北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞(2024-新)
北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞(2024-新) 原创 Secu的矛与盾 Secu的矛与盾 2024-12-14 03:06 漏洞描述 北京时空智友科技有限公司是一家经营范围包括技术开发、技术推广、技术转让、技术咨询、技术服务等的公司。 北京时空智友科技有限公司企业流程化管控系统存在SQL注入漏洞,攻击者可利用该漏洞获取敏感信息。 测绘语法: fofa-query: ‘
继续阅读标签: 信息泄露
锐捷Reyee云管理平台发现严重漏洞
锐捷Reyee云管理平台发现严重漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-14 01:00 导读 网络安全公司 Claroty 的警告称,Reyee 云管理平台和 Reyee OS 网络设备中的漏洞可能允许黑客控制数万台设备。 Ruijie 设备使用 MQTT 消息协议进行通信,其中设备使用用户名/密码对向代理进行身份验证,其中用户名是序列号,密码是反向序列号的 SHA256 计算。
继续阅读漏洞预警 | I Doc View SSRF漏洞
漏洞预警 | I Doc View SSRF漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 I Doc View在线文档预览系统是一套用于在Web环境中展示和预览各种文档类型的系统,如文本文档、电子表格、演示文稿、PDF文件等。 0x03 漏洞详情 漏洞类型: SSRF 影响: 获取
继续阅读漏洞预警 | 顺景ERP管理系统任意文件下载漏洞
漏洞预警 | 顺景ERP管理系统任意文件下载漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 顺景ERP管理系统是一款为中小型企业量身打造的企业资源规划软件,旨在帮助企业优化业务流程、提高效率,并实现信息化管理。 0x03 漏洞详情 漏洞类型: 任意文件下载 影响: 获取敏感信息 简述
继续阅读赛克安全本周漏洞推送(12.9-12.13)涉及孚盟云、用友时空、蓝凌OA、月子会所、时空VMS等产品相关漏洞
赛克安全本周漏洞推送(12.9-12.13)涉及孚盟云、用友时空、蓝凌OA、月子会所、时空VMS等产品相关漏洞 thelostworld 2024-12-14 00:00 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读漏洞预警 | YourPHPCMS SQL注入漏洞
漏洞预警 | YourPHPCMS SQL注入漏洞 浅安 浅安安全 2024-12-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 YourphpCMS是一款完全开源免费的PHP+MYSQL系统,强大灵活的后台管理功能、任何添加多国语言功能、静态页面生成功能、自定义模型功能、自制插件安装管理功能、自定义幻灯片模板等可为企
继续阅读利用开放式重定向、2FA 绕过等漏洞获取$1600赏金奖励
利用开放式重定向、2FA 绕过等漏洞获取$1600赏金奖励 迪哥讲事 2024-12-13 15:50 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 背景介绍 白帽小哥(debu8er)喜欢分享自己的漏洞发现过程,前不久白帽小哥开始在一个VDP(漏洞披露计划)中对 20 个漏洞报告进行
继续阅读【云原生攻防研究】Istio访问授权再曝高危漏洞
【云原生攻防研究】Istio访问授权再曝高危漏洞 黑伞安全 2024-12-13 14:33 一、概述 在过去两年,以Istio为代表的Service Mesh的问世因其出色的架构设计及火热的开源社区在业界迅速聚集了一批拥簇者,BAT等大厂先后也发布了自己的Service Mesh落地方案并在生产环境中部署运行。Service Mesh不仅可以降低应用变更过程中因为耦合产生的冲突(传统单体架构应用
继续阅读【漏洞预警】Cleo远程代码执行漏洞CVE-2024-50623
【漏洞预警】Cleo远程代码执行漏洞CVE-2024-50623 cexlife 飓风网络安全 2024-12-13 13:58 漏洞描述: Cleo LexiCom、VLTransfer 和 Harmony 都是用于数据传输、企业集成和电子数据交换(EDI)等任务的软件工具,主要应用于企业间的文件交换、供应链管理等领域,Cleo LexiCom、VLTransfer 和 Harmony产品中存在
继续阅读黑盒乱锤某专属SRC到0day代码分析
黑盒乱锤某专属SRC到0day代码分析 不秃头的安全 2024-12-13 09:54 **黑盒乱锤某专属SRC到0day代码分析**** 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。 还在学怎么挖通用漏洞和src吗?快来加入星球 -考证请加联系vx咨询 由 于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 上
继续阅读上周关注度较高的产品安全漏洞(20241202-20241208)
上周关注度较高的产品安全漏洞(20241202-20241208) 中国电信安全 2024-12-13 09:31 一、境外厂商产品漏洞 1、NETGEAR XR300 usb_approve.cgi组件缓冲区溢出漏洞 NETGEAR XR300是美国网件(NETGEAR)公司的一款无线路由器。NETGEAR XR300 v1.0.3.78版本存在缓冲区溢出漏洞,该漏洞源于usb_approve.
继续阅读安全设备漏洞 Checklist
安全设备漏洞 Checklist 原创 老鑫安全 老鑫安全 2024-12-13 09:31 弯刀划过红玫瑰,爱我yao家英雄会 2024年最后一个有可能一举翻身的机会 安全设备漏洞 Checklist 【免责声明】本项目所涉及的技术、思路和工具仅供学习,任何人不得将其用于非法用途和盈利,不得将其用于非授权渗透测试,否则后果自行承担,与本项目无关。使用本项目前请先阅读法律法规。 一、身份与访问控制
继续阅读超过 30 万台 Prometheus 服务器和 Exporter 暴露于拒绝服务(DoS)攻击中
超过 30 万台 Prometheus 服务器和 Exporter 暴露于拒绝服务(DoS)攻击中 独眼情报 2024-12-13 03:22 在本研究中,我们揭示了Prometheus生态系统中的几个漏洞和安全缺陷。这些发现涵盖了三个主要领域:信息泄露、拒绝服务(DoS)攻击和代码执行。 主要发现 暴露在外的Prometheus服务器或导出器,通常缺乏适当的身份验证,使攻击者能够轻松收集敏感信息
继续阅读玲珑安全直播:单洞赏金1万美刀的漏洞思路分享
玲珑安全直播:单洞赏金1万美刀的漏洞思路分享 玲珑安全 芳华绝代安全团队 2024-12-13 02:43 直播来啦! 国内挖洞日益内卷压力大? 想挖海外SRC却不知从何下手? 语言障碍、思路差异以及不熟悉的海外平台规则频频成为挑战美金的阻碍? 有问题!咱不怕!咱们请到了老师傅带带咱! O(∩_∩)O~ FreeBuf请来了我们的重磅嘉宾 玲珑安全学员:Reclu3a 为我们揭开海外SRC的神秘面
继续阅读Spring漏洞测试与利用
Spring漏洞测试与利用 黑白之道 2024-12-13 02:02 Spring Boot基础原理 Spring Boot是一款基于JAVA的开源框架,目的是为了简化Spring应用搭建和开发流程。是目前比较流行,大中小型企业常用的框架。正因为极大的简化了开发流程,才受到了绝大开发人员的喜爱。 0x01 Spring Boot 表达式 OGNL:Apache Commons Object-Gr
继续阅读Ivanti云服务严重漏洞:CVE-2024-11639(CVSS 10)建议立即修补
Ivanti云服务严重漏洞:CVE-2024-11639(CVSS 10)建议立即修补 E安全 2024-12-13 01:02 E安全消息,领先的IT管理和安全解决方案提供商Ivanti发布Cloud Services Application (CSA)关键安全更新。 更新的漏洞可能导致认证绕过、远程代码执行(RCE)和任意SQL执行。 CVE-2024-11639(CVSS 10):身份验证绕
继续阅读漏洞预警 | 小米路由器任意文件读取漏洞
漏洞预警 | 小米路由器任意文件读取漏洞 浅安 浅安安全 2024-12-13 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 小米路由器是小米公司推出的一款智能路由器。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: 小米路由器的/api-third-party/download/extdisks
继续阅读漏洞预警 | Django拒绝服务和SQL注入漏洞
漏洞预警 | Django拒绝服务和SQL注入漏洞 浅安 浅安安全 2024-12-13 00:02 0x00 漏洞编号 – # CVE-2024-53907 CVE-2024-53908 0x01 危险等级 – 高危 0x02 漏洞概述 Django是Python编写的开源Web应用框架。 0x03 漏洞详情 CVE-2024-53907 漏洞类型: 拒绝服务 影响: 程
继续阅读“芝麻开门”无线攻击:针对中国锐捷网络的物联网设备漏洞
“芝麻开门”无线攻击:针对中国锐捷网络的物联网设备漏洞 原创 网空闲话 网空闲话plus 2024-12-12 23:21 综合claroty、锐捷网络、CISA网站消息,工业网络安全公司Claroty下属的team82研究发现,物联网(IoT)供应商锐捷网络的Reyee云管理平台存在10个安全漏洞,这些漏洞可能允许攻击者控制数千台连接的设备。锐捷网络设备广泛用于全球90多个国家的机场、学校等公共
继续阅读广联达OA系统漏洞批量检测工具 – GlodonScan
广联达OA系统漏洞批量检测工具 – GlodonScan LemonSec 2024-12-12 16:01 01 项目地址 https://github.com/OracleNep/GlodonScan 02 项目介绍 广联达OA系统漏洞批量检测工具 可检测的漏洞列表: 广联达OA EmailAccountOrgUserService SQL注入漏洞 广联达OA GetUserByE
继续阅读Palo零日漏洞凸显面向互联网的接口风险不断上升
Palo零日漏洞凸显面向互联网的接口风险不断上升 原创 何威风 祺印说信安 2024-12-12 16:01 最近的报告证实,针对 Palo Alto Networks 的下一代防火墙 (NGFW) 管理接口的严重零日漏洞正受到积极利用。虽然 Palo Alto 的快速建议和缓解指南为补救措施提供了起点,但此类漏洞的广泛影响需要全球组织予以关注。 针对面向互联网的管理界面的攻击激增凸显了不断演变的
继续阅读苹果通过 iOS 18.2 更新修复了密码应用程序中的加密漏洞
苹果通过 iOS 18.2 更新修复了密码应用程序中的加密漏洞 很近也很远 网络研究观 2024-12-12 15:59 在安全研究人员 Talal Haj Bakry 和 Mysk Inc. 的 Tommy Mysk 报告之后,Apple 在发布 iOS 18.2 时解决了其密码应用程序中的一个重要安全漏洞。 该漏洞被追踪为 CVE-2024-54492,涉及应用程序使用未加密的 HTTP 连接
继续阅读发现关键漏洞获得 $4,000 赏金奖励
发现关键漏洞获得 $4,000 赏金奖励 迪哥讲事 2024-12-12 12:30 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 文章原文:https://gugesay.com/archives/XXXX **不想错过任何消息?设置星标↓ ↓ ↓ 目录 子域枚举 发现 测试应用程序
继续阅读单洞赏金1万美刀的漏洞思路分享| 玲珑安全帮会直播
单洞赏金1万美刀的漏洞思路分享| 玲珑安全帮会直播 FreeBuf知识大陆 FreeBuf 2024-12-12 10:54 直播来啦! 国内挖洞日益内卷压力大? 想挖海外SRC却不知从何下手? 语言障碍、思路差异以及不熟悉的海外平台规则频频成为挑战美金的阻碍? 有问题!咱不怕!咱们请到了老师傅带带咱! O(∩_∩)O~ FreeBuf请来了我们的重磅嘉宾 玲珑安全学员:Reclu3a 为我们揭开
继续阅读即将开班!“系统0day安全”系列课程:掌握漏洞挖掘重要技能
即将开班!“系统0day安全”系列课程:掌握漏洞挖掘重要技能 看雪课程 看雪学苑 2024-12-12 10:01 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握
继续阅读创宇安全智脑 | Mitel MiCollab 企业协作平台任意文件读取(CVE-2024-41713)等80个漏洞可检测
创宇安全智脑 | Mitel MiCollab 企业协作平台任意文件读取(CVE-2024-41713)等80个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-12 09:30 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、
继续阅读【风险通告】GitLab存在敏感信息泄露漏洞(CVE-2024-11274)
【风险通告】GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒CERT评级 2级 CVSS3.1评分 8.7 CVE编号 CVE-2024-11274 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-2024
继续阅读关于防范Zabbix软件SQL注入超危漏洞的风险提示
关于防范Zabbix软件SQL注入超危漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2024-12-12 08:23 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源软件 Zabbix 存在 SQL 注入超危漏洞。 Zabbix 是一款开源网络监控软件,广泛用于监控网络设备、服务器和应用程序的状态。由于 Zabbix 软件未对用户输入数据进行严格验证和转
继续阅读【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274)
【漏洞通告】GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274) 启明星辰安全简讯 2024-12-12 07:56 一、漏洞概述 漏洞名称 GitLab Kubernetes Proxy Response NEL头注入漏洞 CVE ID CVE-2024-11274 漏洞类型 注入、信息泄露 发现时间 2024-12-12 漏洞
继续阅读【漏洞通告】Django Oracle数据库SQL注入漏洞(CVE-2024-53908)
【漏洞通告】Django Oracle数据库SQL注入漏洞(CVE-2024-53908) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 在使用Oracle作为后端数据库时,Django框架中存在一个SQl注入漏洞。通过django.db.models.fields.json.HasKey,攻击者可以将恶意语句作为lhs值注入数据库,从而导致数据泄露和服务器失陷
继续阅读