FreeBuf「漏洞分析」主题征稿活动即日上线
FreeBuf「漏洞分析」主题征稿活动即日上线 FreeBuf 2024-07-17 18:55 根据Cloudflare发布的2024年应用安全报告,攻击者正越发快速地利用被公开的漏洞,甚至仅在公开后22分钟 就将可用的概念验证(PoC)漏洞武器化。 2024年7月,OpenSSH 远程代码执行漏洞(CVE-2024-6387)首个PoC在网上公布。该影响基于glibc的Linux系统,有可能引
继续阅读标签: 漏洞
Next.js框架存在SSRF漏洞CVE-2024-34351
Next.js框架存在SSRF漏洞CVE-2024-34351 小白菜安全 小白菜安全 2024-07-17 18:38 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范
继续阅读攻击者最快在PoC发布22分钟后实施漏洞利用
攻击者最快在PoC发布22分钟后实施漏洞利用 Bill Toulas 代码卫士 2024-07-17 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁行动者在实际攻击中利用已有 PoC exp的速度很快,有时在 exp 公开发布22分钟后就实施利用。 这是Cloudflare 公司在《2024年应用安全》报告中提到的。该报告覆盖的时间范围为2023年5月至2024年3月,提出
继续阅读演讲议题巡展 | 芯片安全终局之战—故障注入漏洞利用
演讲议题巡展 | 芯片安全终局之战—故障注入漏洞利用 KCon 黑客大会 2024-07-17 17:55 经过精心筹备与多方努力 KCon 2024 黑客大会敲定举办时间 将于8月24日-25日举办 本次大会涵盖了网安领域的不同热点话题 为了展示演讲议题风采 让大家了解更多大会情况 特此开展议题巡展 欢迎围观~ 演讲者: 尹小元 小米车联网安全专家,在智能终端安全实验室负责车联网安全工作,10余
继续阅读大咖来了|江苏智能网联汽车创新中心:车载操作系统网络安全漏洞验证实践分享
大咖来了|江苏智能网联汽车创新中心:车载操作系统网络安全漏洞验证实践分享 谈思实验室 2024-07-17 17:53 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 AutoSec 2024 第八届中国汽车网络安全周 9月3日-4日 9月3日-4日,「AutoSec 2024第八届中国汽车网络安全周暨第五届智能汽车数据安全展」由谈思实验室和谈思汽车主办、上海市车联网协会联合主办,连续8年与大
继续阅读Nacos 1Day RCE不出网利用方式
Nacos 1Day RCE不出网利用方式 原创 Garck3h pentest 2024-07-17 17:20 前言 7.15各个群里以及公众号都在传github上有网友公布了最新的nacos远程代码执行漏洞及exp。以及陆陆续续有大佬们复现了该漏洞。昨晚有师傅问我,不出网的方式怎么利用,我们今天来探讨一下不出网的方式。Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台
继续阅读【漏洞预警】Atlassian Bamboo Data Center And Server 文件包含漏洞
【漏洞预警】Atlassian Bamboo Data Center And Server 文件包含漏洞 原创 聚焦网络安全情报 安全聚 2024-07-17 17:07 预警公告 高危 近日,安全聚实验室监测到Atlassian Bamboo Data Center And Server 存在文件包含漏洞 ,编号为:CVE-2024-21687,CVSS:8.1 允许经过身份验证的攻击者获取应
继续阅读【漏洞预警】Oracle WebLogic Server未授权访问漏洞(CVE-2024-21175)
【漏洞预警】Oracle WebLogic Server未授权访问漏洞(CVE-2024-21175) 原创 聚焦网络安全情报 安全聚 2024-07-17 17:07 预警公告 高危 近日,安全聚实验室监测到 Oracle WebLogic Server 存在未授权访问漏洞 ,编号为:CVE-2024-21175,CVSS:7.5 Oracle WebLogic Server 中存在未授权访问
继续阅读【漏洞预警】Products Filter Professional for WooCommerce存在sql注入漏洞
【漏洞预警】Products Filter Professional for WooCommerce存在sql注入漏洞 原创 聚焦网络安全情报 安全聚 2024-07-17 17:07 预警公告 严重 近日,安全聚实验室监测到 WordPress的插件中存在SQL注入漏洞 ,编号为:CVE-2024-6457,CVSS:9.8 由于对用户提供的参数转义不充分,以及对现有SQL查询缺乏充分的准备,
继续阅读最严重的39个硬件安全漏洞
最严重的39个硬件安全漏洞 安信安全 安信安全 2024-07-17 17:00 2018年1月曝光的两个处理器高危漏洞——Meltdown和Spectre震惊了整个计算机行业。攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。 这些漏洞源于现代CPU的一种称为“ 推测执行 ”的性能特性,而缓解这些漏洞需要历史上最大规模的补丁协调工作,涉
继续阅读Oracle 2024年7月补丁日多产品高危漏洞安全风险通告
Oracle 2024年7月补丁日多产品高危漏洞安全风险通告 奇安信 CERT 2024-07-17 09:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2024年7月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2024-07-17 影响对象数量级 百万级 奇安信评级 高危 利用可能性
继续阅读Veeam备份软件漏洞引发全球勒索软件攻击浪潮
Veeam备份软件漏洞引发全球勒索软件攻击浪潮 信息安全大事件 2024-07-16 22:51 漏洞 CVE-2023-275327(CVSS 评分为 7.5)会影响 Veeam Backup & Replication 组件。攻击者可利用此问题获取存储在配置数据库中的加密凭据,从而可能导致访问备份基础结构主机。 该漏洞已于 2023 年 3 月得到解决,不久后,该问题的PoC 漏洞利用
继续阅读通达OA漏洞检测工具v1.6(7月12日更新)
通达OA漏洞检测工具v1.6(7月12日更新) xiaokp7 Web安全工具库 2024-07-16 22:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。个人微信
继续阅读「漏洞复现」ServiceNow UI Jelly模板注入漏洞复现(CVE-2024-4879)
「漏洞复现」ServiceNow UI Jelly模板注入漏洞复现(CVE-2024-4879) 冷漠安全 冷漠安全 2024-07-16 20:11 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,
继续阅读nacos的1day保姆级漏洞复现
nacos的1day保姆级漏洞复现 湘南第一深情 湘安无事 2024-07-16 20:06 声明: 由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。如有侵权烦请告知,我们会立即删除并致歉。谢谢!本文来自内部学员的分享报告。 文章内容 1.昨天不是爆了naco
继续阅读喰星云-数字化餐饮服务系统信息泄露漏洞
喰星云-数字化餐饮服务系统信息泄露漏洞 小白菜安全 小白菜安全 2024-07-16 19:26 免责声明 该公众号主要是分享互联网上公开的一些漏洞poc和工具, 利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如果本公众号分享导致的侵权行为请告知,我们会立即删除并道歉。 漏洞影响范围 漏洞复现 poc G
继续阅读【安全圈】Veeam备份软件漏洞引发全球勒索软件攻击浪潮
【安全圈】Veeam备份软件漏洞引发全球勒索软件攻击浪潮 安全圈 2024-07-16 19:01 关键词 漏洞 CVE-2023-275327(CVSS 评分为 7.5)会影响 Veeam Backup & Replication 组件。攻击者可利用此问题获取存储在配置数据库中的加密凭据,从而可能导致访问备份基础结构主机。 该漏洞已于 2023 年 3 月得到解决,不久后,该问题的 Po
继续阅读近期暗网0day售卖情报
近期暗网0day售卖情报 原创 cybernews OSINT研习社 2024-07-16 18:40 目录: 暗网论坛上出现疑似 Docker 容器逃逸事件 黑客声称出售 Netgear Orbi 的 0day(Preauth RCE) 黑客声称出售 phpBB 的 SQL 注入漏洞 威胁者出售 OpenSSH 9.6 版命令注入漏洞 Pi-hole 上存在所谓的 CVE-2024-21762
继续阅读活动|BKSRC组件命令执行漏洞专项测试活动三期开始啦~~~最后机会,欢迎上车~~~
活动|BKSRC组件命令执行漏洞专项测试活动三期开始啦~~~最后机会,欢迎上车~~~ 贝壳安全应急响应中心 2024-07-16 18:31 点击蓝字 关注我们 活动时间: 7月17日10:00——7月24日24:00 收集范围 一、漏洞范围(以下条件均需满足) 1) 域名范围:.ke.com、.lianjia.com、.realsee.com、.ehomepay.com.cn、*.bkjk.co
继续阅读新手飞跃!零基础Android漏洞挖掘全攻略(实战+技巧)
新手飞跃!零基础Android漏洞挖掘全攻略(实战+技巧) 釉子 看雪学苑 2024-07-16 17:59 Android漏洞挖掘是通过技术手段在Android系统或应用中寻找潜在安全漏洞的过程。这种挖掘方法涵盖了权限提升、信息泄露、远程代码执行等多种漏洞类型。采用静态代码分析、动态调试和模糊测试等技术手段,有助于发现并修复这些漏洞,从而提高系统安全性,保护用户隐私,促进软件质量提升。对于个人而
继续阅读网络攻击提速惊人:PoC发布22分钟内被黑客利用
网络攻击提速惊人:PoC发布22分钟内被黑客利用 网络安全应急技术国家工程中心 2024-07-16 15:22 根据Cloudflare发布的2024年应用安全报告,黑客在漏洞概念验证(PoC)利用发布后仅22分钟便可在实际攻击中加以武器化。该报告涵盖了2023年5月至2024年3月期间的网络攻击活动,重点介绍了新兴威胁趋势。以下是报告的几个重点发现: 攻击大提速:22分钟内武器化PoC Clo
继续阅读上周关注度较高的产品安全漏洞(20240708-20240714)
上周关注度较高的产品安全漏洞(20240708-20240714) 国家互联网应急中心CNCERT 2024-07-16 10:11 一、境外厂商产品漏洞 1、Siemens SIPROTEC 5 devices弱加密漏洞**** SIPROTEC 5 devices为变电站和其他应用领域提供一系列集成保护、控制、测量和自动化功能。Siemens SIPROTEC 5 devices存在弱加密漏洞
继续阅读红队武器库漏洞利用工具合集整理(7月11日更新)
红队武器库漏洞利用工具合集整理(7月11日更新) onewinner 网络安全者 2024-07-15 22:15 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。 0x0
继续阅读fastjson漏洞批量检测工具(7月12日更新)
fastjson漏洞批量检测工具(7月12日更新) smallfox233 Web安全工具库 2024-07-15 22:13 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删
继续阅读最新Nacos 漏洞复现与修复建议
最新Nacos 漏洞复现与修复建议 攻防训练营 2024-07-15 21:05 环境搭建 首先拉取Nacos的docker镜像 git clone https://github.com/nacos-group/nacos-docker.git cd nacos-docker 这里改一下 example/standalone-derby.yaml docker-compose -f example
继续阅读0day预警 | 已复现Github公开nacos rce的exp(小白友好)
0day预警 | 已复现Github公开nacos rce的exp(小白友好) 原创 永恒之锋实验室 Eonian Sharp 2024-07-15 21:01 声明 该公众号分享的安全工具和项目均来源于网络,仅供学术交流,请勿直接用于任何商业场合和非法用途。如用于其它用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 介绍 Nacos是一个更易于构建云原生应用的动态服务发现、配置管
继续阅读NACOS RCE 0day POC分析及复现
NACOS RCE 0day POC分析及复现 哈拉少安全小队 2024-07-15 20:12 免责声明:请勿将本项目技术或代码应用在恶意软件制作、软件著作权/知识产权盗取或不当牟利等非法用途中。 本项目提及的技术仅可用于私人学习测试等合法场景中,任何不当利用该技术所造成的刑事、民事责任均与本项目作者无关。 资产测绘 当前总计13w资产,请自行判断可利用版本:nacos2.3.2-2.4.0 P
继续阅读紧急修复!Nacos 0day POC 及修复方式
紧急修复!Nacos 0day POC 及修复方式 原创 sspsec SSP安全研究 2024-07-15 20:11 免责声明:由于传播、利用本公众号SSP安全研究所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号SSP安全研究及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1► 漏洞背景 Nacos 是 Alibab
继续阅读【漏洞预警-已复现】FOGPROJECT 文件名命令注入漏洞(CVE-2024-39914)
【漏洞预警-已复现】FOGPROJECT 文件名命令注入漏洞(CVE-2024-39914) 原创 聚焦网络安全情报 安全聚 2024-07-15 20:01 预警公告 严重 近日,安全聚实验室监测到 FOGPROJECT中存在命令注入漏洞 ,编号为:CVE-2024-39914,CVSS:9.8 在FOG中的packages/web/lib/fog/reportmaker.class.php
继续阅读关于网传的nacos最新0day
关于网传的nacos最新0day 原创 fkalis fkalis 2024-07-15 20:00 个人理解的漏洞原理:本质实际上就是在20年那个未授权的基础上添加了命令执行,但是也导致了该漏洞的利用条件变得比较苛刻,目前测试需要比较多的条件才能进行漏洞利用 1. 0day作者的poc地址 https://github.com/ayoundzw/nacos-poc/blob/main/explo
继续阅读