F5 BIG-IP 高危漏洞可导致拒绝服务和代码执行
F5 BIG-IP 高危漏洞可导致拒绝服务和代码执行 Ionut Arghire 代码卫士 2023-02-03 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 F5 提醒称,BIG-IP 中存在一个高危格式化字符串漏洞 (CVE-2023-22374),可导致认证攻击者触发拒绝服务条件并可能执行任意代码。 该漏洞影响一个公开的API即 iControl SOAP,该API用于赋
继续阅读作者: cve-20
热门开源Dompdf PHP 库中存在严重漏洞
热门开源Dompdf PHP 库中存在严重漏洞 DO SON 代码卫士 2023-02-03 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 开源的Dompdf PHP库中存在一个高危漏洞 (CVE-2023-23924),如遭利用,可导致攻击者在目标服务器上远程执行代码。 开发人员 Bsweeney 在安全公告中指出,“攻击者如果能够向dompdf 提供SVG文件,则可能利用该
继续阅读ImageMagick:隐藏在网上图像背后的漏洞
ImageMagick:隐藏在网上图像背后的漏洞 布加迪 嘶吼专业版 2023-02-03 12:00 ImageMagick是一种免费开源软件套件,用于显示、转换和编辑图像文件。它可以对200多种格式的图像文件进行读写操作,因此它在全球网站上很常见,因为我们总是需要为用户的个人资料和目录等内容处理图片。 Ocelot团队在最近的一次高级持续性威胁(APT)模拟活动中发现,ImageMagick在
继续阅读27200美元赏金!安全研究员披露Facebook、Instagram双因素身份验证漏洞
27200美元赏金!安全研究员披露Facebook、Instagram双因素身份验证漏洞 看雪学苑 看雪学苑 2023-02-02 17:59 近日,一名来自尼泊尔的安全研究员Gtm Mänôz,披露了一个影响Instagram和Facebook的双因素身份验证漏洞。在向Meta报告此漏洞后,其将一笔27200美元的赏金收入了囊中。 双因素身份验证(2FA)是目前常见的一种保护用户账户安全的手段。
继续阅读想要深入了解各类CVE漏洞,get独立挖掘和分析漏洞的能力吗?
想要深入了解各类CVE漏洞,get独立挖掘和分析漏洞的能力吗? 看学课程 看雪学苑 2023-02-02 17:59 世界上主流软件厂商开发的软件、程序,如果被发现存在漏洞,而且有一定的影响力,那么这些漏洞信息都会被保存在一个叫做CVE的数据库中进行统一的管理。 这样一来,只要我们有某条CVE漏洞的编号,就能从CVE的官网搜索到出现漏洞的操作系统、版本号和软件等信息,从而搭建一个相同的环境,对漏洞
继续阅读CVE-2023-22482/22736:Argo CD 身份验证绕过漏洞通告
CVE-2023-22482/22736:Argo CD 身份验证绕过漏洞通告 原创 360CERT 三六零CERT 2023-02-01 18:42 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-020101 报告来源:360CERT 报告作者:360CERT 更新日期:2023-02-01 1 漏洞简述 2023年02月01日,360CERT监测发现Argo CD官方发布了Argo
继续阅读CVE-2022-42856:iOS 0day漏洞,影响iPhone 5s等老版本iPhone和iPad
CVE-2022-42856:iOS 0day漏洞,影响iPhone 5s等老版本iPhone和iPad ang010ela 嘶吼专业版 2023-02-01 12:00 iOS 0day漏洞影响老版本iPhone和iPad,苹果已发布安全补丁。 12月13日,苹果发布安全公告修复了一个0day漏洞——CVE-2022-42856。漏洞产生的原因是苹果WebKit web浏览器浏览引擎的类型混淆(
继续阅读CVE-2022-27596:QNAP QTS/QuTS hero SQL注入漏洞通告
CVE-2022-27596:QNAP QTS/QuTS hero SQL注入漏洞通告 原创 360CERT 三六零CERT 2023-01-31 17:09 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-013104 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-31 1 漏洞简述 2023年01月31日,360CERT监测发现QNAP官方发布了QTS
继续阅读【技术原创】Horde Groupware Webmail漏洞调试环境搭建
【技术原创】Horde Groupware Webmail漏洞调试环境搭建 原创 3gstudent 嘶吼专业版 2023-01-31 12:00 0x00 前言 本文记录从零开始搭建Horde Groupware Webmail漏洞调试环境的细节。 0x01 简介 本文将要介绍以下内容: Horde Groupware Webmail安装 Horde Groupware Webmail漏洞调试环
继续阅读Argo CD 多个高危漏洞安全风险通告
Argo CD 多个高危漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-30 19:50 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Argo CD是用于Kubernetes的声明性GitOps持续交付工具。Argo CD可在指定的目标环境中自动部署所需的应用程序状态,应用程序部署可以在Git提交时跟踪对分支,标签的
继续阅读CVE-2023-23560:Lexmark打印机服务器端请求伪造漏洞通告
CVE-2023-23560:Lexmark打印机服务器端请求伪造漏洞通告 原创 360CERT 三六零CERT 2023-01-30 16:26 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-013002 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-30 1 漏洞简述 2023年01月30日,360CERT监测发现Lexmark官方发布了Lexmark
继续阅读VMware vRealize Log Insight多个高危漏洞通告
VMware vRealize Log Insight多个高危漏洞通告 原创 360CERT 三六零CERT 2023-01-30 16:26 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-013001 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-30 1 漏洞简述 2023年01月30日,360CERT监测发现VMware官方发布了VMware vRe
继续阅读基于风险的漏洞管理缘何兴起
基于风险的漏洞管理缘何兴起 nana 数世咨询 2023-01-25 23:30 由于第一代漏洞管理工具越来越让用户难以忍受长到看不到头的脆弱资产列表,如何解决漏洞规模庞大的问题就日渐受到了业界关注。 这种警报疲劳促使安全供应商仔细审视基于风险的方法可如何优化漏洞优先级排序和响应。RBVM供应商没有试图搞清怎样更加快速地修复一切,而是通过分清哪些该修复、哪些该忽略来应对漏洞规模问题。 不过,RBV
继续阅读[调研]Java和.NET开发人员更容易遭遇漏洞
[调研]Java和.NET开发人员更容易遭遇漏洞 nana 数世咨询 2023-01-23 23:30 开发人员通常将开放式Web应用程序安全项目(OWASP)十大漏洞榜单用作应用程序安全的基准,但超过四分之三的Java和.NET应用程序至少含有一个OWASP榜上漏洞。 上述结论出自安全测试公司Veracode针对近76万个应用程序所做的分析。分析还发现,采用这两个编程生态的应用程序中,大约五分之
继续阅读Threema 加密通信APP多安全漏洞
Threema 加密通信APP多安全漏洞 关键基础设施安全应急响应中心 2023-01-20 15:49 研究人员在端到端加密通信APP Threema发现多个安全漏洞。 Threema是一款瑞士的加密通信APP,有超过100万用户和7000本地部署用户。其中,Threema重要用户包括瑞士政府和军方,以及德国总理。Threema广告宣称是其他即使通信应用的安全可替代产品。 Threema攻击 瑞
继续阅读四款微软Azure服务存在漏洞,可导致云资源遭越权访问
四款微软Azure服务存在漏洞,可导致云资源遭越权访问 Ravie Lakshmanan 代码卫士 2023-01-20 13:11 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 四款不同的微软 Azure服务易受服务器端请求伪造 (SSRF) 攻击,可使攻击者获得对云资源的越权访问权限。 这些漏洞是由Orca公司在2022年10月8日至2022年12月2日在Azure API Manag
继续阅读微软Azure新漏洞可导致RCE,研究员获3万美元奖励
微软Azure新漏洞可导致RCE,研究员获3万美元奖励 Ravie Lakshmanan 代码卫士 2023-01-20 13:11 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 和微软Azure关联的多款服务中存在一个严重的远程代码 (RCE) 漏洞,可被恶意人员用于完全控制目标应用。 发现该漏洞的Ermetic 公司的研究员 Liv Matan 在报告中提到,“该漏洞是通过SCM服务K
继续阅读CISA提醒注意西门子、通用数字和康泰克工控系统中的漏洞
CISA提醒注意西门子、通用数字和康泰克工控系统中的漏洞 Ravie Lakshmanan 代码卫士 2023-01-19 18:00 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 发布四份工控安全公告,说明了影响西门子、通用数字 (GE Digital) 和日本康泰克 (Contec) 多款产品的安全漏洞。 其中最严重的漏洞是位于西门子SINE
继续阅读TP-Link 和 NetComm 路由器中存在多个远程代码执行漏洞
TP-Link 和 NetComm 路由器中存在多个远程代码执行漏洞 Ionut Arghire 代码卫士 2023-01-19 18:00 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 TP-Link 和 NetComm 路由器机型中存在多个漏洞,可用于实现远程代码执行 (RCE)。 TP-Link WR710N-V1-151022和Archer-C5-V2-160201 SOHO 路由
继续阅读厂商纷纷主动绕过Adobe发布的CVE-2022-24086安全补丁
厂商纷纷主动绕过Adobe发布的CVE-2022-24086安全补丁 Ionut Arghire 代码卫士 2023-01-19 18:00 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 电商安全公司 Sansec 提醒称,厂商和机构正在主动绕过Adobe 在2022年2月发布的CVE-2022-24086的安全补丁。该漏洞是位于Adobe Commerce 和 Magento 商店的严重
继续阅读斗象漏洞情报中心分享|禅道命令注入漏洞深度分析
斗象漏洞情报中心分享|禅道命令注入漏洞深度分析 原创 斗象TCC实验室 斗象智能安全 2023-01-19 13:49 01 漏洞概述 1月6日,斗象漏洞情报运营中心监测到公网公开披露了禅道研发项目管理系统存在命令注入漏洞并发布了漏洞预警。 禅道研发项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周
继续阅读上周关注度较高的产品安全漏洞(20230109-20230115)
上周关注度较高的产品安全漏洞(20230109-20230115) 国家互联网应急中心CNCERT 2023-01-18 20:44 一、境外厂商产品漏洞 1、ZOHO ManageEngine ADManager Plus存在命令执行漏洞 ZOHO ManageEngine ADManager Plus是美国卓豪(ZOHO)公司的一套为使用Windows域的企业用户设计的微软活动目录管理软件。该
继续阅读【安全圈】Fortinet VPN已修复的缓冲区溢出零日漏洞,可执行任意代码
【安全圈】Fortinet VPN已修复的缓冲区溢出零日漏洞,可执行任意代码 安全圈 2023-01-18 18:30 关键词 漏洞 在最近的网络安全观察中发现,Fortinet公司上个月已解决的 FortiOS SSL-VPN 中的一个零日漏洞,被不知名的攻击者利用在针对政府和其他大型组织的攻击中。该漏洞利用的复杂性表明它是高级攻击者,而且它高度针对政府或与政府相关的目标。 安全研究人员在对感染
继续阅读【安全圈】ManageEngine 曝出严重漏洞,攻击者无需身份验证即可远程运行代码
【安全圈】ManageEngine 曝出严重漏洞,攻击者无需身份验证即可远程运行代码 安全圈 2023-01-18 18:30 关键词 漏洞 IT之家 1 月 17 日消息,来自 Horizon3 Attack Team 的网络安全研究人员公布了一个概念验证 (PoC) 漏洞,这一漏洞存在于诸多 VMware 产品中。 据介绍,CVE-2022-47966 漏洞可允许攻击者无需身份验证即可在 Ma
继续阅读从美国CISA KEV项目看海量漏洞管理方法
从美国CISA KEV项目看海量漏洞管理方法 安全内参 2023-01-18 18:06 现状与难点 01 新形势下漏洞管理重要性凸显 在信息科技高速发展的时代背景下,信息技术产品供应链愈发庞大,网络威胁形势不断变化,网络运营者面临高水平的安全运营需求,漏洞管理已经成为安全运营中最直接、最关键的组成部分。各国政府、产业界均在不断探索完善科学、规范的漏洞管理机制,围绕此焦点的新政策、新要求、新机制、
继续阅读Juniper 一月安全更新修复200多个漏洞
Juniper 一月安全更新修复200多个漏洞 Eduard Kovacs 代码卫士 2023-01-16 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Juniper Networks 发布2023年第一次安全公告,修复了超过200个漏洞。 本周,该公司发布了32份安全公告,修复了230多个漏洞,其中200个左右漏洞影响第三方组件。 其中三份安全公告针对的是3个影响第三方组件
继续阅读谷歌浏览器“SymStealer”漏洞:可窃取用户敏感文件
谷歌浏览器“SymStealer”漏洞:可窃取用户敏感文件 看雪学苑 看雪学苑 2023-01-16 17:59 近期,网络安全公司Imperva的红队披露了一个名为“SymStealer”的漏洞(CVE-2022-3656),据称影响超过25亿Google Chrome以及基于Chromium的浏览器用户。此漏洞允许攻击者窃取敏感文件,如加密钱包和云提供商凭据。 据悉,Chrome是目前使用最广
继续阅读用 Goby 通过反序列化漏洞一键打入内存马【利用篇】
用 Goby 通过反序列化漏洞一键打入内存马【利用篇】 原创 su18 GobySec 2023-01-16 11:03 Goby社区第 22 篇技术分享文章 全文共: 3734 字 预计阅读时间: 10 分钟 01 前言**** 在上一篇 《 Shell 中的幽灵王者-JAVAWEB 内存马【认知篇】 》 中,我从理念上介绍了很多内存马的东西,并给出了我的判断: “大势所趋下,内存马技术
继续阅读【安全圈】竟然不修复!思科企业路由器存在严重漏洞
【安全圈】竟然不修复!思科企业路由器存在严重漏洞 安全圈 2023-01-14 18:31 关键词 漏洞、思科 思科中小企业产品线RV016、RV042、RV042G和RV082路由器上的网页管理界面存在 严重漏洞 ,使得远程攻击者可以绕过身份验证,并在底层操作系统上执行任意命令。 但由于这些路由器生命周期已结束,思科表示不会发布新软件解决这些路由器上的漏洞。 思科这些RV系列中小企业路由器的所有
继续阅读前方即将抵达漏洞云星系,引力弹弓开启中…欢迎来到2023北京之夜 !
前方即将抵达漏洞云星系,引力弹弓开启中…欢迎来到2023北京之夜 ! 360漏洞云 2023-01-14 18:05 Night Of Peking 旧年去,新年来 年年有余,今年又丰收 2023年1月12日 白帽再相聚 欢迎进入本星系 时光回溯 360漏洞云2023年北京之夜 1月12日,2023年首次白帽子聚会在北京798圆满结束,新年初雪并没有阻碍相聚的脚步,所谓瑞雪兆丰年,到场
继续阅读