12 个漏洞!与勒索软件有关联
12 个漏洞!与勒索软件有关联 网络安全应急技术国家工程中心 2023-05-31 15:38 据 Ivanti 称,2023 年 3 月,报告的违规总数高于前三年报告的总和。 勒索软 件组织不断将漏洞武器化,并将其添加到他们的武器库中,以对受害者发动破坏性和破坏性攻击。 2023 年第一季度,研究人员发现了 12 个与勒索软件相关的新漏洞。他们还更新了正在跟踪的与勒索软件相关的关键指标,为企业保
继续阅读月度归档: 2023 年 5 月
漏洞风险提示|大华智慧园区综合管理平台远程代码执行漏洞
漏洞风险提示|大华智慧园区综合管理平台远程代码执行漏洞 长亭安全应急响应中心 2023-05-31 15:00 长亭漏洞风险提示 大华智慧园区综合管理平台 远程代码执行漏洞 “大华智慧园区综合管理平台”是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。近日,微步在线发布安全通告文章,声明
继续阅读API NEWS | 三个Argo CD API漏洞
API NEWS | 三个Argo CD API漏洞 星阑科技 2023-05-31 09:53 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – 关于三个Argo CD API漏洞的文章 Gartner对API安全的看法 分布式标识是现代API安全的
继续阅读针对安卓应用,谷歌启动新的漏洞奖励计划
针对安卓应用,谷歌启动新的漏洞奖励计划 关键基础设施安全应急响应中心 2023-05-30 15:39 谷歌针对安卓应用启动新的漏洞奖励计划。 近日,谷歌启动针对其安卓应用的漏洞奖励计划——Mobile Vulnerability Rewards Program (Mobile VRP),对发现谷歌公司安卓应用中的安全漏洞的研究人员进行奖励。 Mobile VRP的目标就是加快发现谷歌开发和维护
继续阅读上周关注度较高的产品安全漏洞(20230522-20230528)
上周关注度较高的产品安全漏洞(20230522-20230528) 国家互联网应急中心CNCERT 2023-05-30 15:39 一、境外厂商产品漏洞 1、Adobe Substance 3D Painter越界读取漏洞(CNVD-2023-41408) Adobe Substance 3D Painter是美国奥多比(Adobe)公司的一个3D纹理处理应用程序。Adobe Substance
继续阅读开源平台Expo Framework 曝出高危漏洞,攻击者可劫持海量账户
开源平台Expo Framework 曝出高危漏洞,攻击者可劫持海量账户 安全客 2023-05-30 11:52 近日,安全专家披露,Expo 框架中存在一个高危的OAuth安全漏洞( CVE-2023-28131 ,CVSS评分为9.6),可被攻击者利用来劫持窃取各类在线服务中的用户数据。 使用 Expo 的站点和应用程序如果使用的是 Google 和 Facebook 等第三方提供商为单点登
继续阅读云安全案例16: Wiz在黑帽子2021上展示亚马逊云跨租户漏洞
云安全案例16: Wiz在黑帽子2021上展示亚马逊云跨租户漏洞 原创 debugeeker 奶牛安全 2023-05-30 08:00 去年 11 月,Wiz机构 枚举了亚马逊云中允许从其他账户访问的所有服务,检查是否有任何服务可能无意中暴露客户,并在不同的亚马逊云服务中发现了3个漏洞,允许任何人读取或写入其他亚马逊云客户的账户。 亚马逊云 账户的隔离程度如何? 因此,去年 11 月,我们的研究
继续阅读【安全圈】可让攻击者在有针对性的攻击中绕过保护,三星漏洞正在被黑客利用!
【安全圈】可让攻击者在有针对性的攻击中绕过保护,三星漏洞正在被黑客利用! 安全圈 2023-05-29 19:00 关键词 黑客攻击 CISA 最近发布了一份警告,关于影响三星设备的安全问题,这个问题可以让攻击者绕过 Android 的地址空间布局随机化 (ASLR) 保护,在有针对性的攻击中绕过保护。 ASLR 是 Android 中的一项重要安全功能,它确保在设备内存中随机化加载应用程序和操作
继续阅读利用5个0day的安卓恶意软件 Predator 内部工作原理曝光
利用5个0day的安卓恶意软件 Predator 内部工作原理曝光 DAN GOODIN 代码卫士 2023-05-29 17:50 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 思科 Talos 安全团队的研究人员发现,销往全球各国政府的智能手机恶意软件Predator可秘密记录语音通话和附近音频、从各种应用如 Signal 和 WhatsApp 中收集数据,并隐藏应用或阻止它们
继续阅读雷神众测漏洞周报2023.05.22-2023.05.28
雷神众测漏洞周报2023.05.22-2023.05.28 原创 雷神众测 雷神众测 2023-05-29 15:00 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读OPC UA .NET Standard Stack 资源耗尽漏洞分析-05-26
OPC UA .NET Standard Stack 资源耗尽漏洞分析-05-26 启明星辰ADLab 关键基础设施安全应急响应中心 2023-05-29 14:37 作者 | 启明星辰ADLab 漏洞概述 OPC UA .NET Standard Stack是OPC Foundation(OPC基金会)官方维护的OPC UA协议栈的参考实现。该协议栈以.NET语言开发,包含了可移植的OPC UA
继续阅读原创 | OPC UA .NET Standard Stack 资源耗尽漏洞分析-05-26
原创 | OPC UA .NET Standard Stack 资源耗尽漏洞分析-05-26 原创 启明星辰ADLab 网络安全应急技术国家工程中心 2023-05-29 14:35 作者 | 启明星辰ADLab 漏洞概述 OPC UA .NET Standard Stack是OPC Foundation(OPC基金会)官方维护的OPC UA协议栈的参考实现。该协议栈以.NET语言开发,包含了可移
继续阅读三星漏洞正在被黑客利用
三星漏洞正在被黑客利用 walker 嘶吼专业版 2023-05-29 12:00 CISA 最近发布了一份警告,关于影响三星设备的安全问题,这个问题可以让攻击者绕过 Android 的地址空间布局随机化 (ASLR) 保护,在有针对性的攻击中绕过保护。 ASLR 是 Android 中的一项重要安全功能,它确保在设备内存中随机化加载应用程序和操作系统组件的重要内存地址。这样可以确保应用程序和操作
继续阅读【安全圈】Expo框架出现能劫持账号的OAuth重大漏洞
【安全圈】Expo框架出现能劫持账号的OAuth重大漏洞 安全圈 2023-05-28 19:01 关键词 漏洞 安全研究人员发现,用于数百线上服务的知名开发框架Expo出现可劫持账号的重大漏洞。 Expo框架主要是用于开发移动应用程序,提供一组工具、函数库及服务,让开发人员得以利用单一程序代码基础(codebase)开发iOS、Android及Web应用程序。它其中一项服务是OAuth,让开发人
继续阅读高危漏洞占比上升4%,《2022漏洞威胁分析报告》复盘三大场景漏洞趋势
高危漏洞占比上升4%,《2022漏洞威胁分析报告》复盘三大场景漏洞趋势 智安全 深信服千里目安全技术中心 2023-05-26 20:50 随着2022年度国家信息安全漏洞库(CNNVD)工作总结暨优秀支撑单位表彰大会的召开,深信服凭借卓越的漏洞挖掘和响应处置能力揽获四项荣誉。(《笃行致远,深信服揽获CNNVD多项大奖!》 点击可查看 ) 在漏洞挖掘、利用原理及利用技术分析上,深信服早已有多年沉淀
继续阅读别急着修!GitLab满分漏洞(CVE-2023-2825)实际几乎无法利用
别急着修!GitLab满分漏洞(CVE-2023-2825)实际几乎无法利用 原创 微步情报局 微步在线研究响应中心 2023-05-26 18:41 01 漏洞概况**** GitLab是美国GitLab公司的一个开源的端到端软件开发平台,具有内置的版本控制、问题跟踪、代码审查、CI/CD(持续集成和持续交付)等功能。近日,微步在线漏洞团队监测到GitLab发布了安全更新,更新了一处任意文件读取
继续阅读合勤科技防火墙和VPN设备中存在多个严重漏洞
合勤科技防火墙和VPN设备中存在多个严重漏洞 Bill Toulas 代码卫士 2023-05-26 17:38 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 合勤科技公司提醒用户称,多款防火墙和VPN产品中存在两个严重漏洞,攻击者无需认证即可利用。 这两个漏洞都是缓冲区溢出漏洞,可导致拒绝服务和远程代码执行后果。合勤科技指出,“合勤科技已发布补丁,修复受多个缓冲区溢出漏洞影响的固
继续阅读D-Link 修复D-Link D-View 8软件中的认证绕过和 RCE 漏洞
D-Link 修复D-Link D-View 8软件中的认证绕过和 RCE 漏洞 Bill Toulas 代码卫士 2023-05-26 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 D-Link 修复了位于 D-View 8 网络管理套件中的两个严重漏洞,它们可导致远程攻击者绕过认证并执行任意代码。 D-View 是由D-Link 公司开发的网络管理套件,用于规模不一的企业中
继续阅读泛微e-cology9 changeUserInfo信息泄漏及ofsLogin任意用户登录漏洞分析
泛微e-cology9 changeUserInfo信息泄漏及ofsLogin任意用户登录漏洞分析 原创 小透明 雷神众测 2023-05-26 16:25 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版
继续阅读漏洞情报 | GitLab 路径遍历漏洞(CVE-2023-2825)
漏洞情报 | GitLab 路径遍历漏洞(CVE-2023-2825) 斗象智能安全 2023-05-26 16:06 1.1 漏洞概述**** 近日,斗象科技漏洞情报中心监控到公网公开披露了GitLab存在路径遍历漏洞,未经身份验证的攻击者可以使用路径遍历漏洞读取服务器上的任意文件。 GitLab是由GitLab公司开发的、基于Git的集成软件开发平台。另外,GitLab且具有wiki以及在线
继续阅读ChatGPT 和 Bing 的核心安全漏洞
ChatGPT 和 Bing 的核心安全漏洞 网络安全应急技术国家工程中心 2023-05-26 14:54 当微软关闭其 Bing 聊天机器人的混乱自我时, 黑暗Sydney个性的粉丝为它的损失而哀悼。但是一个网站复活了聊天机器人的一个版本以及随之而来的奇特行为。 Bring Sydney Back 由 Cristiano Giardina 创建,他是一位企业家,一直在尝试让生成式 AI 工具做
继续阅读CVE-2022-24521:Windows CLFS 本地提权漏洞
CVE-2022-24521:Windows CLFS 本地提权漏洞 网络安全应急技术国家工程中心 2023-05-26 14:54 CLFS是Microsoft在Windows Vista和Windows Server 2003 R2中为实现高性能而引入的日志框架,它为应用程序提供API函数来创建、存储和读取日志数据。利用此漏洞可以在计算机上执行任意代码,绕过安全限制并获得系统管理员权限。 Pa
继续阅读【安全头条】网络安全厂商ESG遭遇0day漏洞攻击
【安全头条】网络安全厂商ESG遭遇0day漏洞攻击 安全客 2023-05-26 11:38 第513期 你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、Dark Frost 僵尸网络对游戏行业发起大规模DDoS 攻击 近日,安全专家发
继续阅读GitLab呼吁:尽快修补高危漏洞CVE-2023-2825!
GitLab呼吁:尽快修补高危漏洞CVE-2023-2825! 安全客 2023-05-26 11:38 近日,GitLab 发布了紧急安全更新,版本 16.0.1,以解决最大严重性(CVSS v3.1 分数:10.0)路径遍历缺陷,跟踪为 CVE-2023-2825。 GitLab 是一个基于 Web 的 Git 存储库,面向需要远程管理其代码的开发团队,拥有大约 3000 万注册用户和 100
继续阅读Gitlab任意文件读取漏洞CVE-2023-2825
Gitlab任意文件读取漏洞CVE-2023-2825 深瞳漏洞实验室 深信服千里目安全技术中心 2023-05-25 20:46 漏洞名称: Gitlab任意文件读取漏洞 组件名称: Gitlab 影响范围: GitLab CE 16.0.0 GitLab EE 16.0.0 漏洞类型: 任意文件读取 利用条件: 1、用户认证:是 2、前置条件:嵌套在至少五个组中的公共项目中存在附件 3、触发方
继续阅读使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管
使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管 Eduard Kovacs 代码卫士 2023-05-25 17:44 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 API安全公司 Salt Security 指出,广为使用的应用开发框架 Expo 中存在多个与 OAuth 相关的漏洞,可被用于控制用户账户。 Expo 是一款开源平台,用于为移动设备和 web 开
继续阅读GitLab强烈建议尽快修复 CVSS 满分漏洞
GitLab强烈建议尽快修复 CVSS 满分漏洞 Bill Toulas 代码卫士 2023-05-25 17:44 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab 发布紧急安全更新 16.0.1版本,修复CVSS评分为10分的路径遍历漏洞CVE-2023-2825。 GitlAB 是基于 web 的 Git 仓库,为需要远程管理代码的开发团队服务,目前已拥有约3000万名已注
继续阅读Barracuda 邮件网关遭 0day 漏洞利用攻击
Barracuda 邮件网关遭 0day 漏洞利用攻击 Sergiu Gatlan 代码卫士 2023-05-25 17:44 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 邮件和网络安全解决方案公司 Barracuda 提醒客户称,一些邮件安全网关 (ESG) 设备上周遭攻击,目前用于攻击的 0day 漏洞已修复。 5月19日,邮件附件扫描模块中出现一个漏洞,Barracuda
继续阅读谷歌为其Android应用程序推出新的漏洞赏金计划
谷歌为其Android应用程序推出新的漏洞赏金计划 网络安全应急技术国家工程中心 2023-05-25 15:46 谷歌宣布了一项新的漏洞赏金计划,名为Mobile VRP(漏洞奖励计划),该计划涵盖其移动应用程序,用于报告谷歌开发或维护的第一方安卓应用程序的漏洞。 只有以下列表中的开发者发布的应用或一级列表中的应用(谷歌的Play服务、AGSA、Chrome、云、Gmail和Chrome远程桌面
继续阅读“粽”享好礼 | 端午特辑 – 通用型0D漏洞提交学习计划
“粽”享好礼 | 端午特辑 – 通用型0D漏洞提交学习计划 360漏洞云 2023-05-25 14:04 DRGON BOAT FESTIVAL 午 端 0D提交 “粽”享好礼 漏洞云推出端午新玩法 粽情盛夏 端午安康 DRGON BOAT FESTIVAL DRGON BOAT FESTIVAL 活动介绍 “端午临中夏,时清日复长。” 炎炎夏日,我们共同举杯。 “重五山村好,榴
继续阅读