2025-01-06 厉飞雨 阅读(471) 评论(0) 赞(16)

在广泛使用的数据处理和分发系统 Apache NiFi 中新发现的一个漏洞，可能允许未经授权访问敏感信息。该漏洞被追踪为 CVE-2024-56512，影响 1.10.0 至 2.0.0 的所有 NiFi 版本。 全球数以千计的组织都在使用 NiFi 自动化数据管道，用于各种目的，包括网络安全、可观测性甚至生成式人工智能。该漏洞破坏了平台的授权检查，可能会允许恶意行为者访问敏...

2025-01-06 厉飞雨 阅读(267) 评论(0) 赞(14)

防火墙巨头 Palo Alto Networks 正在推送更新，以修复一个被攻击者利用来破坏客户防火墙的漏洞。 该漏洞存在于运行该公司设备的 PAN-OS 软件中。该公司表示，其云原生 NGFW（即下一代防火墙）并没有受到影响。 "Palo Alto Networks PAN-OS 软件的 DNS 安全功能存在拒绝服务漏洞，未经验证的攻击者可以通过防火墙的数据平面...

2025-01-06 厉飞雨 阅读(172) 评论(0) 赞(15)

Invoice Ninja 是一款流行的开源发票和项目管理平台，它新发现的服务器端请求伪造（SSRF）漏洞可允许攻击者从系统的主机服务器读取敏感文件。Pretera 公司的安全研究员 Arben Shala 发现了这个漏洞（CVE-2024-53353），并详细说明了它对依赖 Invoice Ninja 的用户和组织的潜在影响。 采用 Laravel 构建的 Invoice ...

2025-01-06 厉飞雨 阅读(301) 评论(0) 赞(15)

漏洞简介 ---- Apache OFBiz 是一个开源的企业资源规划系统，提供了一整套企业管理解决方案，涵盖了许多领域，包括财务管理、供应链管理、客户关系管理、人力资源管理和电子商务等。Apache OFBiz 基于 Java 开发，采用灵活的架构和模块化设计，使其可以根据企业的需求进行定制和扩展，它具有强大的功能和可扩展性，适用于中小型企业和大型企业，帮助他们提高效率，降...

2025-01-06 厉飞雨 阅读(176) 评论(0) 赞(19)

引言 --- Docker 是一个开源的容器化平台，它通过容器技术提供了轻量级、可移植且一致的运行环境，极大地简化了应用的开发、测试和部署流程。Docker 改变了传统的应用程序部署方式，使得开发人员能够轻松地将应用程序及其依赖打包成容器，从而在任何支持 Docker 的环境中以相同的方式运行。 ### Docker 的重要性 * **环境一致性**：确保应用程序在开发、...

2025-01-06 厉飞雨 阅读(206) 评论(0) 赞(13)

数字时代，一切都架构在软件、网络、大数据之上。由于硬件、软件、协议在具体实现或操作系统安全策略上总会存在缺陷，所以漏洞无法避免。在即将过去的2024年中，安全漏洞数量持续增长，类型日趋多样化。 **据360漏洞情报平台全网漏洞监测显示，2024年全球范围内共计披露出44622个新的安全漏洞，相较于前一年同期增长了惊人的53.35%。** 更糟糕的是，伴随AI技术的普及，攻击者利...

2025-01-06 厉飞雨 阅读(344) 评论(0) 赞(14)

安全研究人员 Netsecfish 在流行的 DrayTek 网关设备的 Web 管理界面中发现了一个命令注入漏洞（跟踪为 CVE-2024-12987）。该漏洞可使攻击者远程执行任意命令，使 66,000 多台联网设备处于危险之中。 该漏洞源于受影响设备的 Web 管理界面中不当的输入消毒。具体来说，/cgi-bin/mainfunction.cgi/apmcfguploa...

2025-01-06 厉飞雨 阅读(308) 评论(0) 赞(12)

威胁猎手披露了一种新的 "广泛的基于定时的漏洞类别"，它利用双击序列来促进几乎所有主要网站的点击劫持攻击和账户接管。 安全研究员 Paulos Yibelo 将这种技术命名为 DoubleClickjacking。 Yibelo说："它不依赖单次点击，而是利用双击序列。虽然这听起来可能只是一个很小的变化，但它却为新的用户界面操纵攻击打开了大门，...

2025-01-06 厉飞雨 阅读(251) 评论(0) 赞(17)

**摘要** * **发现 EC2 Grouper：** 研究人员发现 EC2 Grouper 使用 "ec2group12345 "等独特模式利用 AWS 凭据和工具。 * **凭据破坏：**他们主要从与有效账户绑定的代码库中获取凭据。 * **依赖 API：** 该小组避免手动活动，而是使用 API 进行侦查和资源创建。 * **检测挑战：** 命名约...

2025-01-06 厉飞雨 阅读(271) 评论(0) 赞(13)

一名安全研究人员针对 Oracle WebLogic Server 中的一个关键漏洞 CVE-2024-21182 发布了一个概念验证 (PoC) 漏洞利用程序。该漏洞被评为 CVSS 7.5 级，受影响系统将面临潜在的破坏性后果，包括未经授权访问敏感数据和完全破坏服务器环境。 该漏洞存在于 Oracle WebLogic Server 的核心组件中，WebLogic Ser...