24年9月必修安全漏洞清单|腾讯安全威胁情报中心
24年9月必修安全漏洞清单|腾讯安全威胁情报中心 腾讯威胁情报中心 腾讯安全威胁情报中心 2024-10-16 15:25 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合
继续阅读标签: 命令执行
Linux系统安全告急:新技术绕过“noexec”,任意代码执行风险激增
Linux系统安全告急:新技术绕过“noexec”,任意代码执行风险激增 安全客 2024-10-16 15:01 安全研究人员近日披露了一种全新的技术,攻击者可以利用该技术绕过Linux系统中的“noexec”标志,甚至在配置了此标志以防止执行恶意代码的分区上,也能执行恶意代码。 “noexec”标志是Linux中的一个关键安全措施,旨在防止在特定分区上执行二进制文件,如/tmp或/dev/sh
继续阅读腾讯安全威胁情报中心推出2024年9月必修安全漏洞清单
腾讯安全威胁情报中心推出2024年9月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2024-10-16 14:44 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞
继续阅读捕获在野利用!Weblogic RCE 数月前已支持检测
捕获在野利用!Weblogic RCE 数月前已支持检测 原创 微步情报局 微步在线研究响应中心 2024-10-16 12:53 漏洞概况 WebLogic Server 是由 Oracle 公司开发的一款领先的 Java EE(现为 Jakarta EE)应用服务器。它提供了一个可靠、安全、可扩展的平台,用于开发、部署和管理企业级 Java 应用程序,包括 Web 应用程序、企业 JavaBe
继续阅读Oracle 2024年10月补丁日多产品高危漏洞安全风险通告
Oracle 2024年10月补丁日多产品高危漏洞安全风险通告 奇安信 CERT 2024-10-16 09:15 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2024年10月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2024-10-16 影响对象数量级 百万级 奇安信评级 高危 利用可
继续阅读记录生生不息的创新力量|2024 年度「InnoForce 50」启动
记录生生不息的创新力量|2024 年度「InnoForce 50」启动 极客公园 2024-10-15 12:03 10月10日,瑞典皇家科学院决定将 2024 年诺贝尔物理学奖授予约翰·J·霍普菲尔德 (John J. Hopfield) 和杰弗里·E·辛顿 (Geoffrey E. Hinton),以「表彰他们通过人工神经网络实现机器学习的基础性发现和发明」。这一决定不仅彰显了人工智能技术对现
继续阅读Palo Alto 修复多个严重的防火墙漏洞
Palo Alto 修复多个严重的防火墙漏洞 Ryan Naraine 代码卫士 2024-10-14 17:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,Palo Alto Networks 公司修复了位于 Expedition 客户迁移工具中的多个严重漏洞,并提醒称攻击者可借此接管防火墙管理员账户。 这些漏洞由 Horizon3.ai 发现并记录,可导致攻击者读取 Exp
继续阅读安全热点周报:超过 87,000 台 FortiOS 设备易受远程代码执行攻击
安全热点周报:超过 87,000 台 FortiOS 设备易受远程代码执行攻击 奇安信 CERT 2024-10-14 17:15 安全资讯导视 • 广东省教育厅短信平台遭入侵,向师生家长群发非法链接短信 • 打破物理隔离!多个政府机密系统遭APT组织攻破 • 法德网络安全机构联合发布AI编程助手安全使用指南 PART01 漏洞情报 1.Mozilla Firefox释放后重用漏洞安全风险通告
继续阅读.NET 一款通过事件查看器反序列化漏洞绕过UAC的工具
.NET 一款通过事件查看器反序列化漏洞绕过UAC的工具 原创 专攻.NET安全的 dotNet安全矩阵 2024-10-14 08:20 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具
继续阅读EDUSRC漏洞挖掘思路整理
EDUSRC漏洞挖掘思路整理 十二 秘地安全实验室 2024-10-13 15:01 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同
继续阅读致远oa表单导入任意文件写入漏洞分析
致远oa表单导入任意文件写入漏洞分析 原创 莫大130 安全逐梦人 2024-10-12 19:34 环境搭建 1 2 链接:https://pan.baidu.com/s/1d9BgbCkV82WG1TCwXvmMDA?pwd=h7kz 提取码:h7kz (1)安装mysql数据库(针对A8版本)。创建一个新的数据库,字符集设置为UTF-8。如果是A6版本,如 A6v6.1、A6v6.1sp1、
继续阅读【安全圈】GitLab 曝出严重漏洞,可能导致任意 CI/CD 管道执行
【安全圈】GitLab 曝出严重漏洞,可能导致任意 CI/CD 管道执行 安全圈 2024-10-12 19:00 关键词 安全漏洞 近日,GitLab 发布了社区版(CE)和企业版(EE)的安全更新,以解决八个安全漏洞,其中包括一个可能允许在任意分支上运行持续集成和持续交付(CI/CD)管道的关键漏洞。该漏洞被跟踪为 CVE-2024-9164,CVSS 得分为 9.6(满分 10 分),攻击者
继续阅读CVE-2024-38816 Spring路径穿越漏洞分析复现
CVE-2024-38816 Spring路径穿越漏洞分析复现 原创 xaitx 天启实验室 2024-10-12 17:28 漏洞介绍 Spring Framework 是一个功能强大的 Java 应用程序框架,旨在提供高效且可扩展的开发环境。 2024年9月13日,监测到Spring Framework中修复了一个路径遍历漏洞(CVE-2024-38816),该漏洞的CVSS评分为7.5。 S
继续阅读个人数据资产可以变现了?国家数据局已官方辟谣;Palo Alto紧急修复多个严重的防火墙劫持漏洞 | 牛览
个人数据资产可以变现了?国家数据局已官方辟谣;Palo Alto紧急修复多个严重的防火墙劫持漏洞 | 牛览 安全牛 2024-10-12 12:01 点击蓝字·关注我们 / aqniu 新闻速览 • 个人数据资产可以变现了?国家数据局已官方辟谣 •中央网信办部署开展“清朗·规范网络语言文字使用”专项行动 •欧盟通过《网络韧性法案》,全面提升数字产品安全标准 •微软将在新版Windows系统中
继续阅读漏洞案例:提升Self-XSS危害
漏洞案例:提升Self-XSS危害 原创 玲珑安全 芳华绝代安全团队 2024-10-11 22:47 Self-XSS利用1 目标应用程序为某在线商店,在其注册页面的First Name字段中注入XSS Payload: 注册成功,但当我尝试登录我的帐户时,界面显示403 Forbidden,即无法登录我的帐户。 我很好奇为什么我无法登录我的帐户,所以我打开了 Burp 并拦截了登录请求,以查看
继续阅读Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业
Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业 小薯条 FreeBuf 2024-10-11 19:47 勒索软件团伙现在利用一个关键的安全漏洞,让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现,该安全漏洞(现在被追踪为CVE-202
继续阅读【安全圈】Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业
【安全圈】Veeam曝出关键漏洞,勒索团伙趁火打劫利用RCE攻击全球企业 安全圈 2024-10-11 19:01 关键词 勒索软件 勒索软件团伙现在利用一个关键的安全漏洞,让攻击者在易受攻击的 Veeam Backup & Replication (VBR) 服务器上获得远程代码执行 (RCE)。 Code White安全研究员Florian Hauser发现,该安全漏洞(现在被追踪为C
继续阅读.NET 一款事件查看器反序列化漏洞绕过UAC的工具
.NET 一款事件查看器反序列化漏洞绕过UAC的工具 原创 专攻.NET安全的 dotNet安全矩阵 2024-10-11 08:20 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用
继续阅读【漏洞预警】GitLab CE/EE关键更新修复多个高危漏洞
【漏洞预警】GitLab CE/EE关键更新修复多个高危漏洞 cexlife 飓风网络安全 2024-10-10 22:45 漏洞描述:GitLab官方发布了GitLab Community Edition(CE)和Enterprise Edition(EE)17.4.2、17.3.5 和 17.2.9更新版本,这些版本包含重要的漏洞修复和安全补丁,共修复8个安全漏洞,其中包括1个严重漏洞,4个高
继续阅读NodeJS 0day!代码安全为何重要 —突破强化的环境
NodeJS 0day!代码安全为何重要 —突破强化的环境 一个不正经的黑客 一个不正经的黑客 2024-10-10 22:11 基础设施强化能够使应用程序在面对攻击时更具韧性。 这些安全措施提高了攻击者的入侵难度,给他们设置了更多的障碍。然而,这并非万能之策,因为决心坚定的攻击者依然可以通过源代码中的漏洞发起攻击。 在本篇博文中,我们将通过展示一种攻击技术,强调基础代码安全的重要性。 该技术展示
继续阅读JeecgBoot 权限绕过致AviatorScript表达式注入漏洞
JeecgBoot 权限绕过致AviatorScript表达式注入漏洞 Superhero Nday Poc 2024-10-10 21:51 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即
继续阅读CVE-2024-46627
CVE-2024-46627 原创 fgz AI与网安 2024-10-10 21:08 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 DATAGERRY REST API 身份验证绕过漏洞 02 — 漏洞影响 DATAGERRY 2.2版本 0
继续阅读Mozilla 修复已遭利用的 Firefox 0day漏洞
Mozilla 修复已遭利用的 Firefox 0day漏洞 Bill Toulas 代码卫士 2024-10-10 18:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 发布紧急安全更新,修复了 Firefox 浏览器中的一个严重的释放后使用漏洞 (CVE-2024-9680),目前该漏洞已遭利用。 该漏洞由 ESET 公司的研究员 Damien Schaeffer发
继续阅读「推安早报」1010 | 近期漏洞、红蓝工具
「推安早报」1010 | 近期漏洞、红蓝工具 red4blue 甲方安全建设 2024-10-10 11:28 # 2024-10-10 「红蓝热点」每天快人一步 > 1. 推送「新、热、赞」,帮部分人阅读提效 2. 学有精读浅读深读,艺有会熟精绝化,觉知此事重躬行。推送只在浅读预览 3. 机读为主,人工辅助,每日数万网站,10w推特速读 4. 推送可能大众或小众,不代表本人偏好或认可 5.
继续阅读MediaTek MT7622/MT7915 芯片组驱动程序RCE 利用 CVE-2024-20017 4 种不同的方式
MediaTek MT7622/MT7915 芯片组驱动程序RCE 利用 CVE-2024-20017 4 种不同的方式 合规渗透 2024-10-09 20:45 原文:https://blog.coffinsec.com/0day/2024/08/30/exploiting-CVE-2024-20017-four-different-ways.html – 介绍 背景 漏洞 1:通
继续阅读【漏洞预警】微软2024年10月补丁日多个安全漏洞
【漏洞预警】微软2024年10月补丁日多个安全漏洞 cexlife 飓风网络安全 2024-10-09 20:16 漏洞描述: 近日,微软官方发布了10月安全更新,修复了合计117个安全漏洞,其中,包含2个严重漏洞(Critical)、75 个高危漏洞(Important)和 40 个中危漏洞(Moderate),其中2个漏洞(CVE-2024-43572,CVE-2024-43573)在攻击中被
继续阅读微软 2024 年 10 月补丁星期二:已修补零日漏洞和严重漏洞
微软 2024 年 10 月补丁星期二:已修补零日漏洞和严重漏洞 原创 星空浪子 星空网络安全 2024-10-09 19:48 微软于 2024 年 10 月的补丁星期二发布了一组重要的安全更新,解决了其生态系统中总共 121 个漏洞。其中包括三个严重漏洞和 114 个标记为重要的漏洞,涵盖了微软的广泛服务和软件。 零日漏洞受到攻击 本月的补丁修复了两个已被广泛利用的零日漏洞。其中最令人担忧的是
继续阅读最新Ruoyi漏洞复现
最新Ruoyi漏洞复现 原创 LULU 红队蓝军 2024-10-09 18:00 漏洞影响:若依4.7.8版本 漏洞成因 在 ruoyi 4.7.5 版本之前,后台接口/tool/gen/createTable处存在 sql 注入(CVE-2022-4566) 找到genTableService的实现类:GenTableServiceImpl,该类同样满足黑白名单条件 对应的 Mapper 语句
继续阅读Ivanti 中的3个0day已遭活跃利用
Ivanti 中的3个0day已遭活跃利用 Sergiu Gatlan 代码卫士 2024-10-09 17:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司提醒称影响其云服务设备 (CSA) 的三个新漏洞已遭在野活跃利用。 这些0day漏洞与CSA中上个月修复的另外一个漏洞组合利用。这些漏洞遭成功利用可导致具有管理员权限的认证攻击者绕过限制、运行任意SQL语句或获得
继续阅读微软十月补丁星期二值得关注的漏洞
微软十月补丁星期二值得关注的漏洞 Lawrence Abrams 代码卫士 2024-10-09 17:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本月,微软共修复117个漏洞,其中5个是0day漏洞。其中包括28个提权漏洞、7个安全特性绕过漏洞、43个远程代码执行漏洞、6个信息泄露漏洞、26个拒绝服务漏洞和7个欺骗漏洞。 本次微软共修复5个0day漏洞,其中2个已遭活跃利用,而所
继续阅读