月度归档: 2023 年 6 月

CVE-2023-22809 sudo提权漏洞

发布于 作者:

CVE-2023-22809 sudo提权漏洞 CatF1y 看雪学苑 2023-06-02 17:59 漏洞简介:Sudo中的sudoedit对处理用户提供的环境变量(如SUDO_EDITOR、VISUAL和EDITOR)中传递的额外参数存在缺陷。当用户指定的编辑器包含绕过sudoers策略的“–”参数时,拥有sudoedit访问权限的本地攻击者可通过将任意条目附加到要处理的文件列表中,最终在目

继续阅读

合勤科技修复NAS 设备中的高危漏洞

发布于 作者:

合勤科技修复NAS 设备中的高危漏洞 Helga Labus 代码卫士 2023-06-02 17:37 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 合勤科技 (Zyxel) 修复了家庭用户所使用的 NAS 设备中的一个高危认证命令注入漏洞 (CVE-2023-27988)。 漏洞简述 该漏洞位于设备的 web 管理接口中。 合勤科技证实称,“具有管理员权限的认证攻击者可利用该漏

继续阅读

WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞

发布于 作者:

WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞 Ravie Lakshmanan 代码卫士 2023-06-02 17:37 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 WordPress 发布自动更新,修复了位于安装在500多万个网站上的 Jetpack 插件中的一个严重漏洞。 该漏洞是在一次内部安全审计中发现的,影响2012年11月发布的 Jet

继续阅读

梭子鱼邮件安全设备零日漏洞被利用长达七个月

发布于 作者:

梭子鱼邮件安全设备零日漏洞被利用长达七个月 安全内参 2023-06-02 15:56 关注我们 带你读懂网络安全 网络和电子邮件安全公司梭子鱼(Barracuda Networks)本周三透露,其10天前修补的零日漏洞已被利用至少七个月,攻击者利用该漏洞在梭子鱼的大型企业客户的网络中投放恶意软件并窃取数据。 梭子鱼于5月18日收到邮件安全网关(ESG)设备可疑流量的警报,一天后发现该零日漏洞并聘

继续阅读

技嘉曝“类后门”安全漏洞,影响约 700 万台设备

发布于 作者:

技嘉曝“类后门”安全漏洞,影响约 700 万台设备 网络安全应急技术国家工程中心 2023-06-02 15:31 The Hacker News 网站披露, Eclypsium 网络安全研究员发现技嘉售出的 271 款,近 700 万片主板中存在”类似后门的“安全漏洞。设备的 UEFI 固件中“潜伏”一个 Windows 可执行文件,并以不安全的格式检索更新,以此触发隐藏的更新程序。 Eclyp

继续阅读

【安全圈】技嘉曝“类后门”安全漏洞,影响约 700 万台设备

发布于 作者:

【安全圈】技嘉曝“类后门”安全漏洞,影响约 700 万台设备 安全圈 2023-06-01 19:01 关键词 安全漏洞 The Hacker News 网站披露, Eclypsium 网络安全研究员发现技嘉售出的 271 款,近 700 万片主板中存在”类似后门的“安全漏洞。设备的 UEFI 固件中“潜伏”一个 Windows 可执行文件,并以不安全的格式检索更新,以此触发隐藏的更新程序。Ecl

继续阅读

速修!Apache RocketMQ 曝 RCE 漏洞

发布于 作者:

速修!Apache RocketMQ 曝 RCE 漏洞 原创 微步情报局 微步在线研究响应中心 2023-06-01 18:48 01 漏洞概况**** Apache RocketMQ是一款使用广泛的分布式消息中间件,既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。近日,微步漏洞团队监测到Apache RocketMQ 远程命令执行

继续阅读

Chrome 114 发布18个漏洞补丁

发布于 作者:

Chrome 114 发布18个漏洞补丁 Ionut Arghire 代码卫士 2023-06-01 17:44 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周,谷歌发布 Chrome 114,共修复18个漏洞,其中13个由外部安全研究员报告。 在这些由外部报送的漏洞中,8个属于“高危”级别,其中6个是内存安全漏洞。 从所颁发的漏洞赏金来看,最重要的漏洞是CVE-2023-29

继续阅读

CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(二)

发布于 作者:

CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(二) 原创 本刊编辑部 中国信息安全 2023-06-01 16:12 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 编者按 国家信息安全漏洞库(CNNVD)漏洞奖励计划主要面向单位、团队、个人等社会漏洞研究和发现者。该计划以公平公正、科学择优和安全保密的原则对其发现报送的符合条件的高危通用型漏洞

继续阅读

黑客利用 cookie 插件漏洞攻击 150 万个 WordPress 网站

发布于 作者:

黑客利用 cookie 插件漏洞攻击 150 万个 WordPress 网站 网络安全应急技术国家工程中心 2023-06-01 14:41 持续的攻击针对名为 Beautiful Cookie Consent Banner 的 WordPress cookie 同意插件中的未经身份验证的存储跨站点脚本 (XSS) 漏洞,该插件具有超过 40,000 个活动安装。 在 XSS 攻击中,威胁参与者将

继续阅读

【漏洞预警】WordPress Gravity Forms PHP对象注入漏洞

发布于 作者:

【漏洞预警】WordPress Gravity Forms PHP对象注入漏洞 SecPulse安全脉搏 2023-06-01 11:10 1. 通告信息 近日,安识科技 A-Team团队监测到Gravity Forms 插件中被披露存在PHP 对象注入漏洞(CVE-2023-28782),目前该漏洞的细节已经公开披露。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以

继续阅读

【安全圈】微软发现 macOS 漏洞可让黑客访问用户私人数据

发布于 作者:

【安全圈】微软发现 macOS 漏洞可让黑客访问用户私人数据 安全圈 2023-05-31 19:01 关键词 恶意软件 据BleepingComputer消息,苹果最近解决了一个由微软发现的macOS系统漏洞,该漏洞允许拥有 root 权限的攻击者绕过系统完整性保护 (SIP)以安装不可删除的恶意软件,并通过规避透明度同意和控制 (TCC) 安全检查来访问受害者的私人数据。 该漏洞被称为Migr

继续阅读

黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备

发布于 作者:

黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备 Zeljka Zorz 代码卫士 2023-05-31 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Barracuda 公司表示,黑客利用0day (CVE-2023-2868) 攻陷某些客户的 ESG 设备,并部署三种恶意软件和数据提取能力。该公司并未说明受影响组织机构的数量,但证实称,

继续阅读

这个Sonos One 扬声器漏洞价值10.5万美元

发布于 作者:

这个Sonos One 扬声器漏洞价值10.5万美元 Ravie Lakshmanan 代码卫士 2023-05-31 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 上周,ZDI发布报告指出,Sonos One 无线扬声器中存在多个漏洞,可导致信息泄露和远程代码执行后果。 这些漏洞已经由Qrious Secure、STAR Labs 和 DEVCORE 三家公司的研究员

继续阅读

微软发现绕过苹果 SIP 根限制的 macOS 漏洞

发布于 作者:

微软发现绕过苹果 SIP 根限制的 macOS 漏洞 Sergiu Gatlan 代码卫士 2023-05-31 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 苹果最近修复了一个漏洞,可导致具有 root 权限的攻击者绕过系统完整性防护 (SIP),安装“无法删除的”恶意软件并绕过透明度同意和管控 (TCC) 安全检查访问受害者的私密数据。 该漏洞的编号是CVE-202

继续阅读

【已复现】Apache RocketMQ 远程代码执行漏洞(CVE-2023-33246)安全风险通告

发布于 作者:

【已复现】Apache RocketMQ 远程代码执行漏洞(CVE-2023-33246)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-05-31 16:57 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 RocketMQ是阿里巴巴在2012年开发的分布式消息中间件,专为万亿级超大规模的消息处理而设计,具有高吞吐量、低延迟、海

继续阅读