朗速ERP FileUploadApi.ashx 任意文件上传漏洞
朗速ERP FileUploadApi.ashx 任意文件上传漏洞 Superhero nday POC 2025-02-09 08:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读标签: 复现
【安全预警】万户ezoffice协同办公平台SignatureEditFrm存在SQL注入漏洞
【安全预警】万户ezoffice协同办公平台SignatureEditFrm存在SQL注入漏洞 hyuya 安全卫士小帮手 2025-02-09 04:36 来源:https://www.ddpoc.com/DVB-2024-8374.html 产商已修复,未更新补丁的请及时更新补丁,验证脚本和方式星球内自取
继续阅读快速上手渗透测试报告写作:从WP到甲方报告的一站式指南
快速上手渗透测试报告写作:从WP到甲方报告的一站式指南 原创 泷羽Sec-静安 泷羽Sec-静安 2025-02-08 22:01 关注公众号泷羽Sec-静安 ,回复关键词找工具+WP 获取本文分享的WP模板和工具 师傅们在渗透测试过程中肯定要写WP和报告,这里分享我个人关于怎么快速写出格式整齐,内容完整详细,方便后期复现回溯的WP或者称“渗透测试报告”的经验。 软件和工具 首先,记笔记的首选语言
继续阅读0026. 管理面板漏洞—访问罗技管理后台
0026. 管理面板漏洞—访问罗技管理后台 aman singh Rsec 2025-02-08 16:21 本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。 声明:本文搬运自国外互联网,如你是原作者,请联系我们! 标签:登录绕过 大家好,时隔许久,我又回来写一篇有趣的文章了。由于一些问题,今年我没有搜索过任何一款应用。希望一切很快好起来。所以,让我们不要浪费时间,赶紧开始吧! 图1
继续阅读人工智能和云漏洞并不是当今CISO 面临的唯一威胁
人工智能和云漏洞并不是当今CISO 面临的唯一威胁 铸盾安全 河南等级保护测评 2025-02-08 16:01 随着云基础设施以及最近的人工智能 (AI) 系统成为攻击者的主要目标,安全领导者正集中精力保护这些备受关注的领域。他们这样做也是正确的,因为网络犯罪分子转向新兴技术来发起和扩大越来越复杂的攻击。 然而,对新兴威胁的高度关注使得人们很容易忽视传统的攻击媒介,例如人为的社会工程学和物理安全
继续阅读【漏洞预警】JeecgBoot SQL注入漏洞
【漏洞预警】JeecgBoot SQL注入漏洞 cexlife 飓风网络安全 2025-02-08 13:58 漏洞描述: JеесɡBооt v.3.7.2中的SQL注入漏洞允许远程攻击者通过ɡеtTоtаlDаtа组件获取敏感信息。 影响产品及版本:JeecgBootv.3.7.2攻击场景:攻击者可能通过getTotalData组件上传恶意文件,获取敏感信息。修复建议:JeecgBoot官方发
继续阅读【安全圈】微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷
【安全圈】微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷 安全圈 2025-02-08 11:02 关键词 恶意软件 科技媒体 bleepingcomputer 昨日(2 月 6 日)发布博文,报道称微软发出示警,有攻击者正利用网上公开的 ASP.NET 静态密钥,通过 ViewState 代码注入攻击部署恶意软件。 微软威胁情报专家近期发现,一些开发者在软件开发中使用了
继续阅读CVE-2024-21413 (CVSS 9.8):严重 Outlook 漏洞正受到主动攻击,PoC 可用
CVE-2024-21413 (CVSS 9.8):严重 Outlook 漏洞正受到主动攻击,PoC 可用 Ots安全 2025-02-08 10:32 Microsoft Outlook 中一个严重漏洞(编号为 CVE-2024-21413)正在被广泛利用,对全球组织构成重大威胁。该漏洞的 CVSS 评分为 9.8(满分 10 分),攻击者只需打开恶意电子邮件即可远程执行任意代码。 该漏洞由 C
继续阅读UWB技术在汽车安全中的应用
UWB技术在汽车安全中的应用 谈思实验室 2025-02-08 10:20 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 01 数字钥匙的深度剖析 随着科技的不断进步,各种技术正在悄然改变我们的日常生活。为了真正造福人类,技术不仅要简单易用,还需要具备安全性、可靠性和可信性。在这些技术中,射频(RF)技术无疑已经渗透到我们的生活中,从家家户户的Wi-Fi网络到智能手机的蜂窝通信,再到蓝牙技术
继续阅读关于PAN-OS DoS(CVE-2024-3393)的研究
关于PAN-OS DoS(CVE-2024-3393)的研究 pz1o 看雪学苑 2025-02-08 09:59 前段时间Palo Alto发布了一项漏洞通告[1],看漏洞信息是PAN-OS数据平面处理流量时产生DoS,其实之前PAN-OS也有过这样的DoS漏洞。但令笔者好奇的是,这次居然会影响Prisma Access,这款产品是Palo Alto公司实现零信任的关键组件,遂准备花些时间去做一
继续阅读招生中!系统0day安全-IOT设备漏洞挖掘(第6期)
招生中!系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-02-08 09:59 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。 然而,随着IoT设备的普及,安全问题也日益凸显。 IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureNexu
继续阅读Apache Calcite Avatica 远程代码执行 CVE-2022-36364
Apache Calcite Avatica 远程代码执行 CVE-2022-36364 原创 标准云 蚁景网络安全 2025-02-08 09:31 前段时间看到Apache Calcite Avatica远程代码执行漏洞 CVE-2022-36364 在网上搜索也没有找到相关的分析和复现文章,于是想着自己研究一下,看能不能发现可以利用的方法。 首先利用一下最近比较热门的 Deepseek ,询
继续阅读jeecg boot queryFieldBySql RCE漏洞分析
jeecg boot queryFieldBySql RCE漏洞分析 原创 kkk 漏洞推送 2025-02-08 08:59 环境搭建 后端 源码地址: https://github.com/jeecgboot/JeecgBoot 找到v3.5.3的commit,创建一个分支 安装Maven依赖 数据库配置文件: jeecg-module-system/jeecg-system-start/sr
继续阅读Confluence未授权漏洞分析(CVE-2023-22515)
Confluence未授权漏洞分析(CVE-2023-22515) 蚁景网安 2025-02-08 08:30 0x01 漏洞描述 Confluence 是由 Atlassian 开发的企业级协作软件。2023年10月,Atlassian 官方披露 CVE-2023-22515 Atlassian Confluence Data Center & Server 权限提升漏洞。攻击者可构造恶
继续阅读信息安全漏洞周报(2025年第4期)
信息安全漏洞周报(2025年第4期) 原创 CNNVD CNNVD安全动态 2025-02-08 06:19 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月20日至2025年1月26日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞875个。 接报漏洞情况 本周CNNVD接报漏洞13934个,其中信息技术产品漏洞(通用型漏洞)27
继续阅读信息安全漏洞周报(2025年第5期)
信息安全漏洞周报(2025年第5期) 原创 CNNVD CNNVD安全动态 2025-02-08 06:19 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月27日至2025年2月2日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞750个。 接报漏洞情况 本周CNNVD接报漏洞8296个,其中信息技术产品漏洞(通用型漏洞)15个,网络信息
继续阅读漏洞赏金实战:AFL++ 挖掘 GNOME libsoup 高危漏洞技术解析
漏洞赏金实战:AFL++ 挖掘 GNOME libsoup 高危漏洞技术解析 sigabrt9 securitainment 2025-02-08 05:37 【翻译】Using AFL++ on bug bounty programs an example with Gnome libsoup – Almond Offensive Security Blog 内容概要 :通过 AFL
继续阅读【0day】码支付系统存在前台任意文件读取漏洞
【0day】码支付系统存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2025-02-08 04:53 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 码支付是基于php开发的一套新型聚合收款、聚合支付系统,是一款专业的聚合免签收款系统,无需对接其余平台,个码就可收款,灰常的方便快捷,集成实现三网免挂功能,无需挂繁琐的监控软件就可实现回调,更便捷的监控方式,更优的产品质量. Fofa
继续阅读【安全预警】NUUO网络视频录像机upload.php 任意文件上传漏洞
【安全预警】NUUO网络视频录像机upload.php 任意文件上传漏洞 hyuya 安全卫士小帮手 2025-02-08 04:29 来源:微步在线 产商已修复,未更新补丁的请及时更新补丁,验证脚本和方式星球内自取
继续阅读从《哪吒之魔童闹海》看生物特征识别技术在网络安全中的应用
从《哪吒之魔童闹海》看生物特征识别技术在网络安全中的应用 原创 sanlihesec 独角鲸网络安全实验室 2025-02-08 03:51 大家好!今天,我想和大家聊聊一个非常有趣的话题,它源于最近大火的电影《哪吒2》。你们还记得那个情节吗?无量仙翁去天牢,结果需要扫脸才能打开门。这本来是个高科技的设定,但问题来了,之前他被哪吒和敖丙揍得很惨,脸都变形了,系统直接识别不了。没办法,只能重新录入现
继续阅读西联软件-移动门店管理系统 StreamToFile 任意文件上传漏洞
西联软件-移动门店管理系统 StreamToFile 任意文件上传漏洞 Superhero nday POC 2025-02-08 03:03 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读锐捷系统auth接口处存在远程命令执行漏洞【漏洞复现|附nuclei-POC】
锐捷系统auth接口处存在远程命令执行漏洞【漏洞复现|附nuclei-POC】 原创 kingkong 脚本小子 2025-02-08 02:50 免责声明: 本文内容仅供技术学习参考,请勿用于违法破坏。利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,与作者无关。如有侵权请联系删除。 漏洞描述: 锐捷系统auth接口处存在远程命令执行漏洞。 攻击者 可能利用此
继续阅读黑客利用SimpleHelp RMM漏洞实现持久访问并部署勒索软件
黑客利用SimpleHelp RMM漏洞实现持久访问并部署勒索软件 邑安科技 邑安全 2025-02-08 02:36 更多全球网络安全资讯尽在邑安全 据观察,威胁行为者利用 SimpleHelp 远程监控和管理 (RMM) 软件中最近披露的安全漏洞作为似乎是勒索软件攻击的前兆。 某网络安全公司的在新闻报道中表示,此次入侵利用了现已修复的漏洞,初步获取了对某个未公开目标网络的访问权限,并维持了持久
继续阅读网神SecFox运维安全管理与审计系统 FastJson反序列化RCE漏洞
网神SecFox运维安全管理与审计系统 FastJson反序列化RCE漏洞 Superhero nday POC 2025-02-08 01:54 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们
继续阅读.NET 通过代码审计发现 ERP 系统中两个任意文件上传漏洞
.NET 通过代码审计发现 ERP 系统中两个任意文件上传漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-08 01:35 文件上传功能是 Web 应用中非常重要且敏感的部分,如果缺乏完善的安全控制,极易成为攻击者利用的突破口。本文通过对 .NET 某 ERP 系统的两个文件上传功能进行代码审计与漏洞分析,揭示了潜在的任意文件上传风险及其危害。 01. 漏洞代码审计 在渗透测
继续阅读Solr 文件上传路径遍历漏洞(CVE-2024-52012)分析漏洞成因
Solr 文件上传路径遍历漏洞(CVE-2024-52012)分析漏洞成因 原创 安全圈我最菜wu 安全圈我最菜wu 2025-02-07 16:24 该漏洞影响运行于 Windows 系统 的 Solr 实例,核心问题在于其 configset 上传 API 对上传的 ZIP 文件未进行严格的路径合法性校验。攻击者可通过构造包含 相对路径(如 ../ ) 的恶意 ZIP 文件,将文件写入系
继续阅读黑客利用 Aviatrix Controller RCE 关键漏洞发起攻击
黑客利用 Aviatrix Controller RCE 关键漏洞发起攻击 Rhinoer 犀牛安全 2025-02-07 16:00 攻击者正在利用 Aviatrix Controller 实例中一个严重的远程命令执行漏洞(CVE-2024-50603)来安装后门和加密矿工。 Aviatrix 控制器是 Aviatrix 云网络平台的一部分,可增强多云环境的网络、安全性和运营可视性。它可供企业、
继续阅读APP渗透测试 — ZipEntry漏洞
APP渗透测试 — ZipEntry漏洞 网络安全者 2025-02-07 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: 链接:https://pan.quark.cn/s/eaad210c3229 00:00 – APP安全检测及on chip解压缩漏洞解析 对话首先介绍了通过在线工具如360、腾讯等对APK文件进行静态分析的检测方法,以及这些方法可能
继续阅读Microsoft Outlook高危在野漏洞正被积极利用
Microsoft Outlook高危在野漏洞正被积极利用 SecHaven 赛哈文 2025-02-07 13:04 Microsoft Outlook 中的一个严重漏洞(跟踪为 CVE-2024-21413)正在被广泛利用,对全球组织构成重大威胁。此漏洞的 CVSS 评分为 9.8 分(满分 10 分),允许攻击者远程执行任意代码,只需用户打开恶意电子邮件即可。 该漏洞由 Check Poin
继续阅读