本田电商平台API漏洞暴露客户隐私数据
本田电商平台API漏洞暴露客户隐私数据 安全内参 2023-06-12 18:37 关注我们 带你读懂网络安全 近日,安全研究人员Eaton Zveare发现本田动力设备的电商平台存在API漏洞,攻击者可为任何帐户重置密码,导致本田动力(包括电力、船舶、草坪和花园设备)电子商务平台容易受到任何人未经授权的访问。 本田是一家日本汽车、摩托车和动力设备制造商,受漏洞影响的是动力设备用户,汽车或摩托车的
继续阅读月度归档: 2023 年 6 月
CSOP 干货直通| 微步樊兴华:漏洞情报助力高效漏洞运营
CSOP 干货直通| 微步樊兴华:漏洞情报助力高效漏洞运营 原创 CSOP 2023 微步在线 2023-06-12 18:23 CSOP 2023 · 北京 2023年5月25日,网络安全运营与实战大会北京站顺利落幕,在本次大会上,来自各行业企业的网络安全资深专家进行了主题分享,我们将可供公开的部分主题分享整理成文,让您不在现场亦可身临其境。今天为您带来 微步在线技术合伙人樊兴华的分享《漏洞情报
继续阅读速修复MOVEit Transfer 中的这个新0day!
速修复MOVEit Transfer 中的这个新0day! Ravie Lakshmanan 代码卫士 2023-06-12 18:22 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 MOVEit Transfer 应用所属公司 Progress Software 发布补丁,修复影响该文件传输解决方案的全新 SQL 漏洞,该漏洞可导致敏感信息被盗。 Progress Softwar
继续阅读Fortinet 修复 Fortigate SSL-VPN 设备中严重的 RCE 漏洞
Fortinet 修复 Fortigate SSL-VPN 设备中严重的 RCE 漏洞 Lawrence Abrams 代码卫士 2023-06-12 18:22 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Fortinet 发布新的 Fortigate 固件更新,修复了一个位于 SSL VPN设备中未披露的严重的预认证远程代码执行漏洞。 该修复方案在上周五 FortiOS 固件
继续阅读CVE-2023-27997:Fortinet FortiOS SSL-VPN 远程代码执行漏洞通告
CVE-2023-27997:Fortinet FortiOS SSL-VPN 远程代码执行漏洞通告 原创 360CERT 三六零CERT 2023-06-12 16:58 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-215 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-12 1 漏洞简述 2023年06月12日,360CERT监测发现Forti
继续阅读雷神众测漏洞周报2023.06.05-2023.06.11
雷神众测漏洞周报2023.06.05-2023.06.11 原创 雷神众测 雷神众测 2023-06-12 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Fortinet FortiOS SSL-VPN 远程代码执行漏洞 (CVE-2023-27997) 安全风险通告
Fortinet FortiOS SSL-VPN 远程代码执行漏洞 (CVE-2023-27997) 安全风险通告 奇安信 CERT 2023-06-12 12:09 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiOS SSL-VPN 远程代码执行漏洞 漏洞编号 QVD-2023-13607、CVE-2023-27997 公开时间 2023-06-
继续阅读【技术原创】vRealize Log Insight漏洞调试环境搭建
【技术原创】vRealize Log Insight漏洞调试环境搭建 原创 3gstudent 嘶吼专业版 2023-06-12 12:01 0x00 前言 本文记录从零开始搭建vRealize Log Insight漏洞调试环境的细节。 0x01 简介 本文将要介绍以下内容: vRealize Log Insight安装 vRealize Log Insight漏洞调试环境配置 数据库操作 0x
继续阅读【安全圈】好端端的“驱动神器”,怎就成了安全漏洞?
【安全圈】好端端的“驱动神器”,怎就成了安全漏洞? 安全圈 2023-06-11 19:00 关键词 驱动 如果你是一位PC玩家,你可能知道在装新电脑或进行日常升级和维护操作时,安装和升级各种硬件驱动是必不可少的步骤。 正确和最新版本的驱动通常可以提升硬件在游戏和内容创建软件中的性能,同时更好地适配新版操作系统的相关功能,并提升日常使用的稳定性。相反,过时或错误的驱动可能会影响性能,导致各种错误和
继续阅读CVE复现漏洞精讲-从基础到入门
CVE复现漏洞精讲-从基础到入门 看雪课程 看雪学苑 2023-06-11 17:59 想要成为一名优秀的漏洞挖掘工程师吗? 想要掌握CVE复现能力,提升自己的实战能力吗? 想要深入了解IoT、v8、Windows等多类型漏洞挖掘基础知识和实操吗? 《CVE复现漏洞精讲-从基础到入门》带你走进漏洞挖掘的世界。 如果你想要提升自己的漏洞挖掘能力,买它! 课程简介 本课程属于体系课,分为【初级篇】和【
继续阅读CVE-2022-37969 CLFS 提权漏洞
CVE-2022-37969 CLFS 提权漏洞 hml189 看雪学苑 2023-06-10 18:15 大佬可直接转至https://www.zscaler.com/blogs/security-research/technical-analysis-windows-clfs-zero-day-vulnerability-cve-2022-37969-part 照着文章复现一遍。 通用日志文件
继续阅读用友畅捷通Tplus远程命令执行漏洞
用友畅捷通Tplus远程命令执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-10 13:44 漏洞名称: 用友畅捷通Tplus远程命令执行漏洞 组件名称: 用友畅捷通Tplus 影响范围: 用友畅捷通Tplus 13.0 用友畅捷通Tplus 16.0 漏洞类型: 命令执行 利用条件: 1、用户认证:未知 2、前置条件:未知 3、触发方式:远程 综合评价: <综合评定利
继续阅读GeoServer CQL_FILTER SQL注入漏洞(CVE-2023-25157)
GeoServer CQL_FILTER SQL注入漏洞(CVE-2023-25157) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-10 13:44 漏洞名称: GeoServer CQL_FILTER SQL注入漏洞 组件名称: GeoServer 影响范围: GeoServer < 2.21.4 2.22.0 ≤ GeoServer < 2.22.2 漏洞类型:
继续阅读【已复现】Windows Win32k 权限提升漏洞 (CVE-2023-29336) 安全风险通告
【已复现】Windows Win32k 权限提升漏洞 (CVE-2023-29336) 安全风险通告 原创 QAX CERT 奇安信 CERT 2023-06-09 19:01 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows Win32k 权限提升漏洞 漏洞编号 QVD-2023-11002、CVE-2023-29336 公开时间 2023-05-09 影响对象
继续阅读【已复现】GeoServer SQL注入漏洞(CVE-2023-25157)安全风险通告
【已复现】GeoServer SQL注入漏洞(CVE-2023-25157)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-06-09 19:01 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GeoServer SQL注入漏洞 漏洞编号 QVD-2023-4979、CVE-2023-25157 公开时间 2023-02-21 影响对象数量级 万级 奇安信评
继续阅读漏洞风险提示|畅捷通T+ SQL注入漏洞
漏洞风险提示|畅捷通T+ SQL注入漏洞 长亭安全应急响应 黑伞安全 2023-06-09 18:59 畅捷通T+是一款企业资源规划(ERP)软件,主要功能包括财务管理、销售管理、采购管理以及库存管理等,助力企业实现业务流程自动化。近期,长亭科技监测到微步在线发布一则漏洞通告,声明畅捷通T+发布新版本修复了一个RCE漏洞。长亭应急团队经过漏洞分析后,发现该漏洞类型为SQL注入,可利用其实现RCE。
继续阅读【火绒安全周报】微软因侵犯儿童隐私被罚两千万美元/本田被曝存在API漏洞
【火绒安全周报】微软因侵犯儿童隐私被罚两千万美元/本田被曝存在API漏洞 火绒安全 火绒安全 2023-06-09 18:01 01 微软因侵犯儿童隐私被罚两千万美元 据报道,微软同意支付 2000 万美元罚款并改变儿童数据隐私程序,以解决联邦贸易委员会( FTC )对其违反《儿童在线隐私保护法》( COPPA )的指控。微软被指控在未征得父母同意的情况下,收集并保留了注册 Xbox Live 服
继续阅读尽快更新!VMware修复严重远程代码执行漏洞
尽快更新!VMware修复严重远程代码执行漏洞 看雪学苑 看雪学苑 2023-06-09 17:59 虚拟化巨头VMware于6月9日新发布了多个安全补丁,以解决VMware Aria Operations for Networks中的三个严重漏洞——未经身份验证的攻击者可利用它来远程执行任意代码、访问敏感信息。 VMware Aria Operations for Networks是一个网络可见
继续阅读Chrome v8 Issue 1203122:IC类型混淆漏洞原理
Chrome v8 Issue 1203122:IC类型混淆漏洞原理 苏啊树 看雪学苑 2023-06-09 17:59 问题出现场景: 假设对象 A,其偏移 +10的地方有一个属性 x,这个属性为数字,同时存在一个 B对象,这个对象偏移 +10的地方是一个 Object对象地址。( v8在性能优化的时候会使用对象地址加偏移的方法来直接获取属性,比如在 IC内联缓存,还有 JIT优化以后。) 实际
继续阅读本田电商平台有漏洞,客户和交易商数据被泄露
本田电商平台有漏洞,客户和交易商数据被泄露 Eduard Kovacs 代码卫士 2023-06-09 17:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 研究员披露了从本田设备销售电商平台上发现的多个严重漏洞,它们可被攻击者用于访问客户和交易商信息。 这些漏洞和数据泄露情况是由美国安全研究员 Eaton Zveare 在今年早些时候发现的。他在3月中旬将问题告知本田,后者立
继续阅读思科修复企业协作解决方案中的严重漏洞
思科修复企业协作解决方案中的严重漏洞 Ionut Arghire 代码卫士 2023-06-09 17:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周三,思科宣布修复 Expressway 序列和 TelePresence 视频通信服务器 (VCS) 企业协作和视频通信解决方案中的一个严重漏洞CVE-2023-20105,CVSS 评分为9.6。 该漏洞可导致具有“只读”
继续阅读【漏洞预警】VMware Aria Operations for Networks命令注入漏洞
【漏洞预警】VMware Aria Operations for Networks命令注入漏洞 安识科技 SecPulse安全脉搏 2023-06-09 11:49 1. 通告信息 近日,安识科技 A-Team团队监测到VMware发布安全公告,修复了Aria Operations Networks 6.x中的一个命令注入漏洞(CVE-2023-20887),该漏洞的CVSSv3评分为9.8,对
继续阅读0day通告|畅捷通T+前台远程命令执行漏洞
0day通告|畅捷通T+前台远程命令执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-06-08 20:20 01 漏洞概况**** 畅捷通T+是一款主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。近日,微步在线漏洞团队通过“X漏洞奖励计划”获取到畅捷通T+前台远程命令执行漏洞情报(0day),攻击者可以通过该漏洞执行任意命
继续阅读漏洞风险提示|GeoServer SQL注入漏洞(CVE-2023-25157)
漏洞风险提示|GeoServer SQL注入漏洞(CVE-2023-25157) 长亭安全应急响应 黑伞安全 2023-06-08 19:50 GeoServer是一款开源的地理数据服务器软件,主要用于发布、共享和处理各种地理空间数据。它支持众多的地图和空间数据标准,能够使各种设备通过网络来浏览和使用这些地理信息数据。近期,长亭科技监测到GeoServer发布新版本修复了一个SQL注入漏洞。经过漏
继续阅读【安全圈】本田被曝存在API漏洞,客户数据正处于高风险状态
【安全圈】本田被曝存在API漏洞,客户数据正处于高风险状态 安全圈 2023-06-08 19:01 关键词 系统漏洞 近日,本田被曝存在API漏洞,客户数据正处于高风险状态。由于利用API漏洞可以重置任何帐户的密码,所以本田的电力设备、船舶、草坪和花园电子商务平台等都极易遭到外部人员的入侵。 几个月前,一位化名Eaton Works的安全研究人员发现了本田系统的安全漏洞,他利用该漏洞入侵了本田的
继续阅读新品预告 | 漏洞数量创10年新高,一键屏蔽神器将面世
新品预告 | 漏洞数量创10年新高,一键屏蔽神器将面世 原创 青藤,让云更安全 青藤云安全 2023-06-08 18:30 【文末一键预约直播】据Statista统计,2022年发现了22,514个常见的IT安全漏洞,这是迄今报告的最高年度数字。据SecurityWeek报道,2022年出现了一些高危的零日漏洞,其中微软约占23%,谷歌Chrome占17%,苹果产品(iOS和macOS零日漏洞合
继续阅读VMware 修复 vRealize 网络分析工具中的严重漏洞
VMware 修复 vRealize 网络分析工具中的严重漏洞 Sergiu Gatlan 代码卫士 2023-06-08 17:52 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 VMware 发布了多个补丁,修复了位于 VMware Aria Operations for Networks 中的多个严重和高危漏洞,它们可导致攻击者获得远程执行或访问敏感信息的权限。 VMware
继续阅读CVE-2023-20887:VMware Aria Operations for Networks命令注入漏洞通告
CVE-2023-20887:VMware Aria Operations for Networks命令注入漏洞通告 原创 360CERT 三六零CERT 2023-06-08 16:59 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-207 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-08 1 漏洞简述 2023年06月08日,360CERT监
继续阅读漏洞情报 | Nacos 反序列化漏洞
漏洞情报 | Nacos 反序列化漏洞 斗象智能安全 2023-06-08 16:37 1.1 漏洞概述 近日,斗象科技漏洞情报中心监控到公网公开披露了Nacos 反序列化漏洞,未经身份验证的攻击者可以通过hessian反序列化进行RCE利用。 Nacos是一款开源的分布式服务发现和配置管理平台,用于帮助用户实现动态服务发现、服务配置管理、服务元数据及流量管理等功能。该漏洞仅影响7848端口(默
继续阅读至今未修复的NASA 网站漏洞
至今未修复的NASA 网站漏洞 关键基础设施安全应急响应中心 2023-06-08 15:31 据悉,Cybernews 研究团队独立发现了一个困扰 NASA 天体生物学网站的开放式重定向漏洞。漏洞发现后,研究团队发现一个开放的漏洞赏金计划研究人员已经早在 2023年1月14日就已经发现了它,但该机构没有解决和修复它。 这意味着世界领先的太空研究设施之一,使全球用户至少在 2023年5月之前的几个
继续阅读