聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士名为 “ShadowRay” 的攻击活动利用热门开源 AI 框架 Ray 中的0day 从数千家公司劫持算力并泄露敏感数据。Oligo 公司发布报告称...
实战 | 黑盒摸鱼意外挖到的0day
前言## 一、前言 本文所涉及的漏洞已提交至CNVD并归档,涉及站点的漏洞已经修复,敏感信息已全部打码。## 二、漏洞挖掘过程 随手摸鱼,开局fofa搜一波系统管理然后海选,相中了这个xx系统管理中....
Mozilla 修复Pwn2Own大赛发现的两个 Firefox 0day
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Mozilla 公司发布安全更新,修复了研究人员 Manfred Paul 在 Pwn2Own 温哥华大赛中找到的两个 Firefox 0day 漏洞...
记一次黑盒摸鱼意外挖到的0day
## 一、前言 本文所涉及的漏洞已提交至CNVD并归档,涉及站点的漏洞已经修复,敏感信息已全部打码。## 二、漏洞挖掘过程 随手摸鱼,开局fofa搜一波系统管理然后海选,相中了这个xx系...
SpringKill的0day|在Mybatis环境下绕过Ognl防护RCE
此文章由SpringKiller安全研究师傅产出,这位佬是一个能独立开发一款企业级IAST,伸手0day伸脚1day,能手搓操作系统用脚逆向的师傅,还是OWASP的代码贡献者之一。哦,差点忘了,这个师...
【原创0day】GeoServer后台文件上传致远程代码执行漏洞
GeoServer是一个开源服务器,用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准,使用户能够通过网络访问和操作地理信息系统(GIS)数据。2024年3月,互联网上披露GeoServer存...
最新0day|H3C用户自助服务平台RCE
师傅们,周末闲暇时光,不想更文,周一应该是摸鱼时光,所以这篇文章珊珊来迟了,周末在协助某兄弟打授权比赛的时候搞到手的,该漏洞可直接对其进行命令执行,进行获取敏感信息以及主机权限,让好兄弟在某授...
【web渗透】sql注入手工注不出?记一次时间盲注
声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。现在只对常读和星标的公众号才展...
致远OA最新0day_前台安全绕过+RCE
师傅们,最近较忙,没啥时间写文章,但是遇到有好文章直接转,深怕你们错过了,喜欢这篇文章的给该安全绘景公众号点点关注! 老样子,师傅们如果有用到该平台的漏洞,要记得及时找厂商进行修复以及做...
在野0day | 致远OA组合拳至前台RCE
简介致远OA存在前台密码重置漏洞,可以重置系统中默认账户,使用重置后的密码通过接口获取cookie后可getshell,此组合拳可以实现致远的前台RCE。漏洞复现重置系统中默认的管理员密码未重置前通过...
0307-美国家安全局发布网络和环境组件零信任指南-美国处方药市场中断超10天-苹果更新两个新的 0day 漏洞
点击上方蓝色文字关注我们今日全球网安资讯摘要特别关注美国国家安全局发布网络和环境组件零信任指南美国处方药市场中断超10天,受害企业疑支付1.5亿赎金苹果紧急安全更新修复两个新的 IOS 0day 漏洞...
朝鲜黑客组织被指入侵韩国芯片企业且窃取工程数据
韩国国家情报院(NIS)警告称,朝鲜黑客针对国内半导体制造商进行网络间谍攻击。 NIS 表示,这些攻击从 2023 年下半年到最近有所增加,目标是暴露在互联网上的服务器,这...