Cybersecurity information flow

干净的信息流推送工具,偏向安全圈的点点滴滴,为安全研究人员每日发现优质内容.

了解更多 »

最近更新
时间 节点
2024年5月25日 21:32 知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:F5
In the Linux kernel, the following vulnerability has been resolved: iio: accel: kxcjk-1013: Fix possible memory leak in probe and remove When ACPI type is ACPI_SMO8500, the data->dready_trig will not be set, the memory allocated by iio_triggered_buffer_setup() will not be freed, and cause memory leak as follows: unreferenced object 0xffff888009551400 (size 512): comm "i2c-SMO8500-125", pid 911, jiffies 4294911787 (age 83.852s) hex dump (first 32 bytes): 02 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................ 00 00 00 00 00 00 00 00 20 e2 e5 c0 ff ff ff ff ........ ....... backtrace: [<0000000041ce75ee>] kmem_cache_alloc_trace+0x16d/0x360 [<000000000aeb17b0>] iio_kfifo_allocate+0x41/0x130 [kfifo_buf] [<000000004b40c1f5>] iio_triggered_buffer_setup_ext+0x2c/0x210 [industrialio_triggered_buffer] [<000000004375b15f>] kxcjk1013_probe+0x10c3/0x1d81 [kxcjk_1013] Fix it by remove data->dready_trig condition in probe and remove.
2024年5月25日 19:52 Github关注
wtf is a distributed, code-coverage guided, customizable, cross-platform snapshot-based fuzzer designed for attacking user and / or kernel-mode tar…
2024年5月25日 19:52 Github关注
2024年5月25日 18:52 Github关注
2024年5月25日 17:12 Github关注
🌴Linux、macOS、Windows Kernel privilege escalation vulnerability collection, with compilation environment, demo GIF map, vulnerability details, execu…
2024年5月25日 17:12 Github关注
slides for conference talks
2024年5月25日 17:12 Github关注
2024年5月25日 16:33 Github_POC
The Hash Form – Drag & Drop Form Builder plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the 'file_upload_action' function in all versions up to, and including, 1.1.0. This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible.
[GitHub]Hash Form – Drag & Drop Form Builder <= 1.1.0 - Unauthenticated Arbitrary File Upload to Remote Code Execution

" Hash Form – Drag & Drop Form Builder插件for WordPress由于在所有版本至1.1.0版的'file_upload_action'函数中缺少文件类型验证,存在 arbitrary file uploads 漏洞。这使得未授权的攻击者能够在受影响的网站服务器上上传任意文件,可能导致远程代码执行。\n[GitHub] Hash Form – Drag & Drop Form Builder <= 1.1.0 - 未授权任意文件上传至远程代码执行"
2024年5月25日 16:33 Github_POC
Unrestricted Upload of File with Dangerous Type vulnerability in Copymatic Copymatic – AI Content Writer & Generator.This issue affects Copymatic – AI Content Writer & Generator: from n/a through 1.6.
[GitHub]Wordpress - Copymatic – AI Content Writer & Generator <= 1.6 - Unauthenticated Arbitrary File Upload

"  unrestricted(不受限制的)上传具有危险类型漏洞的文件到Copymatic Copymatic – AI 内容撰写器和生成器。此问题影响了Copymatic – AI 内容撰写器和生成器:从n/a(未知)到1.6版本。\n[GitHub] WordPress - Copymatic – AI 内容撰写器和生成器 <= 1.6 - 未经身份验证的任意文件上传。"
2024年5月25日 15:12 freebuf
MemProcFS是一款功能强大且方便实用的物理内存数据查看工具,允许在一个虚拟文件系统中中以文件形式查看物理内存数据。
2024年5月25日 13:35 Marco Ramilli Web Corner
The realm of artificial intelligence (AI) continues to expand, revealing new depths and complexities. In a recent and pioneering development, Anthropic has released a groundbreaking paper that delves into the inner workings of a Large Language Model (LLM) for the very first time. This research represents a significant step forward in addressing the long-standing challenge […]

" 人工智能(AI)领域不断拓展,揭示了新境界和复杂性。在最近的一项开创性发展中,Anthropic发布了首篇深入探讨大型语言模型(LLM)内部运作的论文。这项研究在解决长期存在的挑战方面迈出了重要一步 […]"
2024年5月25日 13:12 freebuf
2024年5月,深信服深瞻情报实验室监测到LNMP遭受供应链投毒攻击。根据此次供应链攻击分析,深瞻情报实验室将该事件归因为amdc6766黑...
2024年5月25日 11:32 hackone
影响厂商:TikTok 奖励: 危险等级:high
" 林猫视角(Lynxview)JS接口:通过深度链接遍历实现接管"
2024年5月25日 11:32 hackone
影响厂商:b'TikTok'(https://hackerone.com/tiktok) 
" “ Lynxview JS接口:通过深度链接遍历实现接管”"
2024年5月25日 11:12 freebuf
向车外传输的目的地应在中国境内且符合国家数据安全相关法规。
2024年5月25日 10:12 freebuf
SharkTeam将对常见的Web3钓鱼方式进行系统分析并给出安全防范建议,供大家参考,希望能帮助用户更好的识别钓鱼骗局,保护自身的加密资产...
2024年5月25日 10:02 Github_POC
Path Traversal in Sonatype Nexus Repository 3 allows an unauthenticated attacker to read system files. Fixed in version 3.68.1.
[GitHub]Unauthenticated Path Traversal in Nexus Repository 3

" Sonatype Nexus Repository 3中的路径遍历漏洞允许未认证的攻击者读取系统文件。该问题已在3.68.1版本中修复。\n[GitHub] Nexus Repository 3中的未认证路径遍历漏洞"
2024年5月25日 09:12 freebuf
总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
2024年5月25日 08:32 Github关注
2024年5月25日 08:12 freebuf
随着低成本的定向攻击越来越多,攻击者只需要很低的成本就能拿到想要的数据和资料,对抗的不对等性愈发明显。
2024年5月25日 05:36 CXSECURITY Database RSS Feed -
Topic: 4BRO Insecure Direct Object Reference / API Information Exposure Risk: High Text:SEC Consult Vulnerability Lab Security Advisory < 20240522-0 > == title: Broken access ...

" 主题:4BRO不安全直接对象引用/API信息泄露风险:高\n\n正文:SEC Consult 漏洞实验室安全公告 <20240522-0>\n\n== 标题:失效的访问控制导致严重安全风险 ==\n\n尊敬的用户,\n\n我们发现了一个高危漏洞,涉及4BRO的API接口。此漏洞可能导致敏感信息泄露,对用户的安全造成严重影响。现将相关情况通告如下:\n\n1. 漏洞概述\n\n该漏洞源于4BRO API中的不安全直接对象引用。攻击者可以通过构造恶意的请求参数,实现对敏感数据的访问和泄露。经测试,该漏洞的风险等级为高。\n\n2. 漏洞影响范围\n\n受影响的API接口可能包括用户信息、敏感数据、系统配置等。具体影响范围需进一步调查分析。\n\n3. 建议措施\n\n为避免潜在的安全风险,我们建议用户立即采取以下措施:\n\n- 对API接口进行安全审查,确保访问控制机制健全;\n- 更新相关代码,修复不安全直接对象引用问题;\n- 加强API接口的安全防护,预防潜在攻击。\n\n4. 漏洞披露程序\n\n我们已将该漏洞报告给4BRO团队,并得到了积极的回应。4BRO团队正在积极修复该问题,并将及时发布更新版本。\n\n感谢您的关注和支持,我们将持续关注此漏洞的修复进展,并第一时间向您通报。如有任何疑问,请随时与我们联系。\n\n敬请注意安全!\n\nSEC Consult 漏洞实验室\n2024年5月22日"
2024年5月25日 05:36 CXSECURITY Database RSS Feed -
Topic: Jcow Social Network Cross Site Scripting Risk: Low Text:# Exploit Title: Jcow Social Networking 14.2 < 16.2.1 | Stored XSS # Date: 2024-05-23 # Author: tmrswrr # Vendor Homepage: ...

" 主题:Jcow社交网络跨站脚本风险:低\n\n文本:# 漏洞名称:Jcow社交网络14.2 < 16.2.1 | 存储XSS漏洞\n# 日期:2024-05-23\n# 作者:tmrswrr\n# 厂商官网:...\n\n翻译:\n主题:Jcow社交网络跨站脚本风险:低\n\n内容:# 漏洞名称:Jcow社交网络14.2 < 16.2.1存储跨站脚本漏洞\n# 日期:2024年5月23日\n# 作者:tmrswrr\n# 厂商官网:..."
2024年5月25日 05:36 CXSECURITY Database RSS Feed -
Topic: Debezium UI 2.5 Credential Disclosure Risk: Medium Text:# Exploit Title: Debezium UI - Credential Leakage # Google Dork: N/A # Date: [2024-03-11] # Exploit Author: Ihsan Ceti...
2024年5月25日 05:34 Hacking Dream
Need a Power-Up in Solo Leveling: Arise? Unlock Free Rewards with These Codes Want to level up your characters faster? Get the inside scoop on working Solo Leveling Arise redeem codes and how to use them in this regularly updated blog post.


Solo Leveling Arise Redeem Codes


Play on Mobile and PC!
This is where things get awesome – Solo Leveling: Arise is available for both mobile and PC. Plus, you can use the same account on both platforms! Progress at home, continue your adventure on the go!


Multiplayer Raids on the Horizon?
Rumors are swirling that a co-op multiplayer mode for challenging raids might be on the way. Imagine taking down epic bosses alongside your friends - the hype is real!


How to Redeem Solo Leveling Codes for Free
Open Solo Leveling Arise Game
Login to Solo Leveling Arise game
Click on Options, then go to Settings (Gear Icon)
Click on Account, then click on "Redeem Codes"
Pop up box appears, enter the below codes in it.
Exclusive Solo Leveling Arise Redeem Codes – Limited Time!
To ce
2024年5月25日 05:32 hackone
影响厂商:Teleport 奖励:10000.0USD 危险等级:high
" 在区域参数中的SSRF,可能导致AWS Teleport角色AWS账户被接管。"
2024年5月25日 05:32 hackone
影响厂商:b'Teleport'(https://hackerone.com/teleport) 
" \"区域参数中的SSRF导致AWS Teleport角色AWS账户被接管\""
2024年5月25日 04:52 Github关注
2024年5月25日 04:52 Github关注
AudioLDM: Generate speech, sound effects, music and beyond, with text.
2024年5月25日 04:32 Github关注
⚗️ distilabel is a framework for synthetic data and AI feedback for AI engineers that require high-quality outputs, full data ownership, and overal…
2024年5月25日 04:03 Github_POC
An infinite loop in the retrieveActiveBody function of Soot before v4.4.1 under Java 8 allows attackers to cause a Denial of Service (DoS).
[GitHub]POC for CVE-2023-46442 Denial of Service vulnerability found within Soot

" 在Java 8下的Soot v4.4.1之前的retrieveActiveBody函数中存在一个无限循环,这允许攻击者导致拒绝服务(DoS)。\n[GitHub] 在Soot中发现了CVE-2023-46442拒绝服务漏洞的证明漏洞。"