• Xlight FTP Server整数溢出漏洞(CVE-2024-46483)分析与复现
Analysis of Integer Overflow Vulnerability under SSH2 Protocol in Xlight FTP Server
本文深入剖析了Xlight FTP Server在处理SSH2协议认证过程中存在的整数溢出漏洞,详细描述了其触发机制及潜在危害,特别是如何通过恶意构造的数据包引发堆溢出并可能导致远程代码执行的风险。
• 苹果设备ManagedConfiguration框架中的符号链接漏洞分析:CVE-2024-44258
GitHub – ifpdz/CVE-2024-44258: CVE-2024-44258
本文深入剖析了苹果设备中ManagedConfiguration框架和profiled守护进程的符号链接漏洞(CVE-2024-44258),揭示了攻击者如何利用恶意备份在受保护区域进行未经授权的文件迁移,甚至可能获得权限升级。文章详细介绍了该漏洞的影响、修复措施以及实际的代码示例。
• TestRail CLI中的不安全eval()函数:评估注入漏洞分析
Unsafe eval() in TestRail CLI
本文档揭示了TestRail CLI中一个关键的代码注入漏洞,该漏洞源于对XML文件中的特定字段使用不安全的`eval()`函数。攻击者可能通过此漏洞实现本地权限提升或远程代码执行,尤其在构建系统环境中可能导致严重后果。
• Winos4.0 恶意框架通过游戏应用入侵中文互联网社区
Infiltration of Chinese Internet Community Via Games Using Winos4.0 Malware Framework
网络犯罪分子运用高度复杂的Winos4.0恶意框架,伪装成游戏相关应用程序,专门针对中文使用者发动攻击。此框架源自于Gh0strat远端存取木马,具备多种模组化的功能性元件,能够透过社交软体和即时通讯程式散播恶意软体。当受害者启动受污染的游戏时,会引发一个多层次的感染链,最后下载二级shellcode并与指令控制伺服器沟通,进而取得各种插件用於资料窃取和其他有害操作。
• Springboot下Thymeleaf全版本SSTI研究 – FreeBuf网络安全行业门户
In-depth Analysis of Thymeleaf Template Injection and Spring Boot Security Practices
本文深入剖析了基于SpringBoot环境下Thymeleaf模板引擎的安全性问题,特别是针对Server Side Template Injection(SSTI)这一高危漏洞进行了详尽的技术探讨与实践演示。作者不仅回顾了已知漏洞的历史背景和技术细节,更重要的是提供了详细的绕过策略及新版Thymeleaf的攻击路径,这对于理解和防御现代Web应用中的安全威胁具有重要参考价值。
• 马自达车载信息娱乐系统中发现多个漏洞
Multiple Vulnerabilities in the Mazda In-Vehicle Infotainment (IVI) System
本文深入剖析了马自达车载信息娱乐系统中的多个安全漏洞,这些漏洞可能导致攻击者通过特制的USB设备执行任意代码。文章详细介绍了硬件和软件设计,并揭示了一个SQL注入漏洞(CVE-2024-8355)以及一个命令注入导致远程代码执行的漏洞(CVE-2024-8359),这两个关键发现为网络安全研究提供了重要洞见。
* 查看或搜索历史推送内容请访问:
https://sectoday.tencent.com/
* 新浪微博账号: 腾讯玄武实验室
https://weibo.com/xuanwulab
* 微信公众号: 腾讯玄武实验室
原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(24/11/8)
