击风险 BaizeSec 白泽安全实验室 2025-01-20 15:31 一、事件背景概述 W3 Total Cache是一款在WordPress社区中广受欢迎的性能优化插件,安装量超过一百万。它通过综合的缓存策略和优化技术,显著提升了网站的加载速度和用户体验,同时降低了服务器负载。然而,根据最新披露的信息,该插件存在一个严重的安全漏洞,可能使网
继续阅读严重远程代码执行漏洞(CVE-2024-53691)在QNAP 系统中被发现
严重远程代码执行漏洞(CVE-2024-53691)在QNAP 系统中被发现 网安百色 2025-01-20 11:36 点击上方 蓝字 关注我们吧~ 近日,在QNAP的QTS和QuTS hero操作系统中发现了一个高风险的远程代码执行(RCE)漏洞,编号为CVE-2024-53691。该漏洞CVSS v4评分为8.7,表明其具有极高的危险性,可使攻击者通过特制的ZIP文件上传符号链接,进而获得任
继续阅读【风险通告】Rsync存在多个高危漏洞
【风险通告】Rsync存在多个高危漏洞 安恒研究院 安恒信息CERT 2025-01-20 09:50 漏洞公告 近日,安恒信息CERT监测到Rsync存在多个高危漏洞,由于代码中未正确处理攻击者控制的校验和长度(s2length),当MAX_DIGEST_LEN超过固定SUM_LENGTH(16字节)时,攻击者可以在sum2缓冲区中越界写入(CVE-2024-12084)。当Rsync比较文件校
继续阅读上周关注度较高的产品安全漏洞(20241230-20250105)
上周关注度较高的产品安全漏洞(20241230-20250105) 金瀚信安 2025-01-20 09:08 一、境外厂商产品漏洞 1、SAP NetWeaver Enterprise Portal跨站脚本漏洞(CNVD-2024-49627)**** SAP Commerce Cloud的Backoffice是一个用户中心的、可扩展的后端界面,它允许业务用户轻松管理SAP Commerce C
继续阅读安全热点周报:Fortinet 警告利用身份验证绕过零日漏洞劫持防火墙
安全热点周报:Fortinet 警告利用身份验证绕过零日漏洞劫持防火墙 奇安信 CERT 2025-01-20 08:50 安全资讯导视 • 六部门印发《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》 • 拜登发布第二份网络安全行政令,全面加强美国国家网络防御创新 • CNCERT发布美网络攻击我国某先进材料设计研究院事件调查报告 PART01 漏洞情报 1.FortiOS和
继续阅读新西兰跻身云安全漏洞排名前十
新西兰跻身云安全漏洞排名前十 数世咨询 2025-01-20 08:01 根据新的研究,新西兰与波兰一起排名第 10 位,但墨西哥位居榜首。 新西兰已列入世界上最容易受到云安全漏洞影响的十个国家和地区之一。 这些数据是由云安全公司Kloudle编制的,它们使用来自Microsoft、国际电信联盟和电子政务学院的数据,用于评估网络安全和云安全态势及准备程度。 根据综合数据显示,新西兰和波兰双双位居第
继续阅读Chrome浏览器的Google账户接管研究
Chrome浏览器的Google账户接管研究 原创 簞純 君立渗透测试研究中心 2025-01-20 06:54 Google Chrome是一款由Google公司开发的网页浏览器,基于Google自家开放源代码的Chromium制造,但是包含非开放源代码套件。Chrome及其他基于Chromium制作的浏览器,目前占据的整个浏览器市场的大半壁江山。 在攻击活动中,经常会有需要接管目标账户,进行进
继续阅读【漏洞通告】Rsync多个漏洞安全风险通告
【漏洞通告】Rsync多个漏洞安全风险通告 嘉诚安全 2025-01-20 03:57 漏洞背景 近日,嘉诚安全监测到Rsync发布安全公告,确认其服务端进程Rsyncd存在缓冲区溢出漏洞(CVE-2024-12084)、信息泄露漏洞(CVE-2024-12085)、文件泄露漏洞(CVE-2024-12086)、路径遍历漏洞(CVE-2024-12087)、路径遍历漏洞(CVE-2024-1208
继续阅读漏洞预警 | Apache Linkis任意文件读取漏洞
漏洞预警 | Apache Linkis任意文件读取漏洞 浅安 浅安安全 2025-01-20 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 Apache Linkis是面向大数据和人工智能应用的开源治理平台。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 窃取敏感信息 简述: Apache Linkis存在文件读取
继续阅读