漏洞详情:WebKit 浏览器引擎中存在越界读取漏洞,未经身份验证的远程攻击者可以诱导受害者访问特制的网站,成功利用该漏洞可以读取敏感信息。厂商:Apple开放源代码项目影响产品:iOSiPadOSm...
漏洞预警 | 大华智能物联综合管理平台任意文件读取漏洞
0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述大华智慧园区综合管理平台是一个基于智能物联技术的园区安防、办公、运营的数字化解决方案。0x03 漏洞详情漏洞类型:任意文件遍历影响:敏感信...
【漏洞预警】Strapi 未授权访问漏洞(CVE-2023-39345)
漏洞详情:用户注册API中私有字段的未授权访问。在用户内容类型中将一些字段标记为私有字段,并尝试通过api注册为新用户,同时添加了内容来填充私有字段并发送了post请求,正如从图像中看到的下面,可以写...
【漏洞预警】XXL-JOB 默认 accessToken 代码执行漏洞
漏洞详情:在XXL-JOB中由于存在默认的accessToken,攻击者可以利用默认accessToken访问系统并调用危险接口,成功利用将在目标系统上执行代码。厂商:Xuxueli影响产品:XXL-...
【漏洞预警】用友NC IMetaWebService4BqCloud SQL注入漏洞
漏洞详情:可利用webservice IMetaWebService4BqCloud XXE漏洞实现SQL注入。影响产品:用友NC影响版本:NC65 相关链接:https://security.yon...
【漏洞预警】Apache ActiveMQ 远程代码执行漏洞
漏洞详情:Apache ActiveMQ 存在远程代码执行漏洞,具有 Apache ActiveMQ 服务器 61616端口访问权限的远程攻击者,可以发送恶意数据到 Apache ActiveMQ服务...
【漏洞预警】Jumpserver容易通过任意IP值绕过密码暴力保护(CVE-2023-46123)
漏洞详情:Jumpserver是一款开源的堡垒机,专业遵循4A规范的运维安全审计系统。Core API中的一个缺陷允许攻击者通过欺骗任意IP地址来绕过密码暴力保护。通过利用此漏洞,攻击者可以通过更改每...
【漏洞预警】XXL-RPC中的远程代码执行(CVE-2023-45146)
漏洞详情:XXL-RPC是一款高性能、分布式的RPC框架。有了它,可以使用Netty框架和Hessian序列化机制来设置TCP服务器。使用此类配置时,攻击者可能能够连接到服务器并提供恶意序列化对象,一...
10月,您的这些API安全漏洞修复了吗?
为了让大家的API更加安全致力于守护数字世界每一次网络调用小阑公司 PortalLab实验室的同事们给大家整理了10月份的一些API安全漏洞报告希望大家查漏补缺及时修复自己API可能出现的漏洞No.1...
2022HVV第一周洞情报速递
免责 声明 LR SEC /LR SEC(1)由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,听雨安全团队以及文章作者不为此承担任何责任。(2)听雨安...
某活动笔记
值班结束后的一些随笔。第三天了,看到好多大佬都总结了最近爆出来的一些洞,本来我也收集了几个poc 。刚才看到奇安信公众号也发了一版,比我的全多了,干脆直接借鉴一下人家的吧,就不发我自己的了,可惜他们...
【2022年护网漏洞总结】(一)
免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任...
2