【已复现】Sonatype Nexus Repository 3 路径遍历漏洞(CVE-2024-4956)安全风险通告 奇安信CERT 代码卫士 2024-05-23 17:31 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Sonatype Nexus Repository 3 路径遍历漏洞 漏洞编号 QVD-2024-18749,CVE-2024-4956 公开时间 2
继续阅读手把手玩转路由器漏洞挖掘系列 – COAP协议分析 原创 nil 山石网科安全技术研究院 2024-05-23 15:17 1. 基本介绍 1.1 概要 – 轻量化HTTP协议 CoAP(Constrained Application Protocol)是一种专为受限环境下的物联网设备设计的轻量级通信协议。它基于UDP协议,旨在提供一种简单、高效的通信方式,适用于资源受限的
继续阅读四部门联合印发《互联网政务应用安全管理规定》发布,7月1日起施行;超过60%网络安全设备自身缺陷可被利用为零日漏洞 | 牛览 安全牛 2024-05-23 13:28 点击蓝字·关注我们 / aqniu 新闻速览 ㆍ 四部门联合发布《互联网政务应用安全管理规定》,自7月1日起施行 ㆍ陕西警方打击整治网络暴力违法犯罪5起典型案例 ㆍYouTube成为助长网络犯罪的新“温床” ㆍ70%的CISO认
继续阅读Zabbix zbx_auditlog_global_script SQL注入漏洞(CVE-2024-22120) 原创 simeon的文章 小兵搞安全 2024-05-22 22:16 Zabbix是一个开源的监控软件工具,旨在帮助IT专业人士实时监控和确保各种网络服务、服务器及应用程序的稳定性和性能。它为监控IT基础设施提供了全面的解决方案,从网络设备、服务器、数据库到云服务和虚拟机均涵盖在内
继续阅读信息安全漏洞周报(2024年第21期) 网安百色 2024-05-22 19:34 点击蓝字 关注我们 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年5月13日至2024年5月19日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1632个。 接报漏洞情况 本周CNNVD接报漏洞7076个,其中信息技术产品漏洞(通用型漏洞)176个,网络信息系统漏洞(事件型漏洞)21个,
继续阅读CVE-2024-4367 PDF.js RCE 分析(译) 3bytes 3072 2024-05-22 18:45 CVE-2024-4367 – PDF.js中的任意JavaScript执行 摘要 本文详细介绍了由Codean Labs发现的PDF.js中的CVE-2024-4367漏洞。PDF.js是由Mozilla维护的基于JavaScript的PDF查看器。这个漏洞允许攻击者在打开恶意
继续阅读GitHub警告其企业服务器存在满分认证绕过漏洞 看雪学苑 看雪学苑 2024-05-22 17:59 近日,GitHub披露了其企业服务器中的一个认证绕过漏洞,可能允许攻击者绕过认证并获取对敏感存储库及数据的未授权访问。 据了解,该认证绕过漏洞(CVE-2024-4985,CVSS评分为10分)影响的是GitHub Enterprise Server(GHES)——GHES是一个用于软件开发的自
继续阅读实战攻防季:主动猎捕,让0day漏洞无处遁形! 智安全 深信服千里目安全技术中心 2024-05-22 17:10 2024实战攻防演练即将开启。 伴随网络安全形势日益复杂,攻击方的攻击手段不断升级,0day漏洞的利用也愈发频繁,成为防守方必须警惕的“隐形陷阱”。在实战较量中,防御一旦出现滞后则可能带来严重的安全风险。 2023 年深瞳漏洞实验室猎捕到100+个 Web 场景下的在野利用 0day
继续阅读雷神众测漏洞周报2024.05.13-2024.05.19 原创 雷神众测 雷神众测 2024-05-22 15:01 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Fluent Bit高危漏洞威胁全球云计算大厂 关键基础设施安全应急响应中心 2024-05-22 14:54 Fluent Bit是一个极为流行的开源多平台日志处理器工具,近日曝出高危漏洞,波及全球几乎所有主流云服务商和众多科技巨头。 Fluent Bit不仅兼容Windows、Linux和macOS系统,还嵌入在各大主流Kubernetes发行版中,其中就包括亚马逊AWS、谷歌GCP和微软Az
继续阅读Fluent Bit 严重漏洞影响所有主流云提供商 SERGIU GATLAN 代码卫士 2024-05-21 17:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fluent Bit 中存在一个严重漏洞,可被用于拒绝服务和远程代码执行攻击中,影响所有主流云提供商和很多技术巨头。 Fluent Bit 是一款极其热门的日志和度量解决方案,适用于主流Kubernetes 发行版本内嵌的
继续阅读上周关注度较高的产品安全漏洞(20240513-20240519) 国家互联网应急中心CNCERT 2024-05-21 14:08 一、境外厂商产品漏洞 1、 Apache James MIME4J输入验证错误漏洞 Apache James MIME4J 是美国阿帕奇( Apache )基金会的一个库。可用于解析纯 rfc822 和 MIME 格式的电子邮件消息流,并构建电子邮件消息的树表示。
继续阅读2024 年第一季度漏洞和漏洞利用趋势分析 山卡拉 嘶吼专业版 2024-05-21 14:00 在本报告中,卡巴斯基提供了一系列具有洞察力的统计和分析快照,涉及新漏洞和漏洞利用的趋势,以及攻击者最常使用的漏洞。此外,本报告还研究了 2024 年第一季度发现的几个值得注意的漏洞。 已登记漏洞统计 为了更好地管理漏洞,供应商可以注册这些漏洞并分配 CVE 标识符。所有标识符和相关公共信息均发布在 h
继续阅读Gradio component_server存在任意文件读取漏洞复现(CVE-2024-1561)CVE-2024-1561 南风徐来 南风漏洞复现文库 2024-05-20 23:07 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1.
继续阅读记某src通过越权拿下高危漏洞 小*咔 Z2O安全攻防 2024-05-20 20:35 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失
继续阅读安全热点周报:谷歌、微软等厂商发布紧急补丁,防范本周新增的七个在野利用漏洞 奇安信 CERT 2024-05-20 19:42 安全资讯导视 • 国家安全部:境外一非政府组织非法搜集窃取我国自然保护区核心敏感数据 • 因供应商被黑,欧洲银行巨头桑坦德银行所有员工和多国客户数据泄露 • 美国CISA等多国机构发布公民社会网络安全指南 PART01 漏洞情报 1.Google Chrome V8类型
继续阅读【漏洞通告】Sonatype Nexus Repository3 任意文件下载漏洞CVE-2024-4956 深瞳漏洞实验室 深信服千里目安全技术中心 2024-05-20 18:27 漏洞名称: Sonatype Nexus Repository3 任意文件下载漏洞(CVE-2024-4956) 组件名称: Sonatype-Nexus 影响范围: Sonatype Nexus < 3.6
继续阅读【漏洞通告】Zabbix服务器sql注入漏洞CVE-2024-22120 深瞳漏洞实验室 深信服千里目安全技术中心 2024-05-20 18:27 漏洞名称: Zabbix 服务器sql注入漏洞 (CVE-2024-22120) 组件名称: Zabbix-监控系统 影响范围: 6.0.0 ≤ Zabbix server ≤ 6.0.276.4.0 ≤ Zabbix server ≤ 6.4.12
继续阅读脆弱的Tesla汽车!第三方软件的漏洞可致汽车被黑客操控 网络安全应急技术国家工程中心 2024-05-20 15:32 得克萨斯大学达拉斯分校(UT Dallas)网络安全专业硕士研究生Harish SG,同时也是一名活跃的安全研究人员,发现TeslaLogger(用于从Tesla车辆收集数据的第三方软件)中存在一个漏洞,该漏洞表现为明文存储的登录凭据和不安全的默认设置,可被利用来获得对Tesl
继续阅读今晚7点直播 | 漏洞挖掘实战 看雪课程 看雪学苑 2024-05-19 17:59 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问题的认识和理解,从而更好地保护企业
继续阅读【0day漏洞复现】北京慧飒科技有限责任公司WEB VIDEO PLATFORM存在未授权访问漏洞 原创 猴子 花果山讲安全 2024-05-19 15:32 0x01 阅读须知 花果山的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间
继续阅读【高危漏洞】亿赛通数据泄露防护(DLP)系统存在SQL注入漏洞 皓月当空w 2024-05-19 12:20 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称:亿赛通数据泄露防护(DLP)系统存在SQL注入漏洞 漏洞出现时间:2024年5月19日 影响等级:高危 漏洞说明: 北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏
继续阅读某一次PDF-XSS漏洞挖掘(安服系列) 原创 漏洞谷 漏洞谷 2024-05-18 11:35 免责声明: 1.禁止未授权的渗透测试 2.该文章仅供学习参考,切勿拿去尝试 3.此文所提供的信息而造成的任何后果及损失,均由使用者本人负责 4.一切后果与文章作者无关 5.文章所涉及的全部漏洞,均是被修复完漏洞后才公开 一.漏洞名称 PDF-XSS 二.风险级别 自评:中危 三.漏洞描述 PDF-XS
继续阅读【高危漏洞】网锐捷网络技术有限公司EG3210存在命令执行漏洞 皓月当空w 2024-05-18 10:52 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称:网锐捷网络技术有限公司EG3210存在命令执行漏洞 漏洞出现时间:2024年5月18日 影响等级:高危 漏洞说明: 北京星网锐捷网络技术有限公司EG3210存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。 影响版本:
继续阅读【热点播报】利用以太坊安全漏洞,麻省理工两学生12秒窃取1.8亿元 皓月当空w 2024-05-18 10:52 皓月当空,明镜高悬 文末可体验bugSearch系统哦~漏洞,热点,新闻,应有尽有 曼哈顿的联邦检察官指控,24岁的Anton Peraire-Bueno和28岁的James Peraire-Bueno犯有欺诈和洗钱罪。调查人员表示,在几个月的时间内,两人利用以太坊的安全漏洞策划、实施
继续阅读记一次某双一流大学漏洞挖掘 黑白之道 2024-05-18 08:43 文章作者:先知社区(七*r) 文章来源:https://xz.aliyun.com/t/14456 1► 前言 本次项目测试的平台是某方开发的某某服务平台,算是个小0day或者说是1day吧,总之尚未公开且资产较少,因此记录一下。 2► 信息收集 识别链接发现是某方的xx服务平台 端口扫描仅开放80、443 无奈,只能搜一搜有
继续阅读漏洞预警 | Ruvar OA SQL注入漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 璐华信息技术有限公司成立于2002年,是广东省双软认证企业、高新技术企业,国内领先的全行业人力资源管理系统、OA办公系统解决方案提供商。公司核心研发团队来自985、211高校,人均软件开发经验超
继续阅读漏洞预警 | User Meta敏感信息泄露漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # CVE-2024-33575 0x01 危险等级 – 中危 0x02 漏洞概述 User Meta是一款WordPress前端注册登录与编辑资料插件,允许用户在前端页面进行注册、登录以及编辑个人资料的操作。这款插件还支持额外字段的用户注册,增加了用
继续阅读漏洞预警 | 联软安全数据交换系统任意文件读取漏洞 浅安 浅安安全 2024-05-18 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 联软安全数据交换系统是联软科技发明的,融合网络隔离、网盘和DLP技术于一体的专业产品,它同时支持多网交换,查杀毒、审计审批、文档追踪和水印功能,是解决用户网络隔离、网间及网内数据传输、交换、
继续阅读