Fortinet 两款产品FortiTester和FortiADC中存在高危命令注入漏洞 Ionut Arghire 代码卫士 2023-01-05 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,网络安全解决方案提供商Fortinet 发布了产品中多个漏洞的补丁,并将FortiADC中的高危命令注入漏洞告知客户。该漏洞的编号是CVE-2022-39947,位于FortiA
继续阅读Zoho:立即修复这个严重的ManageEngine漏洞! Sergiu Gatlan 代码卫士 2023-01-05 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Zoho 督促客户修复影响多款ManageEngine产品的一个严重漏洞。本周一,Zoho 公司提醒称,“该安全公告是为了告知大家,我们检测到了一个严重的安全漏洞。” 该漏洞的编号是CVE-2022-47523,是
继续阅读丰田、奔驰、宝马等API漏洞暴露车主个人信息 Bill Toulas 代码卫士 2023-01-05 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究人员发现,近20家汽车制造商和服务中包含API漏洞,可使黑客执行恶意活动如解锁车门、启动汽车并追踪车辆,暴露客户的个人信息。这些漏洞影响多家知名车厂,包括宝马、劳斯莱斯、奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英
继续阅读Notional Double Counting Free Collateral 分析和复现 ghostmazeW 看雪学苑 2023-01-05 18:03 本文为看雪论坛优秀文章 看雪论坛作者ID:ghostmazeW Notional( https://notional.finance/portfolio/ ) 简单说来就是一个固定周期,固定利率的借贷池,主要支持Borrow,lend以及P
继续阅读Synology 修复严重的VPN路由器漏洞,CVSS评分10分 Sergiu Gatlan 代码卫士 2023-01-04 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 台湾NAS厂商Synology 修复了一个CVSS评分为10分的严重漏洞,影响配置为VPN服务器运行的路由器。 VPN Plus Server 是一款虚拟的私有网络服务器,可使管理员将Synology路由器设
继续阅读研究人员发现Google 智能扬声器中的多个漏洞,获奖超10万美元 Ionut Arghire 代码卫士 2023-01-04 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员 Matt Kunze 表示,谷歌因他负责任地提交了Google Home Mini智能扬声器中的多个漏洞,而获得10.7万美元的奖励。 Kunze 表示,这些漏洞可被在无线范围内的攻击者在设备上
继续阅读上周关注度较高的产品安全漏洞(20221226-20230101) 国家互联网应急中心CNCERT 2023-01-04 16:43 一、境外厂商产品漏洞 1、IBM Cognos Analytics服务器端请求伪造漏洞 IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。IBM Cog
继续阅读Apache Kylin多个命令注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-03 18:53 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Apache Kylin 是一个开源的、分布式的分析型数据仓库,提供Hadoop或Spark之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 e
继续阅读Google Home智能音箱漏洞可监听用户会话 关键基础设施安全应急响应中心 2023-01-03 15:48 漏洞概述 2016年,谷歌发布Google Home智能音箱产品。2021年,安全研究人员Matt在Google Home智能音箱设备中发现了一个安全漏洞,攻击者利用该漏洞可以在受害者设备中安装后门装好,并通过互联网远程发送命令给受害者设备、访问麦克风数据量、在受害者网络中发起任意HT
继续阅读【处置手册】Exchange Server OWASSRF漏洞(CVE-2022-41080/CVE-2022-41082) 原创 NS-CERT 绿盟科技CERT 2022-12-29 19:43 通告编号:NS-2022-0034 2022-12-29 TAG: Exchange Server、OWA、任意代码执行、SSRF 漏洞危害: 攻击者利用此漏洞可实现任意命令执行 版本: 1.0 1
继续阅读12月API漏洞及相关资讯一览 星阑科技 2022-12-29 15:07 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 12月份的一些API安全漏洞报告和资讯 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 Zendesk Explore API中的SQL注入漏洞 漏洞详情:Zendesk Explore 是
继续阅读重磅福利 | X情报社区全面开放漏洞情报能力! 微步在线 2022-12-28 19:21 漏洞,是入侵目标最有效的方法之一。 因此,在如今漏洞满天飞的攻防形势下,只有及时掌握最关键/活跃的漏洞情报信息,才能不陷于被动 。 最近流行的漏洞是什么? 这些漏洞利用有什么特征? 谁在用这些漏洞搞事情? 这些漏洞的解决方案是什么? …… …… 你都知道吗? 为了帮助大家快速找到答案,快速应对漏洞威胁,
继续阅读CVE-2022-41966:XStream 拒绝服务漏洞通告 原创 360CERT 三六零CERT 2022-12-28 18:13 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-122801 报告来源:360CERT 报告作者:360CERT 更新日期:2022-12-28 1 漏洞简述 2022年12月28日,360CERT监测发现XStream官方发布漏洞通告,漏洞编号为CVE-
继续阅读上周关注度较高的产品安全漏洞(20221219-20221225) 国家互联网应急中心CNCERT 2022-12-28 16:33 一、境外厂商产品漏洞 1、Siemens Teamcenter Visualization和JT2Go越界写入漏洞 Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。Siemens JT2GO是一款J
继续阅读【已复现】Microsoft Exchange Server “OWASSRF” 漏洞安全风险通告 代码卫士 2022-12-26 17:38 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Microsoft Exchange Server是微软公司的一套电子邮件服务组件。 除传统的电子邮件的存取、储存、转发功能外,在新版
继续阅读CVE-2022-47939:Linux Kernel ksmbd UAF远程代码执行漏洞通告 原创 360CERT 三六零CERT 2022-12-26 17:16 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-122602 报告来源:360CERT 报告作者:360CERT 更新日期:2022-12-26 1 事件简述 2022年12月26日,360CERT监测发现Linux Ker
继续阅读macOS漏洞可绕过安全检查 关键基础设施安全应急响应中心 2022-12-26 15:35 微软研究人员在macOS中发现一个安全漏洞,攻击者利用该漏洞可以实现安全检查绕过。 Gatekeeper是macOS中的一个安全特征,可以自动检查从互联网下载的Mac APP是经过公证的还是开发者自签名的,并要求用户在启动前进行确认或发布关于APP不可信的预警消息。 微软首席安全研究员Jonathan B
继续阅读雷神众测漏洞周报2022.12.19-2022.12.25 原创 雷神众测 雷神众测 2022-12-26 15:10 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读CVE-2017-14627栈溢出漏洞及exploit的调试与分析 DriverUnload 看雪学苑 2022-12-19 18:00 本文为看雪论坛优秀文章 看雪论坛作者ID:DriverUnload 纸上得来终觉浅,绝知此事要躬行 –陆游 最近 《漏洞战争 》快看完了,也跟着书把漏洞分析了一遍。虽然也有自己的思考,但绝大部分都是复刻书中的操作。以我浅薄的知识,甚至有的时候无法理
继续阅读2022-12 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2022-12-14 19:23 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-121401 报告来源:360CERT 报告作者:360CERT 更新日期:2022-12-14 1 漏洞简述 2022年12月14日,360CERT监测发现微软发布了2022年12月份安全更新,事件等级:严重,事件评分
继续阅读【公益译文】了解、预防、修复:开源漏洞讨论框架 小蜜蜂翻译组 绿盟科技研究通讯 2022-12-13 20:58 全文共4940字,阅读大约需要15分钟 2021年2月3日,谷歌安全博客(Google Security Blog)发表题为《了解、预防、修复:开源漏洞讨论框架》的文章,旨在解决开源软件漏洞问题,本文翻译了该框架内容,供广大读者参考。 一 执行摘要 开源软件的安全性引起了业界关注,这并
继续阅读【技术分享】针对比特币钱包App的三种漏洞攻击与对策 原创 CDra90n 安全客 2022-12-12 10:00 如今,比特币是 最 受欢迎的加密货币。 随着智能手机和高速移动互联网的普及,越来越多的 用 户 开始在智能手机上访问其比特币钱包。 用户可以在智能手机上下载并安装各种比特币钱包应用程序(例如Coinbase,Luno,Bitcoin Wallet),并可以随时随地访问其比特币钱包。
继续阅读【漏洞通告】ThinkPHP远程代码执行漏洞 NS-CERT 绿盟科技CERT 2022-12-10 13:13 通告编号:NS-2022-0030 2022-12-10 TAG: ThinkPHP、远程代码执行 漏洞危害: 攻击者利用此漏洞可实现任意执行命令 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到网上公开披露了Thinkphp远程代码执行漏洞的利用细节。由于Thinkphp
继续阅读ThinkPHP开发框架曝高危漏洞,需紧急修复! 原创 微步情报局 微步在线研究响应中心 2022-12-09 16:40 01 漏洞概况 微步在线通过“X漏洞奖励计划”获取到ThinkPHP开发框架命令执行漏洞的0day相关漏洞情报,攻击者可以通过此漏洞实现任意命令执行,导致系统被攻击与控制。该漏洞已在9月25日的V6.0.14被修复。ThinkPHP 是一个免费开源的,快速、简单的面向对象的
继续阅读CVE-2022-23093:ping漏洞影响FreeBSD系统 ang010ela 嘶吼专业版 2022-12-09 12:00 研究人员在Ping服务中发现一个栈缓存溢出漏洞,攻击者利用该漏洞可接管FreeBSD操作系统。 Ping是使用ICMP消息测试远程主机可达性的程序。为发送ICMP消息,ping使用原始socket,因此需要较高的权限。为使非特权用户能够使用ping功能,安装了setu
继续阅读上周关注度较高的产品安全漏洞(20221128-20221204) 国家互联网应急中心CNCERT 2022-12-07 17:16 一、境外厂商产品漏洞 1、QEMU拒绝服务漏洞(CNVD-2022-84162) QEMU 是法国法布里斯-贝拉(Fabrice Bellard)个人开发者的一套模拟处理器软件。该软件具有速度快、跨平台等特点。QEMU 存在拒绝服务漏洞,该漏洞源于QEMU网卡模拟器
继续阅读AMD、ARM、HPE、戴尔等15家服务器厂商产品曝出严重漏洞 网络安全应急技术国家工程中心 2022-12-07 14:33 全球大量云计算和数据中心正面临一次严峻的服务器供应链安全危机。 American Megatrends的服务器远程管理控制软件MegaRAC BMC近日曝出多个严重漏洞,攻击者可以在特定条件下执行代码、绕过身份验证和执行用户枚举。 据悉,这些漏洞是Eclypsium安全研
继续阅读【漏洞预警】Google Chrome V8类型混淆漏洞 安识科技 SecPulse安全脉搏 2022-12-07 11:55 1. 通告信息 近日,安识科技 A-Team团队监测到Google Chrome V8类型混淆漏洞的细节 , 漏洞编号为 CVE-2022-4262,这些漏洞可能导致浏览器崩溃或执行任意代码。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免
继续阅读Cacti命令执行漏洞 (CVE-2022-46169) 安全通告 安全内参 2022-12-06 20:25 Cacti项目是一个开源平台,可为用户提供强大且可扩展的操作监控和故障管理框架。 近日,奇安信CERT监测到Cacti存在命令执行漏洞(CVE-2022-46169),攻击者可通过构造恶意请求在无需登录的情况下向函数中注入命令,达到命令执行的目的。鉴于此漏洞影响范围较大,建议客户尽快做好
继续阅读能写漏洞PoC?网红人工智能ChatGPT的十大妙用 安全内参 2022-12-06 20:25 关注我们 带你读懂网络安全 2022年最后一个季度人工智能内容生成技术取得了可怕的进步!从精确发现代码中的安全漏洞到随心所欲地写一篇思路缜密论据详实的文章,或开发一段完整的功能代码块,OpenAI最近推出的ChatGPT测试版本彻底改变了游戏规则,它展现出的高成熟度的文本表达和代码实现能力让无数科技大
继续阅读