谷歌单个Chrome漏洞的最高赏金超25万美元
谷歌单个Chrome漏洞的最高赏金超25万美元 Sergiu Gatlan 代码卫士 2024-08-29 18:09 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌将通过其漏洞奖励计划报送的单个 Chrome 漏洞最高赏金提升至原来的2倍,超过25万美元。 从今天开始,谷歌将根据报告的质量以及研究员查找所报告漏洞的完整影响,对内存损坏漏洞进行分类。通过栈追踪和 PoC 演示Chrom
继续阅读月度归档: 2024 年 8 月
“伏特台风”黑客利用Versa零日漏洞攻击美国服务商
“伏特台风”黑客利用Versa零日漏洞攻击美国服务商 关键基础设施安全应急响应中心 2024-08-29 15:27 8月27日,外媒BleepingComputer报道,黑客组织Volt Typhoon(伏特台风)利用Versa Director零日漏洞上传自定义Webshell,窃取凭据并破坏美国公司网络。 本周周一8月26日,Versa公司宣布他们修复了一个被追踪为CVE-2024-3971
继续阅读WPS用户警惕!APT-C-60利用WPS Office漏洞部署SpyGlace后门
WPS用户警惕!APT-C-60利用WPS Office漏洞部署SpyGlace后门 关键基础设施安全应急响应中心 2024-08-29 15:27 与韩国有关的网络间谍组织APT-C-60利用金山WPS Office软件中的一个关键远程代码执行漏洞(CVE-2024-7262),CVSS评分为9.3,部署了名为SpyGlace的独特后门。该漏洞由于对用户提供的文件路径验证不足,允许攻击者上传任意
继续阅读.NET 一款支持反序列化漏洞的白名单工具
.NET 一款支持反序列化漏洞的白名单工具 原创 专攻.NET安全的 dotNet安全矩阵 2024-08-29 08:27 01 阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁
继续阅读「漏洞复现」方天云智慧平台系统 setImg.ashx 文件上传漏洞
「漏洞复现」方天云智慧平台系统 setImg.ashx 文件上传漏洞 冷漠安全 冷漠安全 2024-08-28 22:23 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作
继续阅读CVE-2024-38063(Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞)复现(附POC)
CVE-2024-38063(Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞)复现(附POC) 原创 fl4g TERRA星环安全团队 2024-08-28 19:07 免责声明 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者及
继续阅读技术详解 | CertiK揭示秘密修复的Solana核心漏洞
技术详解 | CertiK揭示秘密修复的Solana核心漏洞 原创 CertiK CertiK 2024-08-28 19:00 1. Solana漏洞起因 8月9日,Solana验证者和客户端团队齐心协力解决了一个严重的安全漏洞。Solana验证者Laine表示,这一过程始于8月7日,当时Solana基金会通过私人渠道联系了知名网络运营商。此次联系是秘密修补漏洞策略的一部分,旨在防止漏洞被以任何
继续阅读俄乌战争导致俄罗斯漏洞赏金计划蓬勃发展
俄乌战争导致俄罗斯漏洞赏金计划蓬勃发展 安全内参 2024-08-28 18:49 编者按 俄乌战争引发的国际制裁、IT孤立以及俄罗斯对道德黑客态度的转变导致俄罗斯的漏洞赏金计划日益增多,使得零日漏洞获取公司有机获利,并可能导致西方网络间谍活动增多。 俄乌战争引发的国际制裁导致HackerOne、BugCrowd、Intigriti等美西方漏洞赏金平台拒绝向俄罗斯和白俄罗斯用户提供赏金。鉴于俄罗斯
继续阅读SonicWall 提醒注意严重的SonicOS 访问控制漏洞
SonicWall 提醒注意严重的SonicOS 访问控制漏洞 Bill Toulas 代码卫士 2024-08-28 17:26 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SonicWall 公司的 SonicOS 产品易受一个严重的访问能控制漏洞(CVE-2024-40766) 影响,可导致攻击者获得对资源的越权访问权限或导致防火墙崩溃。 该漏洞的CVSS v3评分为9.3,其攻击
继续阅读开源GPS系统曝出两个高危漏洞
开源GPS系统曝出两个高危漏洞 关键基础设施安全应急响应中心 2024-08-28 15:24 开源GPS跟踪系统Traccar近日曝出两个高危漏洞,可被黑客利用远程执行代码。 在全球GPS跟踪市场中,Traccar因其灵活的开源架构和可定制化特点,深受企业和个人用户的青睐。它被广泛应用于物流运输、车队管理、资产跟踪、安全监控以及个人定位等多个领域。通过Traccar,用户可以实现对车辆位置的实时
继续阅读存在严重供应链安全风险,MLOps平台曝20多个漏洞
存在严重供应链安全风险,MLOps平台曝20多个漏洞 网络安全应急技术国家工程中心 2024-08-28 15:24 网络安全研究人员警告称,在发现20多个漏洞后,机器学习(ML)软件供应链存在安全风险,这些漏洞可能被利用来针对MLOps平台。这些漏洞被描述为固有和实现方面的缺陷,可能会产生严重后果,从任意代码执行到加载恶意数据集。 MLOps平台提供了设计和执行ML模型管道的能力,模型注册表作为
继续阅读Litespeed Cache 漏洞导致数百万 WordPress 网站遭受接管攻击
Litespeed Cache 漏洞导致数百万 WordPress 网站遭受接管攻击 网络安全应急技术国家工程中心 2024-08-28 15:24 LiteSpeed Cache 是开源的,也是极受欢迎的 WordPress 网站加速插件,拥有超过 500 万个活跃安装,并支持 WooCommerce、bbPress、ClassicPress 和 Yoast SEO。 该插件的用户模拟功能中发现
继续阅读定制化payload让漏洞挖掘更容易
定制化payload让漏洞挖掘更容易 安全之眼SecEye 2024-08-27 21:37 点击上方「蓝字」,关注我们 因为公众号现在只对常读和星标的公众号才能展示大图推送,建议大家进行星标 。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 01 免责声明 免责声明: 该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连
继续阅读一款强大的自动化漏洞发现与验证工具 | 抽奖送《黑神话悟空》
一款强大的自动化漏洞发现与验证工具 | 抽奖送《黑神话悟空》 老谢 H4ll0 H4ck3r 2024-08-27 21:35 声明: 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,H4ll0 H4ck3r及文章作者不为此承担任何责任。 H4ll0 H4ck3r拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容
继续阅读Microsoft 修复了导致 Microsoft 365 Copilot 数据被盗的 ASCII 走私漏洞
Microsoft 修复了导致 Microsoft 365 Copilot 数据被盗的 ASCII 走私漏洞 信息安全大事件 2024-08-27 20:23 有关 Microsoft 365 Copilot 中现已修补的漏洞的详细信息已经出现,该漏洞可能使用一种称为 ASCII 走私的技术来窃取敏感的用户信息。 “ASCII 走私是一种新技术,它使用特殊的 Unicode 字符来镜像 ASCII
继续阅读【安全圈】谷歌紧急发布 Chrome 浏览器更新,修复 V8 引擎高危类型混乱漏洞
【安全圈】谷歌紧急发布 Chrome 浏览器更新,修复 V8 引擎高危类型混乱漏洞 安全圈 2024-08-27 19:00 关键词 安全漏洞 谷歌昨夜发布 Google Chrome v128 稳定版频道更新,重点修复追踪编号为 CVE-2024-4947 的漏洞,此次更新适用于 Windows 和 Linux 的为 v128.0.6613.84 版,适用于 Mac 的则v128.0.6613.
继续阅读【安全圈】存在严重供应链安全风险,MLOps平台曝20多个漏洞
【安全圈】存在严重供应链安全风险,MLOps平台曝20多个漏洞 安全圈 2024-08-27 19:00 关键词 安全漏洞 网络安全研究人员警告称,在发现20多个漏洞后,机器学习(ML)软件供应链存在安全风险,这些漏洞可能被利用来针对MLOps平台。这些漏洞被描述为固有和实现方面的缺陷,可能会产生严重后果,从任意代码执行到加载恶意数据集。 MLOps平台提供了设计和执行ML模型管道的能力,模型注册
继续阅读【安全圈】Mirai 僵尸网络发现新漏洞,能同时被攻守双方利用
【安全圈】Mirai 僵尸网络发现新漏洞,能同时被攻守双方利用 安全圈 2024-08-27 19:00 关键词 僵尸网络 Mirai 僵尸网络在全球 DDoS 攻击中发挥了重要作用,特别是针对 IoT 设备和服务器的攻击。最近,Mirai的命令和控制服务器中发现了一个新漏洞,该漏洞允许攻击者执行DDoS攻击,但同时也能被安全人员用来进行反制。 僵尸网络的核心基础设施完全依赖于 C2 服务器,其中
继续阅读谷歌修复今年第10个已遭利用0day
谷歌修复今年第10个已遭利用0day Sergiu Gatlan 代码卫士 2024-08-27 18:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌称已修复2024年以来第10个遭黑客利用或由安全研究员在黑客大赛中利用的0day,编号为CVE-2024-7965。 该漏洞由研究员TheDog报送,是一个位于Chrome V8 JavaScript引擎中的实现不当漏洞,可导致远程
继续阅读MLOps 平台存在20多个供应链漏洞
MLOps 平台存在20多个供应链漏洞 THN 代码卫士 2024-08-27 18:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究人员提醒称,MLOps 的多个平台中存在20多个漏洞,机器学习软件供应链中存在安全风险。 这些漏洞是内在的实现漏洞,可造成严重后果如任意代码执行、恶意数据集加载等。MLOps 平台提供设计和执行ML模型管道的能力,其中模型注册表当作存储和版本
继续阅读360告警:全球知名大模型框架被曝漏洞!或致AI设备集体失控
360告警:全球知名大模型框架被曝漏洞!或致AI设备集体失控 360数字安全 2024-08-27 18:15 十年前的传统观点认为,人工智能首先会影响体力劳动,然后是认知劳动,也许有一天可以做创造性的工作。然而,伴随人工智能技术的飞速迭进,大模型的应用已经愈发常见。从自然语言处理、图像识别、智能客服到各类业务任务的处理,大模型的强大性能与发展速度已经超乎想象,企业和个人用户都在借助大模型来提高效
继续阅读XCon2024 x 360漏洞云精彩链动 | 焕新出发,共见未来
XCon2024 x 360漏洞云精彩链动 | 焕新出发,共见未来 360漏洞云 2024-08-27 15:56 2024年8月23日,XCon2024安全焦点信息安全技术峰会在北京·民航国际会议中心成功举办。本届大会以“循万变·见未来”为主题,秉承“严谨求实· 唯技至上”的理念宗旨,吸引数百位网安一线专家、智库学者、新锐青年白帽共同出席。 本次大会分为 “聚焦”与“循变”两大会场。其中,聚焦场
继续阅读雷神众测漏洞周报2024.08.19-2024.08.25
雷神众测漏洞周报2024.08.19-2024.08.25 原创 雷神众测 雷神众测 2024-08-27 15:37 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读审计发现FBI的数据存储管理存在重大漏洞
审计发现FBI的数据存储管理存在重大漏洞 关键基础设施安全应急响应中心 2024-08-27 15:37 据The Hacker News消息,美国司法部监察长办公室 (OIG) 的一项审计发现, FBI 在库存管理和处置涉及机密数据的电子存储媒体方面存在「重大漏洞」。 OIG 的审计显示,FBI 对包含敏感但未分类 (SBU) 、存储机密国家安全信息 (NSI) 的电子介质库存管理存在三大主要问
继续阅读上周关注度较高的产品安全漏洞(20240819-20240825)
上周关注度较高的产品安全漏洞(20240819-20240825) 国家互联网应急中心CNCERT 2024-08-27 14:41 一、境外厂商产品漏洞 1、Google Android权限提升漏洞(CNVD-2024-36096)**** Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,攻击者可利用
继续阅读与漏洞管理平台“人机对话”:斗象VMS DSL数据语法引擎
与漏洞管理平台“人机对话”:斗象VMS DSL数据语法引擎 诸葛象 斗象智能安全 2024-08-27 13:30
继续阅读【可用POC已公开】Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞(CVE-2024-38063)安全风险通告
【可用POC已公开】Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞(CVE-2024-38063)安全风险通告 奇安信 CERT 2024-08-27 12:04 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞 漏洞编号 QVD-2024-36353,CVE-2024-38063 公开时间 20
继续阅读High-value Web Application Post-RCE Penetration Research
High-value Web Application Post-RCE Penetration Research Skay 赛博回忆录 2024-08-27 08:51 议题概述 议题分享了高价值系统如邮件服务器、网关设备、文档、企业知识管理与协同平台、单点登录平台、缺陷跟踪平台、IT运维管理软件、域管理团建、代码仓库管理等平台的RCE后利用研究,针对不同应用,通过部署高隐蔽性插件、废弃功能利用等
继续阅读【漏洞复现】智慧校园(某校易)管理系统 FileUpAd.aspx 任意文件上传漏洞
【漏洞复现】智慧校园(某校易)管理系统 FileUpAd.aspx 任意文件上传漏洞 Superhero Nday Poc 2024-08-26 23:33 0x00 免责声明 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如
继续阅读安全热点周报:本周新增两个在野利用漏洞,其中 Jenkins 被用于勒索软件活动
安全热点周报:本周新增两个在野利用漏洞,其中 Jenkins 被用于勒索软件活动 奇安信 CERT 2024-08-26 19:15 安全资讯导视 • 强制性国家标准《汽车整车信息安全技术要求》正式发布 • 九国网络安全机构联合发布《事件日志记录和威胁检测最佳实践指南》 • 国内某上市公司疑遭勒索攻击泄漏2.3TB数据 PART01 漏洞情报 1.Google Chrome V8类型混淆漏洞安全
继续阅读