【漏洞预警】Ollama-大语言模型和机器学习框架多个漏洞
【漏洞预警】Ollama-大语言模型和机器学习框架多个漏洞 cexlife 飓风网络安全 2024-11-04 22:44 漏洞描述: Ollama是一个功能强大、易于使用且支持多种大型语言模型和机器学习框架的开源框架,它极大地简化了大型语言模型在本地部署和管理的过程,为研究和开发人员提供了极大的便利,Ollama中被披露存在多个安全漏洞,导致攻击者可通过HTTP请求执行恶意操作,从而可能造成拒绝
继续阅读标签: 信息泄露
金华迪加现场大屏互动系统mobile.do.php接口存在任意文件上传漏洞 附POC
金华迪加现场大屏互动系统mobile.do.php接口存在任意文件上传漏洞 附POC 2024-11-4更新 南风漏洞复现文库 2024-11-04 21:40 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 金华迪加现场大屏互动系统简
继续阅读英飞达医学影像存档与通信系统WebUserLogin.asmx接口存在信息泄露漏洞 附POC
英飞达医学影像存档与通信系统WebUserLogin.asmx接口存在信息泄露漏洞 附POC 2024-11-4更新 南风漏洞复现文库 2024-11-04 21:40 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 英飞达医学影像存档
继续阅读上周关注度较高的产品安全漏洞(20241028-20241103)
上周关注度较高的产品安全漏洞(20241028-20241103) 原创 CNVD CNVD漏洞平台 2024-11-04 16:53 一、境外厂商产品漏洞 1、Microsoft Office Visio远程代码执行漏洞(CNVD-2024-41993) Microsoft Office Visio是美国微软(Microsoft)公司的Office软件系列中的负责绘制流程图和示意图的软件。Mic
继续阅读英飞达医学影像存档与通信系统 WebUserLogin.asmx 信息泄露漏洞
英飞达医学影像存档与通信系统 WebUserLogin.asmx 信息泄露漏洞 Superhero Nday Poc 2024-11-03 21:02 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读CVE-2024-37383|Roundcube Webmail存储型XSS漏洞(POC)
CVE-2024-37383|Roundcube Webmail存储型XSS漏洞(POC) alicy 信安百科 2024-11-02 17:48 0x00 前言 Roundcube Webmail是一个开源的基于web的电子邮件客户端,旨在提供用户友好的界面和强大的功能,使用户能够通过web浏览器方便地访问和管理他们的电子邮件。 Roundcube支持标准的邮件协议(如IMAP和SMTP),并提
继续阅读CVE-2024-43532|Microsoft Remote Registry Service特权提升漏洞(POC)
CVE-2024-43532|Microsoft Remote Registry Service特权提升漏洞(POC) alicy 信安百科 2024-11-02 17:48 0x00 前言 Microsoft Remote Registry Service(远程注册表服务)是Windows操作系统中的一个服务,允许远程用户通过网络访问和修改计算机上的注册表。 0x01 漏洞描述 漏洞源于Micr
继续阅读记一次edusrc漏洞挖掘
记一次edusrc漏洞挖掘 原创 青春计协 青春计协 2024-11-01 23:53 GRADUATION 点击蓝字 关注我们 信息收集: 通过其它方式获取了该认证平台的某个用户的密码信息; 漏洞挖掘: A、在学生基本信息处有个:在读证明导出PDF的功能 B、使用burpsuite进行数据包的抓取,发现学号是进行了编码的(base64),对其进行解码就会得到学号 C、因为是采用学号来进行区分的,
继续阅读【安全圈】LiteSpeed缓存插件漏洞正对WordPress 网站构成重大风险
【安全圈】LiteSpeed缓存插件漏洞正对WordPress 网站构成重大风险 安全圈 2024-11-01 19:01 关键词 安全漏洞 WordPress 一款流行插件LiteSpeed Cache 的免费版本最近修复了一个高危的权限提升缺陷,该漏洞可能允许未经身份验证的网站访问者获得管理员权限。 LiteSpeed Cache 是一个缓存插件,被超过 600 万个 WordPress 网站
继续阅读【安全圈】热门摄像头曝零日漏洞,黑客借此入侵政府部门
【安全圈】热门摄像头曝零日漏洞,黑客借此入侵政府部门 安全圈 2024-11-01 19:01 关键词 零日漏洞 据GreyNoise公司安全研究人员Konstantin Lazarev披露,PTZOptics PTZ 摄像头存在两个零日漏洞,漏洞编号分别是CVE-2024-8956和CVE-2024-8957,目前已经发现有黑客正在利用这些零日漏洞发起网络攻击。 PTZ摄像机是一种集成了平移(P
继续阅读【漏洞推送】CVE-2024-23897 文件读取漏洞(poc)
【漏洞推送】CVE-2024-23897 文件读取漏洞(poc) 原创 大竹 b1gpig信息安全 2024-11-01 18:34 Jenkins安全漏洞 CVE-2024-23897 CVE-2024-23897 是一个影响 Jenkins 的严重安全漏洞,主要特征如下: 漏洞概述 该漏 洞 存在于 Jenkins 的命令行界面(CLI)中,属于本地文件包含(LFI)漏洞,影响以下版本: &#
继续阅读【漏洞预警】ServiceNow Now Platform未授权代码注入漏洞CVE-2024-8923
【漏洞预警】ServiceNow Now Platform未授权代码注入漏洞CVE-2024-8923 cexlife 飓风网络安全 2024-10-31 22:11 漏洞描述: ServiceNow发布安全公告,修复了2个安全漏洞,其中包括一个代码注入漏洞,此漏洞可能允许未认证的用户在Now Platform 的上下文中执行任意代码,或检索敏感信息,鉴于今年早期有利用ServiceNow Now
继续阅读谷歌修复由苹果报送的严重 Chrome 漏洞
谷歌修复由苹果报送的严重 Chrome 漏洞 Eduard Kovacs 代码卫士 2024-10-31 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,谷歌和 Mozilla 宣布为 Chrome 和 Firefox web 浏览器发布安全更新,其中一些漏洞为严重级别。 谷歌发布 Chrome 130,修复了两个漏洞。其中一个漏洞是CVE-2024-10487,是位于
继续阅读【漏洞通告】Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)
【漏洞通告】Spring Security 静态资源未授权访问漏洞(CVE-2024-38821) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-31 17:54 漏洞名称: Spring Security 静态资源未授权访问漏洞(CVE-2024-38821) 组件名称: 威睿-Spring Security 影响范围: Spring Security ≤ 5.7.125.8.0 ≤
继续阅读【已复现】Spring Security 静态资源权限绕过漏洞(CVE-2024-38821)安全风险通告
【已复现】Spring Security 静态资源权限绕过漏洞(CVE-2024-38821)安全风险通告 奇安信 CERT 2024-10-31 15:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Spring Security 静态资源权限绕过漏洞 漏洞编号 QVD-2024-43514,CVE-2024-38821 公开时间 2024-10-25 影响量级 万级
继续阅读【漏洞复现】Apache Solr路径身份验证绕过漏洞CVE-2024-45216
【漏洞复现】Apache Solr路径身份验证绕过漏洞CVE-2024-45216 cexlife 飓风网络安全 2024-10-30 22:23 漏洞描述: ApacheSolr是基于ApacheLucene构建的开源搜索平台,PKIAuthenticationPlugin是SolrCloud模式下的身份验证插件,受影响版本中由于PKIAuthenticationPlugin类未正确过滤用户的请
继续阅读研究员在开源AI和ML模型中发现30多个漏洞
研究员在开源AI和ML模型中发现30多个漏洞 THN 代码卫士 2024-10-30 17:47 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 多个开源人工智能 (AI) 和机器学习 (ML) 模型中存在30多个漏洞,其中一些可导致远程代码执行和信息盗取后果。 这些漏洞位于多款工具中如 ChuanhuChatGPT、Lunary和LocalAI 中,通过 Protect AI 的 Hunt
继续阅读苹果悬赏百万美元查找“苹果智能”安全漏洞
苹果悬赏百万美元查找“苹果智能”安全漏洞 安全内参 2024-10-30 17:38 关注我们 带你读懂网络安全 苹果公司近日发布了备受期待的AI服务“苹果智能”(Apple Intelligence),适用于iPhone、iPad和Mac设备。该服务将随iOS 18.1、iPadOS 18.1和macOS Sequoia 15.1系统一同上线,结合设备端和云端处理的先进技术,以支持复杂的AI任务
继续阅读这谁防得住?Wi-Fi 联盟官方测试套件中存在命令注入漏洞
这谁防得住?Wi-Fi 联盟官方测试套件中存在命令注入漏洞 数世咨询 2024-10-30 16:00 计算机应急响应小组 (CERT) 协调中心 (CERT/CC) 研究人员发现Wi-Fi联盟测试套件中存在命令注入漏洞,该漏洞的编号为CVE-2024-41992,Wi-Fi 联盟的易受攻击代码已发现部署在 Arcadyan(智易科技) FMIMG 51AX000J 路由器上。 01 WiFi测试
继续阅读开源安全检测的漏洞,从哪些维度考虑整改标准?两种场景下(供应链软件入库,应用投产上线)针对检测的漏洞需要强制修复吗|总第270周
开源安全检测的漏洞,从哪些维度考虑整改标准?两种场景下(供应链软件入库,应用投产上线)针对检测的漏洞需要强制修复吗|总第270周 原创 群秘 君哥的体历 2024-10-30 06:50 0x1本周话题 话题一:请教个问题,大家如何发现员工拍照泄露的?排除水印,因为只能拿到图片后才能溯源,用处很小。 A1: 摄像头 + 行为分析?或者手机和电脑的终端 DLP 软件和网络层的 DLP ;摄像头物理视
继续阅读Mozilla:十六进制代码可用于操纵 ChatGPT 写 exp
Mozilla:十六进制代码可用于操纵 ChatGPT 写 exp Nate Nelson 代码卫士 2024-10-29 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 一种新型提示符注入技术可导致任何人绕过 OpenAI 最高阶的语言学习模型中的安全防御措施。 今年5月13日发布的 GPT-4o 要比之前的模型更快、更高效、功能更丰富。它能够以数十种语言处理多种不同形式的输入
继续阅读研究者揭露微软 Windows 内核的操作系统降级漏洞
研究者揭露微软 Windows 内核的操作系统降级漏洞 看雪学苑 看雪学苑 2024-10-29 17:58 近期,SafeBreach Labs的研究人员揭露了一种名为“Windows Downdate”的新型攻击技术,该技术能够操纵Windows 11系统在更新时降级关键系统组件,使部分漏洞修复补丁失效。这一攻击原理最初于2024年8月在Black Hat USA 2024上披露,现在更多细
继续阅读雷神众测漏洞周报2024.10.21-2024.10.27
雷神众测漏洞周报2024.10.21-2024.10.27 原创 雷神众测 雷神众测 2024-10-29 15:48 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读上周关注度较高的产品安全漏洞(20241021-20241027)
上周关注度较高的产品安全漏洞(20241021-20241027) 原创 CNVD CNVD漏洞平台 2024-10-29 09:28 一、境外厂商产品漏洞 1、Adobe Commerce不当授权漏洞(CNVD-2024-41467) Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe Commerce存在不当授权漏洞,攻击者可
继续阅读【漏洞预警】Codezips Sales Management System信息泄露漏洞
【漏洞预警】Codezips Sales Management System信息泄露漏洞 cexlife 飓风网络安全 2024-10-28 22:33 漏洞描述: 在Cоdеziрѕ Sаlеѕ MаnаɡеmеtSуѕtеm 1.0中发现了一个漏洞,其严重程度被评为“严重”,这个问题影响了文件/аddсuѕtind.рhр中的一些未知功能,通过操纵参数rеfnо,可以导致SQL注入攻击可能从远
继续阅读利用Windows漏洞,攻击者能降级系统组件恢复漏洞
利用Windows漏洞,攻击者能降级系统组件恢复漏洞 Zicheng FreeBuf 2024-10-28 21:02 据Hackread消息,在最近的一项研究中,SafeBreach Labs 研究员揭露了一种新的攻击技术,能够操纵Windows 11系统在更新时降级关键系统组件,从而让一些漏洞修复补丁失效。 该攻击原理最初于 2024 年 8 月在Black Hat USA 2024上披露,而
继续阅读【干货总结】浅谈src漏洞挖掘中容易出洞的几种姿势
【干货总结】浅谈src漏洞挖掘中容易出洞的几种姿势 Z2O安全攻防 2024-10-28 20:58 0x1 前言 浅谈 这篇文章主要是想跟师傅们聊下企业src包括平常的渗透测试和众测等项目中的一个拿分点,特别是如何让新手在挖掘企业src的过程中可以挖到漏洞呢,难点的或者好挖的漏洞都被大佬给交走了,那么小白挖src的方向在哪呢,还有冷门的漏洞挖掘方式怎么样,是不是可以挖掘到漏洞呢。 这篇文章也是和
继续阅读【安全圈】利用Windows漏洞,攻击者能降级系统组件恢复漏洞
【安全圈】利用Windows漏洞,攻击者能降级系统组件恢复漏洞 安全圈 2024-10-28 19:01 关键词 安全漏洞 据Hackread消息,在最近的一项研究中,SafeBreach Labs 研究员揭露了一种新的攻击技术,能够操纵Windows 11系统在更新时降级关键系统组件,从而让一些漏洞修复补丁失效。 该攻击原理最初于 2024 年 8 月在Black Hat USA 2024上披露
继续阅读【已复现】CyberPanel 远程命令执行漏洞(QVD-2024-44346)安全风险通告
【已复现】CyberPanel 远程命令执行漏洞(QVD-2024-44346)安全风险通告 奇安信 CERT 2024-10-28 17:06 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 CyberPanel upgrademysqlstatus 远程命令执行漏洞 漏洞编号 QVD-2024-44346 公开时间 2024-10-27 影响量级 万级 奇安信评级 高危
继续阅读安全热点周报:UNC5820 威胁集群利用 Fortinet 零日漏洞窃取企业配置数据
安全热点周报:UNC5820 威胁集群利用 Fortinet 零日漏洞窃取企业配置数据 奇安信 CERT 2024-10-28 17:06 安全资讯导视 • 美国政府发布首份关于人工智能的国家安全备忘录 • 河南两公司泄露大量敏感数据被罚10万元 • 国家网络安全通报中心:多个与某大国政府有关的境外黑客组织持续攻击国内单位企业 PART01 漏洞情报 1.Fortinet FortiManage
继续阅读