CNVD-ID CNVD-2024-44541 公开日期 2024-11-12 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Chrome <128.0.6613.84 CVE ID CVE-2024-7967 漏洞描述 Google Chrome是美国谷歌（Google）公司的一款Web浏览器。 Google Chrome 128.0.6613.84之前版本存在堆缓冲区溢出漏洞，攻击者可利用该漏洞通过精心制作的HTML页面导致堆损坏。 漏洞类型 通用型漏洞 …

Google Chrome类型混淆漏洞（CNVD-2024-44540）  关注(0) CNVD-ID CNVD-2024-44540 公开日期 2024-11-12 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Chrome V8 <129.0.6668.100 CVE ID CVE-2024-9603 漏洞描述 Google Chrome是美国谷歌（Google）公司的一款Web浏览器。 Google Chrome V8 129.0.6668.100之前版…

CNVD-ID CNVD-2024-44475 公开日期 2024-11-11 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品 Mozilla Firefox <131 Mozilla Firefox ESR <128.3 Mozilla Thunderbird <128.3 Mozilla Thunderbird <131 CVE ID CVE-2024-9393 漏洞描述 Mozilla Firefox是一款开源Web浏览器。Mozilla Firefo…

CNVD-ID CNVD-2024-44474 公开日期 2024-11-11 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N) 影响产品 Mozilla Firefox <131 Mozilla Firefox ESR <128.3 Mozilla Thunderbird <128.3 Mozilla Thunderbird <131 CVE ID CVE-2024-9398 漏洞描述 Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。 …

CNVD-ID CNVD-2024-44473 公开日期 2024-11-11 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:C/A:N) 影响产品 Mozilla Firefox <131 CVE ID CVE-2024-9391 漏洞描述 Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。 Mozilla Firefox 131之前版本存在安全漏洞，攻击者可利用该漏洞阻止在特制网页上启用全屏模式的用户退出全屏模式。 漏洞类型 通用型漏洞 参考链接 https://…

CNVD-ID CNVD-2024-44472 公开日期 2024-11-11 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:N/A:C) 影响产品 Mozilla Firefox <131 Mozilla Firefox ESR <128.3 Mozilla Thunderbird <128.3 Mozilla Thunderbird <131 CVE ID CVE-2024-9399 漏洞描述 Mozilla Firefox是一款开源Web浏览器。Mozilla Firefo…

CNVD-ID CNVD-2024-44471 公开日期 2024-11-11 危害级别 中 (AV:N/AC:L/Au:N/C:N/I:P/A:N) 影响产品 Mozilla Firefox <131 CVE ID CVE-2024-9395 漏洞描述 Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。 Mozilla Firefox 131之前版本存在安全漏洞，该漏洞源于包含大量空格的特制文件名在下载对话框中显示时可能会掩盖文件的扩展名。目前没有详细漏洞细节提供。 漏洞类型 …

CNVD-ID CNVD-2024-44539 公开日期 2024-11-12 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Chrome <126.0.6478.126 CVE ID CVE-2024-9859 漏洞描述 Google Chrome是美国谷歌（Google）公司的一款Web浏览器。 Google Chrome 126.0.6478.126之前版本存在类型混淆漏洞，攻击者可利用该漏洞通过精心设计的HTML页面执行任意代码。 漏洞类型 通用型漏洞…

CNVD-ID CNVD-2024-44522 公开日期 2024-11-12 危害级别 高 (AV:N/AC:L/Au:M/C:C/I:C/A:C) 影响产品 Microsoft Azure Service Connector Microsoft Azure CLI CVE ID CVE-2024-43591 漏洞描述 Microsoft Azure Command Line Integration（CLI）是美国微软（Microsoft）公司的一个跨平台的命令行工具，可连接到Azure并对Azure资源执行管理…

CNVD-ID CNVD-2024-44521 公开日期 2024-11-12 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:N/A:C) 影响产品 Microsoft PowerShell 7.2 Microsoft Visual Studio 2022 17.6 Microsoft Visual Studio 2022 17.8 Microsoft Visual Studio 2022 17.10 Microsoft PowerShell 7.4 Microsoft Visual Studio 20…

CNVD-ID CNVD-2024-44470 公开日期 2024-11-11 危害级别 高 (AV:N/AC:M/Au:N/C:N/I:N/A:C) 影响产品 mozilla Mozilla Firefox <131.0.3 CVE ID CVE-2024-9936 漏洞描述 Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。 Mozilla Firefox 131.0.3之前版本存在竞态条件漏洞，攻击者可利用该漏洞导致意外行为并导致浏览器崩溃。 漏洞类型 通用型漏洞 参考链接…

CNVD-ID CNVD-2024-44486 公开日期 2024-11-11 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Google Chrome <130.0.6723.58 CVE ID CVE-2024-9965 漏洞描述 Google Chrome是美国谷歌（Google）公司的一款Web浏览器。 Google Chrome 130.0.6723.58之前版本存在安全漏洞，远程攻击者可利用该漏洞通过精心制作的HTML页面执行任意代码。 漏洞类型 通用型漏洞 参…

一 前　言 过去几周，整个互联网科技圈被一个来自美国的搅局者--ChatGPT 彻底霸榜，甚至全社会普通大众都在开始谈论 ChatGPT，ChatGPT 已经成为了全球月活最快破亿的消费应用。虽然 ChatGPT 国内仍然用不了，但丝毫不影响关于它的消息出现在各个平台，刷了一遍又一遍的屏。 面对新鲜事物，好奇与对未知的抵触总是相伴而来的，特别是国内互联网表现得又如此急切，在对 ChatGPT 的讨论里，态度总是身处两极：一方是片面神化，把 ChatGPT 的出现认为是宣告新时代的到来，无所不能、无处不在，充满了对未…

据阿联酋《国民报》网站11月6日报道，国际刑警组织披露，一波“空前”的网络犯罪浪潮席卷全球，每39秒就会发生一次黑客攻击，给受害者造成重大经济损失。 国际刑警组织网络犯罪局局长尼尔·杰顿在该机构大会上发表讲话称，仅在今年第二季度，网络犯罪就增加了30%，每天造成约1800万美元损失。 报道称，勒索软件攻击增加了70%，黑客会通过勒索软件使某个机构的信息技术系统瘫痪，并要求对方支付赎金才能恢复正常。在公布这一数据之际，国际刑警组织刚刚宣布打击黑客的“协同行动Ⅱ”已追踪到2.2万个恶意IP地址。 杰顿说：“我们正在目睹…

国家密码管理局公告 （49号） 依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》，现发布《商用密码检测机构（商用密码应用安全性评估业务）目录》。即日起，商用密码应用安全性评估试点工作正式结束，未取得商用密码检测机构（商用密码应用安全性评估业务）资质的机构不得面向社会开展商用密码应用安全性评估业务。特此公告。 附件：商用密码检测机构（商用密码应用安全性评估业务）目录 国家密码管理局 2024年11月11日 商用密码检测机构（商用密码应用安全性评估业务）目录 （排名不分先后） 北京国家金…

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求，近期通过互联网监测发现13款移动App存在隐私不合规行为，涉及电商等领域。 1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则、未声明App运营者的基本情况。涉及8款App如下： 《致题库》（版本5.4.1，小米应用商店）、《信久久》（版本1.7.1，小米应用商店）、《吉客赢》（版本5.5.3，应用宝）、《丛丛脱单相亲交友平台》（版本1.0.8，vivo…

libc-got攻击手法-1 这是一个很新的攻击手法，来自veritas501师傅，在去年的十二月提出的一种利用方式， 本文就是针对这位师傅的文章，进行一些攻击的总结 原理 这个libc使用的是ubuntu22.04自带的glibc2.35 可以看到，libc的保护措施，got表是可写的，而libc里面，确实会存在got表 而正如保护措施所展示，我们的got表是可写的，那这个libc的got表又是什么东西呢 我们以printf为例 __int64 printf(__int64 a1, ...) { gcc_va_l…

本文将对结合android so加载机制绕过libsaoaidsec进行一些探索思考 使用到工具及环境 pixel 2 android 10 frida 16.1.4 bilibili 7.76.0 apk 确定存在检测机制的库 可以看到小破站app存在frida的检测机制，frida的进程过了一会就被kill了 下面就想办法绕过这个检测机制，最直接的思路就是找到检测的函数，然后hook掉它 通常app对frida的检测函数都被写在native层，要想找到检测函数，首先找到它所处的so库。那么该如何找到它所属的库呢…

Moodle：通过 h5p 错误消息反射 xss（CVE-2024-43439） CVE编号 CVE-2024-43439 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在 Moodle 中发现了一个漏洞。H5P 错误消息需要进行额外的清理，以防止出现反射式跨站脚本（XSS）风险。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https://bugzilla.redhat.com/show_bug.cgi?id=2304268  https://moodl…

IBM Maximo Asset Management 跨站点脚本（CVE-2024-45088） CVE编号 CVE-2024-45088 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 IBM Maximo Asset Management 7.6.1.3存在存储型跨站脚本漏洞。该漏洞允许认证用户在Web UI中嵌入任意JavaScript代码，从而改变预期功能，可能导致在受信任会话中泄露凭据。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接  https:/…

Eclipse OpenJ9 可能会在 JNI 函数 GetStringUTFLength 中返回不正确的值（CVE-2024-10917） CVE编号 CVE-2024-10917 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在Eclipse OpenJ9版本直至0.47中，JNI函数GetStringUTFLength可能会返回不正确的值，这个值可能已经环绕（wrap around）。从版本0.48开始，值是正确的，但可能会被截断以包含更少的字符数。 解决建议 建议您更新当前系统…

SourceCodester 医院管理系统 delete-account.php 授权不当 (CVE-2024-11073) CVE编号 CVE-2024-11073 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 SourceCodester医院管理系统1.0中发现了一个被分类为问题性的漏洞。该漏洞影响未知部分的文件/vm/patient/delete-account.php。操纵参数id导致授权不当。有可能进行远程攻击。该漏洞已被公开披露并可被利用。 解决建议 建议您更新当前系统或软…

IBM WebSphere Application Server 跨站点脚本（CVE-2024-45087） CVE编号 CVE-2024-45087 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 IBM WebSphere Application Server 8.5和9.0存在跨站脚本漏洞。该漏洞允许特权用户在Web UI中嵌入任意JavaScript代码，从而改变预期功能，可能导致在受信任的会话中泄露凭据。 解决建议 建议您更新当前系统或软件至最新版，完成漏洞的修复。 参考链接 …

itsourcecode 裁缝管理系统 incadd.php sql注入（CVE-2024-11074） CVE编号 CVE-2024-11074 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在itsourcecode的Tailoring Management System 1.0中发现了一个被分类为关键的漏洞。这个漏洞影响了未知代码的/incadd.php文件。对参数inccat/desc/date/amount的操作导致了SQL注入。攻击可以远程发起。该漏洞已被公开披露并可能被利…

code-projects 招聘activation.php sql注入（CVE-2024-11076） CVE编号 CVE-2024-11076 利用情况 暂无 补丁情况 N/A 披露时间 2024-11-12 漏洞描述 在 code-projects Job Recruitment 1.0 中发现了一个被分类为关键的漏洞。这个问题影响了未知的文件处理过程 /activation.php。操纵参数 e_hash 会导致 SQL 注入。攻击可能远程发起。该漏洞已被公开披露，可能被利用。 解决建议 建议您更新当前系统…