「漏洞复现」Cloudlog 电台日志系统 request_form SQL注入漏洞
「漏洞复现」Cloudlog 电台日志系统 request_form SQL注入漏洞 冷漠安全 冷漠安全 2024-12-21 02:54 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和
继续阅读标签: 复现
Rockwell PowerMonitor 漏洞允许远程黑客攻击工业系统
Rockwell PowerMonitor 漏洞允许远程黑客攻击工业系统 会杀毒的单反狗 军哥网络安全读报 2024-12-21 01:01 导读 罗克韦尔自动化公司修补的 Allen-Bradley PowerMonitor 1000 产品中的严重漏洞可能允许远程黑客侵入工业系统并造成破坏或获得进一步的访问权限。 本周,罗克韦尔自动化和网络安全机构CISA发布安全公告,这些漏洞的存在被曝光。 P
继续阅读研究人员警告称,Apache Struts 2 关键漏洞可能遭利用
研究人员警告称,Apache Struts 2 关键漏洞可能遭利用 会杀毒的单反狗 军哥网络安全读报 2024-12-21 01:01 导读 研究人员警告说,在 Apache Struts 2 中的一个严重漏洞首次披露和修补几天后,攻击者就正在积极利用该漏洞。 根据 Apache 的公告,该漏洞编号为CVE-2024-53677,涉及文件上传逻辑缺陷。该漏洞的CVSS评分为 9.5(满分 10 分
继续阅读漏洞预警 | NextChat SSRF漏洞
漏洞预警 | NextChat SSRF漏洞 浅安 浅安安全 2024-12-21 00:02 0x00 漏洞编号 – # CVE-2024-38514 0x01 危险等级 – 高危 0x02 漏洞概述 NextChat是一款开源的AI聊天应用项目。 0x03 漏洞详情 CVE-2024-38514 漏洞类型: SSRF 影响: 敏感信息泄漏 简述: NextChat的/a
继续阅读漏洞预警 | Cleo Harmony任意文件读取漏洞
漏洞预警 | Cleo Harmony任意文件读取漏洞 浅安 浅安安全 2024-12-21 00:02 0x00 漏洞编号 – # CVE-2024-50623 0x01 危险等级 – 高危 0x02 漏洞概述 Cleo Harmony是Cleo公司推出的一款用于B2B集成和数据交换的解决方案。 0x03 漏洞详情 CVE-2024-50623 漏洞类型: 任意文件读取*
继续阅读Zabbix从环境搭建到漏洞利用,附批量漏洞利用工具
Zabbix从环境搭建到漏洞利用,附批量漏洞利用工具 进击的HACK 2024-12-20 23:55 免责声明 由于传播、利用本公众号琴音安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号琴音安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把 琴音安全 “设
继续阅读【0day】中科商软云连ERP getAllUserListData存在信息泄露漏洞
【0day】中科商软云连ERP getAllUserListData存在信息泄露漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-20 23:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **中科商软是嘉品云市直营连锁管理系统服务商,专业为企业提供专业的B2B2C商城平台搭建,供应链管理系统,S2B2B商城系统,业务员管理
继续阅读Apache Struts2 文件上传漏洞分析(CVE-2024-53677)
Apache Struts2 文件上传漏洞分析(CVE-2024-53677) 元亨-blckder02 中孚安全技术研究 2024-12-20 19:30 前言 官方公告: https://cwiki.apache.org/confluence/display/WW/S2-067 漏洞描述: Apache Struts 的文件上传逻辑存在缺陷,如果应用程序使用了 FileUploadInterc
继续阅读时空WMS-仓储精细化管理系统 SaveCrash.ashx 任意文件上传漏洞
时空WMS-仓储精细化管理系统 SaveCrash.ashx 任意文件上传漏洞 Superhero nday POC 2024-12-20 15:58 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读[PoC] Databricks 远程代码执行漏洞 CVE-2024-49194
[PoC] Databricks 远程代码执行漏洞 CVE-2024-49194 独眼情报 2024-12-20 12:33 Databricks JDBC 驱动程序中新发现的一个漏洞 (CVE-2024-49194) 可允许攻击者在易受攻击的系统上远程执行代码。该漏洞由阿里云智能安全团队的安全研究人员发现,严重性评级较高 (CVSSv3.1 评分为 7.3),影响驱动程序版本 2.6.38 及以
继续阅读CVE-2024-53677:Apache Struts2文件上传逻辑漏洞S2-067
CVE-2024-53677:Apache Struts2文件上传逻辑漏洞S2-067 原创 hexixi Timeline Sec 2024-12-20 10:10 关注我们❤️,添加星标🌟,一起学安全!作者:hexixi@Timeline Sec 本文字数:2290阅读时长:3~5mins 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Apache Struts2 是
继续阅读Fortinet:注意FortiWLM漏洞,黑客可获得管理员权限
Fortinet:注意FortiWLM漏洞,黑客可获得管理员权限 Bill Toulas 代码卫士 2024-12-20 10:02 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet 披露了位于 Fortinet Wireless Manager(FortiWLM)中的一个严重漏洞CVE-2023-34990,可导致远程攻击者通过特殊构造的web请求执行越权代码或命令,从而控
继续阅读FortiWLM重大安全漏洞曝光,远程攻击者可夺管理员权限
FortiWLM重大安全漏洞曝光,远程攻击者可夺管理员权限 看雪学苑 看雪学苑 2024-12-20 09:59 近日,Fortinet公司披露了其无线网络管理工具FortiWLM中存在一个严重的安全漏洞,编号为 CVE-2023-34990。这一漏洞 允许远程攻击者通过发送特制的Web请求,执行未授权的代码或命令,进而完全控制受影响的设备。FortiWLM作为一款被广泛部署于政府机构、医疗保健组
继续阅读【漏洞通告】Sophos Firewall SQL注入漏洞(CVE-2024-12727)
【漏洞通告】Sophos Firewall SQL注入漏洞(CVE-2024-12727) 启明星辰安全简讯 2024-12-20 08:26 一、漏洞概述 漏洞名称 Sophos Firewall SQL注入漏洞 CVE ID CVE-2024-12727 漏洞类型 SQL注入 发现时间 2024-12-20 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用
继续阅读思科物联网无线AP遭遇严重命令注入漏洞
思科物联网无线AP遭遇严重命令注入漏洞 数世咨询 2024-12-20 08:00 思科公司的URWB硬件出现了一个难以忽视的漏洞,攻击者可利用伪造的 HTTP 请求劫持接入点的 Web 界面。 Cisco 称该问题 CVE-2024-20418 影响三种产品:Catalyst IW9165D 接入点、Catalyst IW9165E 接入点和无线客户端以及 Catalyst IW9167E 接入
继续阅读CVE-2024-11477:7-Zip 中的严重缺陷可让黑客控制
CVE-2024-11477:7-Zip 中的严重缺陷可让黑客控制 原创 清风 白帽攻防 2024-12-20 02:36 7-Zip是一款 完全免费 而且 开源的压缩软件,相比其他软件有更高的压缩比而且相对于WinRAR不会消耗大量资源。 7-Zip 文件压缩工具中发现了一个漏洞,攻击者可以通过特制的存档远程执行恶意代码。为了解决这个问题,开发人员发布了一个更新,但必须手动安装,因为该程序不支持
继续阅读飞鱼星路由器 账户密码泄露漏洞复现
飞鱼星路由器 账户密码泄露漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-12-20 02:03 FOFA body="js/select2css.js" && icon_hash="-842852785" 漏洞复现 nuclei运行结果 POC与nuclei-poc已上传到知识星球 高质量安全知识星球社区,致力于漏
继续阅读分享OAuth2.0原理及漏洞挖掘技巧案例分析
分享OAuth2.0原理及漏洞挖掘技巧案例分析 原创 神农Sec 神农Sec 2024-12-20 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 一、浅谈 不知道师傅们平常有没有碰到就是在登录比如说百度时,登录页面有需要使用一段第三方社交媒体的账户(QQ、微博、微
继续阅读漏洞预警 | GitLab Kubernetes Proxy Response NEL头注入漏洞
漏洞预警 | GitLab Kubernetes Proxy Response NEL头注入漏洞 浅安 浅安安全 2024-12-20 00:02 0x00 漏洞编号 – CVE-2024-11274 0x01 危险等级 – 高危 0x02 漏洞概述 GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 0x03
继续阅读大华DSS数字监控系统attachment_downloadAtt.action任意文件读取(XVE-2024-34436)
大华DSS数字监控系统attachment_downloadAtt.action任意文件读取(XVE-2024-34436) Superhero Nday Poc 2024-12-19 23:46 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦
继续阅读【漏洞复现】方正畅享全媒体新闻采编系统reportCenter存在SQL注入漏洞
【漏洞复现】方正畅享全媒体新闻采编系统reportCenter存在SQL注入漏洞 xiachuchunmo 银遁安全团队 2024-12-19 22:02 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **方正全媒体新闻采编系统是面向媒体深度融合的技术平台,以大数据和AI技术为支撑,集指挥中心、采集中心、编辑中心、发布中心、绩效考核中心、资料中心
继续阅读时空WMS-仓储精细化管理系统 ImageAdd.ashx 任意文件上传漏洞
时空WMS-仓储精细化管理系统 ImageAdd.ashx 任意文件上传漏洞 Superhero nday POC 2024-12-19 16:34 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读Fortinet 警告称其无线局域网管理器 FortiWLM 存在严重漏洞
Fortinet 警告称其无线局域网管理器 FortiWLM 存在严重漏洞 鹏鹏同学 黑猫安全 2024-12-19 16:20 Fortinet 警告称,现已修补的无线局域网管理器(FortiWLM)漏洞(追踪为 CVE-2023-34990,CVSS 评分为 9.6)可能导致管理员访问和敏感信息泄露。供应商发布的通告中写道:“FortiWLM 中的相对路径遍历 [CWE-23] 可能允许远程未
继续阅读Apache Struts2 文件上传逻辑绕过(CVE-2024-53677)(S2-067)
Apache Struts2 文件上传逻辑绕过(CVE-2024-53677)(S2-067) 网络安全者 2024-12-19 16:00 前言 Apache官方公告 又更新了一个Struts2的漏洞,考虑到很久没有发无密码的博客了,再加上漏洞的影响并不严重,因此公开分享利用的思路。 分析 影响版本 Struts 2.0.0 – Struts 2.3.37 ( EOL ), Stru
继续阅读【漏洞复现】Apache Tomcat竞争条件远程代码执行漏洞(CVE-2024-50379)
【漏洞复现】Apache Tomcat竞争条件远程代码执行漏洞(CVE-2024-50379) cexlife 飓风网络安全 2024-12-19 15:32 漏洞描述: ApacheTomcat是由Apache软件基金会下属的Jakarta项目开发的Servlet容器,2024年12月,官方披露CVE-2024-50379Apache Tomcat 条件竞争文件上传漏洞。 由于 Apache T
继续阅读「漏洞复现」方正畅享全媒体新闻采编系统 screen.do SQL注入漏洞
「漏洞复现」方正畅享全媒体新闻采编系统 screen.do SQL注入漏洞 冷漠安全 冷漠安全 2024-12-19 13:57 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无
继续阅读【漏洞通告】Cleo 远程代码执行漏洞 ( CVE-2024-50623 )
【漏洞通告】Cleo 远程代码执行漏洞 ( CVE-2024-50623 ) 安迈信科应急响应中心 2024-12-19 12:35 01 漏洞概况 Cleo LexiCom、VLTransfer 和 Harmony 软件中存在不受限制的文件上传和下载漏洞,由于缺乏对上传文件和下载功能的适当验证和限制,攻击者可能利用该漏洞上传恶意文件并可能利用系统的访问/下载功能或其他机制触发恶意文件执
继续阅读【漏洞通告】GitLab Kubernetes Proxy Response NEL 头注入漏洞(CVE-2024-11274)
【漏洞通告】GitLab Kubernetes Proxy Response NEL 头注入漏洞(CVE-2024-11274) 安迈信科应急响应中心 2024-12-19 12:35 01 漏洞概况 由于 GitLab CE/EE 中的 Kubernetes 代理功能未正确处理或验证注入的 Network Error Logging (NEL)头,攻击者可通过在 Kubernetes
继续阅读【漏洞通告】Ivanti Cloud Services Application 身份验证绕过漏洞(CVE-2024-11639)
【漏洞通告】Ivanti Cloud Services Application 身份验证绕过漏洞(CVE-2024-11639) 安迈信科应急响应中心 2024-12-19 12:35 01 漏洞概况 Ivanti CSA 5.0.3版本之前在管理 Web 控制台中存在身份验证绕过漏洞,未经身份验证的远程攻击者可利用该漏洞获取管理访问权限,从而可能导致敏感信息泄露、篡改配置/设置或执行其他
继续阅读Fortinet 警告可能导致管理员访问漏洞的关键 FortiWLM 漏洞
Fortinet 警告可能导致管理员访问漏洞的关键 FortiWLM 漏洞 信息安全大事件 2024-12-19 12:00 Fortinet 针对影响 Wireless LAN Manager (FortiWLM) 的现已修补的关键安全漏洞发布了公告,该漏洞可能导致敏感信息泄露。 该漏洞被跟踪为 CVE-2023-34990,CVSS 评分为 9.6 分(满分 10.0 分)。 “FortiWL
继续阅读