Google Cloud 依赖混淆漏洞影响数百万台服务器
Google Cloud 依赖混淆漏洞影响数百万台服务器 Ionut Arghire 代码卫士 2024-09-18 16:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Tenable 公司分享了一种依赖混淆攻击方法,本可将 Google Cloud Platform (GCP) 客户暴露到远程代码执行攻击中。 该问题被命名为 “CloudImposer”,本可导致攻击者劫持在谷歌
继续阅读标签: 代码执行
博通修复 VMware vCenter Server 中的严重RCE漏洞
博通修复 VMware vCenter Server 中的严重RCE漏洞 Sergiu Gatlan 代码卫士 2024-09-18 16:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 博通修复了一个严重的 VMware vCenter Server 漏洞,可被攻击者通过网络数据包在未修复服务器上获得远程代码执行能力。 vCenter Server 是 VMware 的 vSpher
继续阅读VMware vCenter Server 堆溢出漏洞(CVE-2024-38812)安全风险通告
VMware vCenter Server 堆溢出漏洞(CVE-2024-38812)安全风险通告 奇安信 CERT 2024-09-18 15:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 VMware vCenter Server 堆溢出漏洞 漏洞编号 QVD-2024-39988,CVE-2024-38812 公开时间 2024-09-17 影响量级 万级 奇安信
继续阅读黑客自 8 月以来频繁利用公开漏洞攻击 WhatsUp Gold
黑客自 8 月以来频繁利用公开漏洞攻击 WhatsUp Gold 胡金鱼 嘶吼专业版 2024-09-18 14:01 黑客一直在利用 Progress Software 的 WhatsUp Gold 网络可用性和性能监控解决方案中两个严重漏洞的公开漏洞代码。 自 8 月 30 日以来,攻击中利用的两个漏洞是 SQL 注入漏洞,跟踪编号为 CVE-2024-6670 和 CVE-2024-6671
继续阅读FortiGate SSLVPN 堆溢出漏洞分析与利用
FortiGate SSLVPN 堆溢出漏洞分析与利用 原创 林昀 山石网科安全技术研究院 2024-09-18 12:15 漏洞信息 处理env参数时存在逻辑缺陷,导致堆溢出写,漏洞利用可以导致任意代码执行。(CVE-2023-27997) 环境搭建 导入虚拟机 打开 vmware 左上角 文件 -> 打开虚拟机 -> 选择 FortGate-VM64.ovf 直接就能运行 fort
继续阅读黑盒测试 | 挖掘.NET程序中的反序列化漏洞
黑盒测试 | 挖掘.NET程序中的反序列化漏洞 白帽子左一 白帽子左一 2024-09-17 12:01 扫码领资料 获网安教程 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 通过不安全反序列化漏洞远程执行代码 img 今天,我将回顾 OWASP 的十大漏洞之一:不安全反序列化,重点是 .NET 应用程序上反序列化漏洞的利用。 📝$ _序列化_与_
继续阅读2024年推出的11个顶级漏洞悬赏项目
2024年推出的11个顶级漏洞悬赏项目 晶颜123 FreeBuf 2024-09-16 09:30 漏洞悬赏计划仍然是2024年网络安全战略的重要组成部分,为组织提供了从各种网络安全专业人员和研究人员那里获得帮助的能力。Bugcrowd、HackerOne、Synack、YesWeHack和integriti等领先的漏洞奖励平台将道德黑客与组织联系起来,为漏洞披露和解决方案提供结构化框架,并为成
继续阅读赏金15000美元的 RCE
赏金15000美元的 RCE 迪哥讲事 2024-09-15 21:30 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ 预祝各位中秋快乐,身体健康! 背景介绍 你是否遇到过明知一个端点可能很容
继续阅读漏洞预警 | 浪潮云财务系统远程代码执行漏洞
漏洞预警 | 浪潮云财务系统远程代码执行漏洞 浅安 浅安安全 2024-09-15 08:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 浪潮云财务系统是一款面向成长型企业及集团企业的智能ERP系统,旨在满足企业多样化的财务管理需求。 0x03 漏洞详情 漏洞类型: 远程代码执行 影响: 执行任意代码 简述: 浪潮云财务系统的Uni
继续阅读CISA 和 Ivanti: Cloud Services Appliance 高危漏洞已遭利用
CISA 和 Ivanti: Cloud Services Appliance 高危漏洞已遭利用 Ryan Naraine 代码卫士 2024-09-14 17:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA 紧急提醒称,Ivanti Cloud Services Appliance (CSA) 中存在一个高危漏洞 (CVE-2024-8190) 且正遭活跃利用。该漏洞被归类
继续阅读【赏金15000美元】通过监控调试模式实现 RCE
【赏金15000美元】通过监控调试模式实现 RCE 原创 骨哥说事 骨哥说事 2024-09-14 16:40 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ 预祝各位中秋快乐,身体健康! 背景
继续阅读Ivanti Endpoint Manager反序列化远程代码执行漏洞(CVE-2024-29847)安全风险通告
Ivanti Endpoint Manager反序列化远程代码执行漏洞(CVE-2024-29847)安全风险通告 奇安信 CERT 2024-09-13 17:40 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Endpoint Manager反序列化远程代码执行漏洞 漏洞编号 QVD-2024-39422,CVE-2024-29847 公开时间 2024-0
继续阅读【漏洞预警】Adobe ColdFusion未授权反序列化漏洞可导致代码执行
【漏洞预警】Adobe ColdFusion未授权反序列化漏洞可导致代码执行 cexlife 飓风网络安全 2024-09-12 23:22 漏洞描述:监测到Adobe ColdFusion发布安全公告,修复了Adobe ColdFusion中的一个反序列化漏洞,该漏洞允许未授权的攻击者通过恶意反序列化数据在服务器上执行任意代码,获取服务器控制权限。修复建议:正式防护方案:厂商已发布补丁修复漏洞,
继续阅读Adobe 修复Acrobat Reader 0day漏洞
Adobe 修复Acrobat Reader 0day漏洞 Lawrence Abrams 代码卫士 2024-09-12 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Acrobat Reader 中存在一个RCE 漏洞 (CVE-2024-41869),其 PoC 已公开。 该漏洞是一个严重的释放后使用 (UAF) 漏洞,可导致在打开一个特殊构造的 PDF 文档时造成远程代
继续阅读原创 Paper | Apache OFBiz SSRF to RCE(CVE-2024-45507) 漏洞分析
原创 Paper | Apache OFBiz SSRF to RCE(CVE-2024-45507) 漏洞分析 原创 404实验室 知道创宇404实验室 2024-09-12 16:26 作者:Sunflower@知道创宇404实验室 时间:2024年9月12日 1 前言 漏洞名称:Apache OFBiz SSRF to RCE 漏洞影响:version < 18.12.16 CVE:C
继续阅读【漏洞预警】Ivanti Endpoint Manager 未授权反序列化漏洞可导致远程代码执行
【漏洞预警】Ivanti Endpoint Manager 未授权反序列化漏洞可导致远程代码执行 cexlife 飓风网络安全 2024-09-11 23:44 漏洞描述: 监测到Ivanti Endpoint Manager应用中存在一个反序列化漏洞,未经授权的攻击者可以通过该漏洞在服务器上执行任意代码,获取服务器控制权限和敏感信息。修复建议:正式防护方案:厂商已发布补丁修复漏洞,用户请尽快更新
继续阅读2024-09微软漏洞通告
2024-09微软漏洞通告 火绒安全 火绒安全 2024-09-11 19:59 微软官方发布了2024年09月的安全更新。本月更新公布了79个漏洞,包含30个特权提升漏洞、23个远程执行代码漏洞、11个信息泄露漏洞、8个拒绝服务漏洞、4个安全功能绕过漏洞、3个身份假冒漏洞,其中7个漏洞级别为“Critical”(高危),71个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/
继续阅读微软9月补丁星期二到底修复了4个还是5个0day?
微软9月补丁星期二到底修复了4个还是5个0day? 综合编译 代码卫士 2024-09-11 18:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本月,微软共修复了79个漏洞,其中7个是“严重”等级,71个是“重要”等级,还有1个是中危等级。虽然和上月相比,漏洞总数差不多;但本次修复的已遭活跃利用的漏洞数量并不寻常。 在这些已修复漏洞中,1个被列为“公开已知”,另外4个是已遭活跃利用
继续阅读Ivanti 修复Endpoint Management 软件中的严重RCE漏洞
Ivanti 修复Endpoint Management 软件中的严重RCE漏洞 Sergiu Gatlan 代码卫士 2024-09-11 18:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 修复了位于 Endpoint Management (EPM) 软件中的一个CVSS 满分漏洞,可导致未认证攻击者在核心服务器上获得远程代码执行权限。 Ivanti EPM 帮助
继续阅读微软2024年9月补丁日重点漏洞安全预警
微软2024年9月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-09-11 17:19 补丁概述 2024 年 9 月 10 日 ,微软官方发布了 9 月安全更新,针对 79 个 Microsoft CVE 进行修复。其中,包含 7 个严重漏洞(Critical)、 71 个重要漏洞(Important)和 1 个中危漏洞(Moderate) 。从漏
继续阅读涉及微软多款产品,4个被利用的0 Day漏洞亟待修复
涉及微软多款产品,4个被利用的0 Day漏洞亟待修复 安全客 2024-09-11 13:32 近日,微软发布了79个修复补丁,其中包括针对几个被攻击者在实际环境中利用的0 Day漏洞(CVE-2024-38217、CVE-2024-38226、CVE-2024-38014、CVE-2024-43461)以及一个导致Windows 10早期CVE修复失效的代码缺陷(CVE-2024-43491)。
继续阅读微软9月补丁日多个产品安全漏洞风险通告:4个在野利用、7个紧急漏洞
微软9月补丁日多个产品安全漏洞风险通告:4个在野利用、7个紧急漏洞 奇安信 CERT 2024-09-11 09:38 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年9月补丁日多个产品安全漏洞 影响产品 Windows Win32k、Windows Installer、Microsoft SharePoint Server 和 Microsoft Publish
继续阅读【漏洞预警】Apache Airflow<2.10.1 远程代码执行漏洞CVE-2024-45034
【漏洞预警】Apache Airflow<2.10.1 远程代码执行漏洞CVE-2024-45034 cexlife 飓风网络安全 2024-09-10 23:13 漏洞描述: Apache Airflow是开源的工作流自动化平台,允许用户以编程方式创建、调度和监控工作流(DAG),受影响版本中,由于允许用户在DAG目录中添加本地设置,具有DAG编辑权限的攻击者可在设置中注入恶意代码,当调度
继续阅读CVE-2024-43044 漏洞分析
CVE-2024-43044 漏洞分析 原创 0x6270 0x6270安全团队 2024-09-10 22:00 1. 引言 Jenkins 是一种广泛用于自动执行构建、测试和部署软件等任务的工具,用于自动执行构建、测试和部署软件等任务。它是许多公司组织开发过程的关键部分。如果攻击者获取对 Jenkins 服务器的访问权限,他们可能会造成严重的损害,例如窃取凭据、污染代码,甚至中断部署。通过访问
继续阅读技术详解 | Divide and Conquer:ZK除法中隐藏的漏洞
技术详解 | Divide and Conquer:ZK除法中隐藏的漏洞 原创 CertiK CertiK 2024-09-10 19:01 ZK的崛起与演变 曾几何时,零知识证明(以下简称ZK)仍然被认为是密码学教科书中的理论概念,至少在传统安全研究中很少被主流社群深入探索。然而在Web3.0领域,区块链技术的迅速发展,用短短几年时间实现了ZK从理论到实践的跨越式进展,一路蓬勃,高歌猛进。 19
继续阅读FreeBSD紧急提醒注意严重漏洞CVE-2024-43102
FreeBSD紧急提醒注意严重漏洞CVE-2024-43102 DO SON 代码卫士 2024-09-10 17:36 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 FreeBSD Project 发布安全公告,提醒注意影响多个操作版本的严重漏洞CVE-2024-43102(CVSS评分10分),可导致恶意人员触发内核恐慌或执行任意代码,可能导致系统遭完全攻陷。 该漏洞位于系统调用 _u
继续阅读FreeBSD umtx释放后重用漏洞(CVE-2024-43102)安全风险通告
FreeBSD umtx释放后重用漏洞(CVE-2024-43102)安全风险通告 奇安信 CERT 2024-09-10 15:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 FreeBSD umtx释放后重用漏洞 漏洞编号 QVD-2024-38841,CVE-2024-43102 公开时间 2024-09-05 影响量级 十万级 奇安信评级 高危 CVSS 3.1分
继续阅读【已复现】Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507)安全风险通告第二次更新
【已复现】Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507)安全风险通告第二次更新 奇安信 CERT 2024-09-10 15:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache OFBiz 服务端请求伪造漏洞 漏洞编号 QVD-2024-38644,CVE-2024-45507 公开时间 2024-09-03 影响量级 万级 奇安信
继续阅读上周关注度较高的产品安全漏洞(20240902-20240908)
上周关注度较高的产品安全漏洞(20240902-20240908) 国家互联网应急中心CNCERT 2024-09-10 14:48 一、境外厂商产品漏洞 1、ZOHO ManageEngine ADAudit Plus SQL注入漏洞(CNVD-2024-37481) ZOHO ManageEngine ADAudit Plus是美国卓豪(ZOHO)公司的用于简化审计、证明合规性和检测威胁。ZO
继续阅读安全热点周报:HAProxy 漏洞 CVE-2024-45506 正在被利用需要紧急修补
安全热点周报:HAProxy 漏洞 CVE-2024-45506 正在被利用需要紧急修补 奇安信 CERT 2024-09-09 18:50 安全资讯导视 • 工信部《电子认证服务管理办法》修订版公开征求意见 • 美国AI医疗公司服务器配置错误,泄露5.3TB心理健康记录 • 网络攻击影响国家金融稳定!伊朗被迫支付超2000万元赎金 PART01 漏洞情报 1.Apache OFBiz远程代码执
继续阅读