谷歌:Pixel 固件0day漏洞已遭活跃利用
谷歌:Pixel 固件0day漏洞已遭活跃利用 SERGIU GATLAN 代码卫士 2024-06-13 17:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌修复了 Pixel 设备中的50个漏洞并提醒称,其中一个漏洞在0day 状态时已遭利用,编号是CVE-2024-32896。 该漏洞是位于 Pixel 固件中的提权漏洞,属于高危级别。谷歌在本周二提到,“有迹象表明CVE-
继续阅读标签: 信息泄露
白帽报告苹果Vision Pro特有漏洞,或可导致空间计算黑客攻击
白帽报告苹果Vision Pro特有漏洞,或可导致空间计算黑客攻击 关键基础设施安全应急响应中心 2024-06-13 14:56 苹果公司周一将 Vision Pro 虚拟现实头盔的操作系统 visionOS 更新到 1.2 版本,该版本修复了多个漏洞,其中包括可能是该产品特有的第一个安全漏洞,编号为 CVE-2024-27812。 visionOS 1.2 此次更新修复了近二十多个漏洞。其中绝
继续阅读全球知名半导体公司Arm和Nvidia新漏洞揭露
全球知名半导体公司Arm和Nvidia新漏洞揭露 关键基础设施安全应急响应中心 2024-06-13 14:56 全球知名的半导体公司 Arm 和 Nvidia 正在敦促客户修补其产品中一系列新的漏洞。 总部位于英国的Arm周五警告称,其 Mali GPU 内核驱动程序(一种帮助操作系统与 Mali 图形处理器进行通信的软件)中存在一个被广泛利用的零日漏洞。 该漏洞编号为CVE-2024-4610
继续阅读上周关注度较高的产品安全漏洞(20240603-20240609)
上周关注度较高的产品安全漏洞(20240603-20240609) 国家互联网应急中心CNCERT 2024-06-13 10:42 一、境外厂商产品漏洞 1 、Adobe Commerce资源管理错误漏洞(CNVD-2024-25603)**** Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe Commerce 2.4.7版
继续阅读CTF-Web_RCE的出题思路
CTF-Web_RCE的出题思路 原创 徐睿涵 攻防SRC 2024-06-12 17:43 1.概要 这是一个基于远程代码执行(RCE)漏洞的CTF题目,选手需要通过编写Python脚本,利用漏洞获取管理员的敏感信息,获取flag。 2.远程代码执行(RCE) 远程代码执行(Remote Code Execution,RCE)漏洞是指攻击者能够在目标系统上执行任意代码的安全漏洞。RCE漏洞的常见
继续阅读【漏洞通告】Arm Mali GPU Kernel Driver释放后使用漏洞安全风险通告
【漏洞通告】Arm Mali GPU Kernel Driver释放后使用漏洞安全风险通告 嘉诚安全 2024-06-12 16:48 漏洞背景 近日,嘉诚安全监测到Arm发布Mali GPU驱动程序安全公告,披露了Bifrost和Valhall GPU内核驱动程序中的一个释放后使用漏洞,漏洞编号为:CVE-2024-4610,目前该漏洞已发现被 在野利用。 Arm是一家全球知名的芯片架构设计公司
继续阅读雷神众测漏洞周报2024.06.03-2024.06.10
雷神众测漏洞周报2024.06.03-2024.06.10 原创 雷神众测 雷神众测 2024-06-12 15:42 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)已发现在野攻击!
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)已发现在野攻击! 原创 威胁情报中心 奇安信威胁情报中心 2024-06-12 10:20 2024年6月6日,奇安信CERT监测到官方修复PHP CGI Windows平台特定语系(简体中文936/繁体中文950/日文932)远程代码执行漏洞(CVE-2024-4577),未经身份认证的远程攻击者可以通过特定的字符序
继续阅读「漏洞复现」PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
「漏洞复现」PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577) 冷漠安全 冷漠安全 2024-06-11 19:39 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若
继续阅读安全热点周报:TellYouThePass勒索软件利用PHP漏洞全球扩散,多个在野漏洞遭遇实际攻击
安全热点周报:TellYouThePass勒索软件利用PHP漏洞全球扩散,多个在野漏洞遭遇实际攻击 奇安信 CERT 2024-06-11 18:53 安全资讯导视 • 国家能源局印发《电力网络安全事件应急预案》 • 安徽一单位遭入侵3.54亿条个人信息被盗,公检联合督促整改 • 国内知名电器集团售后系统遭入侵,涉案金额高达1.2亿元 PART01 漏洞情报 1.PHP CGI Windows平
继续阅读【已发现在野攻击】PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)安全风险通告第二次更新
【已发现在野攻击】PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)安全风险通告第二次更新 奇安信 CERT 2024-06-11 18:53 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 PHP CGI Windows平台远程代码执行漏洞 漏洞编号 QVD-2024-21704,CVE-2024-4577 公开时间 2024-06-07 影响量
继续阅读CVE-2024-4956 Nexus Repository 3 任意文件读取调试分析
CVE-2024-4956 Nexus Repository 3 任意文件读取调试分析 sule01u 黑伞安全 2024-06-11 12:52 漏洞概述 2024年5月,Nexus Repository官方Sonatype发布了新补丁,修复了一处路径穿越漏洞CVE-2024-4956。经分析,该漏洞可以通过特定的路径请求来未授权访问系统文件,进而可能导致信息泄露。该漏洞无前置条件且利用简单。
继续阅读如何判断API接口类型及漏洞分类管理方法?| 总第249周
如何判断API接口类型及漏洞分类管理方法?| 总第249周 原创 群秘 君哥的体历 2024-06-11 09:00 0x1本周话题 话题一:请教大佬, api 接口怎么判断是 tcp 的还是 http 的?问开发,说都是 tcp ,最后可能用的 http 。 A1:可以口语化一点,如果问他是不是http协议他回答有误,那就问他本次api接口可否用postman发包?可以则是http。
继续阅读「漏洞复现」29网课交单平台 epay.php SQL注入漏洞
「漏洞复现」29网课交单平台 epay.php SQL注入漏洞 冷漠安全 冷漠安全 2024-06-10 21:40 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关
继续阅读【安全圈】TikTok 零日漏洞被利用,可一键劫持高级账户
【安全圈】TikTok 零日漏洞被利用,可一键劫持高级账户 安全圈 2024-06-10 19:00 关键词 安全漏洞 近日,攻击者利用社交媒体直接消息功能中的零日漏洞,劫持了多家知名公司和人物的TikTok 账户。 TikTok发言人证实,索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持,为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知,但是TikTok发言人补充说,
继续阅读【漏洞复现 | 含批量POC】天智云智造管理平台 Usermanager.ashx SQL注入漏洞
【漏洞复现 | 含批量POC】天智云智造管理平台 Usermanager.ashx SQL注入漏洞 小明同学 小明信安 2024-06-10 16:37 0x01 免责声明 disclaimer 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。信息及工具收集于互联网,真实性及安全性自测,如有侵权请
继续阅读使用Markdown RCE服务器
使用Markdown RCE服务器 Aditya Dixit 七芒星实验室 2024-06-10 14:17 背景介绍 Hashnode是一个面向开发人员的博客平台,您可以在其中使用自定义域免费托管您的博客,其中包含许多功能,而这其中一项功能便是”批量Markdown导入器”,当我将我的博客从Jekyll迁移到Hashnode时,我正在寻找一个导入功能,幸运的是Hashno
继续阅读CVE-2024-23692:Rejetto HTTP 文件服务器中未经身份验证的 RCE 漏洞,PoC 已发布
CVE-2024-23692:Rejetto HTTP 文件服务器中未经身份验证的 RCE 漏洞,PoC 已发布 Ots安全 2024-06-10 13:51 在最新的Rejetto HTTP文件服务器(HFS)2.x版本中,发现了一个严重的安全漏洞,标记为CVE-2024-23692。这一漏洞给使用该软件进行文件分享的组织和个人带来了巨大的风险,因为攻击者可以利用这一漏洞在受影响的服务器上执行任
继续阅读【安全圈】PHP 紧急更新修复漏洞:自 5.x 以来所有版本均受影响
【安全圈】PHP 紧急更新修复漏洞:自 5.x 以来所有版本均受影响 安全圈 2024-06-09 19:00 关键词 漏洞 PHP 项目维护团队昨日发布新补丁,修复了存在于 PHP for Windows 中的远程代码执行(RCE)漏洞,并敦促用户尽快更新至 6 月 6 日发布的 8.3.8、8.2.20 以及 8.1.29 版本。 PHP 是一种广泛使用的开放源码脚本语言,设计用于网络开发,通
继续阅读利用 Windows 10 反馈中心 安全漏洞
利用 Windows 10 反馈中心 安全漏洞 Ots安全 2024-06-09 12:17 反馈中心是 Windows 10 中的一项功能,允许用户向 Microsoft 报告问题或建议。它依赖于以系统权限运行的“diagtrack”服务,或更广为人知的“连接用户体验和遥测” 当反馈中心收集信息以将其发送给 MS 时,它会执行大量文件操作,其中大部分由 SYSTEM 用户执行。事实证明,此应用程
继续阅读【安全圈】TikTok零日漏洞被利用,可一键劫持高级账户
【安全圈】TikTok零日漏洞被利用,可一键劫持高级账户 安全圈 2024-06-08 19:00 关键词 TikTok 近日,攻击者利用社交媒体直接消息功能中的零日漏洞,劫持了多家知名公司和人物的TikTok 账户。 TikTok发言人证实,索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持,为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知,但是TikTok发言人补充说
继续阅读「漏洞复现」锐捷校园网自助服务系统 login_judge.jsf 任意文件读取漏洞(XVE-2024-2116)
「漏洞复现」锐捷校园网自助服务系统 login_judge.jsf 任意文件读取漏洞(XVE-2024-2116) 冷漠安全 冷漠安全 2024-06-08 09:52 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次
继续阅读一次文件下载漏洞获取源代码审计
一次文件下载漏洞获取源代码审计 原创 有恒 有恒安全 2024-06-07 19:33 之前挖src,挖到一个网站存在文件下载漏洞,想通过文件下载获取源码,但历史命令一直没有管理员操作源码的命令。功夫不负有心人,经过一年不断得下载历史命令,终于成功下载到源码。 漏洞点: 一、文件下载漏洞 在上传附件处,可将上传的文件进行下载。 下载链接为: https://xxxx.com/internships
继续阅读某客圈子社区小程序审计(0day)
某客圈子社区小程序审计(0day) Mstir 星悦安全 2024-06-07 18:39 0x00 前言 █ 纸上得来终觉浅,绝知此事要躬行 █ Fofa:”/static/index/js/jweixin-1.2.0.js” 该程序使用ThinkPHP 6.0.12作为框架,所以直接审计控制器即可.其Thinkphp版本较高,SQL注入不太可能,所以直接寻找其他洞. 0
继续阅读CVE-2024-22263|Spring Cloud Data Flow任意文件写入漏洞
CVE-2024-22263|Spring Cloud Data Flow任意文件写入漏洞 alicy 信安百科 2024-06-07 18:29 0x00 前言 Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。SCDF中一个核心组件Spring Cloud Skipper
继续阅读CVE-2024-4577|PHP CGI Windows平台远程代码执行漏洞(POC)
CVE-2024-4577|PHP CGI Windows平台远程代码执行漏洞(POC) alicy 信安百科 2024-06-07 18:29 0x00 前言 PHP是Hypertext Preprocessor(超文本预处理器)的缩写,源自于“PHP/FI”的工程,在它的起源初期主要用于统计自己网站的访问者,后来用c语言进行了重新编写,拥有了自己的访问文件和数据库功能.在1995年发布了PHP
继续阅读PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)安全风险通告
PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)安全风险通告 奇安信 CERT 2024-06-07 15:45 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 PHP CGI Windows平台远程代码执行漏洞 漏洞编号 QVD-2024-21704,CVE-2024-4577 公开时间 2024-06-07 影响量级 十万级 奇安信评级 高危
继续阅读Hikvision综合漏洞利用工具 – Hikvision-
Hikvision综合漏洞利用工具 – Hikvision- GSDK GSDK安全团队 2024-06-06 19:51 01 项目地址 https://github.com/MInggongK/Hikvision- 02 项目介绍 Hikvision综合漏洞利用工具 海康威视综合缓冲区利用工具收录缓冲区如下: 海康威视摄像头未授权访问漏洞 海康威视远程代码执行漏洞 海康威视 iVM
继续阅读德国政府会议信息遭泄露,思科修复 Webex 漏洞
德国政府会议信息遭泄露,思科修复 Webex 漏洞 Eduard Kovacs 代码卫士 2024-06-06 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 媒体报道称德国政府的 Webex 会议遭暴露,可能导致敌对势力获取高度敏感信息。本周二,思科发布安全公告。 德国媒体 Zeit Online 在5月4日发布文章指出,德国政府在实现思科 Webex 视频会议软件的过程中存在
继续阅读TikTok零日漏洞被利用,可一键劫持高级账户
TikTok零日漏洞被利用,可一键劫持高级账户 关键基础设施安全应急响应中心 2024-06-06 15:09 近日,攻击者利用社交媒体直接消息功能中的零日漏洞,劫持了多家知名公司和人物的TikTok 账户。 TikTok发言人证实,索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持,为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知,但是TikTok发言人补充说,「被入侵
继续阅读