关于libwebp开源库存在远程代码执行漏洞的安全公告
关于libwebp开源库存在远程代码执行漏洞的安全公告 网络安全应急技术国家工程中心 2023-09-29 11:08 安全公告编号:CNTA-2023-0016 2023年9月27日,国家信息安全漏洞共享平台(CNVD)收录了libwebp开源库远程代码执行漏洞( CNVD-2023-73247 ,对应CVE-2023-5129、CVE-2023-4863)。攻击者利用该漏洞可以在目标主机设备执
继续阅读月度归档: 2023 年 9 月
CNCERT:关于libwebp开源库存在远程代码执行漏洞的安全公告
CNCERT:关于libwebp开源库存在远程代码执行漏洞的安全公告 安全内参 2023-09-28 19:58 安全公告编号:CNTA-2023-0016 2023年9月27日,国家信息安全漏洞共享平台(CNVD)收录了libwebp开源库远程代码执行漏洞( CNVD-2023-73247 ,对应CVE-2023-5129、CVE-2023-4863)。攻击者利用该漏洞可以在目标主机设备执行任意
继续阅读风险提示|JumpServer 密码重置漏洞(CVE-2023-42820)
风险提示|JumpServer 密码重置漏洞(CVE-2023-42820) 长亭安全应急响应中心 2023-09-28 18:29 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。近期,长亭科技监测到JumpServer官方发布了新版本修复了一处重置密码验证码被预测导致账号劫持漏洞(CVE-2023-42820)。长亭应急团队经过分析后发现该漏洞是利用相关
继续阅读【已复现】Microsoft 流式处理服务特权提升漏洞(CVE-2023-29360)安全风险通告
【已复现】Microsoft 流式处理服务特权提升漏洞(CVE-2023-29360)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-09-28 18:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Microsoft 流式处理服务特权提升漏洞 漏洞编号 QVD-2023-12180、CVE-2023-33246 公开时间 2023-06-13 影响对象
继续阅读【已复现】Google libwebp 远程代码执行漏洞(CVE-2023-4863)安全风险通告第二次更新
【已复现】Google libwebp 远程代码执行漏洞(CVE-2023-4863)安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-09-28 18:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google libwebp 远程代码执行漏洞 漏洞编号 QVD-2023-21923、CVE-2023-4863 公开时间 2023-09-11
继续阅读Google Chrome libvpx 堆缓冲区溢出漏洞(CVE-2023-5217)安全风险通告
Google Chrome libvpx 堆缓冲区溢出漏洞(CVE-2023-5217)安全风险通告 奇安信 CERT 2023-09-28 18:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome libvpx 堆缓冲区溢出漏洞 漏洞编号 QVD-2023-23147、CVE-2023-5217 公开时间 2023-09-28 影响对象数量级 千
继续阅读libwebp图像库漏洞已在攻击中被利用,CVSS评级满分
libwebp图像库漏洞已在攻击中被利用,CVSS评级满分 看雪学苑 看雪学苑 2023-09-28 17:59 近日,Google为libwebp安全漏洞分配了一个新的CVE ID(CVE-2023-5129),该漏洞获得了最高的10.0严重性评级,可能造成严重后果,如崩溃、任意代码执行以及未经授权访问敏感信息。 起初,谷歌将此漏洞披露为Chrome漏洞,编号为CVE-2023-4863,涉及W
继续阅读MOVEit漏洞受害组织总数超过2000个
MOVEit漏洞受害组织总数超过2000个 网络安全应急技术国家工程中心 2023-09-28 16:12 根据Emsisoft本周发布的最新统计,勒索组织Cl0p利用MOVEit漏洞攻击的组织数量已超过2000个,受影响的人数超过6000万。该数据与IT市场研究公司KonBriefingResearch9月26日最新公布的数据(2040家受害组织)基本一致: Emsisoft的研究人员表示,受害
继续阅读又一个基础组件满分漏洞曝光!曾因披露不当引发全球安全社区混乱
又一个基础组件满分漏洞曝光!曾因披露不当引发全球安全社区混乱 关键基础设施安全应急响应中心 2023-09-28 16:04 据不完全统计,使用libwebp组件的下游软件可能超过百万款,或将使其成为下一个Log4Shell漏洞。 9月27日消息,谷歌为近期热议的libwebp漏洞申请了独立漏洞编号CVE-2023-5129,终结了安全社区 的混乱讨论。 该漏洞此前曾被攻击者利用发动零日攻击,并在
继续阅读CVE-2023-5217:Google Chrome libvpx堆缓冲区溢出漏洞通告
CVE-2023-5217:Google Chrome libvpx堆缓冲区溢出漏洞通告 原创 360CERT 三六零CERT 2023-09-28 15:36 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-438 报告来源:360CERT 报告作者:360CERT 更新日期:2023-09-28 1 漏洞简述 2023年09月28日,360CERT监测发现Google发布了Ch
继续阅读谷歌紧急修复已遭活跃利用的新 0day
谷歌紧急修复已遭活跃利用的新 0day Sergiu Gatlan 代码卫士 2023-09-28 13:25 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 谷歌今天紧急修复了2023年以来第五个已遭利用的新 0day (CVE-2023-5217)。 谷歌发布安全公告指出,“谷歌发现CVE-2023-5217的一个利用已在野出现。”该漏洞已在Google Chrome 117.0
继续阅读一次绕过防火墙获取RCE以及提权到root权限的渗透过程
一次绕过防火墙获取RCE以及提权到root权限的渗透过程 迪哥讲事 2023-09-28 12:23 本文是关于 Apache struts2 CVE-2013-2251是由于导致执行远程命令的影响而被高度利用的漏洞。简而言之, 通过操纵以“action:”/”redirect:”/”redirectAction:”为前缀的参数引入的漏洞,允许在使用<Struts 2.3.15作为框架的J
继续阅读放假通知|360漏洞云祝您双节快乐!
放假通知|360漏洞云祝您双节快乐! 360漏洞云 2023-09-28 12:00 花好月圆 家国团圆 数字安全的列车已驶上高速道 万物互联,安全为基 发展和安全,如一体之两翼 建设数字中国,必须筑牢数字安全屏障 新一代数字安全人才扬奋斗之志 与时代同向同行 守护山河锦绣,国泰民安 感谢大家长期以来的关注与支持,为数字安全稳中求进添砖加瓦,为数字中国全面发展保驾护航,我们始终不忘初心,砥砺前行!
继续阅读G.O.S.S.I.P 阅读推荐 2023-09-27 Android 在野漏洞 Exploit 分析
G.O.S.S.I.P 阅读推荐 2023-09-27 Android 在野漏洞 Exploit 分析 @Shanghzi Xu 安全研究GoSSIP 2023-09-27 20:09 提醒一下大家,今天推荐的内容,部分是国内读者不应该看的——《中华人民共和国计算机信息网络国际联网管理暂行规定》第六条规定“计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和
继续阅读CNNVD | 关于Linux kernel安全漏洞情况的通报
CNNVD | 关于Linux kernel安全漏洞情况的通报 中国信息安全 2023-09-27 18:12 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近日,国家信息安全漏洞库(CNNVD)收到关于Linux kernel 安全漏洞(CNNVD-202309-2146、CVE-2023-42753)情况的报送。成功利用漏洞的攻击者可导致系统崩溃或提升本地
继续阅读黑客利用高危 Openfire 漏洞加密服务器
黑客利用高危 Openfire 漏洞加密服务器 Bill Toulas 代码卫士 2023-09-27 18:04 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 黑客正在利用 Openfire 通讯服务器中的一个高危漏洞,以勒索软件加密服务器并部署密币挖矿机。 Openfire 是一款广泛使用的基于 Java 的开源聊天 (XMPP) 服务器,下载次数已达900多万次,广泛应用于多
继续阅读JumpServer 多个高危漏洞安全风险通告
JumpServer 多个高危漏洞安全风险通告 QAX CERT 奇安信 CERT 2023-09-27 17:59 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 JumpServer 多个高危漏洞 漏洞编号 CVE-2023-42820、CVE-2023-43650、CVE-2023-42819、CVE-2023-43651 公开时间 2023-09-27 影响对象数量级
继续阅读Google libwebp 代码执行漏洞(CVE-2023-5129)安全风险通告
Google libwebp 代码执行漏洞(CVE-2023-5129)安全风险通告 奇安信 CERT 2023-09-27 17:59 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google libwebp 代码执行漏洞 漏洞编号 QVD-2023-22832、CVE-2023-5129 公开时间 2023-09-25 影响对象数量级 亿级 奇安信评级 高危 CVSS
继续阅读连续上榜!360荣获国家信息安全漏洞共享平台多项荣誉
连续上榜!360荣获国家信息安全漏洞共享平台多项荣誉 360数字安全 2023-09-27 17:36 近日,国家信息安全漏洞共享平台(简称CNVD)启动2022年度技术组支撑单位的能力评价工作,360被授予“漏洞信息报送突出贡献单位”“CNVD协作特别贡献单位”两项殊荣,并凭借优秀的 漏洞信息收集能力在年度考核中获得三星评级(最高级),“漏洞技术分析”“集体任务协作”两项也获高星评级。作为最早与
继续阅读CVE-2023-42820:JumpServer密码重置漏洞
CVE-2023-42820:JumpServer密码重置漏洞 原创 360CERT 三六零CERT 2023-09-27 17:05 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-435 报告来源:360CERT 报告作者:360CERT 更新日期:2023-09-27 1 漏洞简述 2023年09月27日,360CERT监测发现JumpServer发布了JumpServer的
继续阅读超级软件供应链攻击!MOVEit漏洞受害组织总数超过2000个
超级软件供应链攻击!MOVEit漏洞受害组织总数超过2000个 安全内参 2023-09-27 16:38 关注我们 带你读懂网络安全 根据Emsisoft本周发布的最新统计,勒索组织Cl0p利用MOVEit漏洞攻击的组织数量已超过2000个,受影响的人数超过6000万。该数据与IT市场研究公司KonBriefingResearch9月26日最新公布的数据(2040家受害组织)基本一致: Emsi
继续阅读苹果谷歌漏洞披露不完整,让腾讯QQ等数百万应用处于危险之中
苹果谷歌漏洞披露不完整,让腾讯QQ等数百万应用处于危险之中 网络安全应急技术国家工程中心 2023-09-27 15:49 安全研究员认为,苹果和谷歌最近披露旗下产品零日漏洞缺乏关键信息,可能隐藏了一个上游开源库libwebp的漏洞,将使下游的数百万应用面临“巨大的盲点”,处于攻击危险之中。 9月26日消息,研究人员日前表示,苹果和谷歌最近披露了自身产品中被积极利用的关键零日漏洞,但是他们披露信息
继续阅读勒索软件Akira突破思科SSL VPN漏洞,横扫110个组织,攻击持续升级
勒索软件Akira突破思科SSL VPN漏洞,横扫110个组织,攻击持续升级 关键基础设施安全应急响应中心 2023-09-27 15:49 在黑客利用思科SSL VPN漏洞CVE-2023-20269入侵相关组织,加密Windows、Linux电脑档案后,勒索软件Akira攻击态势持续延烧,上个月成为前10大的勒索软体家族,超过110个组织遭Akira锁定。 今年5月研究人员观察到勒索软件Aki
继续阅读MOVEit漏洞导致美国900所院校学生信息发生大规模泄露
MOVEit漏洞导致美国900所院校学生信息发生大规模泄露 网络安全应急技术国家工程中心 2023-09-27 15:49 美国非营利教育组织NSC(国家学生信息交换所)近日披露,其MOVEit服务器遭到入侵并导致近900所高等院校的学生个人信息被盗。 NSC为大约3600所北美学院和大学以及2.2万所高中提供教育报告、数据交换、验证和研究服务。 美国国家安全委员会已代表受影响的学校向加州总检察长
继续阅读上周关注度较高的产品安全漏洞(20230918-20230924)
上周关注度较高的产品安全漏洞(20230918-20230924) 国家互联网应急中心CNCERT 2023-09-27 09:00 一、境外厂商产品漏洞 1、 Apache InLong反序列化漏洞(CNVD-2023-70280) Apache InLong是美国阿帕奇(Apache)基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。Apache InLong 1.4.0
继续阅读风险提示|泛微 e-office 远程代码执行漏洞
风险提示|泛微 e-office 远程代码执行漏洞 长亭安全应急响应中心 2023-09-26 21:26 泛微e-office是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。近期,长亭科技监测到泛微官方发布了新补丁修复了一处远程代码执行漏洞。长亭应急团队经过分析后发现该漏洞是通过文件上传配合文件包含实现远程代码执行。为了方便用户排查受影响的资产,已经根据漏
继续阅读【漏洞通告】Linux Kernel 本地权限提升漏洞(CVE-2023-35001)
【漏洞通告】Linux Kernel 本地权限提升漏洞(CVE-2023-35001) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-09-26 20:45 漏洞名称: Linux Kernel 本地权限提升漏洞(CVE-2023-35001) 组件名称: Linux Kernel 影响范围: v3.13-rc1 <= Linux Kernel < v6.5-rc2 漏洞类型:
继续阅读【安全圈】JetBrains TeamCity存在安全漏洞,需尽快更新以避免服务器被黑客攻击
【安全圈】JetBrains TeamCity存在安全漏洞,需尽快更新以避免服务器被黑客攻击 安全圈 2023-09-26 19:00 关键词 安全漏洞 etBrains TeamCity是一款由JetBrains开发的流行且高度可扩展的持续集成(CI)和持续交付(CD)服务器。JetBrains是一家以开发者工具闻名的软件开发公司。TeamCity旨在自动化软件开发过程的各个方面,包括构建、测试
继续阅读严重漏洞可导致TeamCity CI/CD 服务器遭接管
严重漏洞可导致TeamCity CI/CD 服务器遭接管 Ionut Arghire 代码卫士 2023-09-26 17:34 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 TeamCity CI/CD 服务器中存在一个严重漏洞,可在无需认证的情况下遭远程利用,执行任意代码并获得对易受攻击服务器的管理控制权限。 TeamCity 由 JetBrains 开发,是适用于本地和云的通
继续阅读【已复现】Linux Kernel 本地权限提升漏洞(CVE-2023-35001)安全风险通告
【已复现】Linux Kernel 本地权限提升漏洞(CVE-2023-35001)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-09-26 16:42 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Linux Kernel 本地权限提升漏洞 漏洞编号 QVD-2023-15249、CVE-2023-35001 公开时间 2023-07-25 影响对象数量
继续阅读