【漏洞情报】Vmware Spring Security访问控制不当漏洞
【漏洞情报】Vmware Spring Security访问控制不当漏洞 cexlife 飓风网络安全 2024-10-31 22:11 漏洞描述:VMware发布安全公告,其中公开了一个Spring Security中的访问控制不当漏洞,在某些情况下Spring WebFlux应用程序在静态资源上使用Spring Security授权规则时可以绕过对静态资源具有Spring Security授权
继续阅读标签: 漏洞
【漏洞预警】DrayTek Vigor2960 Router命令注入漏洞
【漏洞预警】DrayTek Vigor2960 Router命令注入漏洞 cexlife 飓风网络安全 2024-10-31 22:11 漏洞描述:DrayTek Vigor2960路由器版本1.4.4中存在一个需授权的命令注入漏洞漏洞细节及Poc当前已经公开,攻击者可以在cgi-bin/mainfunction.cgi路由中的doPPPoE函数的table参数中放置恶意命令,可能导致设备被完全接
继续阅读「漏洞复现」瑞格智慧心理服务平台 NPreenSMSList.asmx SQL注入漏洞
「漏洞复现」瑞格智慧心理服务平台 NPreenSMSList.asmx SQL注入漏洞 冷漠安全 冷漠安全 2024-10-31 20:54 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他
继续阅读Opera 浏览器修复严重漏洞,可泄露用户信息
Opera 浏览器修复严重漏洞,可泄露用户信息 THN 代码卫士 2024-10-31 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Opera web 浏览器修复了一个漏洞,可导致恶意扩展获得对私密API的完全越权访问权限。 Guardio Labs 提到,该攻击名为CrossBarking,可截屏、修改浏览器设备以及账户劫持。为演示该问题,该公司表示已在 Chrome We
继续阅读谷歌修复由苹果报送的严重 Chrome 漏洞
谷歌修复由苹果报送的严重 Chrome 漏洞 Eduard Kovacs 代码卫士 2024-10-31 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,谷歌和 Mozilla 宣布为 Chrome 和 Firefox web 浏览器发布安全更新,其中一些漏洞为严重级别。 谷歌发布 Chrome 130,修复了两个漏洞。其中一个漏洞是CVE-2024-10487,是位于
继续阅读「技术研报」以子之矛陷子之盾 · 用AI对AI漏洞的利用探索
「技术研报」以子之矛陷子之盾 · 用AI对AI漏洞的利用探索 原创 深蓝洞察 DARKNAVY 2024-10-31 18:03 2024 年9月24日,OpenAI的CEO Sam Altman发表文章《The Intelligence Age》,大胆地宣告了AI时代的到来。 给予文章强有力支撑的是ChatGPT-o1的发布,这是一次里程碑式的事件,在深度学习的加成下,大模型如虎添翼,表现强劲。
继续阅读【漏洞通告】Spring Security 静态资源未授权访问漏洞(CVE-2024-38821)
【漏洞通告】Spring Security 静态资源未授权访问漏洞(CVE-2024-38821) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-31 17:54 漏洞名称: Spring Security 静态资源未授权访问漏洞(CVE-2024-38821) 组件名称: 威睿-Spring Security 影响范围: Spring Security ≤ 5.7.125.8.0 ≤
继续阅读【已复现】Spring Security 静态资源权限绕过漏洞(CVE-2024-38821)安全风险通告
【已复现】Spring Security 静态资源权限绕过漏洞(CVE-2024-38821)安全风险通告 奇安信 CERT 2024-10-31 15:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Spring Security 静态资源权限绕过漏洞 漏洞编号 QVD-2024-43514,CVE-2024-38821 公开时间 2024-10-25 影响量级 万级
继续阅读【漏洞复现】Apache Solr路径身份验证绕过漏洞CVE-2024-45216
【漏洞复现】Apache Solr路径身份验证绕过漏洞CVE-2024-45216 cexlife 飓风网络安全 2024-10-30 22:23 漏洞描述: ApacheSolr是基于ApacheLucene构建的开源搜索平台,PKIAuthenticationPlugin是SolrCloud模式下的身份验证插件,受影响版本中由于PKIAuthenticationPlugin类未正确过滤用户的请
继续阅读【漏洞通告】Apache Solr 认证绕过漏洞(CVE-2024-45216)
【漏洞通告】Apache Solr 认证绕过漏洞(CVE-2024-45216) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-30 17:59 漏洞名称: Apache Solr 认证绕过漏洞(CVE-2024-45216) 组件名称: Apache-Solr 影响范围: 5.3.0 ≤ Apache Solr < 8.11.49.0.0 ≤ Apache Solr <
继续阅读【漏洞通告】CyberPanel upgrademysqlstatus接口命令执行漏洞
【漏洞通告】CyberPanel upgrademysqlstatus接口命令执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2024-10-30 17:59 漏洞名称: CyberPanel upgrademysqlstatus接口命令执行漏洞 组件名称: CyberPanel 影响范围: CyberPanel 2.3.5CyberPanel 2.3.6 漏洞类型: 命令执行 利用条件: 1
继续阅读研究员在开源AI和ML模型中发现30多个漏洞
研究员在开源AI和ML模型中发现30多个漏洞 THN 代码卫士 2024-10-30 17:47 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 多个开源人工智能 (AI) 和机器学习 (ML) 模型中存在30多个漏洞,其中一些可导致远程代码执行和信息盗取后果。 这些漏洞位于多款工具中如 ChuanhuChatGPT、Lunary和LocalAI 中,通过 Protect AI 的 Hunt
继续阅读这个已存在18年的提权漏洞影响 X.Org 服务器
这个已存在18年的提权漏洞影响 X.Org 服务器 Michael Larabel 代码卫士 2024-10-30 17:47 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 X.Org 服务器中存在一个提权漏洞CVE-2024-9632,它已存在18年之久。 该漏洞在2006年发布的 X.Org Server 1.1.1版本中引入,影响 X.Org Server 和 XWayland。向
继续阅读苹果悬赏百万美元查找“苹果智能”安全漏洞
苹果悬赏百万美元查找“苹果智能”安全漏洞 安全内参 2024-10-30 17:38 关注我们 带你读懂网络安全 苹果公司近日发布了备受期待的AI服务“苹果智能”(Apple Intelligence),适用于iPhone、iPad和Mac设备。该服务将随iOS 18.1、iPadOS 18.1和macOS Sequoia 15.1系统一同上线,结合设备端和云端处理的先进技术,以支持复杂的AI任务
继续阅读这谁防得住?Wi-Fi 联盟官方测试套件中存在命令注入漏洞
这谁防得住?Wi-Fi 联盟官方测试套件中存在命令注入漏洞 数世咨询 2024-10-30 16:00 计算机应急响应小组 (CERT) 协调中心 (CERT/CC) 研究人员发现Wi-Fi联盟测试套件中存在命令注入漏洞,该漏洞的编号为CVE-2024-41992,Wi-Fi 联盟的易受攻击代码已发现部署在 Arcadyan(智易科技) FMIMG 51AX000J 路由器上。 01 WiFi测试
继续阅读谷歌:2023年披露的被利用漏洞中有70%是零日漏洞
谷歌:2023年披露的被利用漏洞中有70%是零日漏洞 胡金鱼 嘶吼专业版 2024-10-30 15:45 Google Mandiant 安全分析师表示,在 2023 年披露的 138 个被积极利用的漏洞中,有 97 个(70.3%)被用作零日漏洞。 这意味着威胁者在受影响的供应商知道错误存在或能够修补它们之前,就已经利用了攻击中的缺陷。 从 2020 年到 2022 年,已修复漏洞与无可用修复
继续阅读【复现】 Apache Solr身份认证绕过漏洞(CVE-2024-45216)风险通告
【复现】 Apache Solr身份认证绕过漏洞(CVE-2024-45216)风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-10-30 11:50 赛博昆仑漏洞安全通告- Apache Solr身份认证绕过漏洞(CVE-2024-45216)风险通告 漏洞描述 Apache Solr 是一个开源的全文搜索引擎平台,基于 Lucene(一个高效的开源搜索库)。它提供了分布式搜索和索
继续阅读可任意文件读取,警惕Solr身份绕过形成的漏洞利用链
可任意文件读取,警惕Solr身份绕过形成的漏洞利用链 原创 微步情报局 微步在线研究响应中心 2024-10-30 11:40 漏洞概况 Apache Solr是一个基于Apache Lucene的开源企业搜索平台。它提供快速可靠的搜索,分布式索引,复制和负载平衡查询,自动故障转移和恢复,集中化配置以及其他功能。 微步情报局于近日获取到Apache Solr 身份认证绕过漏洞情报(https://
继续阅读BinaryAI更新布告|漏洞存在性分析功能上线
BinaryAI更新布告|漏洞存在性分析功能上线 原创 腾讯科恩实验室 腾讯科恩实验室 2024-10-30 10:03 BinaryAI(https://www.binaryai.cn)**** 腾讯安全科恩实验室二进制安全智能分析平台—BinaryAI,可精准高效识别二进制文件的第三方组件及其版本号,旨在推动SCA(软件成分分析)技术在DevSecOps、威胁情报、安全研究等应用场景发展。 漏
继续阅读开源安全检测的漏洞,从哪些维度考虑整改标准?两种场景下(供应链软件入库,应用投产上线)针对检测的漏洞需要强制修复吗|总第270周
开源安全检测的漏洞,从哪些维度考虑整改标准?两种场景下(供应链软件入库,应用投产上线)针对检测的漏洞需要强制修复吗|总第270周 原创 群秘 君哥的体历 2024-10-30 06:50 0x1本周话题 话题一:请教个问题,大家如何发现员工拍照泄露的?排除水印,因为只能拿到图片后才能溯源,用处很小。 A1: 摄像头 + 行为分析?或者手机和电脑的终端 DLP 软件和网络层的 DLP ;摄像头物理视
继续阅读【漏洞预警】CyberPanel upgrademysqlstatus未授权命令注入漏洞
【漏洞预警】CyberPanel upgrademysqlstatus未授权命令注入漏洞 cexlife 飓风网络安全 2024-10-29 23:12 漏洞描述: 开源控制面板CyberPanel存在一个未授权命令注入漏洞,未经授权的攻击者可以通过该漏洞在服务器上执行任意命令,获取服务器权限。修复建议:正式防护方案:相关厂商已经提交了修复代码,但还未正式发布,用户可以考虑参考官方修复方案进行手动
继续阅读本工具为jeecg框架漏洞利用工具非jeecg-boot!
本工具为jeecg框架漏洞利用工具非jeecg-boot! 点击关注→_→ 黑客白帽子 2024-10-29 22:52 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ **【公告241027】回复关键字没有回复,如何获取方法**** 介绍 本工具为jeecg框架漏洞利用工具非jeecg-boot! 包含poc:
继续阅读【成功复现】Palo Alto Networks Expedition 远程命令执行漏洞(CVE-2024-9463)
【成功复现】Palo Alto Networks Expedition 远程命令执行漏洞(CVE-2024-9463) 原创 弥天安全实验室 弥天安全实验室 2024-10-29 18:59 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Palo Alto Networks Expedition是美国Pa
继续阅读【已复现】Apache Solr 身份认证绕过漏洞(CVE-2024-45216)安全风险通告第二次更新
【已复现】Apache Solr 身份认证绕过漏洞(CVE-2024-45216)安全风险通告第二次更新 奇安信 CERT 2024-10-29 18:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Solr 身份认证绕过漏洞 漏洞编号 QVD-2024-42670,CVE-2024-45216 公开时间 2024-10-16 影响量级 万级 奇安信评级 高
继续阅读Mozilla:十六进制代码可用于操纵 ChatGPT 写 exp
Mozilla:十六进制代码可用于操纵 ChatGPT 写 exp Nate Nelson 代码卫士 2024-10-29 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 一种新型提示符注入技术可导致任何人绕过 OpenAI 最高阶的语言学习模型中的安全防御措施。 今年5月13日发布的 GPT-4o 要比之前的模型更快、更高效、功能更丰富。它能够以数十种语言处理多种不同形式的输入
继续阅读研究者揭露微软 Windows 内核的操作系统降级漏洞
研究者揭露微软 Windows 内核的操作系统降级漏洞 看雪学苑 看雪学苑 2024-10-29 17:58 近期,SafeBreach Labs的研究人员揭露了一种名为“Windows Downdate”的新型攻击技术,该技术能够操纵Windows 11系统在更新时降级关键系统组件,使部分漏洞修复补丁失效。这一攻击原理最初于2024年8月在Black Hat USA 2024上披露,现在更多细
继续阅读雷神众测漏洞周报2024.10.21-2024.10.27
雷神众测漏洞周报2024.10.21-2024.10.27 原创 雷神众测 雷神众测 2024-10-29 15:48 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【知道创宇404实验室】警惕CVE-2024-38812 VMware vCenter Server远程代码执行漏洞
【知道创宇404实验室】警惕CVE-2024-38812 VMware vCenter Server远程代码执行漏洞 404实验室 知道创宇404实验室 2024-10-29 13:53 2024年10月,VMware修复了一个严重的远程代码执行漏洞CVE-2024-38812 [1],该漏洞存在于vCenter Server的DCE/RPC协议实现中。此漏洞源自堆溢出问题,攻击者可通过发送特制的
继续阅读360漏洞云亮相看雪峰会,携手行业精英共话安全创新
360漏洞云亮相看雪峰会,携手行业精英共话安全创新 360漏洞云 2024-10-29 10:53 2024年10月23日,备受瞩目的看雪·第八届安全开发者峰会在上海圆满落幕。此次盛会以 “AI时代 安全护航”为主题, 汇聚了来自各个领域的网络安全精英,通过主题演讲、技术讲座和互动讨论,推动了技术交流与合作的深度。 滑动查看更多现场图片 看雪峰会是国内网络安全领域的重要盛会,旨在促进技术交流与合作
继续阅读上周关注度较高的产品安全漏洞(20241021-20241027)
上周关注度较高的产品安全漏洞(20241021-20241027) 原创 CNVD CNVD漏洞平台 2024-10-29 09:28 一、境外厂商产品漏洞 1、Adobe Commerce不当授权漏洞(CNVD-2024-41467) Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe Commerce存在不当授权漏洞,攻击者可
继续阅读