2023-09 补丁日: 微软多个漏洞安全更新通告
2023-09 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2023-09-13 18:25 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-405 报告来源:360CERT 报告作者:360CERT 更新日期:2023-09-13 1 漏洞简述 2023年09月13日,360CERT监测发现Microsoft发布了2023年9月安全更新,事件等级:严
继续阅读月度归档: 2023 年 9 月
浏览器漏洞正被利用,谷歌、火狐用户尽快进行更新
浏览器漏洞正被利用,谷歌、火狐用户尽快进行更新 看雪学苑 看雪学苑 2023-09-13 17:59 本周一,为解决Chrome浏览器中一个被在野利用的安全漏洞,谷歌推出了紧急安全补丁。该漏洞(CVE-2023-4863)是WebP代码库(libwebp)中的堆缓冲区溢出,可能导致崩溃甚至是任意代码执行。 据谷歌公告,该漏洞由苹果安全工程与架构(SEAR)和多伦多大学公民实验室(Citizen L
继续阅读2023-09微软漏洞通告
2023-09微软漏洞通告 火绒安全 火绒安全 2023-09-13 16:49 微软官方发布了2023年9月的安全更新。本月更新公布了66个漏洞,包含24个远程执行代码漏洞、17个特权提升漏洞、9个信息泄露漏洞、5个身份假冒漏洞、3个拒绝服务漏洞、3个安全功能绕过漏洞,其中5个漏洞级别为“Critical”(高危),55个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业
继续阅读补丁星期二:微软、Adobe和Firefox纷纷修复已遭利用的 0day 漏洞
补丁星期二:微软、Adobe和Firefox纷纷修复已遭利用的 0day 漏洞 综合编译 代码卫士 2023-09-13 16:42 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 今天是微软9月补丁星期二,共修复59个漏洞,其中2个是已遭利用的 0day。Adobe 和Mozilla公司也发布安全更新,分别修复了已遭利用的一个 0day。 微软 本次微软共修复59个漏洞,其中: 3
继续阅读GitHub 严重漏洞导致4000多个仓库易遭repojacking攻击
GitHub 严重漏洞导致4000多个仓库易遭repojacking攻击 THN 代码卫士 2023-09-13 16:42 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 GitHub 存在一个漏洞,可导致数千个仓库易遭repojacking(仓库劫持)攻击。 Checkmarx 公司的安全研究员 Elad Rapoport 在一份技术报告中提到,该漏洞“可导致攻击者利用GitHu
继续阅读【安全通告】Adobe Acrobat与Reader任意代码执行漏洞(CVE-2023-26369)
【安全通告】Adobe Acrobat与Reader任意代码执行漏洞(CVE-2023-26369) 原创 NS-CERT 绿盟科技CERT 2023-09-13 15:59 通告编号:NS-2023-0040 2023-09-13 TAG: Adobe Acrobat与Reader、CVE-2023-26369 漏洞危害: 攻击者利用该漏洞可实现任意代码执行 版本: 1.0 1 漏洞概述 近日,
继续阅读【安全更新】微软9月安全更新多个产品高危漏洞
【安全更新】微软9月安全更新多个产品高危漏洞 原创 NS-CERT 绿盟科技CERT 2023-09-13 15:59 通告编号:NS-2023-0039 2023-09-13 TAG: 安全更新、Microsoft SharePoint Server、Visual Studio、Internet Connection Sharing(ICS)、Microsoft Azure Kubernetes
继续阅读微软2023年9月补丁日多个产品安全漏洞风险通告
微软2023年9月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2023-09-13 10:04 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2023年9月补丁日多个产品安全漏洞 影响厂商&产品 Microsoft Office、Microsoft Exchange Server、Microsoft Visual Studio 等 公开时间 2023-09-
继续阅读(SRC漏洞挖掘四)短信发送功能点
(SRC漏洞挖掘四)短信发送功能点 迪哥讲事 2023-09-12 22:32 短信轰炸 并发短信轰炸 在发送验证码中有图形验证码或者其他验证时并发手段是常用的一种绕过思路,不仅仅在短信发送能够利用并发手段,领取优惠券、签到等功能点都能够利用并发手段。点击发送验证码并抓包 安装并发插件 先不要放掉该数据包,把发送到burp插件turbo intruder里 然后选择race.py这个专门的测试并发
继续阅读2020强网杯线下-RV110W赛题复现
2020强网杯线下-RV110W赛题复现 l1s00t 看雪学苑 2023-09-12 17:59 笔者本来想用fap等工具模拟这台机器进行复现的, 但是苦于一直模拟失败,只好买了一台真机进行复现,不过还是要多说一句,真机就不用担心模拟会出现的各种问题了,可以直接开搞,真香。 题目提供的路由器固件版本为RV110W-1.2.2.5,可以在 思科官网(https://www.cisco.com/c/
继续阅读Google Chrome 远程代码执行漏洞(CVE-2023-4863)安全风险通告
Google Chrome 远程代码执行漏洞(CVE-2023-4863)安全风险通告 奇安信 CERT 2023-09-12 12:41 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome 远程代码执行漏洞 漏洞编号 QVD-2023-21923、CVE-2023-4863 公开时间 2023-09-11 影响对象数量级 千万级 奇安信评级 高危 CV
继续阅读谷歌紧急修复已遭利用的 Chrome 0day
谷歌紧急修复已遭利用的 Chrome 0day Sergiu Gatlan 代码卫士 2023-09-12 12:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 谷歌发布紧急安全更新,修复了今年以来已遭利用的第四个 Chrome 0day 漏洞 (CVE-2023-4863)。 谷歌在周一发布的安全公告中指出,“谷歌发现在野存在 CVE-2023-4863的利用。”新版本目前推
继续阅读Socomec UPS产品中存在多个漏洞,可导致设备遭劫持
Socomec UPS产品中存在多个漏洞,可导致设备遭劫持 Eduard Kovacs 代码卫士 2023-09-12 12:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Socomec(溯高美索克曼)的不间断电源 (UPS) 产品中受多个漏洞影响,可用于劫持和破坏设备。 Socomec 是一家总部位于法国的电力设备制造商,专注于低压电能源性能业务。该公司产品包括全球多个行业
继续阅读【技术原创】ADManager Plus漏洞调试环境搭建
【技术原创】ADManager Plus漏洞调试环境搭建 原创 3gstudent 嘶吼专业版 2023-09-12 12:01 0x00 前言 本文记录从零开始搭建ADManager Plus漏洞调试环境的细节,介绍数据库用户口令的获取方法。 0x01 简介 本文将要介绍以下内容: – ADManager Plus安装 ADManager Plus漏洞调试环境配置 数据库用户口令获取
继续阅读【安全圈】CISA 警告 Apache RocketMQ 严重漏洞被利用,用户需尽快更新补丁
【安全圈】CISA 警告 Apache RocketMQ 严重漏洞被利用,用户需尽快更新补丁 安全圈 2023-09-11 19:00 关键词 安全漏洞 美国网络安全和基础设施安全局 (CISA) 已在其已知被利用漏洞 (KEV) 目录中添加了一个严重程度为 CVE-2023-33246 的漏洞,该漏洞影响 Apache 的 RocketMQ 分布式消息传递和流媒体平台。 目前,多个攻击者可能正在
继续阅读致远OA前台任意用户密码重置漏洞通告
致远OA前台任意用户密码重置漏洞通告 原创 360CERT 三六零CERT 2023-09-11 18:49 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-399 报告来源:360CERT 报告作者:360CERT 更新日期:2023-09-11 1 漏洞简述 2023年09月11日,360CERT监测发现致远OA发布了致远OA的风险通告,暂无漏洞编号,漏洞等级:高危,漏洞评分:
继续阅读入侵系统无需用户交互,苹果针对两个零日漏洞发布紧急安全更新
入侵系统无需用户交互,苹果针对两个零日漏洞发布紧急安全更新 看雪学苑 看雪学苑 2023-09-11 18:12 上周,网络安全研究实验室Citizen Lab在检查一名华盛顿特区国际办事处工作人员的个人设备时,发现了一种正被积极利用的零点击漏洞,该漏洞用于传播NSO Group的知名间谍软件“飞马“(Pegasus)。 安全研究员将该利用链称为BLASTPASS,通过该利用链能够入侵苹果公司的最
继续阅读Notepad++ 8.5.6 发布补丁,修复四个漏洞
Notepad++ 8.5.6 发布补丁,修复四个漏洞 Bill Toulas 代码卫士 2023-09-11 17:36 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Notepad++ 8.5.7 发布了补丁,修复了多个缓冲区溢出 0day 漏洞。攻击者可利用其中一个漏洞诱骗用户打开特殊构造的文件,执行代码。 Notepad++ 是一款流行的免费源代码编辑器,支持多种编程语言,
继续阅读上周关注度较高的产品安全漏洞(20230904-20230910)
上周关注度较高的产品安全漏洞(20230904-20230910) 原创 CNVD CNVD漏洞平台 2023-09-11 17:03 一、境外厂商产品漏洞 1、IBM Security Guardium跨站脚本漏洞(CNVD-2023-66735) IBM Security Guardium是美国国际商业机器(IBM)公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计
继续阅读雷神众测漏洞周报2023.09.04-2023.09.10
雷神众测漏洞周报2023.09.04-2023.09.10 原创 雷神众测 雷神众测 2023-09-11 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读.NET 上传web.config文件实现RCE
.NET 上传web.config文件实现RCE 专攻.NET安全的 dotNet安全矩阵 2023-09-11 08:40 0x01 作为ASP脚本运行 当某些运行.NET环境的IIS容器也支持托管 ASP 脚本 时,有的场景可能会遇到无法直接上传扩展名为 .ASP 的文件,在这种情况下可以通过上传定制化的 web.config文件来运行经典 ASP 脚本代码。 <system.webSe
继续阅读【漏洞通告】Cacti SQL注入漏洞CVE-2023-39361
【漏洞通告】Cacti SQL注入漏洞CVE-2023-39361 深瞳漏洞实验室 深信服千里目安全技术中心 2023-09-10 16:29 漏洞名称: Cacti SQL注入漏洞(CVE-2023-39361) 组件名称: Cacti 影响范围: Cacti < 1.2.25 漏洞类型: 远程代码执行 利用条件: 1、用户认证:否 2、前置条件:默认配置 3、触发方式:远程 综合评价:
继续阅读漏洞挖掘 | 一处图片引用功能导致的XSS
漏洞挖掘 | 一处图片引用功能导致的XSS 迪哥讲事 2023-09-09 23:05 山重水复疑无路 漏洞点:站点产品评论处 初步测试 一开始尝试XSS,发现程序有过滤,提交均显示Tags are not permitted,最后测出来的是过滤 < ,不过滤 > 因为提示速度比较快,猜测前端有一层检测。尝试绕过前端检测,burp拦截正常提交的内容,替换xss payload后发送,发
继续阅读【安全圈】苹果被曝2大安全漏洞,用户需尽快更新系统!
【安全圈】苹果被曝2大安全漏洞,用户需尽快更新系统! 安全圈 2023-09-09 19:00 关键词 手机漏洞 就在这两天,一家安全组织发现了苹果设备的2个最新漏洞,平板、手机、电脑等 都受影响—— 例如搭载iOS 16.6版本的iPhone手机,以及新版本的iPad平板、Mac电脑和Apple Watch苹果手表等。 只需要利用这些漏洞,黑客就可能打开你的麦克风记录对话,还能专挑你充电的时候悄
继续阅读【安全圈】Atlas VPN 曝出漏洞:允许查看用户真实 IP 地址,官方:修复程序正在开发
【安全圈】Atlas VPN 曝出漏洞:允许查看用户真实 IP 地址,官方:修复程序正在开发 安全圈 2023-09-09 19:00 关键词 安全漏洞 Atlas VPN 已确认存在一个零日漏洞,该漏洞允许网站所有者查看 Linux 用户的真实 IP 地址。不久前,发现该漏洞的人在Reddit上公开发布了有关该零日漏洞的详细信息以及漏洞利用代码。 关于 Atlas VPN 零日漏洞 Atlas
继续阅读当攻击队放了个0day,在你的内网穿梭……
当攻击队放了个0day,在你的内网穿梭…… 长亭科技 2023-09-08 18:28 网络安全攻防演习,是企业安全防护水平的一次实战验证,也是一场攻击队与防守队的相互秀技。 全悉(T-ANSWER)在这场攻防博弈中,用成绩力证作为NDR产品“全面检测、智能溯源、高效处置” 的三大实战效果,亮剑出鞘、锋芒尽显。 全悉攻防实战演习 “ 必杀技 ” 01 智能规则检测 破局0day攻击 0day漏洞作
继续阅读CVSS评分10.0,思科披露其BroadWorks平台身份认证绕过漏洞
CVSS评分10.0,思科披露其BroadWorks平台身份认证绕过漏洞 看雪学苑 看雪学苑 2023-09-08 17:59 9月6日,思科公司发布了一则安全公告,称其BroadWorks应用交付平台和BroadWorks Xtended服务平台中存在一个CVSS评分10.0的身份认证绕过漏洞,该漏洞可能允许未经身份验证的远程攻击者伪造访问受影响系统所需的凭据。 思科BroadWorks是一个面
继续阅读【漏洞通告】致远OA 前台任意用户密码修改漏洞漏洞
【漏洞通告】致远OA 前台任意用户密码修改漏洞漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-09-08 17:43 漏洞名称: 致远OA 前台任意用户密码修改漏洞 组件名称: 致远OA 影响范围: V5/G6 V8.1SP2、V8.2 漏洞类型: 密码修改 利用条件: 1、用户认证:否 2、前置条件:默认配置 3、触发方式:远程 综合评价: <综合评定利用难度>:容易,无
继续阅读苹果紧急修复两个已遭利用的 0day
苹果紧急修复两个已遭利用的 0day Sergiu Gatlan 代码卫士 2023-09-08 15:15 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 苹果紧急修复两个已遭利用的攻击 iPhone 和 Mac 用户的 0day(CVE-2023-41064和CVE-2023-41061),使苹果自今年以来修复的13个0day漏洞数量上升至13个。 苹果在安全公告中指出,“苹果发
继续阅读思科 BroadWorks 受严重的认证绕过漏洞影响
思科 BroadWorks 受严重的认证绕过漏洞影响 Bill Toulas 代码卫士 2023-09-08 15:15 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 思科BroadWorks Application Delivery Plaftform 和BroadWorks Xtended Services Platform 受一个严重漏洞 (CVE-2023-20238)的影
继续阅读