暗网犯罪份子常用通讯软件 uTox 被曝 0day
暗网犯罪份子常用通讯软件 uTox 被曝 0day 独眼情报 2024-12-05 03:11 大水冲了龙王庙呀 一个知名暗网论坛可能正在出售针对 uTox 即时通讯客户端 0.18.1 版本的远程代码执行(RCE)0-day漏洞。 这一公告凸显了依赖该平台进行安全通讯的用户可能面临的潜在风险。 此类漏洞的出售可能带来严重后果,因为远程代码执行漏洞使攻击者能够在目标系统上执行任意代码,可能导致数据
继续阅读标签: 信息泄露
通知 | 事件型漏洞收录范围调整
通知 | 事件型漏洞收录范围调整 补天平台 2024-12-05 02:41 事件型漏洞收录范围调整 为了鼓励更多的白帽子积极上发现的漏洞,帮助更多的企业维护产品安全性,补天收录范围更新, 取消权重的限制门槛,同时增加奖励形式。 01 事件型漏洞收录范围更新 补天漏洞响应平台将事件型漏洞收录范围进一步扩大,同时漏洞奖励形式增设荣誉币,旨在激励更多白帽子积极发现并上报漏洞,帮助更多的企业发现并修复漏
继续阅读漏洞预警 | GitLab权限提升漏洞
漏洞预警 | GitLab权限提升漏洞 浅安 浅安安全 2024-12-05 00:03 0x00 漏洞编号 – CVE-2024-8114 0x01 危险等级 – 高危 0x02 漏洞概述 GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 0x03 漏洞详情 CVE-2024-8114 漏洞类型: 权限提升
继续阅读API安全漏洞靶场crapi漏洞复现
API安全漏洞靶场crapi漏洞复现 进击的HACK 2024-12-04 23:55 项目介绍 crAPI 应用程序被建模为 B2C 应用程序,允许任何用户让汽车修理工完成他们的汽车维修。用户可以在 WebApp 上创建帐户、管理他/她的汽车、搜索汽车修理工、提交任何汽车的服务请求以及从供应商处购买汽车配件。WebApp 还有一个社区部分,用户可以在其中贡献博客文章和评论。 crAPI 应用程序
继续阅读网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇)
网安牛马碰见WAF如何凑出漏洞数量?(逻辑漏洞篇) 进击的HACK 2024-12-04 23:55 前言 前些天写了那个凑数量的漏洞文章,貌似效果不错…… 当初熊猫刚入行的时候,新接个渗透项目,起手就是awvs、sqlmap、xray、appscan、owaspzap等等的一系列扫描器莽怼,碰碰运气,结果惨败在waf拦截之下…… 对于小白来说,工具
继续阅读大模型安全漏洞:AI时代的“隐形炸弹”(附下载)
大模型安全漏洞:AI时代的“隐形炸弹”(附下载) 原创 说安全 如何安全 说安全 如何安全 2024-12-04 23:32 在这个日新月异的AI时代,大模型作为智能技术的核心驱动力,正以前所未有的速度改变着我们的生活和工作方式。从智能客服到自动驾驶,从医疗诊断到金融风控,大模型的应用场景越来越广泛,其背后所蕴含的巨大潜力和商业价值也愈发凸显。然而,在享受AI带来的便捷与高效的同时,你是否意识到,
继续阅读【漏洞复现】CVE-2024-9935
【漏洞复现】CVE-2024-9935 混子Hacker 混子Hacker 2024-12-04 13:17 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 道阻且长,行则将至;行而不辍,未来可期 —— CVE-2024-9935 Word
继续阅读「漏洞复现」同享人力资源管理系统-TXEHR V15 ActiveXConnector 信息泄露漏洞
「漏洞复现」同享人力资源管理系统-TXEHR V15 ActiveXConnector 信息泄露漏洞 冷漠安全 冷漠安全 2024-12-04 12:20 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读信息安全漏洞月报(2024年11月)
信息安全漏洞月报(2024年11月) 原创 CNNVD CNNVD安全动态 2024-12-04 11:25 点击蓝字 关注我们 漏洞态势 根据国家信息安全漏洞库(CNNVD)统计,2024年11月采集安全漏洞共3920个。 本月接报漏洞1825个,其中信息技术产品漏洞(通用型漏洞)1287个,网络信息系统漏洞(事件型漏洞)538个。漏洞平台推送漏洞93384个。 重大漏洞通报 Palo Alto
继续阅读信息安全漏洞周报(2024年第49期)
信息安全漏洞周报(2024年第49期) 原创 CNNVD CNNVD安全动态 2024-12-04 11:25 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周2024年11月25日至2024年12月1日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞483个。 接报漏洞情况 本周CNNVD接报漏洞50088个,其中信息技术产品漏洞(通用型漏洞)320
继续阅读思科安全设备ASA十年老漏洞正在被利用
思科安全设备ASA十年老漏洞正在被利用 老布 FreeBuf 2024-12-04 11:03 近期,思科系统公司(Cisco Systems)更新了关于CVE-2014-2120的安全公告,警告客户该漏洞已在野外被利用。CVE-2014-2120是一个影响思科自适应安全设备(ASA)软件的WebVPN登录页面的跨站脚本(XSS)漏洞。该漏洞最初于2014年披露,它允许未经身份验证的远程攻击者对W
继续阅读网安瞭望台第9期:0day 情报,OAuth 2.0授权流程学习
网安瞭望台第9期:0day 情报,OAuth 2.0授权流程学习 原创 扬名堂 东方隐侠安全团队 2024-12-04 11:00 网安资讯分享 DAILY NEWS AND KNOWLEDGE 新鲜资讯&知识 抢先了解 隐侠安全客栈 国内外要闻 Veeam 修补服务提供商控制台关键 RCE 漏洞 Veeam 发布了安全更新以解决影响服务提供商控制台(VSPC)的一个关键漏洞,该漏洞可
继续阅读【安全圈】思科安全设备ASA十年老漏洞正在被利用
【安全圈】思科安全设备ASA十年老漏洞正在被利用 安全圈 2024-12-04 11:00 关键词 安全漏洞 近期,思科系统公司(Cisco Systems)更新了关于CVE-2014-2120的安全公告,警告客户该漏洞已在野外被利用。CVE-2014-2120是一个影响思科自适应安全设备(ASA)软件的WebVPN登录页面的跨站脚本(XSS)漏洞。该漏洞最初于2014年披露,它允许未经身份验证的
继续阅读思科证实已存在10年的ASA产品漏洞正遭利用
思科证实已存在10年的ASA产品漏洞正遭利用 Eduard Kovacs 代码卫士 2024-12-04 10:26 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周一,思科更新安全公告提醒称,已存在十年之久的一个漏洞正遭在野利用。 该漏洞的编号是CVE-2014-2120,是中危级别的XSS漏洞,影响思科ASA产品的 WebVPN 登录页面。 思科提到,未认证的远程攻击者能够诱骗 We
继续阅读【漏洞通告】Progress WhatsUp Gold远程代码执行漏洞(CVE-2024-8785)
【漏洞通告】Progress WhatsUp Gold远程代码执行漏洞(CVE-2024-8785) 启明星辰安全简讯 2024-12-04 08:51 一、漏洞概述 漏洞名称 Progress WhatsUp Gold远程代码执行漏洞 CVE ID CVE-2024-8785 漏洞类型 RCE 发现时间 2024-12-04 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权
继续阅读【漏洞通告】Veeam Service Provider Console远程代码执行漏洞(CVE-2024-42448)
【漏洞通告】Veeam Service Provider Console远程代码执行漏洞(CVE-2024-42448) 启明星辰安全简讯 2024-12-04 08:51 一、漏洞概述 漏洞名称 Veeam Service Provider Console远程代码执行漏洞 CVE ID CVE-2024-42448 漏洞类型 RCE 发现时间 2024-12-04 漏洞评分 9.9 漏洞等级
继续阅读360漏洞云情报月度合集-2024年11月期
360漏洞云情报月度合集-2024年11月期 360漏洞云 2024-12-04 08:36 01 前言 本报告聚焦于 2024 年 11 月(11.1 – 11.30)期间360漏洞云监测到的各类新兴网络安全隐患,同时对该月份全球及本土涌现的重大安全事故展开全面梳理与剖析,旨在迅速传递网络安全领域的实时态势以及前沿热点动态,诚挚邀请行业专家和从业者共同探讨交流、提出宝贵意见,携手推动
继续阅读雷神众测漏洞周报2024.11.25-2024.12.01
雷神众测漏洞周报2024.11.25-2024.12.01 原创 雷神众测 雷神众测 2024-12-04 07:44 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读推荐 10 个漏洞管理工具,漏洞猎手必备!
推荐 10 个漏洞管理工具,漏洞猎手必备! 原创 wljslmz瑞哥 网络技术联盟站 2024-12-04 07:15 公众号:网络技术联盟站 随着网络攻击的日益复杂,漏洞管理已经成为保障信息安全和保护企业资产的核心环节。漏洞管理工具能够有效地帮助企业及时发现、评估、修复系统中的安全漏洞,从而降低数据泄露、网络攻击等风险。漏洞管理不仅仅是一个技术层面的任务,它涉及到企业的各项安全操作,包括资产发
继续阅读四大行业协会同日发布安全提示声明:审慎采购美国芯片;Safari浏览器零日漏洞或已遭利用,多个Apple应用平台被波及 | 牛览
四大行业协会同日发布安全提示声明:审慎采购美国芯片;Safari浏览器零日漏洞或已遭利用,多个Apple应用平台被波及 | 牛览 安全牛 2024-12-04 05:23 点击蓝字·关注我们 / aqniu 新闻速览 •四大行业协会同日发布安全提示声明:审慎采购美国芯片 •《网络安全技术 基于互联网电子政务信息安全实施指南 第1部分:总则》等2项国家标准公开征求意见 •欧洲理事会通过新法案加强
继续阅读Windows漏洞:MS08-067远程代码执行漏洞复现及深度防御
Windows漏洞:MS08-067远程代码执行漏洞复现及深度防御 原创 繁星01 安全君呀 2024-12-04 00:10 将 安全君呀 设为”星标⭐️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容部分选取网络,如有侵权,请
继续阅读漏洞预警 | 致翔OA SQL注入漏洞
漏洞预警 | 致翔OA SQL注入漏洞 浅安 浅安安全 2024-12-04 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 致翔OA是一款专注于协同办公与企业管理的办公自动化系统,旨在提升企业管理效率和信息化水平。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 致翔OA的/OpenWind
继续阅读【神兵利器】Jeecg综合漏洞利用工具
【神兵利器】Jeecg综合漏洞利用工具 MInggongK 七芒星实验室 2024-12-03 23:05 项目介绍 Jeecg综合漏洞利用工具程序采用javafx开发,环境JDK 1.8 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规 漏洞支持 – jeecg-boot queryFieldBySql远程命令执行漏洞 jeecg-boot testConnec
继续阅读CVE-2024-42327 Zabbix 严重漏洞POC已公开!
CVE-2024-42327 Zabbix 严重漏洞POC已公开! 原创 一个不正经的黑客 一个不正经的黑客 2024-12-03 16:01 CVE-2024-42327 Zabbix API SQL注入漏洞公开POC 漏洞情况 官方通报: https://support.zabbix.com/browse/ZBX-25623 漏洞类型: SQL 注入(SQL Injection, CWE-89
继续阅读【漏洞预警】Dell NetWorker权限提升漏洞(CVE-2024-42422)
【漏洞预警】Dell NetWorker权限提升漏洞(CVE-2024-42422) 飓风网络安全 2024-12-03 15:20 漏洞描述: Dеll NеtWоrkеr,版本1910包含一个通过用户控制的密钥绕过授权的漏洞,未经认证的攻击者如果能够远程访问,可能会利用这个漏洞导致信息泄露,攻击者可能通过远程访问,利用用户控制的密钥绕过授权,导致信息泄露。影响产品:N/A<=NetWor
继续阅读【复现】泛微 e-cology前台SQL注入漏洞风险通告
【复现】泛微 e-cology前台SQL注入漏洞风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-12-03 11:20 赛博昆仑漏洞安全通告- 泛微 e-cology前台SQL注入漏洞风险通告 漏洞描述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大
继续阅读从零开始:K8s安全测试与漏洞挖掘全攻略 开胃K8S LAN PARTY CTF
从零开始:K8s安全测试与漏洞挖掘全攻略 开胃K8S LAN PARTY CTF 原创 枇杷哥 黑伞安全 2024-12-03 09:06 大家好,我是Umbrella。最近我入手了一台新的MacBook Pro M4芯片版,使用体验非常棒。利用这台新电脑,我在本地搭建了一些Kubernetes(K8s)环境,并测试了一些之前在云上发现的漏洞。 去年或今年年初的时候,我发现了一个CTF平台,它专注
继续阅读微软超高危漏洞“狂躁许可”:从无回显漏洞看传统漏扫局限性
微软超高危漏洞“狂躁许可”:从无回显漏洞看传统漏扫局限性 原创 产品与解决方案部 威努特安全网络 2024-12-03 00:02 Part.1 引 言 随着网络安全威胁的不断升级,企业面临的攻击手段日益复杂,漏洞利用成为最常见的入侵途径之一。今年7月9日,微软披露了一个超高危漏洞CVE-2024-38077,其CVSS评分高达9.8,研究人员将其命名为 MadLicense(狂躁许可)。根据有
继续阅读全球首份《大模型安全漏洞报告》
全球首份《大模型安全漏洞报告》 360数字安全 苏说安全 2024-12-02 23:02 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用背后,也带来诸多新的风险和挑战。 近日,360数字安全集团发布全球首份《大模型安全漏洞报告》(以下简称“报告”),从模型层安
继续阅读