圣乔ERP系统 SingleRowQueryConvertor SQL注入漏洞
圣乔ERP系统 SingleRowQueryConvertor SQL注入漏洞 Superhero nday POC 2025-01-03 06:47 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读标签: 复现
信息安全漏洞周报【第004期】
信息安全漏洞周报【第004期】 零零捌信安观察 银天信息 2025-01-03 05:59 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读【首发 1day】WordPress Crypto 插件存在前台任意用户登录漏洞(CVE-2024-9989)
【首发 1day】WordPress Crypto 插件存在前台任意用户登录漏洞(CVE-2024-9989) 原创 Mstir 星悦安全 2025-01-03 04:04 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 WordPress 的 Crypto 插件在 2.15 及以下版本(包括 2.15)中容易受到身份验证绕过攻击。这是由于对 ‘crypto_connect_a
继续阅读【漏洞复现】某平台-taillog-mediaserverlogs-readfile任意文件读取漏洞
【漏洞复现】某平台-taillog-mediaserverlogs-readfile任意文件读取漏洞 原创 南极熊 SCA御盾 2025-01-03 03:13 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操
继续阅读「漏洞复现」互慧-急诊综合管理平台 ServicePage.aspx 任意文件读取漏洞
「漏洞复现」互慧-急诊综合管理平台 ServicePage.aspx 任意文件读取漏洞 冷漠安全 冷漠安全 2025-01-03 03:08 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台
继续阅读WPA3协议存在安全漏洞,黑客可获取WiFi密码
WPA3协议存在安全漏洞,黑客可获取WiFi密码 老布 乌雲安全 2025-01-03 03:00 研究人员成功结合中间人攻击(MITM)和社会工程学技术,绕过了Wi – Fi保护协议——WPA3 ,进而获取网络密码。 此次研究由西印度大学的Kyle Chadee、Wayne Goodridge和Koffka Khan开展,这一研究揭示了最新无线安全标准存在的安全漏洞。 WPA3于20
继续阅读【漏洞复现】万能门店小程序系统存在任意文件读取
【漏洞复现】万能门店小程序系统存在任意文件读取 新势界NewFrontier 2025-01-03 02:00 声明 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。公众号现在只对常读和星标的公众号才展示大图推送,建议把公众号设为
继续阅读一省政务信息化项目建设办法印发:风评、密评结果不合格不得申请竣工验收
一省政务信息化项目建设办法印发:风评、密评结果不合格不得申请竣工验收 祺印说信安 2025-01-03 01:46 省政府办公厅关于印发江苏省 省级政务信息化项目建设管理办法的通知 (苏政办发〔2024〕38号) 各市、县(市、区)人民政府,省各委办厅局,省各直属单位: 《江苏省省级政务信息化项目建设管理办法》已经省人民政府同意,现印发给你们,请认真贯彻落实。 江苏省人民政府办公厅 2024年1
继续阅读【漏洞复现】急诊急救快速联动平台存在任意文件读取漏洞
【漏洞复现】急诊急救快速联动平台存在任意文件读取漏洞 原创 漏洞文库 漏洞文库 2025-01-03 01:42 免责声明**** 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任
继续阅读赛克安全本周漏洞推送(12.28-1.3)涉及致翔 OA、校盈家财务管理平台、明源云-售楼管理系统v5.0、平升水库系统漏洞
赛克安全本周漏洞推送(12.28-1.3)涉及致翔 OA、校盈家财务管理平台、明源云-售楼管理系统v5.0、平升水库系统漏洞 原创 马赛克安全实验室 马赛克安全实验室 2025-01-03 01:14 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系
继续阅读针对Windows LDAP 零点击 RCE 漏洞的 PoC 利用工具发布
针对Windows LDAP 零点击 RCE 漏洞的 PoC 利用工具发布 会杀毒的单反狗 军哥网络安全读报 2025-01-03 01:01 导读 研究人员公布了针对 Windows 轻量级目录访问协议 (LDAP) 中一个严重漏洞的概念验证 (PoC) 代码,该漏洞编号为CVE-2024-49112。 微软于 2024 年 12 月 10 日补丁日更新中披露了该漏洞,其 CVSS 严重性评分为
继续阅读新的“DoubleClickjacking”漏洞攻击可绕过主要网站的点击劫持保护措施
新的“DoubleClickjacking”漏洞攻击可绕过主要网站的点击劫持保护措施 会杀毒的单反狗 军哥网络安全读报 2025-01-03 01:01 导读 “DoubleClickjacking”漏洞绕过了主要网站的保护措施,利用双击序列进行点击劫持和帐户接管攻击。 DoubleClickjacking 是一种允许攻击者通过利用双击序列来绕过主要网站的保护措施的技术。 攻击者可以利用该技术对几
继续阅读0Day-OURPHP建站系统存在未授权访问漏洞
0Day-OURPHP建站系统存在未授权访问漏洞 原创 狐狸 狐狸说安全 2025-01-03 00:55 免责声明 由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 狐狸说安全及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢! 0x01 概述 OurPHP 是一款100%开源的CMS万能建
继续阅读指导手册 | Web漏洞分析与防范实战
指导手册 | Web漏洞分析与防范实战 新书速递→ WK安全 2025-01-03 00:51 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全威胁无孔不入,给防守方带来了极大的挑战。 在这样的背景下,
继续阅读急需升级,D-Link 路由器漏洞被僵尸网络广泛用于 DDoS 攻击
急需升级,D-Link 路由器漏洞被僵尸网络广泛用于 DDoS 攻击 龙猫 安小圈 2025-01-03 00:45 安小圈 第581期 快升级 · D-Link路由器 僵尸网络活动增加 :新的“FICORA”和“CAPSAICIN”僵尸网络(Mirai 和 Kaiten 的变体)的活动激增。 被利用的漏洞 :攻击者利用已知的 D-Link 路由器漏洞(例如 CVE-2015-2051、CVE-2
继续阅读7-Zip 零日漏洞据称已在网上泄露
7-Zip 零日漏洞据称已在网上泄露 铸盾安全 河南等级保护测评 2025-01-03 00:10 据称,一名在 X 上使用别名“NSA_Employee39”的黑客泄露了一个严重的 7-Zip 零日漏洞,当受害者的机器使用最新版本的 7-Zip 打开或解压时,该漏洞可允许攻击者在受害者的机器上执行任意代码。 这一披露带来了重大的网络安全风险,特别是在信息窃取恶意软件扩散和潜在供应链攻击载体的背景
继续阅读【漏洞复现】朗速ERP后台管理系统FileUploadApi接口文件存在文件上传漏洞||附POC
【漏洞复现】朗速ERP后台管理系统FileUploadApi接口文件存在文件上传漏洞||附POC FL_Clover 网络安全007 2025-01-03 00:01 漏洞介绍 在当今复杂多变的网络安全环境中,朗速ERP后台管理系统中的FileUploadApi接口文件存在文件上传漏洞,攻击者可利用该漏洞上传恶意文件,进而控制服务器或窃取企业敏感信息。为保障系统安全,请尽快对该接口进行修复,并加强
继续阅读【渗透书籍推荐】《Web漏洞分析与防范实战》丨文末参与抽奖免费赠书!!
【渗透书籍推荐】《Web漏洞分析与防范实战》丨文末参与抽奖免费赠书!! 新书速递→ 网络安全007 2025-01-03 00:01 文末扫码参与抽奖! 随着信息技术的快速发展,特别是互联网应用的普及和企业信息化程度的不断加深,网络安全问题已经成为影响国家安全、企业生存和个人隐私的重要因素。网络攻击手段日益多样化、工具利用日益便捷化,从传统的病毒、木马到高级持续威胁(APT)、0day攻击等,安全
继续阅读漏洞预警 | Adobe ColdFusion反序列化漏洞
漏洞预警 | Adobe ColdFusion反序列化漏洞 浅安 浅安安全 2025-01-03 00:00 0x00 漏洞编号 – # CVE-2024-53961 0x01 危险等级 – 高危 0x02 漏洞概述 Adobe ColdFusion是一个快速应用程序开发平台,其运行的CFML针对Web应用的一种脚本语言。 0x03 漏洞详情 CVE-2024-53961
继续阅读漏洞预警 | 用友NC XML实体注入漏洞
漏洞预警 | 用友NC XML实体注入漏洞 浅安 浅安安全 2025-01-03 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了一系列业务管理模块,包括财务会计、采购管理、销售管理、物料管理、生产计划和人力资源管理等,帮助企业实现数字化转型和高效管理。 0
继续阅读【1day edu 大量存在】大华智能物联综合管理平台(ICC) 存在远程命令执行漏洞
【1day edu 大量存在】大华智能物联综合管理平台(ICC) 存在远程命令执行漏洞 原创 xiachuchunmo 银遁安全团队 2025-01-02 22:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。
继续阅读赏金$3133的漏洞
赏金$3133的漏洞 迪哥讲事 2025-01-02 15:41 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任 背景介绍 某一天悠闲的午后,白帽小哥Atikqur坐在办公桌前,在 Google Slides 上准备着一场活动的演讲稿。 幻灯片准备好后,开始点击演示者视图来预览它们,由于白
继续阅读新的“DoubleClickjacking”漏洞可绕过网站的劫持保护
新的“DoubleClickjacking”漏洞可绕过网站的劫持保护 老布 FreeBuf 2025-01-02 11:54 安全专家揭示了一种新型的“普遍存在的基于时间的漏洞”,该漏洞通过利用双击操作来推动点击劫持攻击及账户接管,几乎波及所有大型网站。这一技术已被安全研究员Paulos Yibelo命名为“DoubleClickjacking”。 Yibelo指出:“它并非依赖单一点击,而是利用
继续阅读防范XXE漏洞:XXE攻击详解与应对策略
防范XXE漏洞:XXE攻击详解与应对策略 原创 todobest SDL安全 2025-01-02 11:48 一、XXE 漏洞概述 XML(可扩展标记语言)是一种用于标记电子文件的结构化语言,它能够对数据进行标记并定义数据类型。XML允许用户自定义标记语言,因此在数据交换和存储中被广泛使用。 1.1 XML 文档结构 XML文档的基本结构包括以下几个部分: 1. XML 声明 :指定 XML 的
继续阅读【安全圈】新的“DoubleClickjacking”漏洞可绕过网站的劫持保护
【安全圈】新的“DoubleClickjacking”漏洞可绕过网站的劫持保护 安全圈 2025-01-02 11:00 关键词 安全漏洞 安全专家揭示了一种新型的“普遍存在的基于时间的漏洞”,该漏洞通过利用双击操作来推动点击劫持攻击及账户接管,几乎波及所有大型网站。这一技术已被安全研究员Paulos Yibelo命名为“DoubleClickjacking”。 Yibelo指出:“它并非依赖单一
继续阅读Hyper-V拒绝服务漏洞CVE-2024-43633分析
Hyper-V拒绝服务漏洞CVE-2024-43633分析 王cb 看雪学苑 2025-01-02 10:02 这篇文章的目的是介绍今年11月发布的的Hyper-V拒绝服务漏洞CVE-2024-43633分析。文章结合了逆向代码和调试结果分析了CVE-2024-43633漏洞利用过程和漏洞成因。 复现环境 Win11 23h2 Win11 22h2 CVE-2024-43633漏洞分析 CVE-2
继续阅读创宇安全智脑 | 灵当 CRM getMyAmbassador SQL注入等72个漏洞可检测
创宇安全智脑 | 灵当 CRM getMyAmbassador SQL注入等72个漏洞可检测 创宇安全智脑 创宇安全智脑 2025-01-02 09:56 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁
继续阅读【漏洞复现】大华智能物联综合管理平台远程代码执行漏洞
【漏洞复现】大华智能物联综合管理平台远程代码执行漏洞 原创 漏洞文库 漏洞文库 2025-01-02 09:09 免责声明**** 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任
继续阅读「漏洞复现」方正畅享全媒体新闻采编系统 imageProxy.do 任意文件读取漏洞
「漏洞复现」方正畅享全媒体新闻采编系统 imageProxy.do 任意文件读取漏洞 冷漠安全 冷漠安全 2025-01-02 08:43 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读【安全月报】| 12月份因漏洞、黑客攻击等损失为2860万美元,为全年黑客攻击最少月份
【安全月报】| 12月份因漏洞、黑客攻击等损失为2860万美元,为全年黑客攻击最少月份 原创 零时科技 零时科技 2025-01-02 08:35 零时科技每月安全事件看点开始了!据一些区块链安全风险监 测平台统计显示,2024年12月,各类安全事件损失金额较11月大幅下降。12月发生较典型安全事件超 23 起,因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达 2860万 美元,较11月下
继续阅读