还是狠炸裂的!Chromium libxslt XXE漏洞(CVE-2023-435)
还是狠炸裂的!Chromium libxslt XXE漏洞(CVE-2023-435) 长亭应急响应 黑伞安全 2023-11-19 18:40 修订:编号为CVE-2023-4357。Chromium 是一个开源的网络浏览器项目,由 Google 主导开发。Chromium 常被用作其他浏览器项目的基础,例如Chrome、 Opera、Brave 和 Microsoft Edge。2023年6月
继续阅读月度归档: 2023 年 11 月
【已复现】金蝶云星空ScpSupRegHandler任意文件上传漏洞
【已复现】金蝶云星空ScpSupRegHandler任意文件上传漏洞 长亭应急响应 黑伞安全 2023-11-19 18:40 长亭安全应急响应中心 2023-11-16 20:52 发表于 北京 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。2023年11月,互联网上披露金蝶云星空任意文件上传漏洞详情,攻击者可利用该漏洞上传任
继续阅读一个支付逻辑漏洞和一些tips
一个支付逻辑漏洞和一些tips 迪哥讲事 2023-11-18 21:49 一个支付逻辑漏洞 正文 某目标为xxx.com,其网站上面有价格为999元的订阅优惠,这里使用burp suite,在点击支付的时候拦截该支付请求, 将价格从999改为1,发现成功了 几个高频率的xss的payload <svg><animate xlink:href=#x attributeName=h
继续阅读实战 | 记一次简单的漏洞挖掘过程
实战 | 记一次简单的漏洞挖掘过程 迪哥讲事 2023-11-17 22:30 分享一下今天对某app进行渗透测试 ,从基础的信息收集到拿到网站的shell。总体来是还是很简单的,也没什么技术含量 使用模拟器挂上代理并对app进行抓包,我们把其域名给拿出来 使用工具对主域名 进行敏感目录扫描,发现存在一个admin的目录 对该目录进行访问,发现存在管理后台,且目前看没有验证码,可以尝试爆破 输入不
继续阅读【已复现】Google Chrome 信息泄露漏洞(CVE-2023-4357)安全风险通告
【已复现】Google Chrome 信息泄露漏洞(CVE-2023-4357)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-11-17 18:47 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome 信息泄露漏洞 漏洞编号 QVD-2023-18926,CVE-2023-4357 公开时间 2023-08-16 影响对象数量级 亿级
继续阅读2023 SDC 议题回顾 | 深入 Android 可信应用漏洞挖掘
2023 SDC 议题回顾 | 深入 Android 可信应用漏洞挖掘 原创 2023 SDC 看雪学苑 2023-11-17 18:02 在过去的几年中,可信执行环境(TEE,Trusted Execution Environment)在Android生态系统(智能手机、智能汽车、智能电视等)中实现了普及。TEE 运行独立、隔离的 TrustZone 操作系统,与 Android 并行,保证在A
继续阅读Fortinet 提醒注意严重的FortiSIEM命令注入漏洞
Fortinet 提醒注意严重的FortiSIEM命令注入漏洞 Bill Toulas 代码卫士 2023-11-17 17:23 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Fortinet 提醒客户称,FortiSIEM 报送服务器中存在一个严重的 OS 命令注入漏洞,远程未认证攻击者可通过特殊构造的 API 请求执行命令。 FortiSIEM(安全信息和事件管理)是一款综合
继续阅读CISA必修清单新增三个漏洞
CISA必修清单新增三个漏洞 THN 代码卫士 2023-11-17 17:23 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 美国网络安全和基础设施安全局 (CISA)在“已知已利用漏洞”分类表中新增了三个已遭活跃利用的漏洞。 这三个漏洞是: CVE-2023-36584(CVSS评分5.4):微软 MotW 安全特性绕过漏洞 CVE-2023-1671(CVSS评分9.8):S
继续阅读速修!海康威视综合安防RCE已被用于勒索
速修!海康威视综合安防RCE已被用于勒索 原创 微步情报局 微步在线研究响应中心 2023-11-17 15:29 01 漏洞概况**** 近日, 微步监测到有勒索团伙利用海康威视综合安防管理平台文件上传漏洞(XVE-2023-23734)开展大规模勒索攻击。 攻击者利用该漏洞上传Webshell,并随后执行任意命令,对主机上相关文件进行加密,加密后缀为locked1。该漏洞利用成本极低,危害极高
继续阅读ChatGPT新代码解释器曝出重大安全漏洞——黑客可轻松窃取数据
ChatGPT新代码解释器曝出重大安全漏洞——黑客可轻松窃取数据 网络安全应急技术国家工程中心 2023-11-17 15:24 ChatGPT最近添加的代码解释器让使用AI编写Python代码变得更便捷,因为它实际上已可以编写代码,然后在沙盒环境中运行代码。但是,沙盒环境完全暴露在泄露数据的提示注入攻击面前,这个环境还用于处理ChatGPT分析和绘制的任何电子表格。 近期,使用ChatGPT P
继续阅读还是Citrix Bleed漏洞!又一家金融服务公司遭勒索
还是Citrix Bleed漏洞!又一家金融服务公司遭勒索 关键基础设施安全应急响应中心 2023-11-17 15:23 日本汽车制造商的汽车融资和租赁子公司丰田金融服务公司(TFS)最近遭受破坏性网络攻击。Medusa(美杜莎)勒索软件团伙刚刚承认对此负责。本周早些时候,TFS Europe&Africa表示,该公司“发现了系统上未经授权的活动”,这迫使该公司关闭了一些系统。TFS表示
继续阅读金蝶云星空私有云任意文件上传漏洞安全通告
金蝶云星空私有云任意文件上传漏洞安全通告 安全内参 2023-11-17 15:20 漏洞概述 漏洞名称 金蝶云星空私有云任意文件上传漏洞 漏洞编号 QVD-2023-44581 公开时间 2023-10-26 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 9.8 威胁类型 代码执行 利用可能性 高 POC状态 已公开 在野利用状态 已发现 EXP状态 已公开 技术细节状态 未公开
继续阅读微软2023年11月补丁日重点漏洞安全预警
微软2023年11月补丁日重点漏洞安全预警 原创 安全技术研究院 山石网科安全技术研究院 2023-11-17 14:20 补丁概述 2023年11月14日,微软官方发布了11月安全更新,针对63个 Microsoft CVE 和15个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含3个严重漏洞(Critical)、56个重要漏洞(Important)和4个 中
继续阅读ChatGPT 的新代码解释器存在重大漏洞,用户数据可被盗
ChatGPT 的新代码解释器存在重大漏洞,用户数据可被盗 Avram Piltch 代码卫士 2023-11-16 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 ChatGPT 最近新增的 Code Interpreter (代码解释器),让用AI 编写 Python 代码变得更加强大,因为它真的在写代码并在沙箱环境下运行。遗憾的是,也用于处理用户要求 ChatGPT
继续阅读漏洞通告 | 金蝶云星空任意文件上传漏洞
漏洞通告 | 金蝶云星空任意文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2023-11-16 15:56 01 漏洞概况**** 金蝶云星空是由金蝶国际软件集团开发的一款企业级云平台。它是金蝶云服务的核心产品,旨在为企业提供全面的云计算解决方案,支持企业的数字化转型和业务创新。微步漏洞团队通过“X 漏洞奖励计划”获取到金蝶云星空任意文件上传漏洞情报。攻击者可利用该漏洞上传恶意代码,获取服
继续阅读高流量即高漏洞:浏览标题党网站可能遭受攻击风险
高流量即高漏洞:浏览标题党网站可能遭受攻击风险 网络安全应急技术国家工程中心 2023-11-16 15:17 自2023年8月底以来,研究人员观察到专门用于标题党和广告内容的受攻击服务器显著增加。但为什么这样的网站对攻击者来说如此有吸引力呢?主要因为这些网站的设计是为了接触到大量潜在的受害者。此外,标题党网站经常使用过时或未修复的软件,这使得它们很容易受到攻击。 本文足以让你了解标题党文章的危险
继续阅读助攻黑客的严重漏洞?不符合GOOGLE的威胁模型,不予解决!
助攻黑客的严重漏洞?不符合GOOGLE的威胁模型,不予解决! 网络安全应急技术国家工程中心 2023-11-16 15:17 Bitdefender研究人员11月15日撰文,揭露了Google Workspace中的新漏洞,这个漏洞可能导致勒索软件攻击、数据泄露和口令解密。研究人员表示,这些方法还可以用于通过自定义权限访问谷歌云平台(GCP),并且可以在机器之间横向移动。然而,Bitdefende
继续阅读漏洞调试的捷径:精简代码加速分析与利用
漏洞调试的捷径:精简代码加速分析与利用 路人丁 GobySec 2023-11-16 14:00 G o b y 社 区 第 36 篇 技 术 分 享 文 章 全 文 共 : 5053 字 预 计 阅 读 时 间 : 13 分 钟 01 前言 近期,Microsoft威胁情报团队曝光了DEV-0950(Lace Tempest)组织利用SysAid的事件。 随后,SysAi d安全团队迅速启动了应
继续阅读支付平台漏洞遭利用!犯罪团伙通过AI换脸盗刷他人医保卡
支付平台漏洞遭利用!犯罪团伙通过AI换脸盗刷他人医保卡 安全内参 2023-11-16 10:47 关注我们 带你读懂网络安全 重庆警方破获利用AI换脸盗刷他人医保卡案。 随着人工智能技术的迅猛发展 不法分子的犯罪手段也越来越科技化 利用“AI换脸”“AI换声” 等手段 进行违法犯罪的行为 屡见不鲜 REC 2023 年 4 月 18 日 重庆某医院医生到石油路派出所报案称 当天其正在手术室做手
继续阅读2023年“公益SRC”漏洞年度证书奖励计划公布!
2023年“公益SRC”漏洞年度证书奖励计划公布! 补天平台 2023-11-16 09:41 公益SRC漏洞 年度证书 Annual Certificate Award 及时快速响应 维护网络安全 近一年来,很多白帽子业精于勤、好学不倦,维护上万家厂商的网络安全,覆盖各个行业,同时也涌现了很多新人白帽,迅速成长, 为 感 谢 这 些公益能量满满 的 白 帽 子 , 在 2 0 2 3 年 及 时
继续阅读2023-11 补丁日: 微软多个漏洞安全更新通告
2023-11 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2023-11-15 18:06 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-526 报告来源:360CERT 报告作者:360CERT 更新日期:2023-11-15 1 漏洞简述 2023年11月15日,360CERT监测发现Microsoft发布了2023年11月安全更新,事件等级:
继续阅读初级篇已更新完毕!CVE复现漏洞精讲-从基础到入门
初级篇已更新完毕!CVE复现漏洞精讲-从基础到入门 看雪课程 看雪学苑 2023-11-15 18:00 想要成为一名优秀的漏洞挖掘工程师吗? 想要掌握CVE复现能力,提升自己的实战能力吗? 想要深入了解IoT、v8、Windows等多类型漏洞挖掘基础知识和实操吗? 《CVE复现漏洞精讲-从基础到入门》带你走进漏洞挖掘的世界。 如果你想要提升自己的漏洞挖掘能力,接着往下看! 课程简介 本课程属于体
继续阅读微软11月补丁星期二需要关注的漏洞
微软11月补丁星期二需要关注的漏洞 Dustin Childs 代码卫士 2023-11-15 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 11月,微软共修复了63个漏洞,其中3个为“严重”、56个为“重要”、4个为“中危”级别。在这些漏洞中,3个被指已遭活跃利用,3个被指“公开已知”。 01 已遭利用的漏洞 CVE-2023-36033是位于 Windows DWM
继续阅读“奇怪的”高危Reptar CPU 漏洞影响 Intel 桌面和服务器系统
“奇怪的”高危Reptar CPU 漏洞影响 Intel 桌面和服务器系统 Sergiu Gatlan 代码卫士 2023-11-15 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Intel(英特尔)修复了位于现代桌面、服务器、手机和嵌入式CPU(包括最新的 Alder Lake、Raptor Lake 和 Sapphire Rapids 微架构)中的一个高危CPU
继续阅读VMware 披露严重的VCD Appliance认证绕过漏洞,无补丁
VMware 披露严重的VCD Appliance认证绕过漏洞,无补丁 Sergiu Gatlan 代码卫士 2023-11-15 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 VMware 披露了影响 Cloud Director 设备部署中的一个认证绕过 0day 漏洞 (CVE-2023-34060)。 Cloud Director 可使 VMware 管理员管理
继续阅读2023-11微软漏洞通告
2023-11微软漏洞通告 火绒安全 火绒安全 2023-11-15 16:53 微软官方发布了2023年11月的安全更新。本月更新公布了83个漏洞,包含18个远程执行代码漏洞、18个特权提升漏洞、11个身份假冒漏洞、6个信息泄露漏洞、6个安全功能绕过漏洞、5个拒绝服务漏洞,其中3个漏洞级别为“Critical”(高危),57个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/
继续阅读已复现Office RCE!微软11月补丁日重点漏洞解读
已复现Office RCE!微软11月补丁日重点漏洞解读 原创 微步情报局 微步在线研究响应中心 2023-11-15 15:15 1 概要和风险通告 11月微软补丁日共发布57个漏洞补丁,涉及到的产品有.NET、Windows Kernel、Office、Exchange Server等,修复的漏洞中有3个已被用于在野攻击。 2 重点关注 经研判,需要关注的漏洞共12个如下表所示: 编号 漏洞名
继续阅读【安全更新】微软11月安全更新多个产品高危漏洞通告
【安全更新】微软11月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2023-11-15 14:40 通告编号:NS-2023-0044 2023-11-15 TAG: 安全更新、Windows SmartScreen、Microsoft Office、ASP.NET、Windows Cloud Files Mini Filter Driver、Windows DWM Co
继续阅读英特尔被诉故意销售漏洞处理器,企业不修漏洞和修复不力的界限在哪里?
英特尔被诉故意销售漏洞处理器,企业不修漏洞和修复不力的界限在哪里? 安全内参编译 安全内参 2023-11-15 12:03 关注我们 带你读懂网络安全 英特尔被控多年来故意销售了数十亿颗有缺陷芯片,诉讼结果或有助于明确定义漏洞修复不力与完全不作为的界限。 前情回顾·巨头光辉中的阴翳 – 苹果谷歌漏洞披露不完整,让腾讯QQ等数百万应用处于危险之中 TikTok未修漏洞节省数千万美元,一
继续阅读纽约大学 | 基于大语言模型的零样本漏洞修复研究
纽约大学 | 基于大语言模型的零样本漏洞修复研究 原创 吴晓杰, 梅瑞 安全学术圈 2023-11-15 11:13 原文标题:Examining Zero-Shot Vulnerability Repair with Large Language Models 原文作者:Hammond Pearce, Benjamin Tan, Baleegh Ahmad, Ramesh Karri, Bre
继续阅读