雷神众测漏洞周报2023.09.25-2023.10.08
雷神众测漏洞周报2023.09.25-2023.10.08 原创 雷神众测 雷神众测 2023-10-09 15:48 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读标签: 代码执行
思科紧急修复 Emergency Responder 系统中的严重漏洞
思科紧急修复 Emergency Responder 系统中的严重漏洞 THN 代码卫士 2023-10-08 17:51 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 思科发布更新,修复了影响 Emergency Responder 的一个严重漏洞。该漏洞可导致未认证的远程攻击者利用硬编码凭据登录可疑系统。 该漏洞的编号是CVE-2023-20101(CVSS评分9.8),因用于
继续阅读请立即修复!服务器巨头核心固件曝7个高危漏洞
请立即修复!服务器巨头核心固件曝7个高危漏洞 网络安全应急技术国家工程中心 2023-10-08 15:22 超微(Supermicro)底板管理控制器 (BMC) 的智能平台管理接口 (IPMI) 固件中存在多个安全漏洞,这些漏洞可能导致权限升级,并在受影响的系统上执行恶意代码。 据Binarly称,从CVE-2023-40284到CVE-2023-40290,这七个漏洞的危险系数不等,可使未经
继续阅读【安全圈】超微公司的 BMC 固件存在多个高危漏洞,目前并未发现被利用
【安全圈】超微公司的 BMC 固件存在多个高危漏洞,目前并未发现被利用 安全圈 2023-10-07 19:01 关键词 安全漏洞 超微(Supermicro )底板管理控制器 (BMC) 的智能平台管理接口 (IPMI) 固件中存在多个安全漏洞,这些漏洞可能导致权限升级,并在受影响的系统上执行恶意代码。 据Binarly称,从CVE-2023-40284到CVE-2023-40290,这七个漏洞
继续阅读苹果再次紧急修复两个0day漏洞
苹果再次紧急修复两个0day漏洞 Sergiu Gatlan 代码卫士 2023-10-07 15:02 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 苹果在上周三紧急修复了两个已遭利用的0day 漏洞(CVE-2023-42824和CVE-2023-5217)。 苹果公司发布安全公告指出,“苹果注意到报告称该漏洞被用于 iOS 16.6之前的版本。”第一个漏洞CVE-2023-4
继续阅读TorchServe 服务端请求伪造漏洞(CVE-2023-43654)安全风险通告
TorchServe 服务端请求伪造漏洞(CVE-2023-43654)安全风险通告 奇安信 CERT 2023-10-07 13:44 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 TorchServe 服务端请求伪造漏洞 漏洞编号 QVD-2023-23201、CVE-2023-43654 公开时间 2023-09-28 影响对象数量级 万级 奇安信评级 高危 CVSS
继续阅读【安全圈】谷歌为 libwebp 漏洞分配新的 CVE 编号,CVSS 评分 10 分。
【安全圈】谷歌为 libwebp 漏洞分配新的 CVE 编号,CVSS 评分 10 分。 安全圈 2023-10-05 19:00 关键词 漏洞 谷歌为 libwebp 漏洞分配新的 CVE 编号,CVSS 评分 10 分。 Libwebp 是一个用于处理 WebP 格式图像编解码的开源库。9 月 6 日,苹果公司安全工程和架构(SEAR)部门和加拿大多伦多大学研究人员在 libwebp 库中发现
继续阅读关于libwebp开源库存在远程代码执行漏洞的安全公告
关于libwebp开源库存在远程代码执行漏洞的安全公告 网络安全应急技术国家工程中心 2023-09-29 11:08 安全公告编号:CNTA-2023-0016 2023年9月27日,国家信息安全漏洞共享平台(CNVD)收录了libwebp开源库远程代码执行漏洞( CNVD-2023-73247 ,对应CVE-2023-5129、CVE-2023-4863)。攻击者利用该漏洞可以在目标主机设备执
继续阅读CNCERT:关于libwebp开源库存在远程代码执行漏洞的安全公告
CNCERT:关于libwebp开源库存在远程代码执行漏洞的安全公告 安全内参 2023-09-28 19:58 安全公告编号:CNTA-2023-0016 2023年9月27日,国家信息安全漏洞共享平台(CNVD)收录了libwebp开源库远程代码执行漏洞( CNVD-2023-73247 ,对应CVE-2023-5129、CVE-2023-4863)。攻击者利用该漏洞可以在目标主机设备执行任意
继续阅读风险提示|JumpServer 密码重置漏洞(CVE-2023-42820)
风险提示|JumpServer 密码重置漏洞(CVE-2023-42820) 长亭安全应急响应中心 2023-09-28 18:29 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。近期,长亭科技监测到JumpServer官方发布了新版本修复了一处重置密码验证码被预测导致账号劫持漏洞(CVE-2023-42820)。长亭应急团队经过分析后发现该漏洞是利用相关
继续阅读Google Chrome libvpx 堆缓冲区溢出漏洞(CVE-2023-5217)安全风险通告
Google Chrome libvpx 堆缓冲区溢出漏洞(CVE-2023-5217)安全风险通告 奇安信 CERT 2023-09-28 18:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome libvpx 堆缓冲区溢出漏洞 漏洞编号 QVD-2023-23147、CVE-2023-5217 公开时间 2023-09-28 影响对象数量级 千
继续阅读【已复现】Google libwebp 远程代码执行漏洞(CVE-2023-4863)安全风险通告第二次更新
【已复现】Google libwebp 远程代码执行漏洞(CVE-2023-4863)安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-09-28 18:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google libwebp 远程代码执行漏洞 漏洞编号 QVD-2023-21923、CVE-2023-4863 公开时间 2023-09-11
继续阅读libwebp图像库漏洞已在攻击中被利用,CVSS评级满分
libwebp图像库漏洞已在攻击中被利用,CVSS评级满分 看雪学苑 看雪学苑 2023-09-28 17:59 近日,Google为libwebp安全漏洞分配了一个新的CVE ID(CVE-2023-5129),该漏洞获得了最高的10.0严重性评级,可能造成严重后果,如崩溃、任意代码执行以及未经授权访问敏感信息。 起初,谷歌将此漏洞披露为Chrome漏洞,编号为CVE-2023-4863,涉及W
继续阅读又一个基础组件满分漏洞曝光!曾因披露不当引发全球安全社区混乱
又一个基础组件满分漏洞曝光!曾因披露不当引发全球安全社区混乱 关键基础设施安全应急响应中心 2023-09-28 16:04 据不完全统计,使用libwebp组件的下游软件可能超过百万款,或将使其成为下一个Log4Shell漏洞。 9月27日消息,谷歌为近期热议的libwebp漏洞申请了独立漏洞编号CVE-2023-5129,终结了安全社区 的混乱讨论。 该漏洞此前曾被攻击者利用发动零日攻击,并在
继续阅读CVE-2023-5217:Google Chrome libvpx堆缓冲区溢出漏洞通告
CVE-2023-5217:Google Chrome libvpx堆缓冲区溢出漏洞通告 原创 360CERT 三六零CERT 2023-09-28 15:36 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-438 报告来源:360CERT 报告作者:360CERT 更新日期:2023-09-28 1 漏洞简述 2023年09月28日,360CERT监测发现Google发布了Ch
继续阅读谷歌紧急修复已遭活跃利用的新 0day
谷歌紧急修复已遭活跃利用的新 0day Sergiu Gatlan 代码卫士 2023-09-28 13:25 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 谷歌今天紧急修复了2023年以来第五个已遭利用的新 0day (CVE-2023-5217)。 谷歌发布安全公告指出,“谷歌发现CVE-2023-5217的一个利用已在野出现。”该漏洞已在Google Chrome 117.0
继续阅读一次绕过防火墙获取RCE以及提权到root权限的渗透过程
一次绕过防火墙获取RCE以及提权到root权限的渗透过程 迪哥讲事 2023-09-28 12:23 本文是关于 Apache struts2 CVE-2013-2251是由于导致执行远程命令的影响而被高度利用的漏洞。简而言之, 通过操纵以“action:”/”redirect:”/”redirectAction:”为前缀的参数引入的漏洞,允许在使用<Struts 2.3.15作为框架的J
继续阅读G.O.S.S.I.P 阅读推荐 2023-09-27 Android 在野漏洞 Exploit 分析
G.O.S.S.I.P 阅读推荐 2023-09-27 Android 在野漏洞 Exploit 分析 @Shanghzi Xu 安全研究GoSSIP 2023-09-27 20:09 提醒一下大家,今天推荐的内容,部分是国内读者不应该看的——《中华人民共和国计算机信息网络国际联网管理暂行规定》第六条规定“计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和
继续阅读Google libwebp 代码执行漏洞(CVE-2023-5129)安全风险通告
Google libwebp 代码执行漏洞(CVE-2023-5129)安全风险通告 奇安信 CERT 2023-09-27 17:59 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google libwebp 代码执行漏洞 漏洞编号 QVD-2023-22832、CVE-2023-5129 公开时间 2023-09-25 影响对象数量级 亿级 奇安信评级 高危 CVSS
继续阅读JumpServer 多个高危漏洞安全风险通告
JumpServer 多个高危漏洞安全风险通告 QAX CERT 奇安信 CERT 2023-09-27 17:59 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 JumpServer 多个高危漏洞 漏洞编号 CVE-2023-42820、CVE-2023-43650、CVE-2023-42819、CVE-2023-43651 公开时间 2023-09-27 影响对象数量级
继续阅读风险提示|泛微 e-office 远程代码执行漏洞
风险提示|泛微 e-office 远程代码执行漏洞 长亭安全应急响应中心 2023-09-26 21:26 泛微e-office是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。近期,长亭科技监测到泛微官方发布了新补丁修复了一处远程代码执行漏洞。长亭应急团队经过分析后发现该漏洞是通过文件上传配合文件包含实现远程代码执行。为了方便用户排查受影响的资产,已经根据漏
继续阅读雷神众测漏洞周报2023.09.18-2023.09.24
雷神众测漏洞周报2023.09.18-2023.09.24 原创 雷神众测 雷神众测 2023-09-26 15:06 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读苹果紧急修复已遭利用的3个0day漏洞
苹果紧急修复已遭利用的3个0day漏洞 Sergiu Gatlan 代码卫士 2023-09-22 17:06 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 苹果紧急修复了已用于攻击 iPhone 和 Mac 用户的三个新0day,将今年已修复的 0day 漏洞拉升至16个。 在这3个新 0day 漏洞中,其中2个位于 WebKit 浏览器引擎 (CVE-2023-41993) 和
继续阅读Atlassian 安全更新修复多个高危漏洞
Atlassian 安全更新修复多个高危漏洞 Ionut Arghire 代码卫士 2023-09-22 17:06 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周,Atlassian 公司修复了影响 Jira、Confluence、Bitbucket 和 Bamboo 产品的四个高危漏洞。 其中,最严重的漏洞是CVE-2023-22513(CVSS评分为8.5),是位于 Bi
继续阅读【漏洞通告】用友 U8Cloud ServiceDispatcher 反序列化漏洞
【漏洞通告】用友 U8Cloud ServiceDispatcher 反序列化漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-09-22 16:40 漏洞名称: 用友 U8Cloud ServiceDispatcher 反序列化漏洞 组件名称: 用友 U8Cloud 影响范围: 用友 U8Cloud所有版本 漏洞类型: 未授权访问 利用条件: 1、用户认证:否 2、前置条件:默认配置 3
继续阅读Apple 多产品多个高危漏洞安全风险通告
Apple 多产品多个高危漏洞安全风险通告 奇安信 CERT 2023-09-22 14:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apple 多产品多个高危漏洞 漏洞编号 CVE-2023-41991、CVE-2023-41992、CVE-2023-41993 公开时间 2023-09-21 影响对象数量级 千万级 奇安信评级 高危 利用可能性 高 POC状态 未
继续阅读CVE-2023-4998:GitLab 身份认证绕过漏洞通告
CVE-2023-4998:GitLab 身份认证绕过漏洞通告 原创 360CERT 三六零CERT 2023-09-21 18:17 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-423 报告来源:360CERT 报告作者:360CERT 更新日期:2023-09-21 1 漏洞简述 2023年09月21日,360CERT监测发现GitLab发布了CE/EE的风险通告,漏洞编号
继续阅读虚假WinRAR PoC exp 释放恶意软件VenomRAT
虚假WinRAR PoC exp 释放恶意软件VenomRAT Bill Toulas 代码卫士 2023-09-21 18:11 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 一名黑客正在GitHub 上传播虚假的 WinRAR 最新漏洞 PoC,试图通过恶意软件VenomRAT 来感染下载工具。 Palo Alto Networks 公司Unit 42 研究团队发现了该虚假利用
继续阅读Nagios XI 网络监控软件中存在多个严重漏洞
Nagios XI 网络监控软件中存在多个严重漏洞 THN 代码卫士 2023-09-21 18:11 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Nagios XI 网络监控软件中存在多个漏洞,可导致提权和信息泄露。 这四个漏洞的编号从CVE-2023-40931到CVE-2023-40934,影响 Nagios XI 5.11.1及以下版本。研究员在2023年8月4日报送这些
继续阅读手慢会被删,这两个重磅企业被0day攻击
手慢会被删,这两个重磅企业被0day攻击 原创 ThreatBook 微步在线 2023-09-21 11:01 穷则社工钓鱼,达则0day炸场。你要还抱着“谁舍得用0day打我“这种幻想的防守方,可能在第一天就被薅到秃顶。 攻击者有三宝:供应链、0day和(社工)钓鱼。但供应链攻击最后部分也落到0day,所以在突破边界方面,攻击者最常用手段大部分时候其实只有两个:社工钓鱼和0day。 宣称能检测
继续阅读