漏洞预警 | 家装ERP管理系统SQL注入漏洞
漏洞预警 | 家装ERP管理系统SQL注入漏洞 浅安 浅安安全 2025-01-20 00:01 0x00 漏洞编号 – 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 家装ERP管理系统是一种专为家装行业设计的企业资源计划管理软件。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露 简述: 家装ERP管理系统的/WEB_SERVICE/Public
继续阅读标签: 信息泄露
锐捷-SSL-VPN-越权访问漏洞
锐捷-SSL-VPN-越权访问漏洞 骇客安全 骇客安全 2025-01-19 19:00 漏洞描述 Ruijie SSL VPN 存在越权访问漏洞,攻击者在已知用户名的情况下,可以对账号进行修改密码和绑定手机的操作。并在未授权的情况下查看服务器资源 漏洞影响 Ruijie SSL VPN FOFA icon_hash="884334722" || title="Rui
继续阅读【工具分享】Swagger API Exploit 1.2 – 信息泄露利用工具
【工具分享】Swagger API Exploit 1.2 – 信息泄露利用工具 原创 Mstir 星悦安全 2025-01-19 07:00 点击上方 蓝字 关注我们 并设为 星标 0x01 工具介绍 这是一个 Swagger REST API 信息泄露利用工具。 主要功能有: 遍历所有API接口,自动填充参数 尝试 GET / POST 所有接口,返回 Response Code
继续阅读强力工具助你一臂之力:XXECheck–全面提升XML安全,防护XXE漏洞!
强力工具助你一臂之力:XXECheck–全面提升XML安全,防护XXE漏洞! 原创 track 泷羽Sec-track 2025-01-18 11:07 声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!! 后台回复25118 即可获取 往期推荐: 2024Goby红队版工具-附2024年poc合集,支持导入自定义poc库 一款功
继续阅读【安全圈】高危!rsync被爆出多个安全漏洞
【安全圈】高危!rsync被爆出多个安全漏洞 安全圈 2025-01-18 11:00 关键词 漏洞 近期,Unix 平台上广泛使用的文件同步工具 rsync 暴露出多项高危安全漏洞,安全专家已披露这些漏洞并提供修复措施。为了避免数据泄露和恶意代码执行的风险,所有使用 rsync 的用户必须尽快升级到 3.4.0+ 版本。 漏洞风险一览: 这些漏洞可以使攻击者通过控制恶意服务器,读取、写入任何已连
继续阅读CVE-2024-53704|SonicOS SSLVPN认证绕过漏洞
CVE-2024-53704|SonicOS SSLVPN认证绕过漏洞 alicy 信安百科 2025-01-18 10:00 0x00 前言 SonicOS SSLVPN是一款SSL VPN设备,旨在提供安全的远程访问解决方案,允许用户通过加密的网络连接安全地访问内部网络资源。 0x01 漏洞描述 漏洞存在于 SonicOS SSLVPN 的认证机制中,允许远程攻击者绕过认证。攻击者可以利用这一
继续阅读CVE-2024-55591|FortiOS和FortiProxy身份认证绕过漏洞(POC)
CVE-2024-55591|FortiOS和FortiProxy身份认证绕过漏洞(POC) alicy 信安百科 2025-01-18 10:00 0x00 前言 FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统,FortiOS本身就具有多种功能,防火墙、IPSec VPN、SSL-VPN、IPS、防病毒、Web过滤、反垃圾邮件和应用
继续阅读PWN入门:误入格式化字符串漏洞
PWN入门:误入格式化字符串漏洞 福建炒饭乡会 看雪学苑 2025-01-18 09:59 可变 参数 在常规情况下,C语言中函数接收的形参数量都是固定的,但事实上,C语言中函数接受形参的数量并不是必须固定的,也支持动态变化的形参数量。 函数间传递可变参数时,基本的要求是函数至少指定一个参数。 C语言中可变形参的定义方式如下所示,除了首个参数指定类型和变量名外,后续的参数都通过…省略号
继续阅读欢迎报名!“系统0day安全”系列课程:掌握漏洞挖掘重要技能
欢迎报名!“系统0day安全”系列课程:掌握漏洞挖掘重要技能 看雪课程 看雪学苑 2025-01-18 09:59 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握
继续阅读2024年度人工智能相关重点安全漏洞盘点
2024年度人工智能相关重点安全漏洞盘点 原创 智能安全实验室 山石网科安全技术研究院 2025-01-18 02:02 一、CVE-2024-42479 漏洞概述 在 rpc_server::set_tensor 中存在一个“写入任意地址”的漏洞。该漏洞由 ggerganov 于 2024 年 8 月 12 日发布,编号为 GHSA-wcr5-566p-9cwj。受影响的版本为小于 b3561
继续阅读漏洞预警 | WordPress Plugin Radio Player SSRF漏洞
漏洞预警 | WordPress Plugin Radio Player SSRF漏洞 浅安 浅安安全 2025-01-18 00:01 0x00 漏洞编号 – # CVE-2024-54385 0x01 危险等级 – 高危 0x02 漏洞概述 WordPress插件Radio Player是一种简单而有效的解决方案,用于将实时流媒体音频添加到您的WordPress网站。
继续阅读【已支持暴露面风险排查】Rsync缓冲区溢出与信息泄露漏洞(CVE-2024-12084/CVE-2024-12085)
【已支持暴露面风险排查】Rsync缓冲区溢出与信息泄露漏洞(CVE-2024-12084/CVE-2024-12085) 原创 NS-CERT 绿盟科技CERT 2025-01-17 23:48 通告编号:NS-2024-0004-1 2025-01-17 TAG: Rsync、CVE-2024-12084、CVE-2024-12085 漏洞危害: 攻击者利用此次漏洞,可实现远程代码执行。 版本:
继续阅读【漏洞预警】NetVision airPASS信息泄露漏洞(CVE-2025-0455)
【漏洞预警】NetVision airPASS信息泄露漏洞(CVE-2025-0455) cexlife 飓风网络安全 2025-01-17 15:51 漏洞描述: NеtViѕiоn Infоrmаtiоn的аirPASS存在SQL注入漏洞,允许未经身份验证的远程攻击者注入任意SQL命令以读取、修改和删除数据库内容。NetVision airPASS SQL注入漏洞可能被用于信息泄露和代码执行目
继续阅读【风险提示】Rsync 缓冲区溢出与信息泄露漏洞(CVE-2024-12084 / CVE-2024-12085)
【风险提示】Rsync 缓冲区溢出与信息泄露漏洞(CVE-2024-12084 / CVE-2024-12085) 长亭安全应急响应中心 2025-01-17 15:48 Rsync 是 Samba.org 团队开发的网络数据同步工具,广泛应用于本地或远程环境的文件同步。Rsync Daemon(Rsyncd)则是 Rsync 提供的服务端进程(需要手动开启),主要用于远程文件同步、公开镜像站管理
继续阅读pikachu漏洞靶场通关手册(万字图文解析)
pikachu漏洞靶场通关手册(万字图文解析) 原创 BlankSec 泷羽Sec-Blanks 2025-01-17 15:25 pikachu漏洞靶场通关 靶场链接文末获取 – 一、密码爆破 – 1.1 基于表单的暴力破解 – 1.2 验证码绕过(on server) – 1.3 验证码绕过(on client) – 1.4 toke
继续阅读初级漏洞猎手十大必备网站
初级漏洞猎手十大必备网站 原创 再说安全 再说安全 2025-01-17 15:02 网络安全领域的魅力不仅在于攻防对抗的精彩,更在于对未知领域的探索与挑战。作为初入安全行业的漏洞猎手,掌握必要的工具和资源至关重要。这份清单并非速成指南,而是基于实战经验和技术沉淀,客观真实地列出了十个对于入门者至关重要的网站。它们涵盖信息收集、漏洞情报、安全报告等多个维度,是开启技术进阶之旅的钥匙。这里没有“一键
继续阅读【安全圈】新的 UEFI 安全启动绕过漏洞使系统暴露于恶意 Bootkit
【安全圈】新的 UEFI 安全启动绕过漏洞使系统暴露于恶意 Bootkit 安全圈 2025-01-17 11:00 关键词 安全漏洞 新发现的漏洞 CVE-2024-7344 被认定为UEFI 安全启动机制中的一个严重缺陷,可能会影响大多数基于 UEFI 的系统。 ESET 的研究人员发现了这一漏洞,它允许攻击者绕过安全启动保护并在启动过程中执行不受信任的代码,从而部署恶意的 UEFI 启动套件
继续阅读一款容器镜像漏洞扫描器-Trivy
一款容器镜像漏洞扫描器-Trivy 原创 CatalyzeSec CatalyzeSec 2025-01-17 10:48 介绍 Trivy是一款全面而多功能的安全扫描器。Triv y 的扫描器可 以查找安全问题,并确定可以找到这些问题的目标。 目标(Trivy 可以扫描的内容): – 容器镜像 – 文件系统 – Git 存储库(远程) – 虚拟机映
继续阅读【漏洞通告】Rsync 缓冲区溢出漏洞(CVE-2024-12084)
【漏洞通告】Rsync 缓冲区溢出漏洞(CVE-2024-12084) 启明星辰安全简讯 2025-01-17 10:30 一、漏洞概述 漏洞名称 Rsync 缓冲区溢出漏洞 CVE ID CVE-2024-12084 漏洞类型 缓冲区溢出 发现时间 2025-01-17 漏洞评分 9.8 漏洞等级 严重 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利
继续阅读谷歌OAth 漏洞导致弃用账号遭访问
谷歌OAth 漏洞导致弃用账号遭访问 Bill Toulas 代码卫士 2025-01-17 09:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌OAth ”通过谷歌登录”特性中存在一个弱点,可导致注册了已不再正常运行的创业公司域名的攻击者,访问与多个软件即服务 (SaaS) 平台相关的离职员工的敏感数据。 该漏洞由 Trufflesecurity 公司的研究员发现并在去年9月3
继续阅读W3 Total Cache 插件漏洞导致100万WordPress站点遭暴露
W3 Total Cache 插件漏洞导致100万WordPress站点遭暴露 Bill Toulas 代码卫士 2025-01-17 09:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安装在100多万个WordPress 站点上的W3 Total Cache 插件中存在一个严重漏洞,可导致攻击者访问多种信息,如基于云的app 上的元数据。 该插件使用多种缓存技术来优化网站的速度、
继续阅读漏洞预警 | Netis Wifi路由器信息泄露漏洞
漏洞预警 | Netis Wifi路由器信息泄露漏洞 浅安 浅安安全 2025-01-17 00:03 0x00 漏洞编号 – # CVE-2024-48455 0x01 危险等级 – 高危 0x02 漏洞概述 Netis Wi-Fi路由器以其稳定的性能、易用的管理界面以及较高的性价比受到许多用户的青睐。 0x03 漏洞详情 CVE-2024-48455 漏洞类型: 信息泄
继续阅读情报经纪人出手:惠普企业(HPE)遭黑!
情报经纪人出手:惠普企业(HPE)遭黑! 原创 网空闲话 网空闲话plus 2025-01-17 00:00 2025年1月17日,监测泄露论坛发现,惠普企业(HPE)遭遇了一起重大数据泄露事件,威胁行为者IntelBroker、zjj和EnergyWeaponUser声称对此负责。此次攻击涉及HPE的多个关键系统,泄露了大量敏感数据,包括私有GitHub存储库、Docker构建、SAP Hybr
继续阅读【安全圈】超过 660,000 个 Rsync 服务器遭受代码执行攻击
【安全圈】超过 660,000 个 Rsync 服务器遭受代码执行攻击 安全圈 2025-01-16 19:01 关键词 安全漏洞 超过 660,000 台暴露的 Rsync 服务器可能受到六个新漏洞的攻击,其中包括一个严重程度极高的堆缓冲区溢出漏洞,该漏洞允许在服务器上执行远程代码。 Rsync 是一个开源文件同步和数据传输工具,因其执行增量传输的能力而受到重视,从而减少了数据传输时间和带宽使用
继续阅读【漏洞通告】Rsync缓冲区溢出与信息泄露漏洞(CVE-2024-12084/CVE-2024-12085)
【漏洞通告】Rsync缓冲区溢出与信息泄露漏洞(CVE-2024-12084/CVE-2024-12085) 原创 NS-CERT 绿盟科技CERT 2025-01-16 18:47 通告编号:NS-2024-0004 2025-01-16 TAG: Rsync、CVE-2024-12084、CVE-2024-12085 漏洞危害: 攻击者利用此次漏洞,可实现远程代码执行。 版本: 1.0 1 漏
继续阅读2025最新Invicti-Professional-V25.1 WEB漏洞扫描器更新|近期漏洞合集更新
2025最新Invicti-Professional-V25.1 WEB漏洞扫描器更新|近期漏洞合集更新 原创 城北 渗透安全HackTwo 2025-01-16 16:00 前言 内部星球近期漏洞验真合集更新|漏洞威胁情报更新 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。
继续阅读【已复现】Fortinet FortiOS/FortiProxy 认证绕过漏洞(CVE-2024-55591)
【已复现】Fortinet FortiOS/FortiProxy 认证绕过漏洞(CVE-2024-55591) 长亭安全应急响应中心 2025-01-16 14:13 FortiOS 是 Fortinet 公司核心的网络安全操作系统,广泛应用于 FortiGate 下一代防火墙,为用户提供防火墙、VPN、入侵防御、应用控制等多种安全功能。FortiProxy 则是 Fortinet 提供的企业级安
继续阅读Ivanti修复Endpoint Manager中的多个严重漏洞
Ivanti修复Endpoint Manager中的多个严重漏洞 THN 代码卫士 2025-01-16 10:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司已发布安全更新,修复了影响 Avalanche、Application Control Engine和Endpoint Manager (EPM) 中的多个漏洞,其中的四个严重漏洞可导致信息泄露。 这四个严重漏
继续阅读译文|韩国国家网络安全战略
译文|韩国国家网络安全战略 原创 Cismag 信息安全与通信保密杂志社 2025-01-16 09:32 编者荐语 韩国政府于2024年2月1日发布的《韩国国家网络安全战略》,展现了其致力于构建自由、人权与法治并存的网络空间的坚定决心。该战略通过攻势防御、全球领导力提升及网络复原力强化三大支柱,全面应对网络安全挑战。 摘 要 韩国政府于2024年2月1日发布《韩国国家网络安全战略》,提出“实现网
继续阅读【漏洞通告】Ivanti Endpoint Manager多个信息泄露漏洞安全风险通告
【漏洞通告】Ivanti Endpoint Manager多个信息泄露漏洞安全风险通告 嘉诚安全 2025-01-16 07:28 漏洞背景 近日,嘉诚安全监测到Ivanti Endpoint Manager中存在多个信息泄露漏洞,漏洞编号分别为: CVE-2024-10811、CVE-2024-13161、CVE-2024-13160、CVE-2024-13159。 Ivanti Endpoin
继续阅读