[0day]FLIR-FLIR-AX8某接口存在任意文件读取
[0day]FLIR-FLIR-AX8某接口存在任意文件读取 qT 晴天安全 2024-03-13 08:55 0x01 漏洞简述 — FLIR-AX8是美国菲力尔公司(Teledyne FLIR)旗下的一款工业红外热像仪AX8,英文名为Teledyne FLIR AX8 thermal sensor cameras。菲力尔公司专注于设计、开发、生产、营销和推广用于增强态势感知力的专业技术,通过热
继续阅读标签: 漏洞
weiphp5.0 scan_callback 代码执行漏洞
weiphp5.0 scan_callback 代码执行漏洞 原创 揽月 揽月安全团队 2024-03-13 08:50 漏洞简介 SPRING HAS ARRIVED weiphp5.0 scan_callback 存在代码执行漏洞 漏洞复现 SPRING HAS ARRIVED 第一步、使用以下fofa语句进行资产收集…确认测试目标 fofa语句 (body="conte
继续阅读CVE-2024-21413:Microsoft Outlook远程代码执行漏洞
CVE-2024-21413:Microsoft Outlook远程代码执行漏洞 noobsec 安全小白团 2024-03-13 08:31 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 背景 安全小白团 当与 CVE-2023-21716 组合时,微软 Outlook 泄露凭据和远程代码执行漏洞。Outlook 应该
继续阅读About一个高价值漏洞采集与推送服务
About一个高价值漏洞采集与推送服务 zema1 黑客白帽子 2024-03-13 08:01 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ 众所周知,CVE 漏洞库中 99% 以上的漏洞只是无现实意义的编号。我想集中精力看下当下需要关注的高价值漏洞有哪些,而不是被各类 RSS 和公众号的 威胁情报 淹没。于
继续阅读漏洞预警 | Fortinet FortiOS & FortiProxy越界写入漏洞
漏洞预警 | Fortinet FortiOS & FortiProxy越界写入漏洞 浅安 浅安安全 2024-03-13 08:00 0x00 漏洞编号 – # CVE-2024-21762 0x01 危险等级 – 高危 0x02 漏洞概述 Fortinet FortiOS是美国飞塔公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防
继续阅读漏洞预警 | QNAP NAS身份验证缺失漏洞
漏洞预警 | QNAP NAS身份验证缺失漏洞 浅安 浅安安全 2024-03-13 08:00 0x00 漏洞编号 – # CVE-2024-21899 0x01 危险等级 – 高危 0x02 漏洞概述 QNAP NAS是指威联通NAS,威联通专注于文件共享、存储管理、虚拟化和云服务的硬件系统,以及家庭和企业的监控应用程序。 0x03 漏洞详情 CVE-2024-2189
继续阅读漏洞预警 | 畅捷通T+ SQL注入漏洞
漏洞预警 | 畅捷通T+ SQL注入漏洞 浅安 浅安安全 2024-03-13 08:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 畅捷通T+是一款主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 命令执行 简述:
继续阅读Tomcat系列漏洞之五——AJP协议文件读取漏洞(CVE-2020-1938)
Tomcat系列漏洞之五——AJP协议文件读取漏洞(CVE-2020-1938) 原创 simeon的文章 小兵搞安全 2024-03-13 07:00 5.1漏洞简介 1.漏洞简介 2020年,长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Tomcat 中的文件读取/包含漏洞,并第一时间提交厂商修复。 2月14日,Apache Tomcat 官方发布安全更新版本,修复漏洞。2月20日,
继续阅读WordPress插件Bricks Builder存在RCE漏洞(CVE-2024-25600)
WordPress插件Bricks Builder存在RCE漏洞(CVE-2024-25600) TKing的安全圈 2024-03-12 23:16 本次代码审计项目为PHP语言,我将继续以漏洞挖掘者的视角来分析漏洞的产生,调用与利用….. 前方高能,小伙伴们要真正仔细看咯….. 漏洞简介 CVE-2024-25600 是一个严重的(CVSS 评分 9.8)远程代码执行
继续阅读金蝶EAS /easportal/tools/appUtil.jsp 任意文件上传/下载漏洞
金蝶EAS /easportal/tools/appUtil.jsp 任意文件上传/下载漏洞 TKing的安全圈 2024-03-12 23:16 公众号技术文章仅供诸位网络安全工程师对自己所管辖的网站、服务器、网络进行检测或维护时参考用,公众号的检测工具仅供各大安全公司的安全测试员安全测试使用。未经允许请勿利用文章里的技术资料对任何外部计算机系统进行入侵攻击,公众号的各类工具均不得用于任何非授权
继续阅读SpringBlade list接口存在SQL注入漏洞 附POC软件
SpringBlade list接口存在SQL注入漏洞 附POC软件 南风徐来 南风漏洞复现文库 2024-03-12 22:05 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. SpringBlade简介 微信公众号搜索:南风漏洞复现
继续阅读WatchVuln 高价值漏洞采集与推送
WatchVuln 高价值漏洞采集与推送 zema1 猪猪谈安全 2024-03-12 21:00 项目地址 https://github.com/zema1/watchvuln?tab=readme-ov-file 众所周知,CVE 漏洞库中 99% 以上的漏洞只是无现实意义的编号。我想集中精力看下当下需要关注的高价值漏洞有哪些,而不是被各类 RSS 和公众号的 威胁情报 淹没。于是写了这个小
继续阅读【漏洞预警】Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403)
【漏洞预警】Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403) cexlife 飓风网络安全 2024-03-12 20:15 漏洞描述: Progress OpenEdge是一个应用程序开发和部署平台套件,OpenEdge Authentication Gateway (OEAG) 身份验证网关可通过强化 OpenEdge 应用程序环境的安全性来确保可信身份管理,近
继续阅读WEB漏洞扫描工具 – GHR
WEB漏洞扫描工具 – GHR GSDK安全团队 2024-03-12 19:10 01 项目地址 https://github.com/spmonkey/GHR 02 项目介绍 Golden-hooped Rod是一款用于web站点进行漏洞扫描的工具 使用方法: usage: GHR.py [-h] [-u URL] [-f filename] [–upgrade] [–nodi
继续阅读【安全圈】因Ultimate Member Plugin出现安全漏洞,10 万个 WordPress 网站遭受攻击
【安全圈】因Ultimate Member Plugin出现安全漏洞,10 万个 WordPress 网站遭受攻击 安全圈 2024-03-12 19:01 关键词 安全漏洞 WordPress安全公司Defiant的Wordfence团队最近发布了一个警告,指出Ultimate Member插件存在一个高危漏洞,可被利用进行跨站脚本(XSS)攻击,允许攻击者注入恶意脚本到WordPress网站。
继续阅读迅雷客户端被称存在多个高危漏洞
迅雷客户端被称存在多个高危漏洞 摸鱼的小A WIN哥学安全 2024-03-12 18:19 朋 友发给我的一篇文章,标题是《 Numerous vulnerabilities in Xunlei Accelerator application 》,也就是“在迅雷的加速器应用中发现数个漏洞”。 文章原文链接 我放在这里了: https://palant.info/2024/03/06/numero
继续阅读上周关注度较高的产品安全漏洞(20240304-20240310)
上周关注度较高的产品安全漏洞(20240304-20240310) 深信服千里目安全技术中心 2024-03-12 14:54 一、境外厂商产品漏洞 1、 IBM Security Guardium操作系统命令注入漏洞(CNVD-2024-11735) IBM Security Guardium是美国国际商业机器(IBM)公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审
继续阅读奖金翻倍| 2024补天通用型漏洞专项活动第一期上线!
奖金翻倍| 2024补天通用型漏洞专项活动第一期上线! 补天平台 2024-03-12 14:13 通用专项活动第一期 ◆ 2 0 2 4 年3 月12 日14 点 起 至03 月26 日 2 3 : 5 9 止 ◆ 收取范围:web通用型漏洞 0 1 活动奖励 A+计划 收录范围说明 收录范围请见公告:https://www.butian.net/Article/content/id/661 属
继续阅读补天平台助力|龙年首场「漏洞攻防安全」第13期安全范儿沙龙开启!
补天平台助力|龙年首场「漏洞攻防安全」第13期安全范儿沙龙开启! 安全范儿技术沙龙 补天平台 2024-03-12 14:13 随着攻击商业模式的逐步成熟,利用漏洞攻击带来的影响也在放大。对于企业安全团队来说,如何捕捉攻击团队的攻击技巧,提前发现安全漏洞,并转化为具体安全检测实践的能力,是一个很大挑战。 3月22日,安全范儿技术沙龙再度开启,龙年首场沙龙主题再次聚焦「漏洞攻防安全」。来自字节跳动无
继续阅读记一次犯罪链条中的URL跳转的挖掘-漏洞挖掘
记一次犯罪链条中的URL跳转的挖掘-漏洞挖掘 漏洞挖掘 渗透安全HackTwo 2024-03-12 00:02 0x01 前言 2023年 12 月,接到朋友求助,他的母亲被诈骗5万元,诈骗人使用的是他哥哥的微信号,找到我寻求帮助。 经过研判,对方盗取了被害人亲戚的微信号,以老套的诈骗方式“是我是我诈骗”进行作案。 末尾可领取字典等资源文件 0x02 漏洞分析 利用钓鱼链接,让被
继续阅读JetBrains TeamCity权限绕过(CVE-2024-27198)分析与利用
JetBrains TeamCity权限绕过(CVE-2024-27198)分析与利用 原创 W01fh4cker 追梦信安 2024-03-12 00:01 一、环境搭建 单纯的验证的话,使用docker就可以了: sudo docker pull jetbrains/teamcity-server:2023.11.3 sudo docker run -it -d –name teamcity
继续阅读附下载 | 高价值漏洞采集与推送工具
附下载 | 高价值漏洞采集与推送工具 原创 网络安全自修室 网络安全自修室 2024-03-11 22:05 点击上方 蓝字关注我们 1 免责声明 本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究, 谨 遵守国家相关法律法规,请勿用于违法用途, 如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。 2 内容
继续阅读【漏洞预警】Fortinet FortiOS & FortiProxy越界写入漏洞(CVE-2024-21762)
【漏洞预警】Fortinet FortiOS & FortiProxy越界写入漏洞(CVE-2024-21762) cexlife 飓风网络安全 2024-03-11 21:47 漏洞描述: FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。For
继续阅读OpenSSH升级到9.6P1以修复CVE-2023-51385漏洞
OpenSSH升级到9.6P1以修复CVE-2023-51385漏洞 原创 网络安全菜鸟 安全孺子牛 2024-03-11 21:00 1.漏洞简介 漏洞详情: 此漏洞是由于OpenSSH中的ProxyCommand命令未对%h、%p或类似的扩展标记进行正确的过滤,攻击者可通过这些值注入恶意shell字符进行命令注入攻击。 影响范围: OpenSSH<9.6 官方补丁: 目前官方已修复该漏洞
继续阅读一篇文章说清楚Shiro-550漏洞
一篇文章说清楚Shiro-550漏洞 0xNvyao 安全随笔 2024-03-11 20:30 篇幅有点长了……不过不管是想看漏洞复现的还是代码调试,看这一篇就可以了。 Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 Shiro-550指的是Apache Shiro 1.2.4反序列化漏洞,漏洞编号:CVE-
继续阅读【安全圈】一天就完成!Magnet Goblin Hacker Group 利用漏洞成功部署 Nerbian RAT
【安全圈】一天就完成!Magnet Goblin Hacker Group 利用漏洞成功部署 Nerbian RAT 安全圈 2024-03-11 19:02 关键词 安全漏洞 一个名为 Magnet Goblin 的出于经济动机的威胁行为者正在迅速将一天安全漏洞纳入其武器库,以便投机取巧地破坏边缘设备和面向公众的服务,并在受感染的主机上部署恶意软件。 Check Point说:“威胁行为者组织M
继续阅读干货 | Redis的漏洞总结(建议收藏)
干货 | Redis的漏洞总结(建议收藏) 自然嗨 渗透安全团队 2024-03-11 18:46 声明 该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 01 漏洞探测 redis默认情况是空密码连接而且如果是root权限的话,会造成很大的危害。 Namp nmap
继续阅读龙年首场「漏洞攻防安全」| 第13期安全范沙龙开启
龙年首场「漏洞攻防安全」| 第13期安全范沙龙开启 原创 安全范儿技术沙龙 字节跳动安全中心 2024-03-11 18:07 随着攻击商业模式的逐步成熟,利用漏洞攻击带来的影响也在放大。对于企业安全团队来说,如何捕捉攻击团队的攻击技巧,提前发现安全漏洞,并转化为具体安全检测实践的能力,是一个很大挑战。 3月22日,安全范儿技术沙龙再度开启,龙年首场沙龙主题再次聚焦「漏洞攻防安全」。来自字节跳动无
继续阅读可未经授权远程破坏系统,威联通披露其NAS产品三个漏洞
可未经授权远程破坏系统,威联通披露其NAS产品三个漏洞 看雪学苑 看雪学苑 2024-03-11 18:00 3月9日,知名网络附加存储(NAS)设备制造商威联通(QNAP)发布了一则安全公告,披露其NAS产品(如QTS、QuTS hero、QuTScloud和myQNAPcloud)中存在三个漏洞,攻击者能够利用这些漏洞通过网络来破坏系统安全或执行恶意代码。 漏洞详情如下: CVE-2024-2
继续阅读