Rust 命令注入漏洞(CVE-2024-24576)安全风险通告
Rust 命令注入漏洞(CVE-2024-24576)安全风险通告 奇安信 CERT 2024-04-11 17:40 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Rust 命令注入漏洞 漏洞编号 QVD-2024-13050,CVE-2024-24576 公开时间 2024-04-09 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 10.0 威胁类型 命令执行
继续阅读标签: 命令执行
微软2024年4月补丁日重点漏洞安全预警
微软2024年4月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-04-11 09:47 补丁概述 2024 年 4 月 9 日,微软官方发布了 4 月安全更新,针对 149 个 Microsoft CVE 和 6 个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含 3 个严重漏洞(Critical)、142 个重要漏洞(Imp
继续阅读CVE-2024-25850
CVE-2024-25850 原创 fgz AI与网安 2024-04-11 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Netis WF2780 远程命令执行 漏洞 02 — 漏洞影响 Netis WF2780 v2.1.4014
继续阅读从exp反推CVE-2022-0847dirtypipe原理
从exp反推CVE-2022-0847dirtypipe原理 原创 SQ SQ安全渗透 2024-04-11 04:07 点击上方蓝字关注我哦 前情提要 qian qing ti yao 想着让小白也能懂这个原理 壹 漏洞简介 CVE-2022-0847,也被称为”Dirty Pipe”,是一个影响Linux内核的严重安全漏洞。这个漏洞存在于Linux内核的内存管理子系统中
继续阅读【漏洞预警】微软4月多个安全漏洞
【漏洞预警】微软4月多个安全漏洞 cexlife 飓风网络安全 2024-04-10 23:11 漏洞描述: 2024年4月9日,微软发布了4月安全更新,本次更新共修复了150个漏洞(不包含之前修复的Microsoft Edge 和Mariner漏洞),漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。本次安全更新中包含2个被积极利用的0 day
继续阅读科荣AIO ReadFile存在任意文件读取漏洞
科荣AIO ReadFile存在任意文件读取漏洞 南风徐来 南风漏洞复现文库 2024-04-10 21:07 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 科荣AIO ReadFile简介 微信公众号搜索:南风漏洞复现文库 该文章
继续阅读一次从子域名接管到RCE的经历
一次从子域名接管到RCE的经历 考不过刘乐琪不改 迪哥讲事 2024-04-10 21:00 一次从子域名接管到RCE的渗透经历 前言 本文接触过作者的一次奇妙的实战经历,从子域名接管到上传Shell提权,将信息泄露漏洞和xss漏洞最终发展成rce。本文由当时存在语雀中的零散的渗透记录整理,由于该次渗透距今已经有一段时间,而且厂商要求保密,所以本文属于思路复现。下文中的域名、DNS解析记录、IP等
继续阅读CVE-2024-24747:MINIO权限提升漏洞
CVE-2024-24747:MINIO权限提升漏洞 原创 Limerence Timeline Sec 2024-04-10 19:00 关注我们❤️,添加星标🌟,一起学安全!作者:Limerence@Timeline Sec 本文字数:1587阅读时长:2~4min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 MinIO 是一种高性能、Amason的S3分布式对象存
继续阅读2024-04微软漏洞通告
2024-04微软漏洞通告 火绒安全 火绒安全 2024-04-10 18:36 微软官方发布了2024年04月的安全更新。本月更新公布了157个漏洞,包含67个远程执行代码漏洞、31个特权提升漏洞、29个安全功能绕过漏洞、13个信息泄露漏洞、7个拒绝服务漏洞、5个身份假冒漏洞,其中3个漏洞级别为“Critical”(高危),145个为“Important”(严重)。建议用户及时使用火绒安全软件(
继续阅读信息安全漏洞周报(2024年第15期)
信息安全漏洞周报(2024年第15期) CNNVD CNNVD安全动态 2024-04-10 17:27 点击蓝字 关注我们 根据国家信息安全漏 洞库(CNNVD)统计,本周(2024年4月1日至2024年4月7日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞763个。 接报漏洞情况 本周CNNVD接报漏洞5417个,其中信息技术产品漏洞(通用型漏洞)203个,网络信息系统漏洞(事
继续阅读微软4月补丁星期二值得关注的漏洞:4个0day及更多
微软4月补丁星期二值得关注的漏洞:4个0day及更多 综合编译 代码卫士 2024-04-10 15:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本月微软共发布147个CVE漏洞,加上本月所提到的第三方CVE,总数达到了155个。这些漏洞中并不包含Pwn2Own 温哥华大赛中发布的漏洞。 在这些漏洞中,仅有3个被评级为“严重”,142个是“重要”级别,2个是“中危”级别。这是微软今
继续阅读Hugging Face 等AI即服务平台易受严重漏洞影响,遭AI供应链攻击
Hugging Face 等AI即服务平台易受严重漏洞影响,遭AI供应链攻击 Deeba Ahmed 代码卫士 2024-04-09 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司 Wiz.io 发现,AI即服务(即 AI Cloud)平台如 Hugging Face 等易受严重风险,可导致攻击者提升权限、获得跨租户访问权限并可能接管CI/CD管道。 问题简述 AI
继续阅读Crowdfense 出价3000万美元收购安卓、iOS和浏览器0day利用
Crowdfense 出价3000万美元收购安卓、iOS和浏览器0day利用 Muchiri 代码卫士 2024-04-09 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 利用收购企业 Crowdfense 出价总计3000万美元,求购针对安卓、iOS、Chrome 和 Safari 的 0day 利用。 Crowdfense 公司成立于2017年,自称为针对高质量0day利用
继续阅读6款较流行的开源漏洞扫描工具推荐及特点分析
6款较流行的开源漏洞扫描工具推荐及特点分析 安全牛 2024-04-09 12:40 未修补的漏洞是网络犯罪分子最容易攻击的目标之一。 企业中很多的数据安全事件往往由于已知的漏洞造成的,尽管相关的安全补丁已经发布,但许多企业由于种种原因并不能及时发现并修补这些漏洞。 当组织想要开展全面且持续的漏洞扫描工作时,通常需要得到广泛的安全社区支持。在此过程中,安全人员可以借助一些的流行开源漏洞扫描工具。由
继续阅读中间件安全-CVE漏洞复现-Docker+Websphere+Jetty
中间件安全-CVE漏洞复现-Docker+Websphere+Jetty 原创 兰陵猪猪哼 小黑子安全 2024-04-09 07:42 中间件-Docker Docker容器是使用沙盒机制,是单独的系统,理论上是很安全的,通过利用某种手段,再结合执行POC或EXP,就可以返回一个宿主机的高权限Shell,并拿到宿主机的root权限,可以直接操作宿主机文件。 它从容器中逃了出来,因此我们形象的称为
继续阅读CVE-2024-25869
CVE-2024-25869 原创 fgz AI与网安 2024-04-09 07:00 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 PHP会员管理系统-不受限制的文件上传到RCE漏洞 02 — 漏洞影响 Membership Manageme
继续阅读某oa命令执行漏洞挖掘思路
某oa命令执行漏洞挖掘思路 中铁13层打工人 Hacking黑白红 2024-04-08 23:53 前段时间看到某系统爆出一个RCE,随后找到了源码对漏洞进行分析,并利用历史漏洞找到了其他突破点,进而找到新的漏洞。 前段时间看到某系统爆出一个RCE,随后找到了源码对漏洞进行分析,并利用历史漏洞找到了其他突破点,进而找到新的漏洞。 0x01 历史漏洞分析 首先来看一个历史漏洞,Ognl表达式注入导
继续阅读畅捷通TPlus App_Code.ashx存在远程命令执行漏洞
畅捷通TPlus App_Code.ashx存在远程命令执行漏洞 南风漏洞复现文库 南风漏洞复现文库 2024-04-08 23:40 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 畅捷通TPlus App_Code.ashx简介 微
继续阅读D-Link NAS设备nas_sharing.cgi接口存在远程命令执行漏洞CVE-2024-3273
D-Link NAS设备nas_sharing.cgi接口存在远程命令执行漏洞CVE-2024-3273 南风徐来 南风漏洞复现文库 2024-04-08 23:40 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. D-Link NAS
继续阅读【漏洞预警】Adobe Magento Open Source命令注入漏洞(CVE-2024-20720)
【漏洞预警】Adobe Magento Open Source命令注入漏洞(CVE-2024-20720) cexlife 飓风网络安全 2024-04-08 23:14 漏洞描述:Adobe Magento Open Source是Adobe公司的一套开源的PHP电子商务系统,该系统提供权限管理、搜索引擎和支付网关等功能,近日监测到威胁者正在利用AdobeMagentoOpenSource命令注
继续阅读上周关注度较高的产品安全漏洞(20240401-20240407)
上周关注度较高的产品安全漏洞(20240401-20240407) 原创 CNVD CNVD漏洞平台 2024-04-08 18:55 一、境外厂商产品 漏洞 1、Apache Fineract SQL注入漏洞(CNVD-2024-16106) Apache Fineract是美国阿帕奇(Apache)基金会的一套开源数字金融服务平台。该平台能够为用户提供数据管理、贷款和储蓄投资组合管理以及实时财
继续阅读技术分享|某办公系统代码执行漏洞分析及检测优化
技术分享|某办公系统代码执行漏洞分析及检测优化 Town GobySec 2024-04-08 17:37 G o b y 社 区 第 37 篇 技 术 分 享 文 章 全 文 共 : 5012 字 预 计 阅 读 时 间 : 13 分 钟 01 概述 最近国内某知名 OA 厂商出了一个远程代码执行漏洞,漏洞的产生原因是系统在处理上传的 Phar 文件的时候存在缺陷,导致攻击者能够上传经过伪装之后
继续阅读产品中又现4个漏洞,Ivanti 宣布安全大检修
产品中又现4个漏洞,Ivanti 宣布安全大检修 Jai Vijayan 代码卫士 2024-04-08 17:36 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司的首席执行官 Jeff Abbott 上周表示,公司将改变安全实践,即使目前在本已漏洞密布的 Ivanti Connect Secure 和 Policy Secure 远程访问产品中又发现其它一些漏洞。 Ab
继续阅读中间件安全-CVE漏洞复现-Weblogic+JBoss+GlassFish
中间件安全-CVE漏洞复现-Weblogic+JBoss+GlassFish 原创 兰陵猪猪哼 小黑子安全 2024-04-08 07:54 服务攻防测试流程: 使用 vulfocus 靶场: 案例演示: 中间件-Weblogic-工具 梭哈 探针默认端口:7001,Weblogic是Oracle公司推出的J2EE应用服务器 使用 vulfocus 靶场复现漏洞 漏洞:weblogic-cve_2
继续阅读【成功复现】Telesquare TLR-2005KSH路由器远程命令执行漏洞(CVE-2024-29269)
【成功复现】Telesquare TLR-2005KSH路由器远程命令执行漏洞(CVE-2024-29269) 原创 弥天安全实验室 弥天安全实验室 2024-04-07 18:17 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Telesquare Tlr-2005Ksh是韩国Telesquare公司的
继续阅读思科提醒注意Small Business路由器中的XSS漏洞
思科提醒注意Small Business路由器中的XSS漏洞 代码卫士 2024-04-07 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科提醒注意 Small Business RV016、RV042、RV042G、RV082和RV325路由器中的一个XSS漏洞。 该中危漏洞编号是CVE-2024-20362,位于思科 Small Business RV016、RV042
继续阅读CVE-2024-0015复现 (DubheCTF DayDream)
CVE-2024-0015复现 (DubheCTF DayDream) WoodenmanDu 看雪学苑 2024-04-05 17:59 DayDream是DubheCTF的一个AndroidPwn题,当时就立了flag一定要复现这个题。 DayDream ◆简单说一下,DayDream这个模块是关于android的屏保,下面是google的开发文档。 https://developer.and
继续阅读某办公系统反序列化漏洞分析复现
某办公系统反序列化漏洞分析复现 白帽子 2024-04-05 00:02 最近看到某办公系统 出了远程代码执行漏洞,公开的资料中路径或payload都打了厚码,所以就搭了一个环境康一下。漏洞版本介于20180516和20240222之间,于是在52上了找了20200421版本进行搭建。 0x01 初步分析 通过使用公开的闭源POC工具进行验证,再查看中间件Apache的access日志,发现了以下
继续阅读符号连接替换漏洞复现
符号连接替换漏洞复现 h11ba1 巢安实验室 2024-04-04 22:50 简介 在18.06.1-ce-rc2版本之前的Docker中,docker cp命令对应的后端API存在基于竞争的符号链接替换漏洞,能够导致目录穿越。攻击者可以利用此漏洞以root权限实现宿主机文件系统的任意读写,CVSS 3.x评分为7.5分。漏洞原理CVE-2018-15664是一个TOCTOU(time-of-
继续阅读CVE-2023-38203
CVE-2023-38203 原创 Abandon6 漏洞猎人 2024-04-04 07:47 免责声明:本文所涉及的信息安全技术知识仅供参考和学习之用,并不构成任何明示或暗示的保证。读者在使用本文提供的信息时,应自行判断其适用性,并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做出的任何行为或决定不承担任何责任。在任何情况下,本文作者不对因使用本文内容而导致的任何直接、间接、特殊
继续阅读