思科修复企业通信解决方案中的严重漏洞
思科修复企业通信解决方案中的严重漏洞 Ionut Arghire 代码卫士 2022-07-11 18:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周,思科修复了位于思科 Expressway系列和TelePresence视频通信服务器 (VCS) 产品中的一个严重漏洞,可导致攻击者以root权限在底层操作系统上覆写文件。 01 CVE-2022-20812 思科指出,该漏洞影响
继续阅读月度归档: 2022 年 7 月
Node.js 修复多个漏洞,可导致RCE和HTTP请求走私
Node.js 修复多个漏洞,可导致RCE和HTTP请求走私 Jessica Haworth 代码卫士 2022-07-11 18:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Node.js 维护人员为JavaScript运行时环境中的七个漏洞发布修复方案。它们可导致任意代码执行和HTTP请求走私等攻击。 其中,三个漏洞可导致HTTP请求走私,分别是传输-解码解析有权限漏洞(CVE
继续阅读Chrome被爆严重零日漏洞,谷歌督促用户尽快更新
Chrome被爆严重零日漏洞,谷歌督促用户尽快更新 网络安全应急技术国家工程中心 2022-07-11 15:37 近期,谷歌发布公告,称已经为Windows用户发布了Chrome 103.0.5060.114更新,以解决在野被攻击者利用的高严重性零日漏洞,这也是2022年谷歌修补的第四个 Chrome 零日漏洞。目前103.0.5060.114版本正在全球范围内的Stable Desktop频道
继续阅读演讲议题巡展|自动化API漏洞Fuzz实战
演讲议题巡展|自动化API漏洞Fuzz实战 原创 周阳&吕竭 KCon 黑客大会 2022-07-11 11:32 KCon 2022 演讲议题巡展火热进行中 接下来的一段时间 我们将陆续对议题亮点及演讲人进行展示 敬请关注 PS:议题展示顺序不分先后~为使 KCon 首届云端大会能为大家带来更好的体验,议程还在加紧制定中,请大家耐心等待官方通知~ IT’S SHOW TIME
继续阅读Android漏洞之战——整体加壳原理和脱壳技巧详解
Android漏洞之战——整体加壳原理和脱壳技巧详解 随风而行aa 看雪学苑 2022-07-09 17:58 本文为看雪论坛优秀文章看雪论坛作者ID:随风而行aa 一 前言 为了帮助更加方便的进行漏洞挖掘工作,前面我们通过了几篇文章详解的给大家介绍了动态调试技术、过反调试技术、Hook技术、过反Hook技术、抓包技术等,掌握了这些可以很方便的开展App漏洞挖掘工作,而最后我们还需要掌握一定的脱壳
继续阅读Kubernetes NGINX Ingress Controller 中的新漏洞
Kubernetes NGINX Ingress Controller 中的新漏洞 TeamsSix 火线Zone 2022-07-08 18:00 最新漏洞,原文地址:https://blog.lightspin.io/kubernetes-nginx-ingress-controller-vulnerabilities 序 言 从 2021 年 10 月开始,NGINX 的 Kubernete
继续阅读苹果为Lockdown Mode 新特性推出漏洞奖励计划,最高200万美元
苹果为Lockdown Mode 新特性推出漏洞奖励计划,最高200万美元 Jessica Haworth 代码卫士 2022-07-08 17:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果为 Lockdown Mode 新特性推出安全漏洞奖励计划,旨在增强对用户监控攻击的防护。 Lockdown Mode 将在 iOS 16、iPadOS 16 和 macOS Ventura
继续阅读Fortinet 修复多个路径遍历漏洞
Fortinet 修复多个路径遍历漏洞 Adam Bannister 代码卫士 2022-07-08 17:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet 修复了影响多款端点安全产品的多个漏洞。 Fortinet 为全球提供超过三分之一的防火墙和统一威胁管理产品,它在7月5日发布了大量防火墙和软件更新。 Fortinet 修复的漏洞包括位于 FortiDeceptor
继续阅读【已复现】OpenSSL RSA远程代码执行漏洞(CVE-2022-2274)安全风险通告
【已复现】OpenSSL RSA远程代码执行漏洞(CVE-2022-2274)安全风险通告 原创 QAX CERT 奇安信 CERT 2022-07-08 12:49 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到OpenSSL 官方发布OpenSSL RSA 私钥操作中的堆 内存损坏通告(CVE-2022-2274),
继续阅读攻击者利用Mitel VoIP漏洞进行勒索软件攻击
攻击者利用Mitel VoIP漏洞进行勒索软件攻击 ~阳光~ 嘶吼专业版 2022-07-08 12:00 勒索软件集团正在滥用未打补丁的基于Linux的Mitel VoIP(网络电话)应用程序,并将其作为跳板在目标系统上植入恶意软件。这个关键的远程代码执行(RCE)漏洞被追踪为CVE-2022-29499,该漏洞是Crowdstrike在4月首次报告的零日漏洞,并且现在已经打了补丁。 Mitel
继续阅读【安全头条】MITRE漏洞公告意外展示易受攻击资产
【安全头条】MITRE漏洞公告意外展示易受攻击资产 安全客 安全客 2022-07-08 10:00 第318期 你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、MITRE漏洞 公告意外展示 易受攻击资产 近日有喜欢看CVE信息的安全圈
继续阅读高危OpenSSL 漏洞可导致远程代码执行
高危OpenSSL 漏洞可导致远程代码执行 Jessica Haworth 代码卫士 2022-07-07 18:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OpenSSL 中存在一个高危漏洞,可导致恶意人员在服务器端设备上实现远程代码执行。 OpenSSL是一款使用广泛的加密库,提供SSL 和 TLS 协议的开源实现,包括很多生成RSA密钥和执行加密和解密的工具等。 内存损坏 安
继续阅读Atlassian 修复Jira 中的完全读取SSRF漏洞
Atlassian 修复Jira 中的完全读取SSRF漏洞 Adam Bannister 代码卫士 2022-07-07 18:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Atlassian 公司的热门问题追踪和项目管理软件 Jira 易受一个服务器端请求伪造 (SSRF) 缺陷影响,在无需凭据的情况下即可遭滥用。 Assetnote 公司的首席技术官兼创始人 Shubham Sh
继续阅读【漏洞预警】Mitel MiVoice Connect远程代码执行漏洞
【漏洞预警】Mitel MiVoice Connect远程代码执行漏洞 SecPulse安全脉搏 2022-07-07 17:18 1. 通告信息 近日, 安识科技 A-Team团队 监测到一则 Mitel MiVoice Connect远程代码执行漏洞 的信息,该漏洞的漏洞编号 为 CVE-2022-29499 ,漏洞威胁等级:高危。由于数据验证不足, Mitel MiVoice Connect
继续阅读【安全圈】数亿网民受影响,OpenSSL又被爆高危漏洞
【安全圈】数亿网民受影响,OpenSSL又被爆高危漏洞 安全圈 2022-07-07 13:25 关键词 CNNVD、OpenSSL 近日,国家信息安全漏洞库(CNNVD)收到关于OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情况的报送。成功利用此漏洞的攻击者,可造成目标机器内存损坏,进而在目标机器远程执行代码。OpenSSL 3.0.4版本受漏洞影响。目
继续阅读国家漏洞库CNNVD:关于OpenSSL安全漏洞的通报
国家漏洞库CNNVD:关于OpenSSL安全漏洞的通报 安全内参 2022-07-06 19:01 关注我们 带你读懂网络安全 近日,国家信息安全漏洞库(CNNVD)收到关于OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情况的报送。成功利用此漏洞的攻击者,可造成目标机器内存损坏,进而在目标机器远程执行代码。OpenSSL 3.0.4版本受漏洞影响。目前,O
继续阅读【已复现】Atlassian Jira 多款产品Mobile Plugin服务端请求伪造漏洞安全风险通告
【已复现】Atlassian Jira 多款产品Mobile Plugin服务端请求伪造漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-07-06 17:19 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到Atlassian Jira 多款产品 Mobile Plugin 服务端请求伪造漏洞PoC及
继续阅读CVE-2022-2274: OpenSSL RSA 远程代码执行漏洞通告
CVE-2022-2274: OpenSSL RSA 远程代码执行漏洞通告 原创 360CERT 三六零CERT 2022-07-06 16:08 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-070601 报告来源:360CERT 报告作者:360CERT 更新日期:2022-07-06 1 漏洞简述 2022年07月06日,360CERT监测发现OpenSSL发布了CVE-2022-
继续阅读澳大利亚莫纳什大学推出公开漏洞奖励计划
澳大利亚莫纳什大学推出公开漏洞奖励计划 James Walker 代码卫士 2022-07-05 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 澳大利亚莫纳什大学推出公开漏洞奖励计划,以助力维护其数字化平台的安全性。 这项新的漏洞奖励计划托管在 Bugcrowd 平台,将为合法漏洞颁发最高2500美元的奖励。奖励目标涵盖莫纳什大学的主要 web 域名和移动应用,以及该大学使用的
继续阅读Django 修复SQL注入漏洞
Django 修复SQL注入漏洞 Ax Sharma 代码卫士 2022-07-05 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Django 项目是基于 Python 的开源 web框架,近期它修复了位于最新版本中的一个高危漏洞CVE-2022-34265。 该漏洞是存在于 Django 主分支4.1(目前处于测试)、4.0和3.2中的一个SQL注入漏洞,目前已修复。 数万
继续阅读Chrome 103紧急修复已遭利用的0day
Chrome 103紧急修复已遭利用的0day Eduard Kovacs 代码卫士 2022-07-05 18:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周一,谷歌紧急修复已遭利用的0day (CVE-2022-2294)。 该漏洞是位于 WebRTC的一个堆缓冲区溢出漏洞,由Avast威胁情报团队在7月1日报告。该漏洞已在 Chrome 103.0.5060.114的Win
继续阅读AWS:代理服务器上的远程代码执行(hackerone漏洞报告)
AWS:代理服务器上的远程代码执行(hackerone漏洞报告) 原创 樱宁 火线Zone 2022-07-05 18:00 本文为翻译文章,原文地址:https://hackerone.com/reports/401136 介绍 我在用于跟踪研究人员活动的代理服务上发现了这个远程代码执行 (RCE) 漏洞。这是我进一步了解 AWS 的机会,特别是 AWS EC2 Systems Manager
继续阅读上周关注度较高的产品安全漏洞(20220627-20220703)
上周关注度较高的产品安全漏洞(20220627-20220703) 国家互联网应急中心CNCERT 2022-07-05 17:24 一、境外厂商产品漏洞 1、Fortinet FortiWAN操作系统命令注入漏洞 Fortinet FortiWan是美国Fortinet公司的一个网络设备。用于在不同网络之间执行负载平衡和容错。Fortinet FortiWAN 4.5.9之前版本存在操作系统命令
继续阅读【安全头条】Hackerone员工偷卖漏洞报告截胡安全研究员
【安全头条】Hackerone员工偷卖漏洞报告截胡安全研究员 安全客 安全客 2022-07-05 10:03 第315期 你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、Hackerone 员工偷卖漏洞报告 截胡安全研究员 一名Hac
继续阅读可修补和可预防的安全漏洞成为第一季度攻击的主要原因
可修补和可预防的安全漏洞成为第一季度攻击的主要原因 关键基础设施安全应急响应中心 2022-07-04 15:30 2022年第一季度,82%的组织攻击是由受害者面向外部的攻击面中的已知漏洞引起的。这些未修补的漏洞使得由于人为错误相关的财务损失所占的比例降到了很低,后者只占18%。 这些数字来自于Tetra Defense及其季度报告,该报告揭示了2022年1月至3月期间针对美国组织的网络攻击数量
继续阅读2022年迄今为止半数零日漏洞都是之前漏洞的变体
2022年迄今为止半数零日漏洞都是之前漏洞的变体 nana 数世咨询 2022-07-02 23:30 谷歌Project Zero研究人员Maddie Stone在博客文章中揭示,今年截至目前发现的野生零日漏洞中有九个本可以避免——如果组织应用了更加全面的漏洞修复…… “最重要的是,2022年发现的零日漏洞中有四个都是2021年野生零日漏洞的变体。原始零日漏洞修复后仅仅12个月,攻击者就携原始漏
继续阅读使用区块链分析评估朝鲜黑客的优势和漏洞
使用区块链分析评估朝鲜黑客的优势和漏洞 原创 情报分析师 情报分析师 2022-07-02 10:50 点击下方小卡片关注 情报分析师 今天小编推荐在2022年2月,新美国安全中心智库发布报告《使用区块链分析评估朝鲜黑客的优势和漏洞》。本报告共32页深入分析了朝鲜利用金融技术,特别是加密货币和区块链技术,为其非法的核和弹道武器开发项目获取资金的能力。 完整报告中英文已上传至情报学院知识星球,长按文
继续阅读谷歌分析2022在野0day利用后,得出令人意外的结论
谷歌分析2022在野0day利用后,得出令人意外的结论 谷歌 代码卫士 2022-07-01 19:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 2022年6月,谷歌零日项目团队 (Project Zero) 研究员 Maddle Stone在近期举办的 FIRST 会议上发表了报告《目前为止的2022年在野0day利用》分享了该团队的对2022年上半年0day利用情况的研究成果。如
继续阅读博通Brocade漏洞影响多家大厂的存储解决方案
博通Brocade漏洞影响多家大厂的存储解决方案 Eduard Kovacs 代码卫士 2022-07-01 19:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 最近,博通 (Broadcom) 公司表示,其存储网络子公司 Brocade 提供的一些软件受多个漏洞影响,可能影响多家主流厂商的产品。 博通公司表示,Brocade SANnav 存储局域网 (SAN) 管理应用受九个漏洞
继续阅读CVE-2022-2185:GitLab 远程代码执行漏洞
CVE-2022-2185:GitLab 远程代码执行漏洞 原创 360CERT 三六零CERT 2022-07-01 16:28 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-070101 报告来源:360CERT 报告作者:360CERT 更新日期:2022-07-01 1 漏洞简述 2022年07月01日,360CERT监测发现GitLab官方发布了GitLab的风险通告,漏洞编号
继续阅读