热门开源库 JsonWebToken 存在RCE漏洞,可引发供应链攻击
热门开源库 JsonWebToken 存在RCE漏洞,可引发供应链攻击 Bill Toulas 代码卫士 2023-01-10 17:57 聚焦源代码安全,网罗国内外最新资讯!**** 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复
继续阅读月度归档: 2023 年 1 月
CISA提醒注意日立能源产品中的多个高危漏洞
CISA提醒注意日立能源产品中的多个高危漏洞 Eduard Kovacs 代码卫士 2023-01-10 17:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 上周发布多份安全公告,通知使用日立能源产品的组织机构称这些产品中存在多个高危和严重漏洞。 CISA发布三份公告,说明了日立能源三款产品中存在的多个漏洞。日立能源公司在12月发布了关于这
继续阅读突破太空网络安全!航天器关键技术爆严重漏洞
突破太空网络安全!航天器关键技术爆严重漏洞 关键基础设施安全应急响应中心 2023-01-10 14:16 研究发现,航天器关键技术之一时间触发以太网的安全机制可能因电磁干扰而受到损害; 对高优先级信号的计时干扰,足以导致模拟对接程序出现严重故障。 1月9日消息,当美国航空航天局(NASA)需要两部在轨航天器保持相对静止并完成对接时,时机的把握至关重要。二者的运行必须彼此精确同步,才能防止发生灾难
继续阅读【已复现】GitLab 远程代码执行漏洞安全风险通告第二次更新
【已复现】GitLab 远程代码执行漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-01-09 17:03 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理,同时可以搭建W
继续阅读Fortinet FortiADC 命令注入漏洞(CVE-2022-39947)安全风险通告
Fortinet FortiADC 命令注入漏洞(CVE-2022-39947)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-09 17:03 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Fortinet(飞塔)是一家全球知名的网络安全产品和安全解决方案提供商,其产品包括防火墙、防病毒软件、入侵防御系统和终端安全组件等
继续阅读雷神众测漏洞周报2023.1.3-2023.1.8
雷神众测漏洞周报2023.1.3-2023.1.8 原创 雷神众测 雷神众测 2023-01-09 15:00 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此
继续阅读某达摄像头的漏洞挖掘经历
某达摄像头的漏洞挖掘经历 原创 狒猩橙 ChaMd5安全团队 2023-01-08 10:51 前言 在看了一位师傅的关于摄像头的文章之后,我也心血来潮找了一款摄像头(某达最新款CP7)固件去挖一下练练手。 串口获取shell 拿到摄像头拆下来之后尝试了一波串口获取shell。 image-20230103171820881 但是连上之后发现这个摄像头貌似无法获得一个正常的shell,只能用来看回
继续阅读CVE-2022-43931:Synology VPN Plus Server越界写入漏洞通告
CVE-2022-43931:Synology VPN Plus Server越界写入漏洞通告 原创 360CERT 三六零CERT 2023-01-06 17:57 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-010602 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-06 1 漏洞简述 2023年01月06日,360CERT监测发现Synology官
继续阅读CVE-2022-39947/35845:Fortinet 命令注入漏洞通告
CVE-2022-39947/35845:Fortinet 命令注入漏洞通告 原创 360CERT 三六零CERT 2023-01-06 17:57 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-010601 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-06 1 漏洞简述 2023年01月06日,360CERT监测发现Fortinet官方发布了Forti
继续阅读汽车行业最严重漏洞:20家知名车企API暴露车主个人信息
汽车行业最严重漏洞:20家知名车企API暴露车主个人信息 安全内参 2023-01-05 18:53 关注我们 带你读懂网络安全 近日安全研究人员Sam Curry披露了近20家知名汽车制造商在线服务中的API安全漏洞,这些漏洞可能允许黑客执行恶意活动,包括从解锁、启动、跟踪汽车到窃取客户个人信息。这可能是汽车行业迄今披露的影响最为广泛,也最为严重的安全漏洞。 受漏洞影响的知名品牌包括宝马、劳斯莱
继续阅读丰田、奔驰、宝马等API漏洞暴露车主个人信息
丰田、奔驰、宝马等API漏洞暴露车主个人信息 Bill Toulas 代码卫士 2023-01-05 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究人员发现,近20家汽车制造商和服务中包含API漏洞,可使黑客执行恶意活动如解锁车门、启动汽车并追踪车辆,暴露客户的个人信息。这些漏洞影响多家知名车厂,包括宝马、劳斯莱斯、奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英
继续阅读Zoho:立即修复这个严重的ManageEngine漏洞!
Zoho:立即修复这个严重的ManageEngine漏洞! Sergiu Gatlan 代码卫士 2023-01-05 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Zoho 督促客户修复影响多款ManageEngine产品的一个严重漏洞。本周一,Zoho 公司提醒称,“该安全公告是为了告知大家,我们检测到了一个严重的安全漏洞。” 该漏洞的编号是CVE-2022-47523,是
继续阅读Fortinet 两款产品FortiTester和FortiADC中存在高危命令注入漏洞
Fortinet 两款产品FortiTester和FortiADC中存在高危命令注入漏洞 Ionut Arghire 代码卫士 2023-01-05 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,网络安全解决方案提供商Fortinet 发布了产品中多个漏洞的补丁,并将FortiADC中的高危命令注入漏洞告知客户。该漏洞的编号是CVE-2022-39947,位于FortiA
继续阅读Notional Double Counting Free Collateral 分析和复现
Notional Double Counting Free Collateral 分析和复现 ghostmazeW 看雪学苑 2023-01-05 18:03 本文为看雪论坛优秀文章 看雪论坛作者ID:ghostmazeW Notional( https://notional.finance/portfolio/ ) 简单说来就是一个固定周期,固定利率的借贷池,主要支持Borrow,lend以及P
继续阅读漏洞奖励计划升级第二弹:首胜奖励+周周有奖!
漏洞奖励计划升级第二弹:首胜奖励+周周有奖! X社区 微步在线 2023-01-05 17:41 “ 各位白帽子师傅: 半月前,我们开启了“X漏洞奖励计划 · 年终尾牙”活动的第一弹【全网最早年终奖】,得到师傅们的鼎力支持,我们也发放出一大波奖励。 现开启活动第二弹【不止漏洞奖励】 ,提供更多获得报酬的玩法~ 首日漏洞 额外奖励 自2023年1月1日起,各位师傅首条提交且通过审核的漏洞,除获得该漏
继续阅读研究人员发现Google 智能扬声器中的多个漏洞,获奖超10万美元
研究人员发现Google 智能扬声器中的多个漏洞,获奖超10万美元 Ionut Arghire 代码卫士 2023-01-04 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员 Matt Kunze 表示,谷歌因他负责任地提交了Google Home Mini智能扬声器中的多个漏洞,而获得10.7万美元的奖励。 Kunze 表示,这些漏洞可被在无线范围内的攻击者在设备上
继续阅读Synology 修复严重的VPN路由器漏洞,CVSS评分10分
Synology 修复严重的VPN路由器漏洞,CVSS评分10分 Sergiu Gatlan 代码卫士 2023-01-04 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 台湾NAS厂商Synology 修复了一个CVSS评分为10分的严重漏洞,影响配置为VPN服务器运行的路由器。 VPN Plus Server 是一款虚拟的私有网络服务器,可使管理员将Synology路由器设
继续阅读上周关注度较高的产品安全漏洞(20221226-20230101)
上周关注度较高的产品安全漏洞(20221226-20230101) 国家互联网应急中心CNCERT 2023-01-04 16:43 一、境外厂商产品漏洞 1、IBM Cognos Analytics服务器端请求伪造漏洞 IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。IBM Cog
继续阅读Apache Kylin多个命令注入漏洞安全风险通告
Apache Kylin多个命令注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-03 18:53 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Apache Kylin 是一个开源的、分布式的分析型数据仓库,提供Hadoop或Spark之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 e
继续阅读《58集团漏洞标准V4.2》
《58集团漏洞标准V4.2》 58安全应急响应中心 2023-01-03 18:14 本标准将于2023年1月4日0:00起生效 基本原则 58集团非常重视自身产品和业务的安全,我们承诺对每一份报告都有专人及时跟进处理,给出漏洞评定结果以及原因,并给予白帽子与之匹配的利益。 58SRC非常希望您在提交漏洞前认真阅读平台《58SRC漏洞评分标准》、《58SRC漏洞审核策略》以及《白帽子常见FAQ》,
继续阅读Google Home智能音箱漏洞可监听用户会话
Google Home智能音箱漏洞可监听用户会话 关键基础设施安全应急响应中心 2023-01-03 15:48 漏洞概述 2016年,谷歌发布Google Home智能音箱产品。2021年,安全研究人员Matt在Google Home智能音箱设备中发现了一个安全漏洞,攻击者利用该漏洞可以在受害者设备中安装后门装好,并通过互联网远程发送命令给受害者设备、访问麦克风数据量、在受害者网络中发起任意HT
继续阅读