上周关注度较高的产品安全漏洞(20240408-20240414)
上周关注度较高的产品安全漏洞(20240408-20240414) 原创 CNVD CNVD漏洞平台 2024-04-15 17:01 一、境外厂商产品 漏洞 1、Dell OpenManage Enterprise路径遍历漏洞 Dell OpenManage Enterprise是美国戴尔(Dell)公司的一款用于IT基础架构管理的易于使用的一对多系统管理控制台。Dell OpenManage
继续阅读标签: 信息泄露
【安全圈】微软安全漏洞暴露了员工的敏感凭证和内部资源
【安全圈】微软安全漏洞暴露了员工的敏感凭证和内部资源 安全圈 2024-04-13 19:01 关键词 安全漏洞 网络安全研究人员发现了一起重大数据泄露事件,据称影响了科技巨头微软。此次泄露将敏感的员工凭证和公司内部文件暴露到互联网上,引发了人们对组织内部数据安全协议的严重担忧。不过目前安全漏洞已得到解决。 研究人员 Can Yoleri、Murat Özfidan 和 Egemen Koçhis
继续阅读周日19点直播:《系统0day安全-Windows平台漏洞挖掘(第2期)》
周日19点直播:《系统0day安全-Windows平台漏洞挖掘(第2期)》 看雪课程 看雪学苑 2024-04-13 17:59 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增
继续阅读实战纪实 | 几个有趣的漏洞导致的连锁危害
实战纪实 | 几个有趣的漏洞导致的连锁危害 原创 zbs 掌控安全EDU 2024-04-13 12:00 扫码领资料 获网安教程 本文由掌控安全学院 -zbs投稿 前引:总的来说就是信息泄露+越权+爆破登录+xss这四个漏洞导致的连锁反应,因为他有默认密码123456,所以最终可以重置全校学生的密码,并都植入xss,危害十足。 信息收集:和嘉名童鞋一起测试的,都是他收集的QAQ 主要通过百度贴吧
继续阅读框架漏洞-CVE复现-Apache Shiro+Apache Solr
框架漏洞-CVE复现-Apache Shiro+Apache Solr 原创 兰陵猪猪哼 小黑子安全 2024-04-13 09:11 什么是框架? 就是别人写好包装起来的一套工具,把你原先必须要写的,必须要做的一些复杂的东西都写好了放在那里,你只要调用他的方法,就可以实现一些本来要费好大劲的功能。 如果网站的功能是采用框架开发的 ,那么挖掘功能的漏洞就相当于在挖掘框架自身的漏洞。如果框架产生漏洞
继续阅读N/A|0day!Telegram Windows客户端存在RCE漏洞
N/A|0day!Telegram Windows客户端存在RCE漏洞 alicy 信安百科 2024-04-13 08:30 0x00 前言 Telegram是一款跨平台的即时通讯软件,用户可以相互交换加密与自毁消息,发送照片、影片等所有类型文件。 0x01 漏洞描述 官方源文件中写错文件后缀名, pyzw写成了pywz ,攻击者制作恶意的 .pyzw文件可以在windows中执行任意代码。 .
继续阅读CVE-2024-21378|Microsoft Outlook远程代码执行(RCE)漏洞(POC)
CVE-2024-21378|Microsoft Outlook远程代码执行(RCE)漏洞(POC) alicy 信安百科 2024-04-13 08:30 0x00 前言 Microsoft Office Outlook是微软办公软件套装的组件之一,它对Windows自带的Outlook express的功能进行了扩充。 Outlook的功能很多,可以用它来收发电子邮件、管理联系人信息、记日记、
继续阅读【安全圈】“幽灵漏洞”阴魂不散,v2 衍生版被发现:影响英特尔 CPU + Linux 组合设备
【安全圈】“幽灵漏洞”阴魂不散,v2 衍生版被发现:影响英特尔 CPU + Linux 组合设备 安全圈 2024-04-11 19:01 关键词 系统漏洞 还记得 2018 年曝出的严重处理器“幽灵”(Spectre)漏洞吗?网络安全专家近日发现了 Spectre v2 衍生版本,利用新的侧信道缺陷, 主要影响英特尔处理器 + Linux 发行版组合设备。 阿姆斯特丹 VU VUSec 安全团队
继续阅读微软2024年4月补丁日重点漏洞安全预警
微软2024年4月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-04-11 09:47 补丁概述 2024 年 4 月 9 日,微软官方发布了 4 月安全更新,针对 149 个 Microsoft CVE 和 6 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 3 个严重漏洞(Critical)、142 个重要漏洞(Imp
继续阅读【漏洞预警】微软4月多个安全漏洞
【漏洞预警】微软4月多个安全漏洞 cexlife 飓风网络安全 2024-04-10 23:11 漏洞描述: 2024年4月9日,微软发布了4月安全更新,本次更新共修复了150个漏洞(不包含之前修复的Microsoft Edge 和Mariner漏洞),漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。本次安全更新中包含2个被积极利用的0 day
继续阅读一次从子域名接管到RCE的经历
一次从子域名接管到RCE的经历 考不过刘乐琪不改 迪哥讲事 2024-04-10 21:00 一次从子域名接管到RCE的渗透经历 前言 本文接触过作者的一次奇妙的实战经历,从子域名接管到上传Shell提权,将信息泄露漏洞和xss漏洞最终发展成rce。本文由当时存在语雀中的零散的渗透记录整理,由于该次渗透距今已经有一段时间,而且厂商要求保密,所以本文属于思路复现。下文中的域名、DNS解析记录、IP等
继续阅读2024-04微软漏洞通告
2024-04微软漏洞通告 火绒安全 火绒安全 2024-04-10 18:36 微软官方发布了2024年04月的安全更新。本月更新公布了157个漏洞,包含67个远程执行代码漏洞、31个特权提升漏洞、29个安全功能绕过漏洞、13个信息泄露漏洞、7个拒绝服务漏洞、5个身份假冒漏洞,其中3个漏洞级别为“Critical”(高危),145个为“Important”(严重)。建议用户及时使用火绒安全软件(
继续阅读信息安全漏洞周报(2024年第15期)
信息安全漏洞周报(2024年第15期) CNNVD CNNVD安全动态 2024-04-10 17:27 点击蓝字 关注我们 根据国家信息安全漏 洞库(CNNVD)统计,本周(2024年4月1日至2024年4月7日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞763个。 接报漏洞情况 本周CNNVD接报漏洞5417个,其中信息技术产品漏洞(通用型漏洞)203个,网络信息系统漏洞(事
继续阅读微软4月补丁星期二值得关注的漏洞:4个0day及更多
微软4月补丁星期二值得关注的漏洞:4个0day及更多 综合编译 代码卫士 2024-04-10 15:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本月微软共发布147个CVE漏洞,加上本月所提到的第三方CVE,总数达到了155个。这些漏洞中并不包含Pwn2Own 温哥华大赛中发布的漏洞。 在这些漏洞中,仅有3个被评级为“严重”,142个是“重要”级别,2个是“中危”级别。这是微软今
继续阅读Windows DWM 核心库信息泄露漏洞 (CVE-2024-26172) 复现分析
Windows DWM 核心库信息泄露漏洞 (CVE-2024-26172) 复现分析 原创 信创实验室 山石网科安全技术研究院 2024-04-10 12:21 漏洞描述 微软四月份补丁日发布了编号为CVE-2024-26172的windows dwm核心库信息泄露漏洞,由山石网科信创安全实验室报告,目前已修复完成,漏洞详细情况详如下: 漏洞名称 Windows DWM 核心库信息泄露漏洞 漏洞
继续阅读微软2024年4月补丁日多个产品安全漏洞风险通告
微软2024年4月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2024-04-10 10:51 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年4月补丁日多个产品安全漏洞 影响产品 SQL Server、Microsoft Office、Windows Defender等。 公开时间 2024-4-10 影响对象数量级 千万级 奇安信评级 高危 利用可能性
继续阅读直播回放更新!《系统0day安全-Windows平台漏洞挖掘(第2期)》
直播回放更新!《系统0day安全-Windows平台漏洞挖掘(第2期)》 看雪课程 看雪学苑 2024-04-09 17:59 4月6日直播回放更新 CVE-2020-0714分析: https://www.kanxue.com/book-166-4230.htm**** 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,
继续阅读中间件安全-CVE漏洞复现-Docker+Websphere+Jetty
中间件安全-CVE漏洞复现-Docker+Websphere+Jetty 原创 兰陵猪猪哼 小黑子安全 2024-04-09 07:42 中间件-Docker Docker容器是使用沙盒机制,是单独的系统,理论上是很安全的,通过利用某种手段,再结合执行POC或EXP,就可以返回一个宿主机的高权限Shell,并拿到宿主机的root权限,可以直接操作宿主机文件。 它从容器中逃了出来,因此我们形象的称为
继续阅读记一次小程序渗透并拿到后台管理员权限-漏洞挖掘
记一次小程序渗透并拿到后台管理员权限-漏洞挖掘 漏洞挖掘 渗透安全HackTwo 2024-04-09 00:00 0x01 前言 在一次攻防演练打点过程中,前期先从备案查询、子域名收集、端口扫描等方式获取资产URL。其次对URL进行指纹识别,虽然发现了几个存在指纹的系统,但后续渗透发现漏洞已无法利用,漏洞已修。最后老实本分对微信小程序进行搜索行渗透,寻找突破口! 末尾可领取字典等
继续阅读上周关注度较高的产品安全漏洞(20240401-20240407)
上周关注度较高的产品安全漏洞(20240401-20240407) 原创 CNVD CNVD漏洞平台 2024-04-08 18:55 一、境外厂商产品 漏洞 1、Apache Fineract SQL注入漏洞(CNVD-2024-16106) Apache Fineract是美国阿帕奇(Apache)基金会的一套开源数字金融服务平台。该平台能够为用户提供数据管理、贷款和储蓄投资组合管理以及实时财
继续阅读实战 | 教育SRC漏洞挖掘获取rank以及证书获取
实战 | 教育SRC漏洞挖掘获取rank以及证书获取 天启互联网实验室 2024-04-07 20:23 在2023年3月份的时候写了一篇【教育src漏洞挖掘获取rank以及证书获取 】的文章, 主要是说了如何进行漏洞挖掘获取足够多的积分,时隔一年,这次说说怎么快速获取证书站的漏洞! 守株待兔法 将有证书学校的站点的重要资产先收集起来,等到别人发1day或者未公开的day时,可以在收集的资产中进行
继续阅读谷歌修复遭取证公司利用的两个 Pixel 0day漏洞
谷歌修复遭取证公司利用的两个 Pixel 0day漏洞 Bill Toulas 代码卫士 2024-04-07 17:38 聚焦源代码安全,网罗国内外最新资讯! 作者: Pierluigi Paganini 编译:代码卫士 谷歌修复了遭取证公司利用的两个 0day 漏洞。它们在没有PIN的情况下解锁手机并获得手机数据的访问权限。 尽管Pixel 手机运行安卓系统,不过会从对所有安卓设备OEM发送的
继续阅读谷歌解决了三月份 Pwn2Own 比赛中利用的另一个 Chrome 零日漏洞
谷歌解决了三月份 Pwn2Own 比赛中利用的另一个 Chrome 零日漏洞 鹏鹏同学 黑猫安全 2024-04-04 13:00 谷歌已经解决了Chrome浏览器中的另一个零日漏洞,该漏洞被标识为CVE-2024-3159,于2024年3月在Pwn2Own黑客大赛中被利用。CVE-2024-3159漏洞是V8 JavaScript引擎中的越界内存访问。该漏洞由Palo Alto Networks
继续阅读谷歌解决了两个被积极利用的Pixel漏洞
谷歌解决了两个被积极利用的Pixel漏洞 鹏鹏同学 黑猫安全 2024-04-04 13:00 谷歌已经解决了Android系统中的28个漏洞以及Pixel设备中的25个漏洞。IT巨头解决的两个问题,被标识为CVE-2024-29745和CVE-2024-29748,在野外被积极利用。公司解决的最严重漏洞影响了系统组件,这是一种本地特权升级,不需要任何额外的执行权限。 Android安全公告-20
继续阅读漏洞预警 | Apache Fineract SQL注入漏洞
漏洞预警 | Apache Fineract SQL注入漏洞 浅安 浅安安全 2024-04-04 09:01 0x00 漏洞编号 – # CVE-2024-23539 0x01 危险等级 – 高危 0x02 漏洞概述 Apache Fineract是一个开源的金融服务平台,旨在为全球范围内的金融机构提供可靠和可扩展的解决方案。 0x03 漏洞详情 CVE-2024-235
继续阅读漏洞预警 | JumpServer JINJA2注入代码执行漏洞
漏洞预警 | JumpServer JINJA2注入代码执行漏洞 浅安 浅安安全 2024-04-04 09:01 0x00 漏洞编号 – # CVE-2024-29202 0x01 危险等级 – 高危 0x02 漏洞概述 Jumpserver 是一款使用 Python, Django 开发的开源跳板机系统, 为互联网企业提供了认证,授权,审计,自动化运维等功能,基于ssh
继续阅读欧盟警察机构遭遇严重安全漏洞:高级官员的敏感文件失踪
欧盟警察机构遭遇严重安全漏洞:高级官员的敏感文件失踪 军哥网络安全读报 2024-04-04 09:00 导读 欧盟警察机构遭遇严重安全漏洞,去年夏天,一批包含欧洲刑警组织高级管理人员个人信息的高度敏感文件神秘失踪。 据Politico网站报道( https://www.politico.eu/article/europol-internal-agency-eu-police-agency-eng
继续阅读【漏洞预警】WordPress LayerSlider插件SQL注入漏洞(CVE-2024-2879)
【漏洞预警】WordPress LayerSlider插件SQL注入漏洞(CVE-2024-2879) cexlife 飓风网络安全 2024-04-03 23:05 漏洞描述: WordPress插件LayerSlider是一款可视化网页内容编辑器、图形设计软件和数字视觉效果应用程序,全球活跃安装量超过 1,000,000 次,近日监测到LayerSlider插件中存在一个SQL注入漏洞(CVE
继续阅读熊猫购物API漏洞被利用,黑客泄露130万用户个人信息
熊猫购物API漏洞被利用,黑客泄露130万用户个人信息 看雪学苑 看雪学苑 2024-04-03 18:09 熊猫购物(PandaBuy)是一个知名全球购物平台,为国际用户提供从中国各电子商务平台购买产品的服务(如天猫、淘宝、京东)。该公司最近确认遭受了一次大规模数据泄露,有130万用户受到影响。 泄露数据由两名黑客Sanggiero和IntelBroker在暗网论坛上发布,可信度较高,因为Int
继续阅读热门WordPress 插件 LayerSlider 中存在严重漏洞
热门Wordpress 插件 LayerSlider 中存在严重漏洞 THN 代码卫士 2024-04-03 16:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 插件 LayerSlider 中存在一个严重漏洞,可被滥用于提取数据库中的敏感信息如密码哈希。 该漏洞的编号是CVE-2024-2879,CVSS评分为9.8,为SQL注入漏洞,影响7.9.11至7.10
继续阅读