【漏洞通告】Apache Tomcat 信息泄露漏洞CVE-2023-28708
【漏洞通告】Apache Tomcat 信息泄露漏洞CVE-2023-28708 深瞳漏洞实验室 深信服千里目安全技术中心 2023-03-24 18:08 漏洞名称: Apache Tomcat 信息泄露漏洞CVE-2023-28708 组件名称: Apache Tomcat 影响范围: 11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M2 10.1.0-M1 ≤ Apac
继续阅读月度归档: 2023 年 3 月
Spring Framework 身份认证绕过漏洞安全风险通告
Spring Framework 身份认证绕过漏洞安全风险通告 代码卫士 2023-03-24 17:06 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Spring Framework 是一个开源应用框架,旨在降低应用程序开发的复杂度。 它是轻量级、松散耦合的,具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个有凝聚
继续阅读CVE-2023-28432: MinIO信息泄露漏洞通告
CVE-2023-28432: MinIO信息泄露漏洞通告 原创 360CERT 三六零CERT 2023-03-24 16:33 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-57 报告来源:360CERT 报告作者:360CERT 更新日期:2023-03-23 1 漏洞简述 2023年03月23日,360CERT监测发现MinIO发布了MinIO的风险通告,漏洞编号为CVE
继续阅读【漏洞通告】MinIO信息泄露漏洞(CVE-2023-28432)
【漏洞通告】MinIO信息泄露漏洞(CVE-2023-28432) 原创 NS-CERT 绿盟科技CERT 2023-03-24 15:37 通告编号:NS-2023-0016 2023-03-24 TAG: MinIO、信息泄露、CVE-2023-28432 漏洞危害: 攻击者利用漏洞可读取敏感信息 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测发现MinIO官方发布安全通告,修复了一
继续阅读三星Exynos芯片集中发现18个0 day漏洞,影响三星、vivo设备
三星Exynos芯片集中发现18个0 day漏洞,影响三星、vivo设备 ang010ela 嘶吼专业版 2023-03-24 12:00 谷歌研究人员在三星Exynos芯片集中发现18个0 day漏洞。 漏洞概述 谷歌Project Zero安全研究人员在三星Exynos芯片集中发现18个0 day漏洞,影响手机、可穿戴设备和汽车等电子设备。 这18个漏洞是在2022年底到2023年初发现和报告
继续阅读PHP开发服务器远程源代码泄露漏洞原理剖析
PHP开发服务器远程源代码泄露漏洞原理剖析 山石网科安全技术研究院 2023-03-24 11:39 PHP Built-in Server是PHP自带的Web服务器,多用于在研发阶段快速启动并运行一个可以执行PHP脚本的Web服务器。由于其性能及安全性并没有得到完好的保障,故PHP官方并不建议在生产环境下使用这个服务器。 01 历史问题 02 PHP 开发服务器 <= 7.4.21 &
继续阅读ChatGPT+RASP,实现CodeQL漏洞挖掘高效自动化 | 2023INSECWORLD
ChatGPT+RASP,实现CodeQL漏洞挖掘高效自动化 | 2023INSECWORLD 智安全 深信服千里目安全技术中心 2023-03-23 20:45 传统用CodeQL进行漏洞挖掘,生成的结果误报较多,影响效率;那么,如果融入ChatGPT和RASP呢? 3月21日,由Informa Markets主办的2023 INSEC WORLD 世界信息安全大会以“聚焦安全 打造多元新格局“
继续阅读2022年度CNNVD漏洞奖励评选结果公告
2022年度CNNVD漏洞奖励评选结果公告 中国信息安全 2023-03-23 19:51 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近期,CNNVD开展了2022年度接报漏洞奖励评选工作,其中13个漏洞在我国网络安全漏洞预警及风险消控工作中发挥了积极作用,获得“二级贡献奖”。 特此公告 国家信息安全漏洞库(CNNVD) 2023年3月23日 (来源:CN
继续阅读MinIO 信息泄露漏洞(CVE-2023-28432)安全风险通告
MinIO 信息泄露漏洞(CVE-2023-28432)安全风险通告 奇安信 CERT 2023-03-23 18:44 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 MinIO是一个用Golang开发的基于Apache License v2.0开源协议的对象存储服务。 近日,奇安信CERT监测到 MinIO 信息泄露漏洞(CVE-2023-28
继续阅读掌握系统0day安全攻防技巧,成为二进制漏洞猎手!
掌握系统0day安全攻防技巧,成为二进制漏洞猎手! 看雪课程 看雪学苑 2023-03-23 17:59 二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成软件执行了非预期的功能。由于二进制漏洞大都涉及到系统层面,所以危害程度比较高。 因此,二进制漏洞的挖掘和分析就显得尤为重要,不仅能帮助安全从业者强化解决实际问题能力,掌握高效防御技能,还能及时发现业务系统内潜在的问题,赋能企业安
继续阅读速修复这些Netgear Orbi路由器漏洞
速修复这些Netgear Orbi路由器漏洞 Bill Toulas 代码卫士 2023-03-23 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科Talos团队发布了Netgear Orbi 740系列路由器和扩展卫星中多个漏洞的PoC exploit,其中一个漏洞是严重的远程命令执行漏洞。 Netgear Orbi 是适用于家庭用户的流行网络无线网格系统,可同时最多为5
继续阅读CISA提醒修复这些严重的ICS漏洞
CISA提醒修复这些严重的ICS漏洞 Ravie Lakshmanan 代码卫士 2023-03-23 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 周二,美国CISA发布八份ICS安全公告,提醒注意影响台达电子 (Delta Electronics) 公司和罗克韦尔自动化 (Rockewell Automation) 公司设备的严重漏洞。 台达电子公司的实时设备监控软件 In
继续阅读【技术干货】CVE-2023-21839 WebLogic Server RCE分析
【技术干货】CVE-2023-21839 WebLogic Server RCE分析 星阑科技 2023-03-23 10:39 xxhzz @PortalLab实验室 项目介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的J
继续阅读首期公开课,web 漏洞自动化挖掘实战
首期公开课,web 漏洞自动化挖掘实战 原创 myh0st 信安之路 2023-03-23 08:45 今晚八点 腾讯会议 首期公开课直播 为你带来自动化漏洞挖掘实战 讲师是myh0st 信安之路创始人 补天 TOP 200 白帽子 累计发现并提交漏洞 5000+ 本月实战效果 直播内容大纲 参与直播 掌握自动化实战真理
继续阅读结合图学习和自动数据收集的代码漏洞检测模型
结合图学习和自动数据收集的代码漏洞检测模型 原创 senu11 安全学术圈 2023-03-22 19:17 原文标题:Combining Graph-Based Learning With Automated Data Collection for Code Vulnerability Detection原文作者:Huanting Wang , Guixin Ye , Zhanyong Tang
继续阅读【漏洞通告】Spring Framework 身份认证绕过漏洞CVE-2023-20860
【漏洞通告】Spring Framework 身份认证绕过漏洞CVE-2023-20860 深瞳漏洞实验室 深信服千里目安全技术中心 2023-03-22 18:13 漏洞名称: Spring Framework 身份认证绕过漏洞 组件名称: Spring Framework 影响范围: Spring Framework 6.0.x ≤ 6.0.6 Spring Framework 5.3.x ≤
继续阅读CVE-2023-21752 Windows 备份服务漏洞分析
CVE-2023-21752 Windows 备份服务漏洞分析 原创 天元实验室 M01N Team 2023-03-22 18:00 简介 Windows备份服务为计算机提供备份和还原的功能。它依赖于Microsoft Windows备份引擎,提供了备份和还原的基本功能,例如备份系统镜像、文件、文件夹和应用程序数据等。CVE-2023-21752微软在2023年1月份修复的一个位于Windows
继续阅读CVE-2023-20860:Spring Framework身份验证绕过漏洞通告
CVE-2023-20860:Spring Framework身份验证绕过漏洞通告 原创 360CERT 三六零CERT 2023-03-22 17:51 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-54 报告来源:360CERT 报告作者:360CERT 更新日期:2023-03-22 1 漏洞简述 2023年03月22日,360CERT监测发现Spring发布了Framew
继续阅读【漏洞通告】Spring Framework身份验证绕过漏洞(CVE-2023-20860)
【漏洞通告】Spring Framework身份验证绕过漏洞(CVE-2023-20860) 原创 NS-CERT 绿盟科技CERT 2023-03-22 16:22 通告编号:NS-2023-0015 2023-03-22 TAG: Spring Framework、身份验证绕过、CVE-2023-20860 漏洞危害: 攻击者利用漏洞可实现身份验证绕过 版本: 1.0 1 漏洞概述 近日,绿盟
继续阅读微步成为国家信息安全漏洞库(CNNVD)一级技术支撑单位
微步成为国家信息安全漏洞库(CNNVD)一级技术支撑单位 ThreatBook 微步在线 2023-03-21 17:32 近日,微步在线成为国家信息安全漏洞库(CNNVD)漏洞信息共享合作单位,并荣获中国信息安全测评中心颁发的“国家信息安全漏洞库(CNNVD)技术支撑单位等级(一级)证书”,成为该领域最高级别的技术支撑单位之一。 面对日益复杂严峻的网络安全形势,“共筑防线、共享安全”已成为业界共
继续阅读上周关注度较高的产品安全漏洞(20230313-20230319)
上周关注度较高的产品安全漏洞(20230313-20230319) 国家互联网应急中心CNCERT 2023-03-21 17:05 一、境外厂商产品漏洞 1、Siretta QUARTZ-GOLD缓冲区溢出漏洞(CNVD-2023-17042)**** Siretta QUARTZ-GOLD是Siretta公司的一款高速工业路由器。Siretta QUARTZ-GOLD G5.0.1.5-210
继续阅读2023年2月必修漏洞清单
2023年2月必修漏洞清单 原创 漏洞情报中心 斗象智能安全 2023-03-21 16:25 斗象科技漏洞情报中心推出2023年2月份必修安全漏洞清单。必修漏洞,指的是影响范围较广、企业必须立刻聚焦修复的安全漏洞。该清单上的漏洞一旦被黑客利用并发生入侵事件后,将会造成十分严重的损失。 斗象科技漏洞情报中心围绕安全漏洞的“危害、影响面、在野利用情况、POC/EXP公开情况、武器化情况、漏洞技术细节
继续阅读利用同一漏洞,多个黑客组织入侵美国联邦机构
利用同一漏洞,多个黑客组织入侵美国联邦机构 网络安全应急技术国家工程中心 2023-03-21 15:32 近日,多个威胁行为者,包括一个民族国家组织,利用Progress Telerik中存在三年的严重安全漏洞闯入美国一个未命名的联邦实体。 该披露来自网络安全 和基础 设施安全局(CISA)、联邦调查局(FBI)和多州信息共享与分析中心(MS-ISAC)发布的联合咨询。 “利用此漏洞允 许恶意行
继续阅读Adobe ColdFusion多个漏洞通告
Adobe ColdFusion多个漏洞通告 深瞳漏洞实验室 深信服千里目安全技术中心 2023-03-20 20:25 漏洞名称: Adobe ColdFusion多个漏洞 组件名称: Adobe ColdFusion 安全公告链接: https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html 官方解决方案: 已发布 漏
继续阅读春春欲洞 | 漏洞翻倍奖励,暖心好礼迎春
春春欲洞 | 漏洞翻倍奖励,暖心好礼迎春 X社区 微步在线 2023-03-20 19:31 “ 各位白帽师傅: 春意盎然,万物复苏,X漏洞奖励计划 · 暖春季活动来啦! 这次活动准备了翻倍奖励和暖心礼品,邀请你一起来肝洞! 放心去肝,你的肝,我来守护! 活动时间: 2023/3/20~2023/3/31 漏洞提交入口: 登录X情报社区(x.threatbook.com)- 导航栏“奖励计划” &
继续阅读SySeVR:使用深度学习的漏洞检测框架
SySeVR:使用深度学习的漏洞检测框架 原创 senu11 安全学术圈 2023-03-20 19:03 原文标题:SySeVR: A Framework for Using Deep Learning to Detect Software Vulnerabilities原文作者:Zhen Li, Deqing Zou, Shouhuai Xu, Hai Jin, Fellow, IEEE, Y
继续阅读全网漏洞态势研究 | 2022年度报告
全网漏洞态势研究 | 2022年度报告 奇安信威胁情报中心 2023-03-20 13:13 全网漏洞态势 奇安信CERT研究并发布《全网漏洞态势研究2022年度报告》,围绕漏洞监测、漏洞分析与研判、漏洞风险评估与处置等方面,对2022年全年发生的重大安全事件和有现实威胁的关键漏洞进行了盘点和分析。 关键词 漏洞标签、在野利用、补丁修复、漏洞情报深度运营 核心洞见 报告研究发现,目前互联网各个领域
继续阅读CVE-2023-23397:Outlook漏洞PoC
CVE-2023-23397:Outlook漏洞PoC ang010ela 嘶吼专业版 2023-03-20 12:00 俄罗斯黑客利用Outlook漏洞窃取NTLM哈希。 3月14日,微软补丁日修复了一个Outlook安全漏洞,微软对该漏洞的描述中的是:微软Office Outlook中包含一个权限提升漏洞,攻击者利用该漏洞可以发起NTLM(New technology LAN Manager
继续阅读全新Pwn系列课程上线!解锁二进制漏洞挖掘技巧,掌握操作系统底层知识
全新Pwn系列课程上线!解锁二进制漏洞挖掘技巧,掌握操作系统底层知识 看雪课程 看雪学苑 2023-03-19 17:59 你是否曾在参加CTF比赛时被二进制漏洞难倒? 你是否曾在挖掘二进制漏洞时手足无措? 现在,《二进制系列之Pwn篇》课程全新上线,入门到进阶带你全方位学习,掌握二进制漏洞挖掘的技能。 无论你是初学者还是已经有一定基础的学生,该课程都能够帮助你提升二进制漏洞挖掘和CTF比赛能力,
继续阅读谷歌在三星Exynos 芯片集中发现18个0day漏洞
谷歌在三星Exynos 芯片集中发现18个0day漏洞 Sergiu Gatlan 代码卫士 2023-03-17 17:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌零日项目组从三星的Exynos芯片集中发现并报告了18个0day漏洞,这些芯片集用于移动设备、可穿戴设备和车辆中。 这些漏洞由安全研究员在2022年年末至2023年年初期间发现。其中4个漏洞最为严重,可导致从Int
继续阅读