【漏洞预警】Fortinet多个产品身份验证绕过漏洞
【漏洞预警】Fortinet多个产品身份验证绕过漏洞 安识科技 SecPulse安全脉搏 2022-10-12 12:02 1. 通告信息 近日,安识科技 A-Team团队监测到Fortinet官方发布安全公告,修复了其多个产品中的一个身份验证绕过漏洞(CVE-2022-40684),其CVSSv3评分为9.6,目前已发现被利用。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预
继续阅读月度归档: 2022 年 10 月
【安全圈】macOS Archive 工具漏洞
【安全圈】macOS Archive 工具漏洞 安全圈 2022-10-11 19:00 关键词 macOS 据ROARTALK网站消息,macOS Archive工具漏洞可绕过Gatekeeper检查,未签名的应用也可以在不向用户展示安全提醒的情况下执行。 Archive Utility是macOS系统自带的归档实用工具。Jamf Threat Labs安全研究人员在macOS Archive工
继续阅读一个密码学漏洞导致一亿美元损失!某虚拟货币交易平台遭黑客攻击
一个密码学漏洞导致一亿美元损失!某虚拟货币交易平台遭黑客攻击 看雪学苑 看雪学苑 2022-10-09 18:44 10月7日凌晨,由于活动异常,某币*交易所暂停了所有通过BNB链的存取款。 BNB Chain随后发推称,有黑客提取了约7000万至8000万美元,该平台正在调查潜在的漏洞。 不久后,该交易平台CEO发布推文向公众解释了这一黑客攻击事件:对跨链桥BSC Token Hub的利用导致了
继续阅读研究人员在宜家智能照明系统中发现漏洞
研究人员在宜家智能照明系统中发现漏洞 布加迪 嘶吼专业版 2022-10-09 12:00 研究人员已在宜家智能灯泡系列中发现了两个漏洞,攻击者可以利用这些漏洞控制系统,并使灯泡快速闪亮和熄灭。 新思科技(Synopsys)网络安全研究中心的Kari Hulkko和Tuomo Untinen表示,他们在2021年6月就向宜家反映了这两个漏洞,它们分别编号为CVE-2022-39064和CVE-20
继续阅读研究员发现 Akamai配置不当漏洞,获得4.6万美元奖励
研究员发现 Akamai配置不当漏洞,获得4.6万美元奖励 Emma Woollacott 代码卫士 2022-10-08 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 两名意大利研究员发现了一个Akamai 配置不当问题,获得超过4.6万美元的奖励。 Akamai是当前世界上使用最广泛的内容交付网络 (CDNs) 之一,超过1000家企业都在使用它,如苹果、微软、Airbnb
继续阅读微软证实称两个Exchange 0day 正遭在野利用
微软证实称两个Exchange 0day 正遭在野利用 Ravie Lakshmanan 代码卫士 2022-10-08 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软公开表示,正在调查影响Exchange Server 2013、2016和2019的两个0day遭在野利用事件。 微软指出,“第一个漏洞是CVE-2022-41040,它是一个服务器端请求伪造漏洞。第二个漏洞
继续阅读JavaScript 沙箱 vm2修复远程代码执行漏洞
JavaScript 沙箱 vm2修复远程代码执行漏洞 Ben Dickson 代码卫士 2022-10-08 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门的 JavaScript 沙箱环境 vm2 中存在一个bug,可导致恶意人员绕过沙箱防火措施并在主机设备上发动远程代码执行攻击。 Vm2的每周下载量超过400万次,在Node.js服务器中创建了安全的上下文,在无需攻陷
继续阅读Fortinet:立即修复这个严重的认证绕过漏洞!
Fortinet:立即修复这个严重的认证绕过漏洞! Sergiu Gatlan 代码卫士 2022-10-08 18:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet公司提醒管理员称,立即将FortiGate 防火墙和 FortiProxy 网络代理更新至最新版本,修复之前版本中的严重漏洞(CVE-2022-40684)。 该漏洞是位于管理员界面上的一个认证绕过漏洞,可
继续阅读新的攻击活动利用了MICROSOFT EXCHANGE服务器上新的0 day RCE漏洞
新的攻击活动利用了MICROSOFT EXCHANGE服务器上新的0 day RCE漏洞 luochicun 嘶吼专业版 2022-10-08 12:00 8月初,在执行安全监控和事件响应服务时,GTSC SOC团队发现一个关键基础架构受到攻击,经过分析这是专门针对Microsoft Exchange应用程序的。在调查期间,GTSC Blue Team专家确定,攻击者利用了一个未公开的Exchan
继续阅读2022 SDC 议题 | 国产智能网联汽车漏洞挖掘中的几个突破点
2022 SDC 议题 | 国产智能网联汽车漏洞挖掘中的几个突破点 原创 2022 SDC 看雪学苑 2022-10-07 18:21 2022 SDC 精彩议题抢先看 《国产智能网联汽车漏洞挖掘中的几个突破点》 国产智能网联汽车进入了辅助驾驶时代,发展非常迅猛,但安全问题也随之增多。本议题讲解国产智能网联汽车漏洞挖掘中的几种特殊方法和思路,也有对应的防护建议。供汽车相关安全研究人员和车企开发者参
继续阅读GLPI htmLawedTest.php 远程命令执行漏洞 CVE-2022-35914
GLPI htmLawedTest.php 远程命令执行漏洞 CVE-2022-35914 原创 PeiQi文库 PeiQi文库 2022-10-05 13:23 漏洞描述 GLPI是一个用于IT资产管理的开源软件,用PHP编写,并在GPL许可下发布。 作为一种开源技术,任何人都可以运行,修改或开发代码。GLPI 10.0.2及之前版本存在安全漏洞,该漏洞源于PHP htmlawed 模块中 允许
继续阅读【安全圈】微软称两个新的Exchange零日漏洞已受到主动攻击
【安全圈】微软称两个新的Exchange零日漏洞已受到主动攻击 安全圈 2022-10-01 16:30 关键词 微软安全响应中心(MRSC)周四晚些时候在一篇博文中说,这两个漏洞被确认为CVE-2022-41040,是一个服务器端请求伪造(SSRF)漏洞,而第二个被确认为CVE-2022-41082,当PowerShell被攻击者访问时,允许在一个有漏洞的服务器上执行远程代码。 “目
继续阅读基于SBERT孪生网络的漏洞描述归一化
基于SBERT孪生网络的漏洞描述归一化 原创 7777777 VLab安全实验室 2022-09-30 16:00 V-实验室实验室 漏洞 扫描评估产品主要采用基于漏洞知识库的技术进行漏洞信息综合处理。 漏洞知识库通常是由各国信息安全中心及信息安全厂商和组织组建的涵盖漏洞各维度知识的漏洞库,如CNNVD 、NVD等。也因为这个原因,各平台间的漏洞存在描述重复。使用这些漏洞知识库时需要将数据做汇总,
继续阅读