Aggregator

CVE-2026-24291-Windows权限提升漏洞“RegPwn”复现分析

先知技术社区
2 hours 3 minutes ago
前言这个漏洞是英国 MDSecLabs 的 Filip Dragovic 发现的,据作者讲述,这个漏洞由于很巧妙,它们在红队评估中从2025年1月就开始使用,直到2026年2月报告给微软后,才在3月的补丁星期二修复,这么看也用够本了,原文只是讲了漏洞的核心部分,本文会讲清楚这个漏洞涉及的概念、如何形成的,如何利用它原文地址:https://www.mdsec.co.uk/2026/03/rip-r

CVE-2026-3672 Jeecgboot3.9.1/3.9.0 WAF绕过:正则缺陷导致SQL注入

先知技术社区
2 hours 7 minutes ago
漏洞描述该漏洞本质上是由于JeecgBoot内置的WAF存在逻辑缺陷,导致针对特定接口的SQL注入防护被绕过。影响版本: JeecgBoot 版本 3.9.1/3.9.0需要任意用户权限漏洞分析来到SysDictController.java入口路由为 GET /sys/dict/getDictItems/{dictCode}控制器直接将 dictCode 传入sysDictService.get

第三届长城杯半决赛-wso2:SOAP管理接口+H2文件读写绕过waf

先知技术社区
2 hours 7 minutes ago
前言比赛又被拷打了,等了好久这个题都没有wp,没招,只能自己梭哈了。环境搭建这里直接用的SfTian佬的复现平台打的题https://gz.imxbt.cn/。解题登录以及题目漏洞点分析首先访问题目,说明要https访问。https之后其实发现会跳转到localhost。这里需要输入接口/carbon/admin/login.jsp,才能正常访问。然后是找账户密码了,本地 repository/c

Indian Bank Warns Users of Fake LPG Payment and KYC Update Scams to Steal Banking Info

Cyber Security News
2 hours 24 minutes ago

Indian Bank has issued an urgent cybersecurity advisory warning its customers about a rapidly spreading wave of fraudulent LPG payment and KYC update messages that are being used to steal banking credentials and drain accounts. Cybercriminals are exploiting growing public concern over LPG cylinder availability to circulate deceptive messages across SMS, WhatsApp, and other messaging […]

The post Indian Bank Warns Users of Fake LPG Payment and KYC Update Scams to Steal Banking Info appeared first on Cyber Security News.

Guru Baran

【CVE-2026-31816】 Budibase 未授权访问漏洞代码分析

先知技术社区
2 hours 35 minutes ago
该漏洞源于服务端 authorized() 中间件在识别 Webhook 路径时使用了非锚定正则表达式,导致其错误地匹配了 URL 中的查询参数。远程攻击者只需在 API 请求末尾拼接特定的 Webhook 路径字符串(如 ?/webhooks/trigger),即可绕过身份认证、角色鉴权及 CSRF 防护,实现对服务端所有 API 端点的完全访问与操作。

提示词注入视角下的 AI Webshell 检测绕过技术研究

先知技术社区
2 hours 35 minutes ago
引言随着大型语言模型(LLM)和深度学习技术在安全领域的广泛应用,传统的基于特征码、抽象语法树(AST)或沙箱行为分析的 Webshell 检测手段正逐渐向基于 AI 的语义分析演进。AI 模型能够理解代码的逻辑意图,从而识别出经过复杂混淆的恶意脚本。然而,AI 模型本身存在一个本质性的弱点:它们在处理代码时,往往将代码逻辑与注释、元数据等“非执行内容”置于同一语义空间进行推理。这就为提示词注入(

Multiple OpenSSL Vulnerabilities Exposes Sensitive Data in RSA KEM Handling

Cyber Security News
2 hours 46 minutes ago

OpenSSL has released a broad April 2026 security update that fixes seven vulnerabilities across supported branches, led by CVE-2026-31790, a moderate-severity flaw in RSA KEM RSASVE encapsulation that can expose uninitialized memory to a malicious peer. The advisory directs users of vulnerable 3.x releases to move to OpenSSL 3.0.20, 3.3.7, 3.4.5, 3.5.6, or 3.6.2, depending […]

The post Multiple OpenSSL Vulnerabilities Exposes Sensitive Data in RSA KEM Handling appeared first on Cyber Security News.

Guru Baran

2026软件系统安全赛 writeup

先知技术社区
2 hours 47 minutes ago
为积极响应国家关于加强软件工程学科建设与系统安全人才培养的战略部署,特举办软件系统安全赛。本赛事面向大学生,聚焦大型工业软件、关键基础软件等核心领域软件漏洞的挖掘、攻击与修复,通过模拟真实场景的攻防对抗,全面提升大学生在软件系统安全领域的实战能力。 通过此项科技创新活动,有效提高学生的软件系统安全攻防水平、创新意识与团队协作精神,加强高校间的学术交流,推动软件工程与网络安全人才培养体系的深化改革和

CVE-2024-54519 | Apple macOS up to 14.6/15.1 information disclosure (WID-SEC-2024-3692)

Vuldb Updates
2 hours 49 minutes ago
A vulnerability identified as problematic has been detected in Apple macOS up to 14.6/15.1. This impacts an unknown function. Performing a manipulation results in information disclosure. This vulnerability is identified as CVE-2024-54519. The attack is only possible with local access. There is not any exploit available. You should upgrade the affected component.
vuldb.com

Managed ad