【Exp】Windows 11 通用日志文件系统驱动程序存在提权漏洞 0day
【Exp】Windows 11 通用日志文件系统驱动程序存在提权漏洞 0day 独眼情报 2024-10-26 10:45 SSD Advisory – Common Log File System (CLFS) driver PE Windows 11 的通用日志文件系统 (CLFS) 驱动程序中发现了一个严重漏洞。此漏洞使本地用户能够通过利用系统内的特定功能来获得提升的权限。 问题
继续阅读标签: 复现
【PoC】Wi-Fi 联盟测试套件中存在命令注入 0day漏洞CVE-2024-41992
【PoC】Wi-Fi 联盟测试套件中存在命令注入 0day漏洞CVE-2024-41992 独眼情报 2024-10-26 10:45 一个影响 Wi-Fi 测试套件的安全漏洞可能使未经身份验证的本地攻击者能够以提升的权限执行任意代码。 计算机应急响应中心(CERT/CC)表示,这个被追踪为 CVE-2024-41992 的漏洞涉及 Wi-Fi 联盟的易受攻击代码,该代码已在 Arcadyan F
继续阅读CVE-2024-9465:Palo Alto Expedition 未经身份验证的 SQL 注入 POC
CVE-2024-9465:Palo Alto Expedition 未经身份验证的 SQL 注入 POC 合规渗透 2024-10-26 09:59 2024 年 7 月 10 日,Palo Alto 发布了CVE-2024-5910的安全公告,该漏洞允许攻击者远程重置 Expedition 应用程序管理员凭据。虽然我们以前从未听说过Expedition应用程序,但它的广告是: 此工具的目的是帮
继续阅读【漏洞预警】php-heic-to-jpg远程代码执行CVE-2024-48514
【漏洞预警】php-heic-to-jpg远程代码执行CVE-2024-48514 cexlife 飓风网络安全 2024-10-25 22:55 漏洞描述: рhр-hеiс-tо-јрɡ版本<=1.0.5存在远程代码执行漏洞,能够上传hеiс 图片的攻击者可以通过文件名在远程服务器上执行代码。因此,CIA(机密性、完整性、可用性)不再得到保证,这影响了рhр-hеiс-tо-јрɡ 1.
继续阅读易宝OA ExecuteQueryForDataSetBinary SQL注入漏洞复现
易宝OA ExecuteQueryForDataSetBinary SQL注入漏洞复现 Superhero Nday Poc 2024-10-25 20:21 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时
继续阅读勒索攻击离你有多远?(附勒索漏洞检测列表)
勒索攻击离你有多远?(附勒索漏洞检测列表) 长亭科技 2024-10-25 18:06 2023年11月,一家知名金融机构在美子公司突然在官网发布紧急声明,称公司遭受了勒索软件攻击,导致部分业务系统中断。该事件迅速引发市场和监管机构的关注。 2024年8月,全球石油巨头哈里伯顿(Halliburton)遭遇勒索攻击,IT系统遭到破坏,业务运营陷入混乱,订单采购等日常业务受到影响。勒索软件组织向哈里
继续阅读Fortinet安全产品出现高危零日漏洞,恶意组织积极利用
Fortinet安全产品出现高危零日漏洞,恶意组织积极利用 看雪学苑 看雪学苑 2024-10-25 17:59 网络安全公司Fortinet日前披露了自家软件产品FortiManager存在的一个关键零日漏洞,能够允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。目前该漏洞已在野外被积极利用。 该漏洞被追踪为CVE-2024-47575,CVSS v3评分高达9.8,对多个版本的Fo
继续阅读苹果创建 Private Cloud Compute VM 助力漏洞挖掘
苹果创建 Private Cloud Compute VM 助力漏洞挖掘 Ionut Ilascu 代码卫士 2024-10-25 17:40 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果创建了一个虚拟研究环境,供研究员测试其Private Cloud Compute(PCC,私有云计算)系统的安全,并发布一些“关键组件”的源代码,帮助研究员分析该脚骨的隐私和安全特性。 苹果公司还希
继续阅读思科紧急修复已遭利用的 ASA 和 FTD 软件漏洞
思科紧急修复已遭利用的 ASA 和 FTD 软件漏洞 THN 代码卫士 2024-10-25 17:40 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,思科表示修复ASA中一个拒绝服务(DoS)漏洞CVE-2024-20481(CVSS评分5.8)。 该漏洞影响思科 ASA 和 FTD 软件的远程访问VPN (RAVPN) 服务,因资源耗尽造成,可被未认证的远程攻击者用于在RAVP
继续阅读【公告】中通安全应急响应中心漏洞评分标准V4.0正式发布
【公告】中通安全应急响应中心漏洞评分标准V4.0正式发布 中通安全应急响应中心 2024-10-25 09:22 为适应公司业务范围调整的变化 同时有效提升 中通SRC白帽师傅与平台的体验, 中通安全应急响应中心漏洞评分标准V4.0(试运行版)已 正式发布 (文末点击阅读原文可见完整内容) 为方便大家快速了解 现就本次更新的主要内容进行重点展示 业务系数说明 随着中通内部业务的发展变化,本次更新调
继续阅读企业SRC简单漏洞挖掘
企业SRC简单漏洞挖掘 原创 青春计协 青春计协 2024-10-24 22:57 GRADUATION 点击蓝字 关注我们 前言: 企业SRC简单漏洞挖掘,几个例子分享 A、短信轰炸: XX小程序——主页——注册用户——手机号——获取验证码(重复进行这一步,可重复获取) B、验证码/不失效可爆破: C、信息泄露: 1、没注销之前: 2、注销再次注册: 3、新用户登录: (历史订单记录依旧存在)
继续阅读「漏洞复现」东胜物流软件 GetProParentModuTreeList SQL注入漏洞
「漏洞复现」东胜物流软件 GetProParentModuTreeList SQL注入漏洞 冷漠安全 冷漠安全 2024-10-24 22:33 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读【漏洞预警】Fortinet FortiManager身份验证缺陷漏洞CVE-2024-47575
【漏洞预警】Fortinet FortiManager身份验证缺陷漏洞CVE-2024-47575 cexlife 飓风网络安全 2024-10-24 20:33 漏洞描述: Fortinet发布安全公告,修复了FortiManager平台中存在的一个身份认证缺陷漏洞,该漏洞源于fgfmsd守护进程中的认证缺失缺陷,可能允许远程未认证攻击者通过特制请求执行任意命令或代码,鉴于漏洞影响较大,建议受影
继续阅读0day 挖到手软,403 到 getshell
0day 挖到手软,403 到 getshell 原创 private null 轩公子谈技术 2024-10-24 18:03 开局 403 于是,开启目录扫描工作。 log.txt 文件泄露了日志内容,其中皆是报错信息,并且能够看到绝对路径。 test.html 疑似为前台静态页面,登录时无反应。 而 business 打开后会出现一个网站,在该网站上既可以登录,也能够进行注册。 首先
继续阅读【漏洞通告】Fortinet FortiManager 身份验证漏洞(CVE-2024-47575)
【漏洞通告】Fortinet FortiManager 身份验证漏洞(CVE-2024-47575) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-24 17:55 漏洞名称: Fortinet FortiManager 身份验证漏洞(CVE-2024-47575) 组件名称: Fortinet-FortiManager 影响范围: FortiManager 7.6.07.4.0 ≤
继续阅读CNNVD | 关于Fortinet FortiManager访问控制错误漏洞的通报
CNNVD | 关于Fortinet FortiManager访问控制错误漏洞的通报 中国信息安全 2024-10-24 17:41 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况**** 近日,国家信息安全漏洞库(CNNVD)收到关于Fortinet FortiManager访问控制错误漏洞(CNNVD-202410-2613、CVE-2024-47
继续阅读【在野利用】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告
【在野利用】Fortinet FortiManager 身份认证绕过漏洞(CVE-2024-47575)安全风险通告 奇安信 CERT 2024-10-24 11:23 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiManager 身份认证绕过漏洞 漏洞编号 QVD-2024-43936,CVE-2024-47575 公开时间 2024-10-23
继续阅读【漏洞预警】Microsoft Remote Registry Service特权提升漏洞CVE-2024-43532
【漏洞预警】Microsoft Remote Registry Service特权提升漏洞CVE-2024-43532 cexlife 飓风网络安全 2024-10-23 23:26 漏洞描述: Microsoft Remote Registry Service(远程注册表服务)是Windows 操作系统中的一个服务,允许远程用户通过网络访问和修改计算机上的注册表。,Microsoft Remot
继续阅读时空智友企业流程化管控系统uploadStudioFile接口存在任意文件上传漏洞 -老漏洞
时空智友企业流程化管控系统uploadStudioFile接口存在任意文件上传漏洞 -老漏洞 南风漏洞复现文库 2024-10-23 23:13 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 时空智友企业流程化管控系统简介 微信公众号
继续阅读高校人力资源管理服务平台系统ReportServer接口存在敏感信息泄露漏洞 附POC
高校人力资源管理服务平台系统ReportServer接口存在敏感信息泄露漏洞 附POC 2024-10-23更新 南风漏洞复现文库 2024-10-23 23:13 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 高校人力资源管理服务平
继续阅读号卡极团分销管理系统 index.php SQL注入漏洞
号卡极团分销管理系统 index.php SQL注入漏洞 Superhero Nday Poc 2024-10-23 21:33 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉
继续阅读甄云SRM云平台 SpEL表达式注入漏洞(XVE-2024-18301)
甄云SRM云平台 SpEL表达式注入漏洞(XVE-2024-18301) 冷漠安全 冷漠安全 2024-10-23 21:23 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读【安全圈】K8s曝9.8分漏洞,黑客可获得Root访问权限
【安全圈】K8s曝9.8分漏洞,黑客可获得Root访问权限 安全圈 2024-10-23 19:00 关键词 安全漏洞 近日,安全研究人员Nicolai Rybnikar 发现Kubernetes镜像构建器中存在严重安全漏洞(CVE-2024-9486 ,CVSS :9.8),攻击者可在特定情况下获得Root级访问权限,从而导致系统出现问题。 Nicolai Rybnikar进一步表示,该漏洞可允
继续阅读美国海关执法局间谍软件项目被叫停,将接受白宫合规审查;新型Spectre漏洞变种持续威胁Intel和AMD处理器安全性 | 牛览
美国海关执法局间谍软件项目被叫停,将接受白宫合规审查;新型Spectre漏洞变种持续威胁Intel和AMD处理器安全性 | 牛览 安全牛 2024-10-23 13:23 新闻速览 •美国海关执法局间谍软件合同被叫停,将接受白宫审查 •澳大利亚发布首份商业AI产品使用隐私指南 •北京市新增12款已完成备案的生成式人工智能服务 •《网络安全标准实践指南》文件管理办法、标准参与单位管理办法等2项制度文
继续阅读实战 | 记一次实战中SelfXSS+CSRF+越权漏洞的组合拳
实战 | 记一次实战中SelfXSS+CSRF+越权漏洞的组合拳 Z2O安全攻防 2024-10-22 22:13 0x01 前言 在渗透测试中,经常能够遇到这样一种XSS漏洞,它通常存在于比较隐私的个人信息配置等等功能中,有一个非常鲜明的特点就是“只有自己可见,别人不可见”,XSS漏洞只能攻击自己自然是毫无价值的,因此此类Self-XSS几乎不会被SRC所接受。本文通过对一个在线游戏平台的测试经
继续阅读鸿宇多用户商城 scan_list.php SQL注入漏洞
鸿宇多用户商城 scan_list.php SQL注入漏洞 Superhero Nday Poc 2024-10-22 20:41 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致
继续阅读突破!首次利用大模型在真实环境发现十余个零日漏洞
突破!首次利用大模型在真实环境发现十余个零日漏洞 安全内参 奇安信集团 2024-10-22 20:04 静态代码分析工具Vulnhuntr利用Claude AI识别零日漏洞,并推测漏洞利用代码。 安全内参10月21日消息,美国AI安全厂商Protect AI的研究人员推出了一款免费开源的工具 Vulnhuntr 。 借助Anthropic的Claude AI模型,该工具能够在Python代码库中
继续阅读K8s曝9.8分漏洞,黑客可获得Root访问权限
K8s曝9.8分漏洞,黑客可获得Root访问权限 老布 FreeBuf 2024-10-22 19:02 左右滑动查看更多 近日,安全研究人员Nicolai Rybnikar 发现Kubernetes镜像构建器中存在严重安全漏洞(CVE-2024-9486 ,CVSS :9.8),攻击者可在特定情况下获得Root级访问权限,从而导致系统出现问题。 Nicolai Rybnikar进一步表示,该漏洞
继续阅读谷歌云漏洞奖励计划发布,最高赏金101010美元
谷歌云漏洞奖励计划发布,最高赏金101010美元 Ionut Arghire 代码卫士 2024-10-22 17:27 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌云发布新的漏洞奖励计划 (VRP),如研究员能发现相关产品和服务的漏洞,则最高可获得101010美元的奖励。 这项新的VRP涵盖了460多款产品和服务,研究人员将与谷歌云安全工程师直接交流,使漏洞能够更快地被诊断、复现和
继续阅读雷神众测漏洞周报2024.10.14-2024.10.20
雷神众测漏洞周报2024.10.14-2024.10.20 原创 雷神众测 雷神众测 2024-10-22 15:33 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读