【漏洞预警】Apache CloudStack请求来源验证绕过漏洞 CVE-2024-45693 cexlife 飓风网络安全 2024-10-17 21:06 漏洞描述:Apache CloudStack是一个开源的云计算管理平台,允许用户创建、管理和部署大规模虚拟化基础设施。在受影响的版本中,系统未能有效验证请求的来源,导致攻击者能够诱导已认证用户提交恶意的CSRF请求,这种攻击方式可能导致用
继续阅读【高危漏洞预警】Apache CloudStack 模板验证绕过漏洞CVE-2024-45219 cexlife 飓风网络安全 2024-10-17 21:06 漏洞描述:Apache CloudStack是开源的基础设施即服务云计算软件,支持包括 KVM在内的多种虚拟化技术,受影响版本中,由于缺少对上传和注册的 KVM 兼容模板和存储卷的验证,在启用配额功能的情况下,攻击者可以通过上传或注册恶意
继续阅读「漏洞复现」英飞达医学影像存档与通信系统 WebUserLogin.asmx 信息泄露漏洞 冷漠安全 冷漠安全 2024-10-17 19:30 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非
继续阅读谷歌:2023年被利用的漏洞70%是0 Day Zicheng FreeBuf 2024-10-17 19:14 谷歌Mandiant安全分析师警告称,攻击者发现和利用软件零日漏洞的能力增长已成为一个令人担忧的新趋势。 在2023年披露的138个被积极利用的漏洞中,有97个(70.3%)是0 Day漏洞,意味着大量漏洞在被供应商知道或修补之前就被攻击者用来实施攻击。 从2020年到2022年,N
继续阅读【安全圈】SolarWinds Web Help Desk曝出严重漏洞,已遭攻击者利用 安全圈 2024-10-17 19:00 关键词 安全漏洞 近日,CISA 在其 “已知漏洞”(KEV)目录中增加了三个漏洞,其中一个是 SolarWinds Web Help Desk (WHD) 中的关键硬编码凭据漏洞,供应商已于 2024 年 8 月底修复了该漏洞。 SolarWinds Web Help
继续阅读【安全圈】谷歌:2023年被利用的漏洞70%是0Day 安全圈 2024-10-17 19:00 关键词 安全漏洞 谷歌Mandiant安全分析师警告称,攻击者发现和利用软件零日漏洞的能力增长已成为一个令人担忧的新趋势。在2023年披露的138个被积极利用的漏洞中,有97个(70.3%)是0 Day漏洞,意味着大量漏洞在被供应商知道或修补之前就被攻击者用来实施攻击。 从2020年到2022年,N
继续阅读【漏洞预警】Oracle 2024年10月补丁日多个安全漏洞 cexlife 飓风网络安全 2024-10-16 23:37 漏洞描述:Oracle发布2024年10月关键安全补丁集合更新,修复了包含Oracle WebLogic Server、MySQL Server等多产品的高危漏洞,值得关注的漏洞有 Oracle WebLogic Server T3/IIOP 远程命令执行漏洞和未授权数据访
继续阅读漏洞预警 | Oracle WebLogic Server 存在反序列化漏洞 777 Eonian Sharp 2024-10-16 22:44 漏洞描述 漏洞危害等级:严重 漏洞类型:反序列化 影响范围” 影响版本: 12.2.1.4.0,14.1.1.0.0 CVSS向量 访问途径(AV):网络 攻击复杂度(AC):低 所需权限(PR):无需任何权限 用户交互(UI):不需要用户交互 影响范
继续阅读万户ezOFFICE协同管理平台 GeneralWeb XXE to RCE Bmth666 Z2O安全攻防 2024-10-16 21:10 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利
继续阅读用友 NC saveXmlToFIleServlet 任意文件上传漏洞(XVE-2024-6507) Superhero Nday Poc 2024-10-16 20:42 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章
继续阅读GitHub Enterprise Server中存在严重漏洞,可越权访问实例 THN 代码卫士 2024-10-16 18:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitHub 发布Enterprise Server (GHES) 安全更新,修复了多个问题,其中一个严重漏洞CVE-2024-9487(CVSS评分9.5)可导致越权访问实例。 GitHub 提到,“攻击者可利用
继续阅读24年9月必修安全漏洞清单|腾讯安全威胁情报中心 腾讯威胁情报中心 腾讯安全威胁情报中心 2024-10-16 15:25 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合
继续阅读腾讯安全威胁情报中心推出2024年9月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2024-10-16 14:44 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞
继续阅读捕获在野利用!Weblogic RCE 数月前已支持检测 原创 微步情报局 微步在线研究响应中心 2024-10-16 12:53 漏洞概况 WebLogic Server 是由 Oracle 公司开发的一款领先的 Java EE(现为 Jakarta EE)应用服务器。它提供了一个可靠、安全、可扩展的平台,用于开发、部署和管理企业级 Java 应用程序,包括 Web 应用程序、企业 JavaBe
继续阅读【复现】 WebLogic T3/IIOP 反序列化漏洞(CVE-2024-21216)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-10-16 10:26 赛博昆仑漏洞安全通告- WebLogic T3/IIOP 反序列化漏洞(CVE-2024-21216)风险通告 漏洞描述 WebLogic是美国 Oracle公司出品的一个 application server,确切的说是一个
继续阅读[漏洞挖掘与防护] 04.Windows系统安全缺陷之5次Shift漏洞启动计算机机理分析 原创 Eastmount 娜璋AI安全之家 2024-10-16 09:29 2024年4月28日是Eastmount的安全星球 —— 『网络攻防和AI安全之家』正式创建和运营的日子,并且已坚持5个月每周7更。该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每
继续阅读Oracle 2024年10月补丁日多产品高危漏洞安全风险通告 奇安信 CERT 2024-10-16 09:15 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2024年10月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2024-10-16 影响对象数量级 百万级 奇安信评级 高危 利用可
继续阅读泛微e-cology CptInstock1Ajax.jsp接口存在SQL注入漏洞 附POC 2024-10-15更新 南风漏洞复现文库 2024-10-15 23:29 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 泛微e-colo
继续阅读【漏洞预警】Apache ActiveMQ Artemis需授权,权限管理不当漏洞可导致远程代码执行 cexlife 飓风网络安全 2024-10-15 22:04 漏洞描述: ApacheActiveMQArtemis发布安全公告,公开了一个Apache ActiveMQArtemis中的权限管理不当漏洞,该漏洞是由于Apache ActiveMQ Artemis通过MBean提供对诊断信息和控
继续阅读用友U8 Cloud ExportUfoFormatAction SQL注入漏洞(XVE-2024-4626) Superhero Nday Poc 2024-10-15 21:21 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承
继续阅读api漏洞系列-API权限升级 迪哥讲事 2024-10-15 20:46 api漏洞系列-API权限升级 前言 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 主要逻辑 使用能够嵌入Crashlytics的fabric SDK,用twitter登录到他们的Android/IOS应用程序
继续阅读【安全圈】乡镇公交车系统信息泄露漏洞复现 安全圈 2024-10-15 19:00 关键词 信息泄露 公交IC卡系统是现代公交一卡通的核心,具有高科技和便捷性。它通过无现金支付提升乘客出行体验,实时收集数据优化运营管理。该系统的硬件基础包括读卡器和服务器,软件支持后台管理和数据分析,极大地提高了服务质量和管理效率。公交IC卡系统不仅为市民提供便捷服务,还推动了公共交通的信息化和智能化发展,为城市可
继续阅读ByteSRC活动|生活服务漏洞奖金提升!双倍积分专测来袭~ 字节跳动安全中心 2024-10-15 15:46 ByteSRC「生活服务」业务系数提升啦! 自9月26日起,已从中系数提升至 高系数 漏洞单价🆙🆙🆙 欢迎各位师傅大展身手,多多挖掘生服安全风险! 🙌 双倍积分专测安排上了! 安全漏洞+爬虫漏洞同步收取 👇马上get奖励方案👇 1 专测时间 10月15日-10月29日 提交报告标题请备
继续阅读雷神众测漏洞周报2024.10.08-2024.10.13 原创 雷神众测 雷神众测 2024-10-15 15:01 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读上周关注度较高的产品安全漏洞(20240930-20241013) 国家互联网应急中心CNCERT 2024-10-15 10:52 一、境外厂商产品漏洞 1、Siemens Simcenter Nastran堆缓冲区溢出漏洞 Simcenter Nastran是一个计算性能,精度和可靠性的有限元方法求解器。Siemens Simcenter Nastran存在堆缓冲区溢出漏洞,攻击者可利用该漏洞
继续阅读DataCon2024漏洞分析赛道 | 快来“挖洞”了,46万赏金等你拿! 助力DataCon的 补天平台 2024-10-15 10:01 由清华大学网络科学与网络空间研究院、奇安信集团、蚂蚁集团、广东联通、百度安全、赛尔网络主办,复旦大学计算机科学技术学院、西安交通大学、 腾讯安全应急响应中心、北京蓝莲网安科技有限公司协办的DataCon 2024大数据安全分析竞赛 报名正在进行中 。本届比赛
继续阅读【漏洞预警】Fortinet Fortiproxy未授权外部资源引用不当漏洞可致远程代码执行 cexlife 飓风网络安全 2024-10-14 23:57 漏洞描述:Fortinet FortiOS 是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。20
继续阅读【漏洞预警】Fortinet Fortiproxy越界写入漏洞 cexlife 飓风网络安全 2024-10-14 23:57 漏洞描述: Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能,Fortinet FortiOS存
继续阅读灵当CRM wechatSession/index.php接口处存在文件上传漏洞 附POC 2024-10-14更新 南风漏洞复现文库 2024-10-14 23:27 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 该文章仅供学习用途使用。 1. 灵当CRM 简
继续阅读用友GRP-U8 dialog_moreUser_check.jsp SQL注入漏洞(XVE-2024-10610) Superhero Nday Poc 2024-10-14 20:24 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请
继续阅读