【安全圈】慎用,知名压缩工具7-Zip存在严重漏洞
【安全圈】慎用,知名压缩工具7-Zip存在严重漏洞 安全圈 2024-11-26 11:01 关键词 安全漏洞 近日,主流文件压缩工具7-Zip被曝存在一个严重的安全漏洞,允许远程攻击者通过精心制作的存档执行恶意代码。该漏洞编号为CVE-2024-11477,CVSS评分7.8分,表明受影响版本的用户面临重大安全风险。 漏洞存在于 Zstandard 解压缩的实现中。此问题是由于未正确验证用户提供
继续阅读标签: 复现
360发布大模型安全警报:近40个漏洞易被利用,60美元即可投毒
360发布大模型安全警报:近40个漏洞易被利用,60美元即可投毒 中国信息安全 2024-11-26 10:59 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 11月25日,360数字安全集团漏洞研究院发布了全球首份一份《大模型安全漏洞报告》, 揭示了当前以大模型为核心的大量技术应用在计算机安全领域带来的诸多新风险和挑战。据报告统计,360安全团队在近期的研究
继续阅读低成本就能给大模型投毒?360发布全球首份大模型漏洞报告
低成本就能给大模型投毒?360发布全球首份大模型漏洞报告 360数字安全集团 FreeBuf 2024-11-26 10:57 11月25日,360数字安全集团漏洞研究院发布了全球首份《大模型安全漏洞报告》,揭示了当前以大模型为核心的大量技术应用在计算机安全领域带来的诸多新风险和挑战。 据报告统计,360安全团队在近期的研究中挖掘了近40个大模型相关的安全漏洞,覆盖模型层、框架层、应用层三大层面,
继续阅读慎用,知名压缩工具7-Zip存在严重漏洞
慎用,知名压缩工具7-Zip存在严重漏洞 老布 FreeBuf 2024-11-26 10:57 近日,主流文件压缩工具7-Zip被曝存在一个严重的安全漏洞,允许远程攻击者通过精心制作的存档执行恶意代码。该漏洞编号为CVE-2024-11477,CVSS评分7.8分,表明受影响版本的用户面临重大安全风险。 漏洞存在于 Zstandard 解压缩的实现中。此问题是由于未正确验证用户提供的数据而导致的
继续阅读惊喜开班!系统0day安全-IOT设备漏洞挖掘
惊喜开班!系统0day安全-IOT设备漏洞挖掘 看雪课程 看雪学苑 2024-11-26 10:00 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureNexusLab】,
继续阅读Feroxbuster-高效发现隐藏路径和漏洞(详细教程)
Feroxbuster-高效发现隐藏路径和漏洞(详细教程) 原创 zangcc Eureka安全团队 2024-11-26 09:59 点击上方 蓝字 关注我们 0x01 feroxbuster的安装 文末抽奖送书:《Java网络爬虫精解与实践》89💰 x2 官网下载地址,能适配的系统很全,找到自己系统的版本下载下来就可以了。 https://github.com/epi052/feroxbust
继续阅读2024 漏洞赏金猎人手记:100条建议
2024 漏洞赏金猎人手记:100条建议 原创 ArchAngelDDay 再说安全 2024-11-26 09:33 你需要足够谦虚,认识到你可能会失去一切,但也要足够自信,相信你可以收回一切。 编号 描述 1 新目标至少探测30分钟; 2 寻找逻辑漏洞; 3 XSS测试用斜体标签代替Payload; 4 重点关注多租户SaaS应用; 5 购置Burp Pro; 6 直奔用户管理模块; 7 检查
继续阅读BoidCMSv.2.0.0 后台文件上传漏洞(CVE-2023-38836)
BoidCMSv.2.0.0 后台文件上传漏洞(CVE-2023-38836) 原创 張童學 Nick安全 2024-11-26 09:25 0x01、漏洞环境 1、春秋云镜:https://yunjing.ichunqiu.com/cve/detail/1130?type=1&pay=2 0x02、漏洞详情 BoidCMS是一个免费的开源平面文件 CMS,用于构建简单的网站和博客,使用
继续阅读【逻辑漏洞】并发漏洞——经典案例
【逻辑漏洞】并发漏洞——经典案例 原创 狗头安全 狗头网络安全 2024-11-26 09:16 一.简单介绍 1.1 并发漏洞概述 并发漏洞是指在多线程或多进程环境中,由于对共享资源的访问没有正确的同步控制,导致程序行为异常或安全问题的漏洞 当多个线程或进程并发访问共享资源,并且操作的执行顺序未被正确同步时,可能会导致不可预知的结果。例如,两个线程同时检查一个共享变量,然后尝试修改它,而没有任何
继续阅读semcms存在多处漏洞(水一篇文章)
semcms存在多处漏洞(水一篇文章) 原创 自然嗨 嗨嗨安全 2024-11-26 09:14 声明 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 前期提要: 该cms的漏洞均已被修复,只探讨寻找漏洞的过程。 漏洞较为基础 。 如有侵权!请后台联系,删除文章。
继续阅读圣乔ERP系统 login.action Struts2远程代码执行漏洞复现
圣乔ERP系统 login.action Struts2远程代码执行漏洞复现 原创 红岸基地赵小龙 暗影网安实验室 2024-11-26 09:00 产品简介 圣乔ERP系统是杭州圣乔科技有限公司开发的一款企业级管理软件,旨在为企业提供一套全面、集成化的管理解决方案,帮助企业实现资 源的优化配置和高效利用。该系统集成了财务、人力资源、生产、销售、供应链等多个业务模块,实现了企业内外部信息的无缝连接
继续阅读「漏洞复现」海信智能公交企业管理系统 AdjustWorkHours.aspx SQL注入漏洞
「漏洞复现」海信智能公交企业管理系统 AdjustWorkHours.aspx SQL注入漏洞 冷漠安全 冷漠安全 2024-11-26 08:47 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞
网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞 安全内参编译 安全内参 2024-11-26 08:36 关注我们 带你读懂网络安全 攻击者通过组合利用两个零日漏洞,实现了远程完全控制PAN-OS安全设备; 据第三方监测,自攻击活动开始以来,已有约2000台PAN-OS设备被入侵; 研究人员对官方修复补丁进行逆向工程,发现这些漏洞源于开发中的低级错误。 前情回顾·零日漏
继续阅读360发布《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞
360发布《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 360数字安全 数世咨询 2024-11-26 08:00 近年来,全球人工智能浪潮持续升温,大模型作为AI领域中的重要一环,其能力随着平台算力的提升、训练数据量的积累、深度学习算法的突破,得到了进一步提升。然而以大模型为核心涌现的大量技术应用背后,也带来诸多新的风险和挑战。 近日,360数字安全集团发布《大模型安全漏洞报告》(以下
继续阅读著名压缩工具7-Zip 存在远程代码执行漏洞——CVE-2024-11477
著名压缩工具7-Zip 存在远程代码执行漏洞——CVE-2024-11477 原创 棉花糖糖糖 棉花糖fans 2024-11-26 04:07 在流行的文件压缩工具7-Zip中发现了一个高危漏洞(CVE-2024-11477),可能允许攻击者在易受攻击的系统上执行恶意代码。 该漏洞由趋势科技安全研究人员Nicholas Zubrisky发现,存在于程序的Zstandard解压缩功能中。由于对用户
继续阅读漏洞挖掘 | 绕过 Mozilla 的邮箱验证
漏洞挖掘 | 绕过 Mozilla 的邮箱验证 白帽子左一 白帽子左一 2024-11-26 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 分享一个在 Mozilla 的某款产品中的有趣业务逻辑漏洞。 应用的工作原理 首先,让我快速介绍一下该应用的工作原理。 Mozilla Monitor 旨在帮助用户了解数据
继续阅读Nacos未授权下载配置信息【漏洞复现|附nuclei-POC】
Nacos未授权下载配置信息【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2024-11-26 03:51 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: Nacos未授权下载配置信息。 攻击者通过访问特定路径,非法获取配置文件等在内
继续阅读如何通过发现 API漏洞赚到百万美刀
如何通过发现 API漏洞赚到百万美刀 迪哥讲事 2024-11-26 02:30 关注我们丨文末赠书 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发放了超过3亿美
继续阅读【漏洞复现】某平台-quickReceiptDetail-mysql-sql注入漏洞
【漏洞复现】某平台-quickReceiptDetail-mysql-sql注入漏洞 原创 南极熊 SCA御盾 2024-11-26 02:22 关注SCA御盾共筑网络安全 (文末见星球活动) SCA御盾实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提
继续阅读企望制造ERP系统 drawGrid.action SQL注入漏洞
企望制造ERP系统 drawGrid.action SQL注入漏洞 Superhero nday POC 2024-11-26 02:05 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读第一次听说漏洞复现也能赚钱
第一次听说漏洞复现也能赚钱 Code4th安全团队 Code4th安全团队 2024-11-26 01:16 对于 很多爱好或从事网络安全行业的师傅们来说,漏洞赏金计划无疑是一个既有趣又带劲儿的选择。不过,不少刚入门的小伙伴可能会疑惑:复现漏洞有什么实际收益?或者该从哪里入手? 其实,漏洞复现本身往往不直接带来收入,它更注重熟悉漏洞原理和技术提升。通常情况下,复现漏洞是为了理解代码中产生漏洞的原因
继续阅读【漏洞复现】致翔OA接口open_juese.aspx存在SQL注入漏洞
【漏洞复现】致翔OA接口open_juese.aspx存在SQL注入漏洞 原创 漏洞文库 漏洞文库 2024-11-26 01:09 免责声明 **** 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的
继续阅读【漏洞复现】ArcGIS地理空间平台manager任意文件读取漏洞
【漏洞复现】ArcGIS地理空间平台manager任意文件读取漏洞 原创 清风 白帽攻防 2024-11-26 01:07 免责声明:请勿使用本文中提到的技术进行非法测试或行为。使用本文中提供的信息或工具所造成的任何后果和损失由使用者自行承担,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 简介 ArcGIS是由美国Esri公司开发的一款地理信息系统(GIS)软件,融合了数据库技术、
继续阅读47套.NET系统漏洞威胁情报(11.26更新)
47套.NET系统漏洞威胁情报(11.26更新) 专攻.NET安全的 dotNet安全矩阵 2024-11-26 00:22 47 某行ERM系统SQL注入漏洞 47.1 漏洞概述 某行协同CRM普及版CommonDict/Edit 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
继续阅读重点防范!官方最新通报一批恶意网址和高危漏洞
重点防范!官方最新通报一批恶意网址和高危漏洞 威努特安全网络 2024-11-26 00:02 近期,中国国家网络与信息安全信息通报中心持续发现一批境外恶意网址和恶意IP,有多个具有某大国政府背景的境外黑客组织,利用这些网址和IP持续对中国和其他国家发起网络攻击。 这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、网络钓鱼、勒索病毒等,以达到窃取商业秘密和知
继续阅读漏洞预警 | 赛普EAP企业适配管理平台任意文件上传漏洞
漏洞预警 | 赛普EAP企业适配管理平台任意文件上传漏洞 浅安 浅安安全 2024-11-26 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 赛普EAP企业适配管理平台是一款专为企业设计的综合管理解决方案,旨在帮助企业提高运营效率和灵活性。 0x03 漏洞详情 漏洞类型: 任意文件 上传 影响: 上传恶意脚本 简述:赛普EA
继续阅读【1Day】北京亚控科技发展有限公司KingH5Stream系统存在逻辑缺陷漏洞
【1Day】北京亚控科技发展有限公司KingH5Stream系统存在逻辑缺陷漏洞 银遁安全团队 2024-11-25 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **北京亚控科技发展有限公司是一家成立于1997年的工业自动化和信息化软件平台高科技企业。KingH5Stream是基于HTML5技术的优秀视频直播方案,具有低延迟、高性能
继续阅读Spring Cloud Data Flow高危漏洞(CVE-2024-37084)
Spring Cloud Data Flow高危漏洞(CVE-2024-37084) XiaomingX 网络安全者 2024-11-25 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全
继续阅读【漏洞预警】7-Zip代码执行漏洞CVE-2024-11477
【漏洞预警】7-Zip代码执行漏洞CVE-2024-11477 cexlife 飓风网络安全 2024-11-25 14:06 漏洞描述: 7-Zip是一款免费的开源文件压缩和解压工具,支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式,7-Zip中修复了一个代码执行漏洞(CVE-2024-11477),该漏洞的CVSS评分为7.8。 7-Zip Zstandard解
继续阅读