赛克安全本周漏洞推送(12.9-12.13)涉及孚盟云、用友时空、蓝凌OA、月子会所、时空VMS等产品相关漏洞 thelostworld 2024-12-14 00:00 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如
继续阅读【0day】圣乔ERP系统downloadFile存在任意文件读取漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-13 23:04 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **圣乔科技有限公司成立于2007年02月27日,注册地位于浙江省杭州市拱墅区和睦路555号201幢116室,法定代表人为张鹏。经营范围包括计算机软硬
继续阅读【云原生攻防研究】Istio访问授权再曝高危漏洞 黑伞安全 2024-12-13 14:33 一、概述 在过去两年,以Istio为代表的Service Mesh的问世因其出色的架构设计及火热的开源社区在业界迅速聚集了一批拥簇者,BAT等大厂先后也发布了自己的Service Mesh落地方案并在生产环境中部署运行。Service Mesh不仅可以降低应用变更过程中因为耦合产生的冲突(传统单体架构应用
继续阅读用友NC yerfiledown SQL注入漏洞复现 原创 CatalyzeSec CatalyzeSec 2024-12-13 12:05 FOFA app="用友-UFIDA-NC" 漏洞复现 nuclei运行结果 POC与nuclei-poc已上传到知识星球 高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具
继续阅读Unix通用打印系统cups-browsed远程代码执行漏洞分析 启明星辰 ADLab 2024-12-13 11:18 更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn) 一、漏洞描述 2024年9月,安全研究员Simone Margaritelli披露了Unix通用打印系统CUPS(Common UNIX Printing Sys
继续阅读【安全圈】大众和斯柯达曝12个组合漏洞,攻击者可在10米内无接触入侵 安全圈 2024-12-13 11:02 关键词 安全漏洞 网络安全研究人员发现斯柯达和大众汽车的某些车型的车载娱乐系统中存在多个漏洞,这些漏洞可能让黑客远程跟踪并访问用户的敏感数据。 专门从事汽车网络安全的公司PCAutomotive最近在Black Hat Europe上披露了影响斯柯达Superb III轿车最新型号的12
继续阅读DevSecOps面面观 | 聊聊DevSecOps度量实践中的那些误区 原创 小安君 开源网安 2024-12-13 09:39 DevSecOps将开发、安全和运维紧密结合,以实现软件全生命周期的高效协同和快速交付,保障软件的安全性与可靠性。然而,要想真正实现DevSecOps的目标并持续改进其流程,其关键点就在于度量体系的建设。 越来越多的开发团队意识到,只有通过精确的度量,才能清晰地了解每
继续阅读用友U8-CRM系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2024-12-13 04:57 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 用友U8CRM是一款集CRM、呼叫中心、OA核心应用于一体,提供前端营销、后端业务处理及员工管理一体化应用的管理软件。软件立足代理销售服务行业管理一体化的高度,以“整合、专业、智能、畅捷”为产品研发理念,弥补了代理销售服务行业信息化管理的
继续阅读“芝麻开门”无线攻击:针对中国锐捷网络的物联网设备漏洞 原创 网空闲话 网空闲话plus 2024-12-12 23:21 综合claroty、锐捷网络、CISA网站消息,工业网络安全公司Claroty下属的team82研究发现,物联网(IoT)供应商锐捷网络的Reyee云管理平台存在10个安全漏洞,这些漏洞可能允许攻击者控制数千台连接的设备。锐捷网络设备广泛用于全球90多个国家的机场、学校等公共
继续阅读【0day】深圳国威电子有限公司HB1910数字IP程控交换机存在远程命令执行漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-12 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **深圳国威电子有限公司成立于1991年7月,是著名的程控交换机研发、生产、销售厂家。深圳国威电子有限公司HB1910数字IP程控交换机存
继续阅读聚焦纽创信安 | 上海ICCAD 2024-Expo 原创 OSR市场部 纽创信安 2024-12-12 16:06 2024年12月11日至12日, “上海集成电路2024年度产业发展论坛暨第三十届集成电路设计业展览会”(ICCAD-Expo 2024)在上海世博展览馆成功举办,本届大会以“智慧上海,芯动世界”为主题,设置1场高峰论坛+9场分论坛,行业300多家企业参展,近万名集成电路业界精英人
继续阅读Palo零日漏洞凸显面向互联网的接口风险不断上升 原创 何威风 祺印说信安 2024-12-12 16:01 最近的报告证实,针对 Palo Alto Networks 的下一代防火墙 (NGFW) 管理接口的严重零日漏洞正受到积极利用。虽然 Palo Alto 的快速建议和缓解指南为补救措施提供了起点,但此类漏洞的广泛影响需要全球组织予以关注。 针对面向互联网的管理界面的攻击激增凸显了不断演变的
继续阅读【安全圈】知名企业级文件传输产品存在漏洞,正在被黑客利用 安全圈 2024-12-12 11:00 关键词 安全漏洞 网络安全公司 Huntress 在周一警告称,影响企业软件制造商 Cleo 多个文件传输产品的漏洞未正确修补,并在过去至少一周内被利用。Cleo 是一家总部位于伊利诺伊州的公司,为超过 4200 家组织提供供应链和 B2B 集成解决方案。 该漏洞影响 Cleo 的LexiCom 、
继续阅读施耐德电气提醒注意 Modicon 控制器中的严重漏洞 securityonline 代码卫士 2024-12-12 10:09 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 施耐德电气发布一份安全通知,提醒注意 Modicon M241、M251、M258和LMC058 可编程逻辑控制器 (PLCs) 中的一个严重漏洞CVE-2024-11737(CVSS评分9.8)。该漏洞可导致攻击者
继续阅读即将开班!“系统0day安全”系列课程:掌握漏洞挖掘重要技能 看雪课程 看雪学苑 2024-12-12 10:01 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握
继续阅读创宇安全智脑 | Mitel MiCollab 企业协作平台任意文件读取(CVE-2024-41713)等80个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2024-12-12 09:30 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、
继续阅读【风险通告】Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 Apache Struts存在文件上传漏洞(CVE-2024-53677) 安恒CERT评级 2级 CVSS3.1评分 8.1 CVE编号 CVE-2024-53677 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT
继续阅读【风险通告】GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒研究院 安恒信息CERT 2024-12-12 08:29 漏洞概述 漏洞名称 GitLab存在敏感信息泄露漏洞(CVE-2024-11274) 安恒CERT评级 2级 CVSS3.1评分 8.7 CVE编号 CVE-2024-11274 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-2024
继续阅读【漏洞通告】Django Oracle数据库SQL注入漏洞(CVE-2024-53908) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 在使用Oracle作为后端数据库时,Django框架中存在一个SQl注入漏洞。通过django.db.models.fields.json.HasKey,攻击者可以将恶意语句作为lhs值注入数据库,从而导致数据泄露和服务器失陷
继续阅读【漏洞通告】ProFTPD 权限提升漏洞(CVE-2024-48651) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 ProFTPD在1.3.9rc2之前的版本中存在一个权限提升漏洞。经过身份验证的用户如果没有明确得加入任何附加组,会错误地从父进程继承附加组GID 0(root)。攻击者可以利用该漏洞将普通用户权限提升至root权限,严重可导致服务器失陷。02
继续阅读【漏洞通告】ProjectSend 身份认证绕过漏洞(CVE-2024-11680) 安迈信科应急响应中心 2024-12-12 01:59 01 漏洞概况 ProjectSend 存在身份认证绕过漏洞,未授权的攻击者可以利用该漏洞修改应用程序的配置,执行任意命令,导致服务器失陷。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称ProjectSend身份认证绕过漏洞漏洞编号CVE编号CV
继续阅读最高级!安恒信息获评工信部NVDB漏洞治理合作“三星级技术支撑单位” 安恒信息 2024-12-12 01:02 近日,2024年第十三届电信和互联网行业网络安全年会在北京召开。在会上,工信部网络安全威胁和漏洞信息共享平台(NVDB)通用网络产品安全漏洞专业库对2024-2025年度技术支撑单位进行授牌,安恒信息凭借 在网络产品安全漏洞管理方面作出的杰出贡献,被授予“ 三星级 技术支撑单位” (最
继续阅读Cleo文件传输软件爆严重漏洞,黑客组织Termite或已发动大规模勒索攻击! 原创 Hankzheng 技术修道场 2024-12-11 23:56 紧急速报 近日,文件传输软件巨头Cleo的产品爆出严重安全漏洞,允许未经身份验证的攻击者远程执行代码。安全公司Huntress发现,黑客组织Termite疑似利用该漏洞,已对全球多家企业发动攻击,并植入勒索软件。 漏洞详情 – 漏洞
继续阅读【edu 0day预警】某公司教育教学监测与保障系统存在信息泄露漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-11 22:01 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **某公司是一家长期专注于高等教育教学质量保障领域研究及产品开发的高新技术企业,公司旨在通过技术创新和优质的服务让高校教学管理工作更科学、更高效、更容易
继续阅读【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第一篇-驱动漏洞一击致命 原创 索勒安全团队 solar应急响应团队 2024-12-11 01:02 引言:在之前的文章【成功案例】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附溯源分析报告中,我们提到,尽管许多企业已经部署了众多安全设备和备份解决方案,并建立了相对成熟的安全运营体系,但在如此复杂的网络环境中,依然存在漏洞,导致
继续阅读.NET 一款内网渗透中清理日志服务的工具 原创 专攻.NET安全的 dotNet安全矩阵 2024-12-11 00:21 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁
继续阅读【未公开1day】某科网威anysec安全网关arping存在远程命令执行漏洞 原创 xiachuchunmo 银遁安全团队 2024-12-10 22:00 需要EDU SRC邀请码的师傅可以私聊后台,免费赠送EDU SRC邀请码(邀请码管够) 漏洞简介 **某科网威科技有限公司是一家专注于网络安全产品研发和生产的高新技术企业。凭借多年对用户需求的潜心研究与技术创新,首创基于内核底层技术嵌入式
继续阅读从勒索软件到APT:揭开制造业面临的8大网络安全威胁 软件评测中心 2024-12-10 10:00 点击蓝字,关注 “软件评测中心” 超过83%的制造企业在过去一年内遭遇勒索软件攻击,其中26%的企业被迫停产,高达68%的受害者不得不支付赎金……制造业正面临前所未有的网络安全挑战。这不仅凸显了制造业脆弱的网络安全现状,更预示着一场席卷全球制造业的网络风暴正在逼近。 为何制造业安全态势日益严峻?
继续阅读500强上市车企通过模糊测试降低未知风险,构筑汽车行业领先的品质基石 开源网安 2024-12-10 09:18 某500强上市车企是国内规模领先的汽车上市公司,业务主要涵盖整车、零部件、移动出行和服务、金融、国际经营、创新科技等领域,已形成以整车业务为龙头,六大板块紧密协同、相互赋能、融合发展的业务格局。近几年,该车企作为软件定义汽车践行者,长期聚焦研发智能车技术底座,提供全栈或平台解决方案。
继续阅读