2024年HW漏洞专项
2024年HW漏洞专项 simeon的文章 小兵搞安全 2024-07-25 18:34 今天做漏洞情报收集时,找到一个不错的站,推荐给大家,网站地址: http://kpanda.wiki/#/navbar/hw 7-25漏洞合集 2024-07-25 A36-1Apache-CloudStack-PermissionAC C14-1创客13星-零售商城系统-任意文件上传 F26-1飞讯云
继续阅读标签: 漏洞
Telegram零日漏洞被售卖数周:恶意APK文件可伪装成视频消息
Telegram零日漏洞被售卖数周:恶意APK文件可伪装成视频消息 网络安全与人工智能研究中心 2024-07-25 18:23 关注我们 带你读懂网络安全 利用该漏洞需要多步交互和授权,这大大降低了攻击成功的风险; 相关零日漏洞在地下论坛长期售卖,也说明了攻击者的旺盛需求,用户需要尽可能保持安全使用习惯。 安全内参7月23日消息,一个名为“EvilVideo”的Telegram安卓版零日漏洞,允
继续阅读HVV漏洞PoC分享第二弹
HVV漏洞PoC分享第二弹 Ti TIPFactory情报工厂 2024-07-25 18:14 互联网上资源,仅供学习,谢谢. 后台回复 HVV2024 POC1获取下载链接。
继续阅读专题·漏洞治理 | 美国工控安全漏洞管理政策研究与思考
专题·漏洞治理 | 美国工控安全漏洞管理政策研究与思考 原创 郭娴 李莹 朱丽娜 中国信息安全 2024-07-25 18:10 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 国家工业信息安全发展研究中心 郭娴 李莹 朱丽娜 当前,我国工业领域数字化、网络化、智能化加速融合发展,取得了显著成效,但与此同时,网络风险也不断向工业领域渗透蔓延。近年来,工控
继续阅读“微软蓝屏”事件最新回应!美国“众击”公司将宕机事件归咎于内容更新漏洞
“微软蓝屏”事件最新回应!美国“众击”公司将宕机事件归咎于内容更新漏洞 刘骁骞 中国信息安全 2024-07-25 18:10 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 当地时间7月24日,美国电脑安全技术公司“众击”(CrowdStrike)发布了其对此次大规模网络故障初步审查的详细信息,将网络故障归咎于其网络安全平台内容配置更新中的一个漏洞。该公司表示
继续阅读专题·漏洞治理 | 基于漏洞情报构建高效漏洞运营体系实践
专题·漏洞治理 | 基于漏洞情报构建高效漏洞运营体系实践 原创 樊兴华 中国信息安全 2024-07-25 18:10 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 北京微步在线科技有限公司 樊兴华 近年来,随着网络安全和攻防技术的持续进步,漏洞对企业构成的风险日益加剧。作为威胁情报的重要组成部分,漏洞情报是安全团队制定防护策略、验证安全措施有效性的基
继续阅读演讲议题巡展 | Windows远程文件协议漏洞挖掘之旅
演讲议题巡展 | Windows远程文件协议漏洞挖掘之旅 KCon 黑客大会 2024-07-25 15:00 经过精心筹备与多方努力 KCon 2024 黑客大会敲定举办时间 将于8月24日-25日举办 本次大会涵盖了网安领域的不同热点话题 为了展示演讲议题风采 让大家了解更多大会情况 特此开展议题巡展 欢迎围观~ 演讲者: 古河 独立安全研究员,研究兴趣包括漏洞挖掘、利用和检测防御。曾在Mic
继续阅读CVE-2024-36401 JDK 11-22 通杀内存马
CVE-2024-36401 JDK 11-22 通杀内存马 原创 Numen cyber labs Numen Cyber Labs 2024-07-25 11:55 前言 在看到 yzddMr6 师傅的 《GeoServer property RCE注入内存马 》之后的第一反应是,在 JDK 15 之后不再默认包含 JS 引擎的解析包了,这也就意味着 JDK 15 之后无法按照这个思路去写内存
继续阅读记一次任意文件读取漏洞的挖掘
记一次任意文件读取漏洞的挖掘 迪哥讲事 2024-07-24 22:35 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。 请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 本文由 @天明 师傅原创投稿,记录的是 一种别样的任意文件读取玩法,感谢分享 ! 0x01 挖掘
继续阅读2024 HW漏洞威胁情报合集
2024 HW漏洞威胁情报合集 进击的HACK 2024-07-24 21:49 0x01 亿赛通数据泄露防护系统NetSecConfigAjax接口存在SQL注入漏洞 POST /CDGServer3/NetSecConfigAjax;Service HTTP/1.1 Host: Content-Type: application/x-www-form-urlencoded command=u
继续阅读【7/24特辑,就2个!】恒脑协助在野漏洞分析显神威
【7/24特辑,就2个!】恒脑协助在野漏洞分析显神威 安恒研究院 安恒信息CERT 2024-07-24 20:31 漏洞导览 · 浪潮GS云财务系统存在反序列化漏洞 · 统信畅写office存在任意文件读取漏洞 漏洞概况 在当前网络攻防演练中,安恒信息CERT正紧密关注近期曝光的安全漏洞,持续进行监测和深入梳理。我们将对监测到的每一个漏洞进行深入分析和评估,为蓝队(防守方)输出漏洞清单。这份清单
继续阅读惊!Android手机请尽快升级:电报0DAY正在影响你的手机安全
惊!Android手机请尽快升级:电报0DAY正在影响你的手机安全 原创 小编 像梦又似花 2024-07-24 20:00 ESET的研究人员发现了一个Android的零日电报漏洞,允许发送伪装成视频的恶意文件 ESET研究人员发现了一个针对Android版Telegram的零日漏洞,该漏洞于2024年6月6日在地下论坛帖子中以未指明的价格出售销售。利用该漏洞来滥用ESET研究团队命名为Evil
继续阅读今日hw情报-某小众CMS 0day 反序列化漏洞
今日hw情报-某小众CMS 0day 反序列化漏洞 private null 轩公子谈技术 2024-07-24 19:51 此系统为.net开发,即为viewstate反序列化漏洞。 通过爆破获取到默认key,利用yso,构造数据包可以执行任意命令或内存马。 NET系统漏洞|view state 学习 NET系统|RC到注入内存马 搜索历史漏洞,仅存在sql漏洞。 特殊时期,所以先码死
继续阅读【安全圈】Telegram曝零日漏洞,允许发送伪装成视频的恶意APK
【安全圈】Telegram曝零日漏洞,允许发送伪装成视频的恶意APK 安全圈 2024-07-24 19:01 关键词 安全漏洞 ESET Research在一个地下论坛上发现了一个针对Android Telegram的零日漏洞广告。 ESET将该漏洞命名为“EvilVideo”,并将其报告给Telegram,Telegram于7月11日更新了该应用程序。 EvilVideo允许攻击者发送恶意的有
继续阅读「漏洞复现」AnalyticsCloud 分析云 任意文件读取漏洞
「漏洞复现」AnalyticsCloud 分析云 任意文件读取漏洞 冷漠安全 冷漠安全 2024-07-24 18:53 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读Apache CloudStack 中标识为 CVE-2024-41107 的严重漏洞的 PoC
Apache CloudStack 中标识为 CVE-2024-41107 的严重漏洞的 PoC Ots安全 2024-07-24 18:32 🚀 CVE-2024-41107 漏洞 🚀 此存储库包含针对 Apache CloudStack 中被标识为CVE-2024-41107的严重漏洞的利用。此漏洞影响版本4.5.0 至 4.18.2.1和4.19.0.0 至 4.19.0.2。该缺陷存在于安
继续阅读CVE-2024-4040:CrushFTP VFS 沙箱逃逸
CVE-2024-4040:CrushFTP VFS 沙箱逃逸 Ots安全 2024-07-24 18:32 CVE-2024-4040——漏洞扫描器 该存储库包含与CVE-2024-4040(CrushFTP VFS 逃逸)相关的文件。https://nvd.nist.gov/vuln/detail/CVE-2024-4040 扫描主机 此脚本尝试利用漏洞读取沙盒外的文件。如果成功,脚本将写入V
继续阅读赶快排查!2024实网攻防演练最新高危漏洞合集
赶快排查!2024实网攻防演练最新高危漏洞合集 网络安全研究院 亚信安全 2024-07-24 18:20 2024实网攻防演练 已经吹响号角 你是否在用以下工具? VPN、远程工具、办公软件 OA系统、聊天工具、安全产品 这些工具的漏洞一旦被利用 被攻陷率近100% 很多企业为此导致整个防御体系被突破 从而 遗憾出局 2024实网攻防演练已经正式开始,亚信安全网络安全研究院结合自身的“外部攻击面
继续阅读【这两天一些神POC】不废话
【这两天一些神POC】不废话 Ti TIPFactory情报工厂 2024-07-24 18:16 Craft CMS CVE-2023-41892-POC POST /ConditionsController.php HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML,
继续阅读靖云甲ADR捕获WebLogic远程代码执行0day漏洞
靖云甲ADR捕获WebLogic远程代码执行0day漏洞 实战攻防 2024-07-24 18:00 WebLogic 是在金融、运营商、能源、中央企业、大型企业中常用的中间件,也是安全研究的重点关注对象,其覆盖的应用系统数量极多,且多数应用皆会对外提供服务,此类大型中间件的漏洞可谓是进攻利器。 为了应对日新月异的攻击手段以及第三方外采系统、老旧业务系统防护难等问题,很多客户选择边界无限为Web应
继续阅读关于阿里云先知暂停漏洞测试的通知
关于阿里云先知暂停漏洞测试的通知 阿里安全响应中心 2024-07-24 17:19 尊敬的白帽子师傅: 感谢大家一直以来对阿里云先知的支持!为了给广大白帽子们提供更良好的用户体验及更优质的服务,即日起临时停止接收外部漏洞上报,同时将优化漏洞评分标准及奖励,恢复漏洞接收时间将另行通知,期间请勿对阿里及其相关业务进行安全测试,已经提交的报告我们会尽快审核处理。 在此期间,若偶然发现高危安全风
继续阅读专题·漏洞治理 | 安全验证导向的漏洞管理方案分析
专题·漏洞治理 | 安全验证导向的漏洞管理方案分析 原创 李瀛 中国信息安全 2024-07-24 17:14 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 绿盟科技集团股份有限公司 李瀛 为了衡量漏洞管理的成效,漏洞管理产品需要具备一种机制,能够实时验证被防护系统的安全状态,管控过程的进展,并将此进展与漏洞管理活动进行反馈、互动和闭环。安全验证导向的
继续阅读专题·漏洞治理 | 软件安全研发成熟度模型研究与实践
专题·漏洞治理 | 软件安全研发成熟度模型研究与实践 原创 王滨 中国信息安全 2024-07-24 17:14 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 杭州海康威视数字技术股份有限公司 王滨 物联网已经渗透到社会经济的方方面面,构建出一个全新的智能化世界。然而,物联网设备的快速增长加剧了网络的开放性和复杂性,由此带来的日益严峻的安全挑战成为制约
继续阅读漏洞预警 电信 网关 ipping.php 命令执行漏洞
漏洞预警 电信 网关 ipping.php 命令执行漏洞 by 融云安全-sm 融云攻防实验室 2024-07-24 15:17 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人
继续阅读护网第一天!浪潮云财务系统RCE已首发披露!
护网第一天!浪潮云财务系统RCE已首发披露! 原创 棉花糖糖糖 棉花糖fans 2024-07-22 23:19 0.前言 护网在即,棉花糖组建了蓝队情报共享群,为大家提供攻击IP、护网吃瓜、钓鱼木马信息、护网常用文档、0day披露等资讯,详情可见以下文章~ 护网时间已确定,你确定不需要这个蓝队情报共享群? 本文相关内容在群公告链接内实时更新。 人工坚持更新不易,如果对您有帮助,还请给本文点个赞,
继续阅读【漏洞预警】Nacos derby 接口SQL注入导致RCE漏洞
【漏洞预警】Nacos derby 接口SQL注入导致RCE漏洞 cexlife 飓风网络安全 2024-07-22 22:37 漏洞描述:Nacos是一个用于动态服务发现和配置以及服务管理的平台,Derby是一个轻量级的嵌入式数据库,接口/nacos/v1/cs/ops/derby和/nacos/v1/cs/ops/data/removal在使用Derby 数据库作为内置数据源时,用于运维人员进
继续阅读【漏洞预警】泛微 E-Cology 任意文件写入漏洞
【漏洞预警】泛微 E-Cology 任意文件写入漏洞 cexlife 飓风网络安全 2024-07-22 22:37 漏洞详情:近日,泛微网络发布2024年7月安全紧急更新,修复了影响Ecology8.0和Ecology9.0的一处任意文件写入漏洞,建议受影响用户尽快升级至最新版本。修复方案:厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:安全版本:升级安全补丁包至10.65及以上版本升级方法:
继续阅读专题·漏洞治理 | 强化全闭环漏洞管理,让安全漏洞无处遁形
专题·漏洞治理 | 强化全闭环漏洞管理,让安全漏洞无处遁形 原创 丁斌等 中国信息安全 2024-07-22 18:32 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 北京启明星辰信息安全技术有限公司 丁斌 张苗苗 范占利 宋楠 王硕玮 在当今数字化浪潮席卷全球的背景下,随着信息技术的迅猛发展,网络安全问题日益凸显。漏洞作为网络攻击的主要入口,成为一种
继续阅读神漏洞!远程篡改红绿灯时间,制造交通堵塞事故
神漏洞!远程篡改红绿灯时间,制造交通堵塞事故 安全内参编译 安全内参 2024-07-22 17:41 关注我们 带你读懂网络安全 虽然无法切换红灯绿灯,但通过篡改信号时长,依然可以制造出交通堵塞事故; 研究员已发现数十个公网暴露的Intelight X-1交通信号灯。 前情回顾·无所不能的漏洞 – 神漏洞!GE医疗超声设备感染勒索软件,设备停摆、数据遭篡改 神漏洞!热门扳手感染勒索软
继续阅读【手表众测招募啦!】单个漏洞最高奖励可达6w,还有机会免费赢得一加手表!
【手表众测招募啦!】单个漏洞最高奖励可达6w,还有机会免费赢得一加手表! OPPO安全中心 2024-07-22 17:36 24年首期手表众测即将开启! 单个漏洞奖励最高可达6w! 还有机会免费把一加手表带回家! 如果你是 手表重度使用者、IoT发烧友、一加狂热粉…… 就千万别错过这次众测啦! 活动时间 招募时间:2024年7月22日-2024年7月26日 设备发放时间:2024年7月31日前完
继续阅读