CVE-2024-25641|Cacti 存在多个安全漏洞
CVE-2024-25641|Cacti 存在多个安全漏洞 alicy 信安百科 2024-05-17 21:56 0x00 前言 Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。 Cacti是通过 snmpget来获取数据,使用 RRDtool绘画图形,而且你完全可以不需要了解RRDtool复杂的参数。 0x01 漏洞描述 CVE-2024-256
继续阅读标签: 信息泄露
CVE-2024-27130|QNAP 存在未经身份验证的RCE漏洞(POC)
CVE-2024-27130|QNAP 存在未经身份验证的RCE漏洞(POC) alicy 信安百科 2024-05-17 21:56 0x00 前言 QNAP 命名源自于高质量网络设备制造商(Quality Network Appliance Provider)。 QNAP 专注于储存、网络及智能影音产品创新,透过软件订阅制及多元化服务管道建构崭新的科技生态圈。 在 QNAP 的企业蓝图中,NA
继续阅读CVE-2024-4367|Mozilla PDF.js代码执行漏洞
CVE-2024-4367|Mozilla PDF.js代码执行漏洞 alicy 信安百科 2024-05-17 21:56 0x00 前言 PDF.js 是一个使用 HTML5 构建的便携式文档格式查看器。 pdf.js 是社区驱动的,并由 Mozilla 支持。我们的目标是为解析和呈现 PDF 创建一个通用的、基于 Web 标准的平台。 0x01 漏洞描述 在font_loader.js中存在
继续阅读【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞
【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞 云弈安全 2024-05-17 18:01 01 漏洞信息 瑞友天翼应用虑拟化系统是基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。 近日,云
继续阅读【漏洞预警】mlflow信息泄露漏洞(CVE-2024-3848)
【漏洞预警】mlflow信息泄露漏洞(CVE-2024-3848) cexlife 飓风网络安全 2024-05-17 17:02 漏洞描述: mlflоԝ/mlflоԝ版本2.11.0中存在一个路径遍历漏洞,该漏洞被识别为先前解决的CVE-2023-6909的绕过,该漏洞源于应用程序对工件URL的处理,其中可以使用“#”字符将路径插入片段,从而有效地跳过验证,这允许攻击者构建一个URL,该URL
继续阅读【漏洞预警】wandb信息泄露漏洞(CVE-2024-4642)
【漏洞预警】wandb信息泄露漏洞(CVE-2024-4642) cexlife 飓风网络安全 2024-05-17 17:02 漏洞描述: 由于HTTP302重定向处理不当,ԝаndb/ԝаndb存储库中存在服务端请求伪造(SSRF)漏洞,此问题允许有权访问’Uѕеr ѕеttinɡѕ->Wеbhооkѕ’函数的团队成员利用该漏洞访问内部HTTP(ѕ)服务器,在严重
继续阅读微软2024年5月补丁日重点漏洞安全预警
微软2024年5月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-05-17 15:27 补丁概述 2024 年 5 月 14 日,微软官方发布了 5 月安全更新,针对 62 个 Microsoft CVE 和 12 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 1 个严重漏洞(Critical)、59 个重要漏洞(Imp
继续阅读【谷歌一周内修复第三个在野利用】Google Chrome V8类型混淆漏洞(CVE-2024-4947)安全风险通告
【谷歌一周内修复第三个在野利用】Google Chrome V8类型混淆漏洞(CVE-2024-4947)安全风险通告 奇安信 CERT 2024-05-16 15:04 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome V8类型混淆漏洞 漏洞编号 QVD-2024-18433,CVE-2024-4947 公开时间 2024-05-15 影响量级 千万
继续阅读谷歌紧急修复周内第3个已遭利用的0day
谷歌紧急修复周内第3个已遭利用的0day Sergiu Gatlan 代码卫士 2024-05-16 11:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Chrome 发布紧急 Chrome 安全更新,修复了一周内已遭利用的第3个 0day 漏洞。 谷歌在本周三的安全公告中提到,“谷歌发现 CVE-2024-4947的一个在野利用。” 谷歌发布125.0.6422.60/.61 Ma
继续阅读VMware 修复Workstation 和 Fusion 产品中的多个漏洞
VMware 修复Workstation 和 Fusion 产品中的多个漏洞 THN 代码卫士 2024-05-16 11:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VMware Workstation 和 Fusion 产品中存在多个漏洞,可被威胁行动者用于访问敏感信息、触发拒绝服务条件并在某些条件下执行代码。 这四个漏洞影响 Workstation 17.x 和 Fusion
继续阅读漏洞挖掘|一次在线商城漏洞挖掘
漏洞挖掘|一次在线商城漏洞挖掘 迪哥讲事 2024-05-15 20:30 点击下方名片即可关注,只更高质量文章**** 0x01 前言 最近事情比较多,一直没啥时间挖洞,正好今天简单挖点漏洞,并且讲一下思路原理,漏洞简单,没有RCE,目标是一个在线商城,本次信息收集采用互联网信息收集(包括不限于:shodan、fofa、hunter、google等)及本地灯塔信息收集(灯塔停止维护了、此处默哀2
继续阅读2024-05微软漏洞通告
2024-05微软漏洞通告 火绒安全 火绒安全 2024-05-15 19:01 微软官方发布了2024年05月的安全更新。本月更新公布了68个漏洞,包含27个远程执行代码漏洞、17个特权提升漏洞、7个信息泄露漏洞、5个身份假冒漏洞、3个拒绝服务漏洞、2个安全功能绕过漏洞、1个篡改漏洞,其中1个漏洞级别为“Critical”(高危),59个为“Important”(严重)。建议用户及时使用火绒安全
继续阅读微软五月补丁星期二值得关注的3个0day及其它
微软五月补丁星期二值得关注的3个0day及其它 综合编译 代码卫士 2024-05-15 18:00 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 五月补丁星期二,微软共计修复59个CVE漏洞,加上第三方CVE漏洞,则五月共修复63个漏洞。和四月补丁日一致,微软仍未修复Pwn2Own 大赛上披露的多个漏洞。在所修复的漏洞中,只有1个被评级为“严重”等级,57个是“重要”级别,1个是“中危”
继续阅读微软2024年5月补丁日多个产品安全漏洞风险通告
微软2024年5月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2024-05-15 09:43 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年5月补丁日多个产品安全漏洞 影响产品 Microsoft Office Excel、.NET 和 Visual Studio、Windows Win32K等。 公开时间 2024-5-15 影响对象数量级 千万级 奇
继续阅读卡巴斯基:2024年Q1漏洞和利用报告
卡巴斯基:2024年Q1漏洞和利用报告 原创 晶颜123 FreeBuf播客电台 2024-05-13 17:39 作者 | 晶颜123 编 | 疯狂冰淇淋 近日,卡巴斯基发布了《2024年Q1漏洞和利用报告》,提供了一系列有洞察力的统计和分析快照,揭示了新漏洞和利用的发展趋势,以及攻击者最常利用的漏洞概述。为组织获悉和应对相关威胁提供了有价值的见解。 | 已注册漏洞统计数据**** | 为了便于
继续阅读上周关注度较高的产品安全漏洞(20240429-20240512)
上周关注度较高的产品安全漏洞(20240429-20240512) CNVD漏洞平台 2024-05-13 17:16 一、境外厂商产品 漏洞 1、F5 BIG-IP Next Central Manager中间人攻击漏洞(CNVD-2024-22213) F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP Next Cen
继续阅读【漏洞复现】国标GB28181摄像头管理平台存在all信息泄露
【漏洞复现】国标GB28181摄像头管理平台存在all信息泄露 我吃饼干 2024-05-13 07:30 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。 任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。
继续阅读漏洞预警 | 瑞友天翼应用虚拟化系统SQL注入漏洞
漏洞预警 | 瑞友天翼应用虚拟化系统SQL注入漏洞 原创 lalone 浅安安全 2024-05-13 07:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 瑞友天翼应用虚拟化系统是基于云计算技术的应用虚拟化解决方案,可以帮助用户实现应用的快速部署和管理。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 瑞
继续阅读漏洞预警 | 蓝网科技临床浏览系统 SQL注入漏洞
漏洞预警 | 蓝网科技临床浏览系统 SQL注入漏洞 浅安 浅安安全 2024-05-13 07:00 0x00 漏洞编号 – # CVE-2024-4257 0x01 危险等级 – 高危 0x02 漏洞概述 蓝网科技临床浏览系统是一个专门用于医疗行业的软件系统,主要用于医生、护士和其他医疗专业人员在临床工作中进行信息浏览、查询和管理。 0x03 漏洞详情 CVE-2024-
继续阅读那些被遗漏的逻辑漏洞|挖洞技巧
那些被遗漏的逻辑漏洞|挖洞技巧 漏洞挖掘 渗透安全HackTwo 2024-05-13 00:00 0x01 前言 这类漏洞虽然在红蓝对抗不值钱,但在src中却是一个高危,因为会给企业和用户带来很多隐患,此类漏洞会造成任意用户注册/登录,导致黑灰产恶意注册产生僵尸号,薅取大量活动礼品并且造成用户信息泄露等。 谈到该漏洞,大家应该会想到诸如:验证码复用、爆破、泄露、cookie,注册链接可预测等,
继续阅读H3C两个漏洞的划水
H3C两个漏洞的划水 原创 SXdysq 南街老友 2024-05-12 21:41 产品介绍 H3C用户自助服务平台是一种基于云计算和自动化技术的管理平台,旨在提供自助式、智能化的网络设备和服务管理解决方案。该平台通过集成多种功能和工具,帮助企业用户更高效地管理和维护其网络设备,并提供更好的用户体验。 漏洞简介 H3C用户自助服务平台 dynamiccontent.properties.xhtm
继续阅读钓鱼佬永不空军!!看我如何社g搞定学姐继而接管站点全部权限,“严重”漏洞横空出世
钓鱼佬永不空军!!看我如何社g搞定学姐继而接管站点全部权限,“严重”漏洞横空出世 原创 xjizhi GG安全 2024-05-12 15:08 现在只对常读和星标的公众号才展示大图推送,建议大家能把 GG安全 “设为星标”,否则可能就看不到了啦! 免责声明 本文章仅 用于分享信息安全防御技术,请遵守中华人民共和国相关 法律法规,禁止进行任何违法犯罪行为。作者不承担因他人滥用本文所导致的任何法律责
继续阅读Android Deep Link 问题和 WebView 漏洞利用
Android Deep Link 问题和 WebView 漏洞利用 8ksec Ots安全 2024-05-12 12:10 在过去的几年里,Android 智能手机已经变得无处不在。我们有数百万用户依靠这些设备进行商务和个人通信、娱乐和工作。随着 Android 智能手机使用量的增加,应用程序中的安全漏洞数量大幅增加,这些漏洞可能使用户的个人数据面临风险。 Android 深度链接和 Andr
继续阅读金蝶Apusic应用服务器 未授权目录遍历漏洞
金蝶Apusic应用服务器 未授权目录遍历漏洞 安迈信科应急响应中心 2024-05-11 22:58 01 漏洞概况 由于金蝶Apusic应用服务器 /admin/protected/selector/server_file/files、/admin/protected/selector/server_file/folders 等接口没有进行校验和过滤,直接将参数拼接到文件操作中,导致出现
继续阅读畅捷通T+ KeyInfoList.aspx SQL注入漏洞
畅捷通T+ KeyInfoList.aspx SQL注入漏洞 安迈信科应急响应中心 2024-05-11 22:58 01 漏洞概况 畅捷通T+存在SQL注入漏洞,攻击者可利用此漏洞在未授权的情况下执行任意SQL语句,最终造成服务器敏感性信息泄露或远程命令执行。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称畅捷通T+ KeyInfoList.aspx SQL注入漏洞漏洞编号CVE编号无
继续阅读【漏洞预警】Next.js < 14.1.1 Server Actions SSRF漏洞
【漏洞预警】Next.js < 14.1.1 Server Actions SSRF漏洞 cexlife 飓风网络安全 2024-05-11 20:15 漏洞描述: Next.js是Node.js生态中基于React的开源Web框架,其通过Server Actions功能提供了后端开发能力,在受影响版本中,当使用Server Actions服务端试图执行基于相对路径的重定向时,如果 Host
继续阅读【已复现】瑞友天翼应用虚拟化系统存在session反序列化漏洞
【已复现】瑞友天翼应用虚拟化系统存在session反序列化漏洞 安恒研究院 安恒信息CERT 2024-05-11 18:32 漏洞概述 漏洞名称 瑞友天翼应用虚拟化系统session反序列化漏洞 安恒CERT评级 1级 CVSS3.1评分 10.0(安恒自评) CVE编号 未分配 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 WM-202405-000002 POC情况 已发现
继续阅读谷歌修复今年第五个 Chrome 0day漏洞
谷歌修复今年第五个 Chrome 0day漏洞 Bill Toulas 代码卫士 2024-05-11 17:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布 Chrome 安全更新,修复了今年以来遭利用的第5个 0day 漏洞 (CVE-2024-4671)。 该高危漏洞是位于 Visuals 组件中的“释放后使用”漏洞,负责处理渲染和在浏览器上展示内容。该漏洞由一名匿名研究
继续阅读H3C-CAS虚拟化管理系统文件上传漏洞(QVD-2024-13294)安全风险通告
H3C-CAS虚拟化管理系统文件上传漏洞(QVD-2024-13294)安全风险通告 原创 奇安信 CERT 奇安信安全监测与响应中心 2024-05-11 15:59 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 H3C-CAS虚拟化管理系统文件上传漏洞(QVD-2024-13294) 漏洞编号 QVD-2024-13294 公开时间 2024-05-11 影响量级 万级
继续阅读1day Symfony 敏感信息泄露
1day Symfony 敏感信息泄露 Khan安全团队 2024-05-11 00:24 /app_dev.php/_profiler/open?file=app/config/parameters.yml
继续阅读