Microsoft 10 月 CVE 漏洞预警
Microsoft 10 月 CVE 漏洞预警 网新安服 2024-10-09 18:31 点击上方蓝字关注我们,获取最新消息 1 基本情况 10 月份,Microsoft 发布了 117 个漏洞补丁,解决了 Microsoft Windows 和 Windows 组件、Office 和 Office 组件、 Azure、.NET 框架 和 Visual Studio、适用于 Windows 的
继续阅读标签: 复现
2024-10微软漏洞通告
2024-10微软漏洞通告 火绒安全 火绒安全 2024-10-09 18:27 微软官方发布了2024年10月的安全更新。本月更新公布了165个漏洞,包含43个远程执行代码漏洞、28个特权提升漏洞、26个拒绝服务漏洞、7个身份假冒漏洞、7个安全功能绕过漏洞、6个信息泄露漏洞、1个篡改漏洞,其中3个漏洞级别为“Critical”(高危),114个为“Important”(严重)。建议用户及时使用火
继续阅读最新Ruoyi漏洞复现
最新Ruoyi漏洞复现 原创 LULU 红队蓝军 2024-10-09 18:00 漏洞影响:若依4.7.8版本 漏洞成因 在 ruoyi 4.7.5 版本之前,后台接口/tool/gen/createTable处存在 sql 注入(CVE-2022-4566) 找到genTableService的实现类:GenTableServiceImpl,该类同样满足黑白名单条件 对应的 Mapper 语句
继续阅读【漏洞通告】Redis 缓冲区溢出漏洞(CVE-2024-31449)
【漏洞通告】Redis 缓冲区溢出漏洞(CVE-2024-31449) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-09 17:37 漏洞名称: Redis 缓冲区溢出漏洞(CVE-2024-31449) 组件名称: Redis 影响范围: 2.6 ≤ Redis < 6.2.167.0.0 ≤ Redis < 7.2.67.4.0 ≤ Redis < 7.4.1
继续阅读涉及121个漏洞!微软发布10月补丁日安全通告
涉及121个漏洞!微软发布10月补丁日安全通告 你信任的 亚信安全 2024-10-09 17:20 近日,亚信安全CERT监测到微软10月补丁日发布了针对121个漏洞的修复补丁。其中,3个漏洞被评为紧急,3个漏洞被评为高危,113个漏洞被评为重要,2个漏洞被评为中等,其中共包括28个特权提升漏洞,46个远程代码执行漏洞,26个拒绝服务漏洞,6个信息泄漏漏洞,7个欺骗漏洞,1个恶意篡改漏洞,7个安
继续阅读漏洞推送|用友U8CRM_fillbacksettingedit_存在SQL注入漏洞
漏洞推送|用友U8CRM_fillbacksettingedit_存在SQL注入漏洞 小白菜安全 2024-10-09 16:59 漏洞描述 用友U8-CRM是企业利用信息技术,是一项商业策略,它通过依据市场细分组织企业资源、培养以客户为中心的经营行为、执行以客户为中心的业务流程等手段来优化企业的客户满意度和获利能力。用友U8-CRM fillbacksettingedit 存在SQL注入漏洞。
继续阅读信息安全漏洞周报(2024年第40期 )
信息安全漏洞周报(2024年第40期 ) CNNVD CNNVD安全动态 2024-10-09 15:51 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年9月23日至2024年9月29日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞556个。 接报漏洞情况 本周CNNVD接报漏洞20204个,其中信息技术产品漏洞(通用型漏洞)239
继续阅读威胁行为者利用GeoServer漏洞CVE-2024-36401
威胁行为者利用GeoServer漏洞CVE-2024-36401 船山信安 2024-10-09 15:00 受影响的平台: GeoServer 2.23.6、2.24.4和2.25.2之前的版本 受影响的用户: 任何组织 影响: 远程攻击者可以控制易受攻击的系统 严重性等级: 严重 GeoServer是一个用Java编写的开源软件服务器,允许用户共享和编辑地理空间数据。它是开放地理空间联盟(OG
继续阅读【漏洞通告】微软10月多个安全漏洞
【漏洞通告】微软10月多个安全漏洞 启明星辰安全简讯 2024-10-09 14:52 一、漏洞概述 2024年10月9日,启明星辰集团VSRC监测到微软发布了10月安全更新,本次更新共修复了118个漏洞(不包括之前修复的3个Edge漏洞),漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。 本次安全更新中包括5个已经公开披露的0 day漏洞,其
继续阅读微软10月补丁日多个产品安全漏洞风险通告:2个在野利用、3个紧急漏洞
微软10月补丁日多个产品安全漏洞风险通告:2个在野利用、3个紧急漏洞 奇安信 CERT 2024-10-09 09:12 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年10月补丁日多个产品安全漏洞 影响产品 Microsoft Management Console、 Windows MSHTML Platform、Microsoft Configuration
继续阅读「0day」通过 iTunes 入侵 Windows – 本地权限提升
「0day」通过 iTunes 入侵 Windows – 本地权限提升 原创 7coinSec 7coinSec 2024-10-08 23:54 免责声明 本文章仅用于信息安全防御技术分享, 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关 ,请严格遵循法律法规。
继续阅读【漏洞预警】Jenkins OpenId Connect Authentication Plugin 身份验证缺陷漏洞
【漏洞预警】Jenkins OpenId Connect Authentication Plugin 身份验证缺陷漏洞 cexlife 飓风网络安全 2024-10-08 22:41 漏洞描述:Jenkins发布安全公告,其中公开了一个JenkinsOpenId Connect Authentication插件中的身份验证缺陷漏洞,该漏洞由于未检查ID令牌的“aud”(Audience)声明导致允
继续阅读【漏洞预警】Redis缓冲区溢出漏洞可致远程代码执行
【漏洞预警】Redis缓冲区溢出漏洞可致远程代码执行 cexlife 飓风网络安全 2024-10-08 22:41 漏洞描述: Redis发布安全公告,修复了多个安全漏洞,其中包括一个缓冲区溢出漏洞,可致远程代码执行,经过身份验证的用户可能通过精心制作的Lua脚本在位库中触发堆栈缓冲区溢出,该问题存在于具有Lua脚本功能的Redis中,已在Redis版本6.2.16、7.2.6和7.4.1中修复
继续阅读金和OA C6 SignUpload.ashx SQL注入漏洞
金和OA C6 SignUpload.ashx SQL注入漏洞 Superhero Nday Poc 2024-10-08 21:38 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章
继续阅读高通修复已遭利用的高危0day漏洞
高通修复已遭利用的高危0day漏洞 Sergiu Gatlan 代码卫士 2024-10-08 17:31 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 高通修复了位于 Digital Signal Processor (DSP) 服务中的一个高危 0day 漏洞 (CVE-2024-43047),它影响数十个芯片集。 该漏洞由谷歌 Project Zero 团队的研究员 Seth Jen
继续阅读Apache Avro SDK 中存在严重漏洞,可导致在 Java 应用中实现RCE
Apache Avro SDK 中存在严重漏洞,可导致在 Java 应用中实现RCE THN 代码卫士 2024-10-08 17:31 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache Avro Java SDK 中存在一个严重漏洞 (CVE-2024-47561),如被成功利用可导致攻击者在可疑实例上执行任意代码。 该漏洞影响 Apahe Avro Java SDK所有1.1
继续阅读安全热点周报:研究人员警告称,利用 Zimbra Collaboration 关键漏洞发起的攻击正在持续发生
安全热点周报:研究人员警告称,利用 Zimbra Collaboration 关键漏洞发起的攻击正在持续发生 奇安信 CERT 2024-10-08 17:10 安全资讯导视 • 《网络数据安全管理条例》公布 • 南昌市某企业IP疑被黑客远控并滥用,当地网信办罚款5万元 • 以色列黑入贝鲁特机场塔台,阻止伊朗飞机降落 PART01 新增在野利用 1.Zimbra Collaboration Jo
继续阅读上周关注度较高的产品安全漏洞(20240923-20240929)
上周关注度较高的产品安全漏洞(20240923-20240929) 国家互联网应急中心CNCERT 2024-10-08 15:02 一、境外厂商产品漏洞 1、Microsoft SQL Server远程代码执行漏洞(CNVD-2024-38793) Microsoft SQL Server是美国微软(Microsoft)公司的一套应用在Microsoft Windows系统下的大型商业数据库系统
继续阅读WPS Office从路径穿越到远程代码执行漏洞(CVE-2024-7262)分析与复现
WPS Office从路径穿越到远程代码执行漏洞(CVE-2024-7262)分析与复现 原创 烽火台实验室 Beacon Tower Lab 2024-10-08 10:55 漏洞概述 WPS Office程序promecefpluginhost.exe存在不当路径验证问题,允许攻击者在Windows上加载任意Windows库文件。该漏洞已被APT-C-60攻击者利用,当用户打开MHTML格式的
继续阅读CVE-2024-45519 poc exp
CVE-2024-45519 poc exp 原创 fgz AI与网安 2024-10-07 17:39 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Zimbra Collaboration Suite远程代码执行 漏洞 02 — 漏洞影响 Z
继续阅读CVE-2024-9014
CVE-2024-9014 原创 fgz AI与网安 2024-10-07 17:39 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 pgAdmin4 OAuth2 client ID与secret敏感信息泄漏漏洞 02 — 漏洞影响 pgAdm
继续阅读带你体验一款主流且开源的Web漏洞扫描工具
带你体验一款主流且开源的Web漏洞扫描工具 原创 筑梦网安 全栈安全 2024-10-07 16:22 OWASP ZAP是世界上最受欢迎的Web应用漏洞扫描工具,不仅免费而且还开源。ZAP可以帮助我们在开发和测试应用程序过程中,自动发现 Web应用程序中的安全漏洞。另外,它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。接下来从四个方面进行详细介绍。 1. ZAP简介 由Ch
继续阅读「漏洞复现」魅思-视频管理系统 getOrderStatus SQL注入漏洞
「漏洞复现」魅思-视频管理系统 getOrderStatus SQL注入漏洞 冷漠安全 冷漠安全 2024-10-07 11:56 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台
继续阅读微信公众号小说漫画系统存在前台任意文件上传漏洞(RCE)
微信公众号小说漫画系统存在前台任意文件上传漏洞(RCE) 原创 Mstir 星悦安全 2024-10-07 11:43 点击上方 蓝字关注我们 并设为 星标 0x00 前言 **源码描述:修复版掌上阅读小说源码_公众号漫画源码可以打包漫画app,掌上阅读小说源码支持公众号、代理分站支付功能完善强大的小说源码,可以对接微信公众号、APP打包。支持对接个人微信收款。 1新增签到、平台分享奖励书币、小说
继续阅读寻找 TeamViewer 0day 漏洞(二):逆向身份验证协议
寻找 TeamViewer 0day 漏洞(二):逆向身份验证协议 原创 一个不正经的黑客 一个不正经的黑客 2024-10-06 18:55 如果没有看过第一部分的读者,可以先从第一部分看起:寻找TeamViewer 0day漏洞—第一部分:故事的开始 本文开始 我开始逆向TeamViewer客户端,以了解认证过程是如何进行的。 不过,我将跳过这部分内容,因为最终我是通过逆向服务端来弄清楚认证方
继续阅读「漏洞复现」用友U8 CRM config/fillbacksetting.php SQL注入漏洞
「漏洞复现」用友U8 CRM config/fillbacksetting.php SQL注入漏洞 冷漠安全 冷漠安全 2024-10-06 10:42 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用
继续阅读某众测项目中有手就行的几个漏洞
某众测项目中有手就行的几个漏洞 菜鸟学信安 2024-10-06 10:02 1、多处存在水平越权漏洞 点击地址管理,抓包: 遍历userId即可 例如改为2206:(当前用户为2207) 个人资料处: 2、任意手机号绑定 点击完善资料 点击获取验证码,抓包: 验证码显示在返回包中: 输入验证码提交,成功绑定: 3、SQL注入 挂上burp,访问首页 会加载如下数据包: 发送到repeater ,
继续阅读【PoC】 TeamViewer 用户到内核权限提升
【PoC】 TeamViewer 用户到内核权限提升 独眼情报 2024-10-06 09:35 此仓库包含 TeamViewer 中漏洞的利用概念证明,该漏洞允许非特权用户将任意内核驱动程序加载到系统中。我要感谢 Zero Day Initiative 在报告和负责任地披露该漏洞方面与他们的协调。 – https://www.cve.org/CVERecord?id=CVE-2024
继续阅读新的蓝牙漏洞会在配对时可能泄露密码
新的蓝牙漏洞会在配对时可能泄露密码 原创 铸盾安全 河南等级保护测评 2024-10-06 05:39 蓝牙技术中最近发现的一个漏洞(编号为 CVE-2020-26558 )对支持各种蓝牙核心规范的设备构成了重大的安全风险。 该漏洞被称为“密钥输入协议中的模拟”,会影响使用 BR/EDR 安全简单配对、安全连接配对和 LE 安全连接配对中的密钥输入关联模型的设备。 漏洞详细信息 该缺陷存在于蓝牙核
继续阅读