【已复现】Nacos 集群Raft反序列化漏洞安全风险通告第二次更新
【已复现】Nacos 集群Raft反序列化漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-06-08 15:13 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Nacos 集群Raft反序列化漏洞 漏洞编号 QVD-2023-13065 公开时间 2023-05-25 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 8.1 威胁类
继续阅读月度归档: 2023 年 6 月
最受渗透测试工程师欢迎的10款漏洞扫描工具(2023版)
最受渗透测试工程师欢迎的10款漏洞扫描工具(2023版) 安全牛 2023-06-08 13:03 漏洞扫描工具是现代企业开展渗透测试服务中必不可少的工具之一,可以帮助渗透测试工程师快速发现被测应用程序、操作系统、计算设备和网络系统中存在的安全风险与漏洞,并根据这些漏洞的危害提出修复建议。常见的漏洞扫描工具包括漏洞发现扫描、全功能扫描和合规性扫描。在实际工作中,渗透测试工程师往往会根据测试项目的需
继续阅读【安全圈】尽快更新!苹果iTunes出现漏洞,威胁Windows电脑安全
【安全圈】尽快更新!苹果iTunes出现漏洞,威胁Windows电脑安全 安全圈 2023-06-07 19:00 关键词 系统漏洞 苹果公司的iTunes在微软Windows系统上使用时存在一个安全漏洞,可能使攻击者劫持受影响设备的操作系统。虽然目前苹果已经打上了补丁,但该漏洞已经存在了六个月之久。 苹果公司于5月23日推出了适用于Windows10和Windows11的iTunes12.12.
继续阅读Nacos 反序列化漏洞通告
Nacos 反序列化漏洞通告 原创 360CERT 三六零CERT 2023-06-07 16:29 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-204 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-07 1 漏洞简述 2023年06月07日,360CERT监测发现Nacos的风险通告,漏洞等级:高危,漏洞评分:8.1。 Nacos 是一个易于构
继续阅读ISRC端午“粽测”,单个漏洞最高奖励可达万元!
ISRC端午“粽测”,单个漏洞最高奖励可达万元! 暗影安全 2023-06-07 15:50
继续阅读腾讯安全威胁情报中心推出2023年5月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年5月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-06-07 15:27 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年5月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读[漏洞分析] 【CVE-2021-3490】eBPF verifier 32 位边界计算错误漏洞分析与利用
[漏洞分析] 【CVE-2021-3490】eBPF verifier 32 位边界计算错误漏洞分析与利用 原创 吾爱pojie 吾爱破解论坛 2023-06-07 12:46 作者论坛账号:arttnba3 0x00. 一切开始之前 CVE-2021-3490 是一个发生在 eBPF verifier 中的漏洞,由于 eBPF verifier 在校验位运算操作( 与、或、异或 )时没有正确地更
继续阅读【漏洞通告】Nacos Raft协议反序列化代码执行漏洞
【漏洞通告】Nacos Raft协议反序列化代码执行漏洞 NS-CERT 绿盟科技CERT 2023-06-07 12:01 通告编号:NS-2023-0023 2023-06-07 TAG: Nacos、Raft、反序列化 漏洞危害: 攻击者利用漏洞可实现代码执行。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测发现到Nacos的Raft协议存在反序列化漏洞。由于Nacos集群对部分J
继续阅读OWASP发布大型语言模型漏洞威胁Top10(草案清单)
OWASP发布大型语言模型漏洞威胁Top10(草案清单) 安全牛 2023-06-07 11:18 基于大型语言模型(LLM)的生成式AI技术应用已经成为当前全球企业普遍关注的热点。作为一种创新技术,企业组织在未来数字化发展中有很多机会应用ChatGPT或类似AI工具。因此,CISO们需要提前做好准备,以避免可能出现的安全隐患和隐私泄露风险。 日前,OWASP(全球开放应用软件安全项目组织)发布了
继续阅读X漏洞奖励计划周年庆 | 一周生日,三周欢庆
X漏洞奖励计划周年庆 | 一周生日,三周欢庆 小嘟 dotNet安全矩阵 2023-06-07 10:37 “ 各位白帽师傅: “X漏洞奖励计划”在各位师傅的支持下已经1岁啦! 为了感谢各位师傅的支持,我们准备了4个活动,与各位师傅一同庆祝1岁生日! 活动时间:6月2日~6月23日 漏洞提交入口:登录X情报社区(x.threatbook.com)- 导航栏“奖励计划” – “漏洞奖励计
继续阅读漏洞风险提示|Nacos Jraft Hessian反序列化漏洞
漏洞风险提示|Nacos Jraft Hessian反序列化漏洞 长亭安全应急响应 黑伞安全 2023-06-07 09:01 Nacos是一个开源的、易于使用的动态服务发现、配置和服务管理平台,适合构建云原生应用。它提供了一种统一的数据管理和服务发现解决方案。近期,长亭科技监测到Nacos发布新版本修复了一个远程代码执行漏洞。经过漏洞分析后,发现该系统应用较为广泛,且漏洞影响范围较大。应急团队根
继续阅读【漏洞通告】Nacos 集群Raft反序列化漏洞
【漏洞通告】Nacos 集群Raft反序列化漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-06 20:39 漏洞名称: Nacos 集群Raft反序列化漏洞 组件名称: Alibaba Nacos 影响范围: 1.4.0 ≤ Alibaba Nacos < 1.4.6 2.0.0 ≤ Alibaba Nacos < 2.2.3 漏洞类型: 反序列化漏洞 利用条件: 1
继续阅读【漏洞通告】Google Chrome 类型混淆漏洞
【漏洞通告】Google Chrome 类型混淆漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-06 20:39 漏洞名称: Google Chrome类型混淆漏洞 组件名称: Google Chrome 影响范围: Google Chrome For Windows<114.0.5735.110 Google Chrome For Linux or Mac<114.0
继续阅读Azure API 管理服务上的经过身份验证的 SSRF 漏洞
Azure API 管理服务上的经过身份验证的 SSRF 漏洞 枇杷五星加强版 黑伞安全 2023-06-06 18:30 我们描述了我们如何发现 Azure API 管理服务上的一个重要的服务器端请求伪造 (SSRF) 漏洞,允许任何经过身份验证的用户请求滥用服务器的任何 URL。 我们于 11 月 12 日向 Microsoft 报告了此漏洞,并于 2022 年 11 月 16 日修复了该漏洞
继续阅读上周关注度较高的产品安全漏洞(20230529-20230604)
上周关注度较高的产品安全漏洞(20230529-20230604) 国家互联网应急中心CNCERT 2023-06-06 15:50 一、境外厂商产品漏洞 1、Google Android权限提升漏洞(CNVD-2023-41886)**** Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞源于S
继续阅读CVE-2023-3079:Google V8类型混淆漏洞通告
CVE-2023-3079:Google V8类型混淆漏洞通告 原创 360CERT 三六零CERT 2023-06-06 15:30 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-201 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-06 1 漏洞简述 2023年06月06日,360CERT监测发现Google官方发布了Google Chrome
继续阅读MOVEit Transfer 漏洞似乎被广泛利用
MOVEit Transfer 漏洞似乎被广泛利用 关键基础设施安全应急响应中心 2023-06-06 15:29 Progress Software 已在其文件传输软件 MOVEit Transfer 中发现一个漏洞,该漏洞可能导致权限提升和潜在的未经授权访问环境,该公司在一份安全公告中表示。 在 MOVEit Transfer Web 应用程序中发现了一个 SQL 注入漏洞,可能允许未经身份
继续阅读Nacos 集群Raft反序列化漏洞安全风险通告
Nacos 集群Raft反序列化漏洞安全风险通告 奇安信 CERT 2023-06-06 11:57 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Nacos 集群Raft反序列化漏洞 漏洞编号 QVD-2023-13065 公开时间 2023-05-25 影响数量级 万级 漏洞等级 高危 漏洞评分 8.1 威胁类型 代码执行 利用可能性 中 POC状态 未发现 在野利用状态
继续阅读【安全圈】Zyxel 防火墙曝出高危安全漏洞,现已修复!
【安全圈】Zyxel 防火墙曝出高危安全漏洞,现已修复! 安全圈 2023-06-05 19:01 关键词 安全漏洞 日前,Zyxel发布了一份指南,旨在保护防火墙和VPN设备免受利用CVE-2023-28771、CVE-2023-33009和CVE-2023-33010漏洞的持续攻击。 指南中提到,该公司一直在通过多种渠道敦促用户安装补丁,比如已经给注册用户和资讯订阅者发送了多份安全资讯,通过本
继续阅读插件分享 | Headshot ⼀击即中,对指定URL进行漏洞批量扫描
插件分享 | Headshot ⼀击即中,对指定URL进行漏洞批量扫描 原创 kv2 GobySec 2023-06-05 18:14 G o b y 社 区 第 2 4 篇 插 件 分 享 文 章 全 文 共 : 2445 字 预 计 阅 读 时 间 : 7 分 钟 在⼀次真实的攻防场景中,我们发现了⼀个存在 Struts2 漏洞的地址,这个地址在我们通过 Fuzz 获得的⼆级⽬录下,这使得 G
继续阅读Azure Functions 上未经身份验证的 SSRF 漏洞
Azure Functions 上未经身份验证的 SSRF 漏洞 枇杷五星加强版 黑伞安全 2023-06-05 18:02 关于 Azure 函数 Azure Functions 是一种按需提供的云服务,可提供运行应用程序(无服务器计算)所需的所有不断更新的基础架构和资源。 您可以使用 Functions 构建 Web API、响应数据库更改、处理 IoT 流、管理消息队列等。 我们如何发现 S
继续阅读Splunk 企业版修复多个高危漏洞
Splunk 企业版修复多个高危漏洞 Ionut Arghire 代码卫士 2023-06-05 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 上周四,Splunk 公司发布 Splunk 企业版安全更新,修复了多个高危漏洞,其中一些影响该产品使用的第三方程序包。 其中最严重的漏洞是权限提升漏洞CVE-2023-32707,可导致具有 ‘edit_user’能力的低权限
继续阅读MOVEit 文件传输软件0day被用于窃取数据
MOVEit 文件传输软件0day被用于窃取数据 Eduard Kovacs 代码卫士 2023-06-05 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 5月31日,Progress Software 提醒称 MOVEit Transfer 管理文件传输 (MFT) 软件受一个严重的SQL注入漏洞影响,可导致未认证攻击者访问 MOVEit Transfer 数据库。
继续阅读CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(四)
CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(四) 原创 本刊编辑部 中国信息安全 2023-06-05 17:36 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 编者按 国家信息安全漏洞库(CNNVD)漏洞奖励计划主要面向单位、团队、个人等社会漏洞研究和发现者。该计划以公平公正、科学择优和安全保密的原则对其发现报送的符合条件的高危通用型漏洞
继续阅读雷神众测漏洞周报2023.05.29-2023.06.04
雷神众测漏洞周报2023.05.29-2023.06.04 雷神众测 雷神众测 2023-06-05 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读API NEWS | Money Lover爆出潜在API漏洞
API NEWS | Money Lover爆出潜在API漏洞 星阑科技 2023-06-05 14:38 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – Money Lover爆出潜在API漏洞 丰田管理运营平台的API漏洞 一篇关于标准测试遗漏的
继续阅读NIST发布《联邦机构漏洞披露指南建议》概述
NIST发布《联邦机构漏洞披露指南建议》概述 安全内参 2023-06-05 11:04 “ 天极按 近日 ,美国国家标准与技术研究院 发布 《 对联邦漏洞披露指南的建议 》。 本文件就建立联邦漏洞披露框架、正确处理漏洞报告以及沟通漏洞的缓解和 /或修复提出了指导建议。该框架在提供联邦监督的同时允许地方解决支持,并应适用于联邦控制下的所有软件、硬件和数字服务。 美国政府漏洞披露 每年都有数以千计的
继续阅读如何有效遏制针对通达OA漏洞利用活动
如何有效遏制针对通达OA漏洞利用活动 原创 debugeeker 奶牛安全 2023-06-05 10:17 前言 假设你是网络安全建设或防御负责人,相信针对通达 OA 的渗透测试一定是使你提心吊胆、夜不能寐且辗转反侧的原因之一。 在此篇文章中,我们将给出可以遏制针对通达 OA 进行漏洞利用的策略,及时发现并降低它可能给终端安全带来的风险。 关于通达 OA 通达 OA(Office Anywher
继续阅读直播预告 | 系统0day安全-syzkaller 之linux内核蓝牙协议fuzz
直播预告 | 系统0day安全-syzkaller 之linux内核蓝牙协议fuzz 小雪 看雪学苑 2023-06-03 17:59 快来预约 系统0day安全:syzkaller 之linux内核蓝牙协议fuzz *声明: 针对未购买该课程的用户,观看视频号完整直播需付费 时间:6月4日(周日)14:00 未完待续 ······ 球分享 球点赞 球在看
继续阅读RocketMQ 远程代码注入漏洞 CVE-2023-33246
RocketMQ 远程代码注入漏洞 CVE-2023-33246 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-03 11:31 漏洞名称: RocketMQ 远程代码注入漏洞 (CVE-2023-33246) 组件名称: RocketMQ 影响范围: 5.x≤RocketMQ≤5.1.04.x≤RocketMQ≤4.9.5 漏洞类型: 远程代码执行 利用条件: 1、用户认证:否 2、
继续阅读