探索 NASA CryptoLib 的 SDLS 实现中的漏洞
探索 NASA CryptoLib 的 SDLS 实现中的漏洞 Ots安全 2024-12-25 10:01 介绍 作为 ESTEC 系统安全工程团队的一名青年实习生,我被分配了一项任务,即分析地面和太空部分之间空间通信中使用的协议的安全性。范围很广,包括许多协议、标准(CCSDS 和 ECSS)和不同的实现,但这是一个具有挑战性的学习机会。这些活动导致了一些工具的开发,提供了一个名为 SPACE
继续阅读标签: 复现
第十八期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示
第十八期 · 安钥®「漏洞处置标准作业程序(SOP)」征文启示 原创 安钥 方桥安全漏洞防治中心 2024-12-25 10:00 锤炼安全金钥,共筑安全防线 安钥®「漏洞处置标准作业程序(SOP)」征文启示 第18期 12月25日 – 1月4日 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞
继续阅读协众OA checkLoginQrCode接口 SQL注入漏洞复现
协众OA checkLoginQrCode接口 SQL注入漏洞复现 CatalyzeSec CatalyzeSec 2024-12-25 09:04 FOFA app="协众软件-协众OA" 漏洞复现 nuclei运行结果 POC与nuclei-poc已上传到知识星球 高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用
继续阅读【漏洞通告】Apache MINA反序列化远程代码执行漏洞(CVE-2024-52046)
【漏洞通告】Apache MINA反序列化远程代码执行漏洞(CVE-2024-52046) 启明星辰安全简讯 2024-12-25 09:03 一、漏洞概述 漏洞名称 Apache MINA反序列化远程代码执行漏洞 CVE ID CVE-2024-52046 漏洞类型 反序列化 发现时间 2024-12-25 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交
继续阅读【漏洞文字】博斯外贸管理软件 SQL注入
【漏洞文字】博斯外贸管理软件 SQL注入 原创 1ang 小羊安全屋 2024-12-25 09:01 导言 文章仅用作网络安全人员对自己网站、服务器等进行自查检测,不可用于其他用途,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。切勿用于网络攻击!!! PART 漏洞描
继续阅读【漏洞通告】Adobe ColdFusion任意文件读取漏洞(CVE-2024-53961)
【漏洞通告】Adobe ColdFusion任意文件读取漏洞(CVE-2024-53961) 原创 NS-CERT 绿盟科技CERT 2024-12-25 08:03 通告编号:NS-2024-53961 2024-12-25 TAG: Adobe ColdFusion、任意文件读取、CVE-2024-53961 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近
继续阅读【漏洞复现】CVE-2024-10400
【漏洞复现】CVE-2024-10400 混子Hacker 混子Hacker 2024-12-25 07:57 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 平凡是生活的本色,不凡是生命的追求 —— CVE-2024-10400 Wo
继续阅读信息安全漏洞周报(2024年第52期)
信息安全漏洞周报(2024年第52期) 原创 CNNVD CNNVD安全动态 2024-12-25 06:43 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周2024年12月16日至2024年12月22日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞627个。 接报漏洞情况 本周CNNVD接报漏洞37595个,其中信息技术产品漏洞(通用型漏洞)270个
继续阅读Oracle WebLogic Server反序列化漏洞(CVE-2024-21216)
Oracle WebLogic Server反序列化漏洞(CVE-2024-21216) 原创 清风 白帽攻防 2024-12-25 06:01 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 WebLogic 是一款由 BEA 系统公司开发的 Java EE
继续阅读红队如何暴露人工智能模型中的漏洞
红队如何暴露人工智能模型中的漏洞 原创 何威风 祺印说信安 2024-12-25 05:30 随着生成人工智能 (gen AI) 成为信息安全最前线,红队在识别其他人可能忽视的漏洞方面发挥着至关重要的作用。 2024 年,数据泄露的 平均成本达到历史最高水平,达到 488 万美元,企业需要确切了解自己的漏洞所在。鉴于企业采用新一代人工智能的速度惊人,其中一些漏洞很有可能存在于人工智能模型本身,或用
继续阅读电子图书阅读平台 downFile.aspx SQL注入漏洞
电子图书阅读平台 downFile.aspx SQL注入漏洞 Superhero nday POC 2024-12-25 03:15 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章
继续阅读【漏洞预警】CVE-2024-23945:Apache Hive 和 Spark 中存在严重漏洞
【漏洞预警】CVE-2024-23945:Apache Hive 和 Spark 中存在严重漏洞 独眼情报 2024-12-25 03:00 Apache Hive 和 Apache Spark 中发现了一个新披露的漏洞CVE-2024-23945 ,CVSS 评分为 8.7,这两个系统被广泛用于大规模数据处理和分析。该漏洞影响CookieSigner机制,当消息验证失败时,它会暴露有效的 coo
继续阅读【漏洞预警】开源图形数据库系统 Apache HugeGraph-Server 存在安全漏洞 CVE-2024-43441
【漏洞预警】开源图形数据库系统 Apache HugeGraph-Server 存在安全漏洞 CVE-2024-43441 独眼情报 2024-12-25 03:00 在广泛使用的开源图形数据库系统 Apache HugeGraph-Server 中发现了一个新的安全漏洞 CVE-2024-43441。 该漏洞被归类为利用假定不可变数据绕过身份验证的漏洞,影响 1.5.0 版之前的 1.0 至 1
继续阅读圣乔ERP系统 queryForString.dwr SQL注入漏洞
圣乔ERP系统 queryForString.dwr SQL注入漏洞 Superhero nday POC 2024-12-25 02:14 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即
继续阅读利用防火墙修复Oracle数据库漏洞
利用防火墙修复Oracle数据库漏洞 原创 ralap 网络个人修炼 2024-12-25 02:00 最近,通过漏洞扫描系统发现了某些版本的Oracle数据库存在潜在的安全漏洞。这些漏洞如果被恶意利用,可能会对企业数据造成严重威胁。由于业务需求和技术限制,直接升级或停机修复这些漏洞变得不切实际。为了在不影响现有服务的前提下提升安全性,决定采用通过防火墙限制IP访问的方式来进行漏洞修复。 目标 目
继续阅读【漏洞复现】某平台-reportCenter-sql注入漏洞
【漏洞复现】某平台-reportCenter-sql注入漏洞 原创 南极熊 SCA御盾 2024-12-25 01:56 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间
继续阅读【漏洞通告】Adobe ColdFusion路径遍历漏洞安全风险通告
【漏洞通告】Adobe ColdFusion路径遍历漏洞安全风险通告 嘉诚安全 2024-12-25 01:35 漏洞背景 近日,嘉诚安全监测到Adobe官方发布安全公告,修复了一个Adobe ColdFusion路径遍历漏洞,漏洞编号为: CVE-2024-53961。 Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言,将
继续阅读【漏洞通告】Apache Hive & Spark信息泄露漏洞安全风险通告
【漏洞通告】Apache Hive & Spark信息泄露漏洞安全风险通告 嘉诚安全 2024-12-25 01:35 漏洞背景 近日,嘉诚安全监测到Apache Hive和Apache Spark中存在一个敏感信息泄露漏洞,漏洞编号为: CVE-2024-23945。 Apache Hive和Apache Spark是两个广泛用于大数据生态系统的开源框架,主要用于处理和分析大规模数据集。
继续阅读(0day)当虹科技-Arcvideo-Live存在文件上传漏洞
(0day)当虹科技-Arcvideo-Live存在文件上传漏洞 原创 WebSec WebSec 2024-12-25 01:28 阅读须知 亲爱的读者,我们诚挚地提醒您,WebSec实验室的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。WebSec实验室及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您
继续阅读立即更新!Adobe警告ColdFusion严重漏洞PoC
立即更新!Adobe警告ColdFusion严重漏洞PoC E安全 2024-12-25 01:03 E安全消息,12月23日,Adobe发布紧急安全更新,以解决一个ColdFusion严重漏洞,已存在概念验证(PoC)漏洞利用。 漏洞被标识为CVE-2024-53961,影响Adobe ColdFusion的2023和2021版本。可能允许攻击者读取系统中的任意文件,暴露敏感数据和配置文件。 这
继续阅读新的僵尸网络利用 NVR、TP-Link 路由器中的漏洞
新的僵尸网络利用 NVR、TP-Link 路由器中的漏洞 会杀毒的单反狗 军哥网络安全读报 2024-12-25 01:00 导读 一种新的基于 Mirai 的僵尸网络正在积极利用远程代码执行漏洞,该漏洞尚未得到 CVE 编号,也没有在 DigiEver DS-2105 Pro NVR 中修补。 僵尸网络针对多个网络录像机和固件过时的 TP-Link 路由器。 TXOne 研究员 Ta-Lun Y
继续阅读Sophos 防火墙爆严重漏洞,速查!你的网络安全吗?
Sophos 防火墙爆严重漏洞,速查!你的网络安全吗? 原创 Hankzheng 技术修道场 2024-12-25 00:04 安全圈的小伙伴们注意了!Sophos 防火墙最近爆出三个严重漏洞,攻击者无需身份验证即可远程执行代码,你的网络安全正受到威胁! 漏洞影响范围 – Sophos Firewall v21.0 GA (21.0.0) 及更早版本 漏洞详情 – CVE-
继续阅读漏洞预警 | Jeecg-Boot任意用户密码重置漏洞
漏洞预警 | Jeecg-Boot任意用户密码重置漏洞 浅安 浅安安全 2024-12-25 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 Jeecg-Boot是一款开源的低代码开发平台。 0x03 漏洞详情 漏洞类型: 任意用户密码重置 影响: 接管服务 简述: Jeecg-Boot的/jeecg-boot/sys/use
继续阅读漏洞预警 | 协众OA SQL注入漏洞
漏洞预警 | 协众OA SQL注入漏洞 浅安 浅安安全 2024-12-25 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 协众OA是广州协众软件科技有限公司推出的一款基于PHP技术开发,具有高度定制化、灵活性强、安全性能高的特点,涵盖协同办公、工作流程管理、人事管理等多种功能,兼容多终端的协同办公管理软件。 0x03 漏洞
继续阅读Apache基金会修复了一个严重的Tomcat漏洞
Apache基金会修复了一个严重的Tomcat漏洞 鹏鹏同学 黑猫安全 2024-12-24 23:00 Apache软件基金会(ASF)修复了其Tomcat服务器软件中的一个重要漏洞,编号为CVE-2024-56337。研究人员警告说,在特定条件下,利用此漏洞可能导致远程代码执行。Apache Tomcat是Java Servlet、JavaServer Pages (JSP)、Jakarta表
继续阅读Helldown 勒索软件利用 Zyxel 防火墙的 VPN 漏洞入侵公司网络
Helldown 勒索软件利用 Zyxel 防火墙的 VPN 漏洞入侵公司网络 Rhinoer 犀牛安全 2024-12-24 16:00 据信,新的“Helldown”勒索软件行动针对的是 Zyxel 防火墙的漏洞,以侵入公司网络,从而窃取数据并加密设备。 根据最近对 Helldown 攻击的观察,法国网络安全公司Sekoia报告了这一情况。 尽管 Helldown 并不是勒索软件领域的主要参与
继续阅读SpringSecurity权限绕过漏洞-好玩
SpringSecurity权限绕过漏洞-好玩 原创 A1xxNy 猎洞时刻 2024-12-24 13:44 一、spring security 简介 spring security 的核心功能主要包括: – 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) SpringSecurity和Apache shiro一样,都是安全框架,负责整个系统的认证和授权。 那有师
继续阅读大华DSS 系统attachment_downloadAtt.action存在任意文件读取漏洞 附POC
大华DSS 系统attachment_downloadAtt.action存在任意文件读取漏洞 附POC 2024-12-23更新 南风漏洞复现文库 2024-12-24 13:20 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 大华
继续阅读揭秘最为知名的黑客工具之一:Exploit-DB(开源的漏洞数据库)
揭秘最为知名的黑客工具之一:Exploit-DB(开源的漏洞数据库) 原创 hackerson 黑客联盟l 2024-12-24 12:07 用心做分享,只为给您最好的学习教程 如果您觉得文章不错,欢迎持续学习 深入了解黑客工具:Exploit-DB 及其使用教程 在当下,网络安全所面临的威胁犹如汹涌潮水,不断升级,身处信息安全领域前沿的专家与研究人员,肩负的责任愈发沉重,他们在挖掘、巧用以及修补
继续阅读Apache Tomcat 漏洞 CVE-2024-56337 导致服务器遭受 RCE 攻击
Apache Tomcat 漏洞 CVE-2024-56337 导致服务器遭受 RCE 攻击 信息安全大事件 2024-12-24 11:53 Apache Software Foundation ( ASF ) 发布了一个安全更新,以解决其 Tomcat 服务器软件中的一个重要漏洞,该漏洞在某些情况下可能导致远程代码执行 ( RCE )。 该漏洞被跟踪为 CVE-2024-56337 ,被描述为
继续阅读