WordPress 插件存在漏洞,500 万网站面临严重安全风险
WordPress 插件存在漏洞,500 万网站面临严重安全风险 黑战士 2024-03-02 16:43 网络安全研究人员近期发现 WordPress LiteSpeed Cache 插件中存在一个安全漏洞,该漏洞被追踪为 CVE-2023-40000,未经身份验证的威胁攻击者可利用该漏洞获取超额权限。 LiteSpeed Cache 主要用于提高网站性能,据不完全统计已经有 500 多万安装
继续阅读标签: 敏感信息
2024 想要 0day 多多?我这有份小秘籍!带你手把手挖掘Java系统漏洞。
2024 想要 0day 多多?我这有份小秘籍!带你手把手挖掘Java系统漏洞。 闪石星曜安全团队 WebSec 2024-03-02 10:00 成长与学习 是个自知的事情 00 课程简介 由【闪石星曜CyberSecurity】云渡师傅出品的《Java代码审计零基础到实战》的线上培训课程,终于上线了! 还不会 Java 代码审计?那就别着急划走,花两分钟看看,这正是你所需要的! 在这逆境之中,
继续阅读京东万家APP越权逻辑漏洞挖掘
京东万家APP越权逻辑漏洞挖掘 京东云安全说 HACK之道 2024-03-02 10:00 逻辑漏洞会导致业务面临着巨大的经济损失隐患与敏感数据泄露的风险,本文从安全测试的角度,以越权逻辑漏洞为例,介绍逻辑漏洞的挖掘方法和实践过程。 一、什么是越权逻辑漏洞 定义:指由于系统的权限控制逻辑不够严谨,使得系统用户可以访问或操作未授权的数据和功能。包括水平越权和垂直越权。 水平越权:指当系统存在多个相
继续阅读漏洞预警 | 蓝凌OA SQL注入漏洞
漏洞预警 | 蓝凌OA SQL注入漏洞 浅安 浅安安全 2024-03-02 08:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 蓝凌OA是由深圳市蓝凌软件股份有限公司开发,是一款针对中小企业的移动化智能办公产品。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 蓝凌OA wechatLoginHelpe
继续阅读漏洞预警 | 用友U8Cloud SQL注入漏洞
漏洞预警 | 用友U8Cloud SQL注入漏洞 浅安 浅安安全 2024-03-02 08:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友U8 cloud是一款集成的企业资源计划解决方案,旨在帮助不断发展的企业同步前后端业务功能。 0x03 漏洞详情 漏洞类型: SQL漏洞 影响: 获取敏感信息 简述: 用友U8Cloud
继续阅读【漏洞预警】Apache Ambari < 2.7.8 XXE(CVE-2023-50380)
【漏洞预警】Apache Ambari < 2.7.8 XXE(CVE-2023-50380) cexlife 飓风网络安全 2024-03-01 19:30 漏洞描述:Apache Ambari 是一个基于 Web 的 Apache Hadoop 集群的供应、管理和监控,2024年,官方披露其存在 CVE-2023-50380 Apache Ambari < 2.7.8 XXE 漏洞
继续阅读CVE-2024-25065:Apache OFBiz目录遍历漏洞通告
CVE-2024-25065:Apache OFBiz目录遍历漏洞通告 原创 360CERT 三六零CERT 2024-03-01 18:01 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2024-719 报告来源:360CERT 报告作者:360CERT 更新日期:2024-03-01 1 漏洞简述 2024年03月01日,360CERT监测发现Apache发布了OFBiz的风险通告,
继续阅读【漏洞通告】Apache OFBiz目录遍历漏洞CVE-2024-25065
【漏洞通告】Apache OFBiz目录遍历漏洞CVE-2024-25065 深瞳漏洞实验室 深信服千里目安全技术中心 2024-03-01 11:50 漏洞名称: Apache OFBiz目录遍历漏洞(CVE-2024-25065) 组件名称: Apache OFBiz 影响范围: Apache OFBiz ≤ 18.12.12 漏洞类型: 目录遍历 利用条件: 1、用户认证:未知 2、前置条件
继续阅读【安全圈】WordPress 插件存在安全漏洞,500 万网站面临严重风险
【安全圈】WordPress 插件存在安全漏洞,500 万网站面临严重风险 安全圈 2024-02-29 19:00 关键词 安全漏洞 WordPress 的 LiteSpeed Cache 插件中披露了一个安全漏洞,未经身份验证的用户可能会利用该漏洞升级其权限。 该漏洞被跟踪为 CVE-2023-40000,已于 2023 年 10 月在版本 5.7.0.1 中得到解决。 “这个插件存在未经身份
继续阅读漏洞快报 | Spring Framework解析不当漏洞、Node.js 权限提升漏洞……
漏洞快报 | Spring Framework解析不当漏洞、Node.js 权限提升漏洞…… 梆梆安全 2024-02-29 18:15 近日,梆梆安全专家整理发布安全漏洞报告,主要涉及以下产品/组件: Internet、GitLab、Spring Framework、Node.js, 建议相关 用户及时采取措施做好资产自查与预防工作。 Windows Internet
继续阅读创宇安全智脑 | 金蝶云星空 ServiceGateway 反序列化远程代码执行等33个漏洞可检测
创宇安全智脑 | 金蝶云星空 ServiceGateway 反序列化远程代码执行等33个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-02-29 17:21 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精
继续阅读蓝凌OA wechatLoginHelper存在SQL注入漏洞 附POC软件
蓝凌OA wechatLoginHelper存在SQL注入漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-28 22:58 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 蓝凌OA wechatLoginHelper简介
继续阅读TangGo|逻辑漏洞测试系列-支付逻辑漏洞
TangGo|逻辑漏洞测试系列-支付逻辑漏洞 糖果 无糖反网络犯罪研究中心 2024-02-28 18:29 
继续阅读WordPress 插件 LiteSpeed 漏洞影响500万个站点
WordPress 插件 LiteSpeed 漏洞影响500万个站点 THN 代码卫士 2024-02-28 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 插件 LiteSpeed Cache 中存在一个漏洞,可导致未认证用户提升权限。该漏洞的编号是CVE-2023-40000,已在2023年10月的5.7.0.1版本中修复。 Patchstack 公司的研
继续阅读记一次EDU漏洞挖掘
记一次EDU漏洞挖掘 ddwGeGe 迪哥讲事 2024-02-27 22:10 前言 以下提及的漏洞都提交到edusrc平台进行修复,大佬勿喷。 信息收集 在外网进行系统测试,发现大部分都需要统一身份认证,瞅瞅该目标单位的统一身份认证要求,可以看到初始密码的规则是 xxxx@SFZ后六位,用户名是学号 利用相关语法 site:xxx.edu.cn “学号|SFZ|密码”等
继续阅读「深蓝洞察」2023 年度最“软”的硬件漏洞
「深蓝洞察」2023 年度最“软”的硬件漏洞 原创 深蓝洞察 DARKNAVY 2024-02-27 20:00 软件定义网络、软件定义汽车的出现,说明“软件定义”已经成为系统设计的趋势。软件定义硬件,同样已经在主流处理器中得到使用。 随着软件与硬件的边界不断模糊,处理器的性能在软件灵活性的加持下得到了飞跃性的提升。 然而,软件中的安全问题也随之进入到了硬件中。 以下为本期深蓝洞察年度安全报告的
继续阅读【安全圈】Apple Shortcuts 存在高危漏洞,可能会导致用户敏感信息泄露
【安全圈】Apple Shortcuts 存在高危漏洞,可能会导致用户敏感信息泄露 安全圈 2024-02-27 19:02 关键词 安全漏洞 Apple Shortcuts 应用程序中存在一个高严重性漏洞,可允许攻击者在不提示用户的情况下访问敏感信息。 网络安全公司Bitdefender 解释说,该问题被标记为 CVE-2024-23204,影响 iOS 和 macOS 用户,只能通过某些操作触
继续阅读漏洞单价10万元!ByteSRC规则V6.0奖励计划叒升级!
漏洞单价10万元!ByteSRC规则V6.0奖励计划叒升级! 字节跳动安全中心 2024-02-27 11:10 New rules ByteSRC奖金再提高!体验再升级!资源再丰富! 《字节跳动安全响应中心安全报告处置规则V6.0》(试运行版)发布 在2月27日-3月18日试运行期间,欢迎大家提出宝贵意见! ✨本次更新四大亮点✨ No.1 增加“重大漏洞”等级,奖励金最高至10W 优化漏洞等级体
继续阅读鸿运(通天星CMSV6车载)主动安全监控云平台存在敏感信息泄露漏洞 附POC软件
鸿运(通天星CMSV6车载)主动安全监控云平台存在敏感信息泄露漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-02-26 20:42 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 鸿运(通天星CMSV6车载)主动安全监控云平
继续阅读上周关注度较高的产品安全漏洞(20240219-20240225)
上周关注度较高的产品安全漏洞(20240219-20240225) 原创 CNVD CNVD漏洞平台 2024-02-26 17:35 一、境外厂商产品漏洞 1、Shim缓冲区溢出漏洞 shim是一个SciDB的简单HTTP服务。Shim存在安全漏洞,该漏洞源于http启动支持中包含远程代码执行漏洞,可以绕过安全启动。攻击者可利用该漏洞执行任意代码。 参考链接: https://www.cnvd.
继续阅读【高危】浙江大华技术城市安防监控DSS系统存在信息泄露漏洞
【高危】浙江大华技术城市安防监控DSS系统存在信息泄露漏洞 皓月当空w 2024-02-25 14:19 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞早知道 漏洞名称: 浙江大华技术城市安防监控DSS系统存在信息泄露漏洞 漏洞出现时间:2024年2月25日 影响等级:高危 漏洞说明: 浙江大华技术股份有限公司城市安防监控DSS系统存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
继续阅读[漏洞复现-101] 免费星球它来了-马赛克安全情报共享(限免)
[漏洞复现-101] 免费星球它来了-马赛克安全情报共享(限免) 原创 马赛克安全实验室 马赛克安全实验室 2024-02-25 13:29 0x00免责声明 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读某CMS的通用漏洞挖掘过程 | 干货
某CMS的通用漏洞挖掘过程 | 干货 ShawnDing 渗透安全团队 2024-02-24 22:28 前言 本文所涉及的漏洞已提交CNVD且厂商已完成漏洞修复,请勿用于非授权测试!!! 现在比较严格,目标名称均以某CMS指代,见谅。 前言 本来计划在cnvd公开这个小漏洞的时候就把这篇小作文写了,最近一忙给整忘了,现在补上。 某次项目中遇到这个cms,进行了常规黑盒测试后没发现什么大问题,检查
继续阅读“虚拟号码”场景下的逻辑漏洞挖掘(全网原创首发)
“虚拟号码”场景下的逻辑漏洞挖掘(全网原创首发) 原创 庆尘qc Daylight庆尘 2024-02-24 14:51 引言 由于最近挖洞遇到的虚拟号码场景比较多,且都存在各种各样的问题,所以本篇文章来总结一下在该场景下应该如何有效地,快速地进行逻辑漏洞挖掘(文章中涉及真实信息,所以厚码,见谅) 一、漏洞分析 这里要讲的虚拟号码场景,应该不少师傅也都遇到过,一般流程如下 某些功能需要
继续阅读漏洞复现-用友U8-OA协同工作系统doUpload.jsp任意文件上传(附poc
漏洞复现-用友U8-OA协同工作系统doUpload.jsp任意文件上传(附poc Y1_K1NG Yi安全 2024-02-24 14:49 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 免责声明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 文 章中敏感信息均 已做多层打马处
继续阅读研究人员详细介绍了苹果最近的零点击快捷方式漏洞
研究人员详细介绍了苹果最近的零点击快捷方式漏洞 THN 知机安全 2024-02-24 10:52 Details have emerged about a now-patched high-severity security flaw in Apple’s Shortcuts app that could permit a shortcut to access sensitive i
继续阅读ScreenConnect 漏洞(“SlashAndGrab”)被广泛利用于恶意软件传播
ScreenConnect 漏洞(“SlashAndGrab”)被广泛利用于恶意软件传播 军哥网络安全读报 2024-02-24 09:00 导读 影响 ConnectWise 的 ScreenConnect 远程桌面访问产品的严重漏洞已被广泛利用来传播勒索软件和其他类型的恶意软件。 ConnectWise 于 2 月 19 日通知客户,它已发布针对关键身份验证绕过缺陷和高严重性路径遍历问题的补丁
继续阅读【漏洞预警】GitLab 16.9存储型XSS漏洞CVE-2024-1451
【漏洞预警】GitLab 16.9存储型XSS漏洞CVE-2024-1451 cexlife 飓风网络安全 2024-02-23 18:55 漏洞描述: GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台,GitLab 受影响版本中的用户资料页面存在存储型XSS漏洞,攻击者可将恶意载荷添加到个人资料(Pronunciation字段)中,并诱导其他用户访问攻击者个人资料进而执行恶
继续阅读SRC案例 | 某公司小程序四个漏洞挖掘过程
SRC案例 | 某公司小程序四个漏洞挖掘过程 原创 lyc Timeline Sec 2024-02-23 18:33 前言 好不容易才抽点时间学习一下渗透,补天公益SRC上随手找了一家公司练手。因为公益SRC很多时候拼手速和资产收集,所以这次直接瞄准小程序开搞。 漏洞一:逻辑漏洞 找到第一个小程序 然后微信登陆此小程序 接着在”首页“点击”签收凭证“,抓取此数据包 数据包如下图,将此数据包里面的
继续阅读