鸿运(通天星CMSV6车载)主动安全监控云平台inspect_file/upload存在任意文件上传漏洞 南风徐来 南风漏洞复现文库 2024-04-03 23:53 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 鸿运(通天星CMSV
继续阅读【漏洞预警】WordPress LayerSlider插件SQL注入漏洞(CVE-2024-2879) cexlife 飓风网络安全 2024-04-03 23:05 漏洞描述: WordPress插件LayerSlider是一款可视化网页内容编辑器、图形设计软件和数字视觉效果应用程序,全球活跃安装量超过 1,000,000 次,近日监测到LayerSlider插件中存在一个SQL注入漏洞(CVE
继续阅读【分析复现】XZ供应链后门漏洞(CVE-2024-3094)处置手册 原创 NS-CERT 绿盟科技CERT 2024-04-03 19:36 通告编号:NS-2024-0011-1 2024-04-03 TAG: liblzma/xz、后门漏洞、CVE-2024-3094 漏洞危害: 攻击者利用此漏洞,可实现SSH未授权代码执行。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到安全社
继续阅读XZ Utils(CVE-2024-3094)供应链投毒深度分析 原创 阿尔法实验室 天融信阿尔法实验室 2024-04-03 18:53 0x01 事件概述 近日,微软一名软件工程师Andres Freund公开披露,其观察到 liblzma库存在一些奇怪的现象,包括在用ssh远程登录异常及内存错误。经过分析,其确认在 liblzma上游组件 xz-utils中存在后门代码,后门或可导致攻击者能
继续阅读熊猫购物API漏洞被利用,黑客泄露130万用户个人信息 看雪学苑 看雪学苑 2024-04-03 18:09 熊猫购物(PandaBuy)是一个知名全球购物平台,为国际用户提供从中国各电子商务平台购买产品的服务(如天猫、淘宝、京东)。该公司最近确认遭受了一次大规模数据泄露,有130万用户受到影响。 泄露数据由两名黑客Sanggiero和IntelBroker在暗网论坛上发布,可信度较高,因为Int
继续阅读热门Wordpress 插件 LayerSlider 中存在严重漏洞 THN 代码卫士 2024-04-03 16:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 插件 LayerSlider 中存在一个严重漏洞,可被滥用于提取数据库中的敏感信息如密码哈希。 该漏洞的编号是CVE-2024-2879,CVSS评分为9.8,为SQL注入漏洞,影响7.9.11至7.10
继续阅读CVE-2024-20767 原创 fgz AI与网安 2024-04-02 07:01 免 责 申 明 :本文内容为学习笔记分享,仅供技术学习参考,请勿用作违法用途,任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责,与作者无关!!! 01 — 漏洞名称 Adobe ColdFusion 任意文件读取漏洞 02 — 漏洞影响 ColdFusion 2023 <
继续阅读大华智慧园区综合管理平台poi任意文件上传漏洞 原创 SXdysq 南街老友 2024-04-01 23:35 漏洞描述 大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。该平台旨在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。该平台emap/webservice/gis/soap/poi接口存在文件上传漏洞,攻击者利用该漏洞可以
继续阅读用友U8-Cloud FileServlet接口存在任意文件读取漏洞 南风徐来 南风漏洞复现文库 2024-04-01 23:12 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友U8-Cloud简介 微信公众号搜索:南风漏洞复现文
继续阅读联达OA UpLoadFile.aspx接口存在任意文件上传漏洞 南风徐来 南风漏洞复现文库 2024-04-01 23:12 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 联达OA UpLoadFile.aspx接口简介 微信公众号
继续阅读xz-utils后门漏洞 CVE-2024-3094 分析 360漏洞研究院 360漏洞研究院 2024-04-01 21:08 1 事件背景 3月29日,微软PostgreSQL开发人员Andres Freund在oss-security上公告[1]他发现开源项目xz-utils存在后门漏洞。该项目遭到供应链攻击,项目维护者jiaT75(jia Tan)通过上传二进制测试文件和篡改编译脚本,使得
继续阅读Weblogic CVE-2021-2394漏洞复现分析原创 原创 huang7k 路旅安全 2024-04-01 20:28 01 影响范围 Oracle WebLogic Server : 12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 02 漏洞复现 POC: 本地序列化与反序列化,dnslog收到请求 03 利用链分析 利用链: sink: org.eclipse.per
继续阅读【漏洞预警】JumpServer 多漏洞安全风险通告 原创 网星安全 网星安全 2024-04-01 19:32 01 漏洞介绍 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。其开源、零门槛等特性帮助大量客户实现企业服务器用户授权、运维管理、安全审计等需求。 近日,网星安全团队从JumpServer官方Github监测到,有用户反馈发现JumpServer
继续阅读CVE-2024-3094 一个带有XZ后门的SSH蜜罐 Ots安全 2024-04-01 18:58 什么是「xz-vulnerable-honeypot」? 「xz-vulnerable-honeypot」是一个基于 SSH 的蜜罐,具有名为 XZ 的后门漏洞(CVE-2024-3094)。 详细介绍 安装 注意:请在单独的隔离系统上运行此程序。Docker 不是用于隔离的,而是为了让库文件正
继续阅读深入研究 CVE-2023–46298: Next.js 中的拒绝服务漏洞 Ots安全 2024-04-01 18:58 谈谈我对 CVE-2023-46298 的研究。Snyk 将该漏洞归类为拒绝服务漏洞,影响 13.4.20-canary.13 之前的所有 Next.js 版本。 原因是这是一个非常新的漏洞,而且有很多网站都在使用 Next.js。此外,我在一次渗透测试中遇到了一个易受攻击的
继续阅读评论 | “免密支付”的漏洞亟待填补 郭元鹏 中国信息安全 2024-04-01 18:21 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 “免密支付”无疑给人们的生活带来了很大的便利,但是背后也隐藏着一些安全隐患。 “我不知道什么时候开通的‘免密支付’功能,直到手机频繁收到账单提醒,才发现平台账号被盗,对方通过‘免密支付’消费了5000多元。这种事关会员安全
继续阅读【漏洞预警】Jumpserver<3.10.7 Ansible Playbook远程代码执行漏洞CVE-2024-29201 cexlife 飓风网络安全 2024-04-01 17:51 漏洞描述:JumpServer是开源的堡垒机和运维安全审计系统,JumpServer 3.0版本开始引入批量下发作业功能,在其3.10.7之前版本中,攻击者可以通过构建恶意playbook模板绕过Ansi
继续阅读【漏洞预警】Jumpserver<3.10.7 Jinja2注入远程代码执行漏洞CVE-2024-29202 cexlife 飓风网络安全 2024-04-01 17:51 漏洞描述:JumpServer是开源的堡垒机和运维安全审计系统,在JumpServer3.10.7之前版本中,攻击者可以通过构建恶意playbook模板利用Ansible中的Jinja2模板引擎从而在Celery容器中以
继续阅读【漏洞预警】XZ-Utils 5.6.0-5.6.1版本存在后门风险CVE-2024-3094 cexlife 飓风网络安全 2024-04-01 17:51 漏洞描述:XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在Debian、Ubuntu、CentOS等发行版仓库中,开发者JiaT75在其GitHub仓库中发布
继续阅读思科IOS 漏洞可导致未认证的远程DoS 攻击 Becky Bracken 代码卫士 2024-04-01 17:42 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科为旗舰款 IOS 和 IOS XE 操作系统软件发布安全更新,为Access Point 软件发布补丁。 思科发布 Cisco IOS 发布14个漏洞安全更新,其中14个漏洞是拒绝服务漏洞,可导致系统崩溃、异常重新加载以及
继续阅读上周关注度较高的产品安全漏洞(20240325-20240331) 原创 CNVD CNVD漏洞平台 2024-04-01 17:02 一、境外厂商产品漏洞 1、 Apache Superset资源管理错误漏洞(CNVD-2024-14775) Apache Superset 是美国阿帕奇( Apache )基金会的一个数据可视化和数据探索平台。 Apache Superset 2.1.2 及之前
继续阅读Linux内核提权(CVE-2024-1086) 原创 Bre4dy 暗影安全 2024-04-01 16:19 0x00 漏洞简介 Linux 内核的 netfilter : nf_tables 组件中存在释放后使用漏洞,可被利用来实现本地权限提升。 nft_verdict_init() 函数允许在钩子判定中使用正值作为丢弃错误,因此当 NF_DROP 发出类似于 NF_ACCEPT 的丢弃错误
继续阅读雷神众测漏洞周报2024.3.25-2024.3.31 原创 雷神众测 雷神众测 2024-04-01 15:50 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读谷歌报告显示:2023 年 50% 的0day漏洞利用背后都是间谍软件供应商 网络安全应急技术国家工程中心 2024-04-01 15:49 导读 谷歌威胁分析小组 (TAG) 和谷歌子公司 Mandiant 表示,他们观察到 2023 年攻击中利用的 0day 漏洞数量显着增加,其中许多与间谍软件供应商及其客户有关。 谷歌研究人员周三表示,他们观察到 2023 年有 97 个 0day 漏洞被利
继续阅读【风险通告】XZ-Utils 5.6.0/5.6.1版本后门风险(CVE-2024-3094) 风险通告 阿里云应急响应 2024-04-01 13:58 2024年3月29日,安全社区披露 CVE-2024-3094 XZ-Utils 5.6.0/5.6.1版本后门风险。 01 风险描述 XZ-Utils是Unix等操作系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在
继续阅读【复现】JumpServer 后台模板注入漏洞(CVE-2024-29202)的风险通告 原创 赛博昆仑CERT 赛博昆仑CERT 2024-04-01 10:56 赛博昆仑漏洞安全通告- JumpServer 后台模板注入漏洞(CVE-2024-29202)的风险通告 漏洞描述 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。JumpServer 帮助企
继续阅读【事件描述修正】XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094)安全风险通告 奇安信 CERT 2024-04-01 00:01 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 XZ Utilѕ 工具库恶意后门植入漏洞 漏洞编号 QVD-2024-11691,CVE-2024-3094 公开时间 2024-03-29 影响量级 万级 奇安信评级 高危 CV
继续阅读【核弹漏洞?】XZ Utils供应链投毒事件分析 船山信安 2024-04-01 00:00 事件描述 简单来说这是一起供应链投毒事件,攻击者通过上游开源项目投毒,最终随着项目集成影响 Linux 发行版,包括 Fedora Linux 40/41 等操作系统已经确认受该问题影响。 2024年3月29日,微软PostgreSQL开发人员Andres Freund在调查SSH性能问题时,发现了XZ
继续阅读记一次非法网站资金盘股票基金的渗透-漏洞挖掘 漏洞挖掘 渗透安全HackTwo 2024-04-01 00:00 0x01 前言 简单的描述一下,在某次客户的授权渗透中发行客户网站被植入了暗链,一般这种暗链都是些非法网站,于是我就点开了这个暗链发现是一个资金盘,简简单单的翻了一下,立马锁定目标站,具体过程直接来看思路! 末尾可领取字典等资源文件 0x02 漏洞信息收集网站打开后是一
继续阅读