上周关注度较高的产品安全漏洞(20241125-20241201)
上周关注度较高的产品安全漏洞(20241125-20241201) 金瀚信安 2024-12-09 08:12 一、境外厂商产品漏洞 1、 Google Pixel gsc_gsa.c文件缓冲区溢出漏洞 Google Pixel是美国谷歌(Google)公司的一款智能手机。Google Pixel存在缓冲区溢出漏洞,该漏洞源于gsc_gsa.c的gsc_gsa_rescue中边界检查不正确,攻击者
继续阅读标签: 敏感信息
全面防护:AI驱动持续安全验证,灵活应对万变攻击
全面防护:AI驱动持续安全验证,灵活应对万变攻击 聚焦智能攻防的 数世咨询 2024-12-09 08:00 随着网络安全威胁的不断演变,安全技术在实战化发展的同时,攻击者也在利用最新的技术和工具,如高级持续性威胁(APT)、勒索软件和供应链攻击,这些新型威胁往往绕过传统防御措施。零日漏洞和社会工程学手段使得攻击更加隐蔽和难以防范,而传统的静态安全防护措施已难以有效应对。其次,许多企业在安全投入上
继续阅读【活动】2024漏洞马拉松活动来袭,史无前例反爬专项单个奖励最高5w!
【活动】2024漏洞马拉松活动来袭,史无前例反爬专项单个奖励最高5w! 邀您专测的 Day1安全团队 2024-12-09 06:09 漏洞马拉松 –活动来袭– 01 活动时间 JSRC活动时间:12.9~12.23 02 提交地址 https://security.jd.com/ 03 马拉松高危奖 活动范围:京东全业务 提交格式:漏洞标题请添加【2024漏洞马拉松】 1
继续阅读劫持其他APT组织基础设施实施攻击,APT组织新战术曝光;罗克韦尔自动化软件曝多个严重漏洞,可被利用执行远程代码 | 牛览
劫持其他APT组织基础设施实施攻击,APT组织新战术曝光;罗克韦尔自动化软件曝多个严重漏洞,可被利用执行远程代码 | 牛览 安全牛 2024-12-09 05:41 点击蓝字·关注我们 / aqniu 新闻速览 •首届“数证杯”电子数据取证分析大赛闭幕 •我国公安机关查处新型侵犯公民个人信息案 •Scattered Spider黑客组织核心成员被捕,涉嫌发动860万次钓鱼攻击 •德国警方捣毁
继续阅读2024年10月份恶意软件之“十恶不赦”排行榜
2024年10月份恶意软件之“十恶不赦”排行榜 何威风 河南等级保护测评 2024-12-09 03:44 利用虚假的 CAPTCHA 页面来传播 Lumma Stealer 恶意软件,该恶意软件已攀升至月度恶意软件排行 榜第四位。 该活动以其全球影响力而著称,通过两种主要感染媒介影响多个国家:一种涉及破解的游戏下载 URL,另一种是通过针对 GitHub 用户的网络钓鱼电子邮件作为一种创新的攻击
继续阅读【漏洞复现】英飞达医学影像存档与通信系统WebUserLogin.asmx存在信息泄露
【漏洞复现】英飞达医学影像存档与通信系统WebUserLogin.asmx存在信息泄露 什么安全 2024-12-09 02:12 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 产品介绍 英飞达医学影像存档与通信系统 Pic
继续阅读2024年OWASP LLM安全漏洞年度报告
2024年OWASP LLM安全漏洞年度报告 龙猫 星尘安全 2024-12-09 02:00 市场概述 在生成式AI技术迅猛发展的2024年,企业对AI技术的采用呈现爆发式增长。根据Menlo Ventures发布的最新市场数据显示,2024年AI相关投资规模已达到138亿美元的历史新高,较2023年增长达6倍。调查数据显示,72%的美国企业决策者正在扩大其生成式AI工具的应用范围,反映出市场对
继续阅读漏洞预警 | 思普企业运营管理平台SQL注入漏洞
漏洞预警 | 思普企业运营管理平台SQL注入漏洞 浅安 浅安安全 2024-12-09 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 思普企业运营管理平台是一款专为企业提供全方位运营管理解决方案的软件平台,旨在帮助企业实现运营流程的可视化、自动化和协同化管理,提升运营效率和管理水平。 0x03 漏洞详情 漏洞类型: SQL注
继续阅读漏洞预警 | Zyxel ZLD防火墙路径遍历漏洞
漏洞预警 | Zyxel ZLD防火墙路径遍历漏洞 浅安 浅安安全 2024-12-09 00:00 0x00 漏洞编号 – # CVE-2024-11667 0x01 危险等级 – 高危 0x02 漏洞概述 Zyxel是国际知名的网络宽带系统及解决方案供应商。 0x03 漏洞详情 CVE-2024-11667 漏洞类型: 目录遍历**** 影响: 获取敏感信息 简述: Z
继续阅读一文看懂安卓JSB风险漏洞挖掘
一文看懂安卓JSB风险漏洞挖掘 原创 比心皮卡丘 暴暴的皮卡丘 2024-12-08 05:16 JSB基础 JavaScript Bridge(简称 JSB)是一种在移动端开发中广泛使用的技术,用于实现 JavaScript 与本地代码(如 Java 或 Kotlin)之间的通信。虽然 JSB 为混合开发提供了强大的能力,但其不当使用可能导致严重的安全问题。 本文将围绕以下内容展开: 1. JS
继续阅读赛克安全本周漏洞推送(12.2-12.6)
赛克安全本周漏洞推送(12.2-12.6) thelostworld 2024-12-07 12:07 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!马赛克安全实验室情报申
继续阅读CVE-2024-45318|SonicWall SMA100 SSL-VPN缓冲区溢出漏洞
CVE-2024-45318|SonicWall SMA100 SSL-VPN缓冲区溢出漏洞 alicy 信安百科 2024-12-07 11:00 0x00 前言 SonicWall 是全球知名的网络安全解决方案提供商,专注于防火墙、VPN、入侵防御等领域,其客户覆盖企业、服务提供商、电子商务、政府和教育机构等。 SMA 100系列的Web应用程序防火墙(WAF)和数据泄露防护(DLP)功能(可
继续阅读CVE-2024-53908|Django Oracle SQL注入漏洞
CVE-2024-53908|Django Oracle SQL注入漏洞 alicy 信安百科 2024-12-07 11:00 0x00 前言 Django是一个高级的Python Web框架,可以快速开发安全和可维护的网站。由经验丰富的开发者构建,Django负责处理网站开发中麻烦的部分,可以专注于编写应用程序,而无需重新开发。它是免费和开源的,有活跃繁荣的社区,丰富的文档,以及很多免费和付费
继续阅读移动安全框架 (MobSF) 存在存储型XSS漏洞 | CVE-2024-53999
移动安全框架 (MobSF) 存在存储型XSS漏洞 | CVE-2024-53999 黑白之道 2024-12-07 02:24 1► 漏洞描述 Mobsf允许用户上传带有 filename 参数的脚本文件。因此,恶意用户可以将脚本文件上传到系统。当应用程序中的用户使用“上传&分析”功能时,他们会受到存储型XSS的攻击。 2► 漏洞细节 在“上传&分析”功能中存在存储型XSS。出现
继续阅读漏洞预警 | 昂捷ERP SQL注入漏洞
漏洞预警 | 昂捷ERP SQL注入漏洞 浅安 浅安安全 2024-12-07 00:30 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 昂捷信息,以软件开发为核心,聚焦于零售行业数字化赋能,为超市、便利店、百货、购物中心、专营专卖等各零售业态提供全面的数字化解决方案和咨询服务,是业界领先的全链路数字化解决方案服务商。 0x03 漏洞详
继续阅读漏洞预警 | 九思OA SQL注入漏洞
漏洞预警 | 九思OA SQL注入漏洞 浅安 浅安安全 2024-12-07 00:30 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 九思OA办公自动化系统平台基于开发JAVA语言开发,封装了大量接口、构件,以多维门户形式展现,OA系统支持各种部署模式、各种操作系统、各种数据库和中间件,并具备完备的配置体系、接口体系和插件体系,支持未
继续阅读2024年最危险的25个软件漏洞
2024年最危险的25个软件漏洞 祺印说信安 2024-12-06 23:14 MITRE 发布了 2024 年 25 大最危险软件漏洞年度列表,重点介绍了对全球软件系统构成重大风险的严重漏洞。 该列表是与网络安全和基础设施安全局 (CISA) 合作开发的,对于旨在加强网络安全防御的开发人员、安全专业人员和组织来说是一项重要资源。 2024 年 CWE Top 25 列表确定了与超过 31,770
继续阅读漏洞预警 | WordPress Elementor PDF生成器任意文件下载漏洞
漏洞预警 | WordPress Elementor PDF生成器任意文件下载漏洞 浅安 浅安安全 2024-12-06 00:00 0x00 漏洞编号 – CVE-2024-9935 0x01 危险等级 – 高危 0x02 漏洞概述 WordPress Elementor页面生成器插件PDF生成器是一个专为WordPress网站设计的插件,特别适配Elementor页面构
继续阅读漏洞预警 | 海信智能公交企业管理系统SQL注入漏洞
漏洞预警 | 海信智能公交企业管理系统SQL注入漏洞 浅安 浅安安全 2024-12-06 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 海信智能公交企业管理系统是一款专为公交企业打造的智能化管理平台,旨在提升公交运营效率和服务质量。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 敏感信息泄露**** 简述: 海信智能
继续阅读谷歌浏览器类型混淆漏洞让攻击者能够执行远程代码
谷歌浏览器类型混淆漏洞让攻击者能够执行远程代码 Zicheng FreeBuf 2024-12-05 11:20 据Cyber Security News消息,最近,独立研究人员在谷歌Chrome 的 V8 JavaScript 引擎中发现了一个严重性较高的类型混淆漏洞。 该漏洞被追踪为 CVE-2024-12053,当程序为一种数据类型分配内存,却错误地将其视为另一种数据类型时,就会出现类型混淆
继续阅读【安全圈】谷歌浏览器类型混淆漏洞让攻击者能够执行远程代码
【安全圈】谷歌浏览器类型混淆漏洞让攻击者能够执行远程代码 安全圈 2024-12-05 11:01 关键词 安全漏洞 据Cyber Security News消息,最近,独立研究人员在谷歌Chrome 的 V8 JavaScript 引擎中发现了一个严重性较高的类型混淆漏洞。 该漏洞被追踪为 CVE-2024-12053,当程序为一种数据类型分配内存,却错误地将其视为另一种数据类型时,就会出现类型
继续阅读【漏洞通告】SailPoint IdentityIQ访问控制不当漏洞(CVE-2024-10905)
【漏洞通告】SailPoint IdentityIQ访问控制不当漏洞(CVE-2024-10905) 启明星辰安全简讯 2024-12-05 08:41 一、漏洞概述 漏洞名称 SailPoint IdentityIQ访问控制不当漏洞 CVE ID CVE-2024-10905 漏洞类型 访问控制不当 发现时间 2024-12-04 漏洞评分 10.0 漏洞等级 高危 攻击向量 网络 所
继续阅读暗网犯罪份子常用通讯软件 uTox 被曝 0day
暗网犯罪份子常用通讯软件 uTox 被曝 0day 独眼情报 2024-12-05 03:11 大水冲了龙王庙呀 一个知名暗网论坛可能正在出售针对 uTox 即时通讯客户端 0.18.1 版本的远程代码执行(RCE)0-day漏洞。 这一公告凸显了依赖该平台进行安全通讯的用户可能面临的潜在风险。 此类漏洞的出售可能带来严重后果,因为远程代码执行漏洞使攻击者能够在目标系统上执行任意代码,可能导致数据
继续阅读Veeam 备份和复制漏洞曝光:高危漏洞使数据面临风险
Veeam 备份和复制漏洞曝光:高危漏洞使数据面临风险 独眼情报 2024-12-05 03:11 知名备份、恢复和数据管理解决方案提供商 Veeam Software 发布了 安全更新,以解决其 Veeam Backup & Replication 软件中的多个漏洞。这些漏洞可能允许经过身份验证的攻击者执行恶意代码、未经授权访问敏感信息并破坏连接系统的完整性。 这些漏洞中最严重的漏洞 C
继续阅读通知 | 事件型漏洞收录范围调整
通知 | 事件型漏洞收录范围调整 补天平台 2024-12-05 02:41 事件型漏洞收录范围调整 为了鼓励更多的白帽子积极上发现的漏洞,帮助更多的企业维护产品安全性,补天收录范围更新, 取消权重的限制门槛,同时增加奖励形式。 01 事件型漏洞收录范围更新 补天漏洞响应平台将事件型漏洞收录范围进一步扩大,同时漏洞奖励形式增设荣誉币,旨在激励更多白帽子积极发现并上报漏洞,帮助更多的企业发现并修复漏
继续阅读漏洞预警 | GitLab权限提升漏洞
漏洞预警 | GitLab权限提升漏洞 浅安 浅安安全 2024-12-05 00:03 0x00 漏洞编号 – CVE-2024-8114 0x01 危险等级 – 高危 0x02 漏洞概述 GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 0x03 漏洞详情 CVE-2024-8114 漏洞类型: 权限提升
继续阅读API安全漏洞靶场crapi漏洞复现
API安全漏洞靶场crapi漏洞复现 进击的HACK 2024-12-04 23:55 项目介绍 crAPI 应用程序被建模为 B2C 应用程序,允许任何用户让汽车修理工完成他们的汽车维修。用户可以在 WebApp 上创建帐户、管理他/她的汽车、搜索汽车修理工、提交任何汽车的服务请求以及从供应商处购买汽车配件。WebApp 还有一个社区部分,用户可以在其中贡献博客文章和评论。 crAPI 应用程序
继续阅读【漏洞复现】CVE-2024-9935
【漏洞复现】CVE-2024-9935 混子Hacker 混子Hacker 2024-12-04 13:17 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 道阻且长,行则将至;行而不辍,未来可期 —— CVE-2024-9935 Word
继续阅读信息安全漏洞周报(2024年第49期)
信息安全漏洞周报(2024年第49期) 原创 CNNVD CNNVD安全动态 2024-12-04 11:25 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周2024年11月25日至2024年12月1日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞483个。 接报漏洞情况 本周CNNVD接报漏洞50088个,其中信息技术产品漏洞(通用型漏洞)320
继续阅读思科安全设备ASA十年老漏洞正在被利用
思科安全设备ASA十年老漏洞正在被利用 老布 FreeBuf 2024-12-04 11:03 近期,思科系统公司(Cisco Systems)更新了关于CVE-2014-2120的安全公告,警告客户该漏洞已在野外被利用。CVE-2014-2120是一个影响思科自适应安全设备(ASA)软件的WebVPN登录页面的跨站脚本(XSS)漏洞。该漏洞最初于2014年披露,它允许未经身份验证的远程攻击者对W
继续阅读