Anker Eufy 智能设备系统易受严重的RCE漏洞影响
Anker Eufy 智能设备系统易受严重的RCE漏洞影响 Bill Toulas 代码卫士 2022-06-17 17:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Anker公司的 Eufy Homebase 2 智能家居摄像头系统易受三个漏洞影响,其中一个是严重的RCE漏洞。 Homebase 2 是Anker Eufy 智能家庭设备的视频存储和网络网关。这些设备包括视频门铃、
继续阅读标签: 代码
Anker Eufy 智能设备系统易受严重的RCE漏洞影响
Anker Eufy 智能设备系统易受严重的RCE漏洞影响 Bill Toulas 代码卫士 2022-06-17 17:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Anker公司的 Eufy Homebase 2 智能家居摄像头系统易受三个漏洞影响,其中一个是严重的RCE漏洞。 Homebase 2 是Anker Eufy 智能家庭设备的视频存储和网络网关。这些设备包括视频门铃、
继续阅读热门Fastjson 中出现高危RCE漏洞
热门Fastjson 中出现高危RCE漏洞 Ravie Lakshmanan 代码卫士 2022-06-17 17:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员详述了最近修复的位于热门 Fastjson 库中的一个高危漏洞(CVE-2022-25845),它可被用于执行远程代码。 该漏洞和受支持的特性 “AutoType” 中的不受信任的反序列化有关。项目维护人员已于
继续阅读黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike
黑客利用已存在三年之久的 Telerik 漏洞部署 Cobalt Strike Bill Toulas 代码卫士 2022-06-17 17:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁组织 “Blue Mockingbird” 利用 Telerik UI 漏洞 (CVE-2019-18935) 攻陷服务器,安装 Cobalt Strike 信标并通过劫持系统资源挖掘门罗币。
继续阅读腾讯安全威胁情报中心推出2022年5月必修安全漏洞清单
腾讯安全威胁情报中心推出2022年5月必修安全漏洞清单 腾讯安全威胁情报中心 2022-06-17 17:31 长按二维码关注 腾讯安全威胁情报中心 腾讯安全攻防团队A&D Team 腾讯安全 企业安全运营团队 腾讯安全威胁情报中心推出2022年5月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,不修复就意味着黑客攻击入侵后会造成十分严重的后果。 腾讯
继续阅读如何制定一个可落地的漏洞补丁管理策略?
如何制定一个可落地的漏洞补丁管理策略? 安全牛 2022-06-17 11:20 凡事难得尽善尽美,软件程序更是如此。安全厂商发布的众多软件和固件中不可避免地会存在各种安全漏洞和功能缺陷。但如果企业用户能够采取合适的策略和机制,就可以解决这些缺陷可能造成的安全问题。企业如果采取正确有效的补丁管理策略,不仅可确保业务软件和底层基础架构没有错误和漏洞,还可以通过这种循序渐进的策略降低大型的网络威胁风险
继续阅读【已复现】Windows SMB拒绝服务漏洞(CVE-2022-32230)安全风险通告
【已复现】Windows SMB拒绝服务漏洞(CVE-2022-32230)安全风险通告 原创 QAX CERT 奇安信 CERT 2022-06-16 18:16 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到Windows SMB 拒绝服务漏洞细节及PoC在互联网公开,Windows SMB在处理请求的过程中存在空指
继续阅读思科安全邮件设备现严重漏洞,认证机制可被绕过
思科安全邮件设备现严重漏洞,认证机制可被绕过 Sergiu Gatlan 代码卫士 2022-06-16 17:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,思科通知客户修复一个严重漏洞(CVE-2022-20798),它可导致攻击者在非默认配置下,绕过认证并登录到思科邮件网关设备的web管理接口。 该漏洞存在于虚拟和硬件思科ESA和思科Secure Email 和 Web M
继续阅读新型侧信道漏洞 Hertzbleed 影响所有AMD 和 Intel CPU
新型侧信道漏洞 Hertzbleed 影响所有AMD 和 Intel CPU Ravie Lakshmanan 代码卫士 2022-06-16 17:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 现代Intel 和AMD处理器中出现一个新漏洞,可导致远程攻击者通过功率侧信道攻击窃取加密密钥。该漏洞被研究员命名为 “Hertzbleed”。 研究人员指出,该漏洞根植于热功耗管理特性动态
继续阅读【技术干货】CVE-2022-26134 Confluence OGNL RCE 漏洞分析
【技术干货】CVE-2022-26134 Confluence OGNL RCE 漏洞分析 星阑科技 2022-06-16 12:06 xxhzz @PortalLab实验室 漏洞描述 最近 Confluence 官方通报了一个严重漏洞 CVE-2022-26134,远程攻击者在未经身份验证的情况下,可构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执
继续阅读【技术分享】Linux kernel 4.20 BPF 整数溢出-堆溢出漏洞及其利用
【技术分享】Linux kernel 4.20 BPF 整数溢出-堆溢出漏洞及其利用 原创 ww9210 安全客 2022-06-16 10:02 ****内容简介 我们可以100%稳定触发这个漏洞,并且可以利用它来进行本地提权获得root权限。这篇文章主要分析漏洞的成因以及基本漏洞利用方法。 漏洞板块 BPF(Berkeley Packet Filter)模块[1]是用于支持用户态自定义包过滤方
继续阅读CVE-2018-15664:符号链接替换漏洞
CVE-2018-15664:符号链接替换漏洞 ZxyNull 看雪学苑 2022-06-15 18:04 本文为看雪论坛优秀文章看雪论坛作者ID:ZxyNull 来自SUSE的安全专家Aleksa Sarai公布了编号为CVE-2018-15664的docker相关高危安全漏洞,该漏洞的CVSS评分为8.7,影响面涵盖所有docker 18.06.0-ce-rc2之前发行版本,该漏洞的根因是使用
继续阅读Travis CI API 漏洞未修复,可暴露用户机密访问令牌引发供应链攻击
Travis CI API 漏洞未修复,可暴露用户机密访问令牌引发供应链攻击 Ravie Lakshmanan 代码卫士 2022-06-15 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速
继续阅读2022-06 补丁日: 微软多个漏洞安全更新通告
2022-06 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2022-06-15 17:03 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-061501 报告来源:360CERT 报告作者:360CERT 更新日期:2022-06-15 1 漏洞简述 2022年06月14日,微软发布了2022年6月份安全更新,事件等级:严重,事件评分:8.8。 此次安全更新
继续阅读2022-06微软漏洞通告
2022-06微软漏洞通告 火绒安全 2022-06-15 15:14 点击蓝字 关注我们 微软官方发布了2022年06月的安全更新。本月更新公布了61个漏洞,包含28个远程执行代码漏洞、12个特权提升漏洞、11个信息泄露漏洞、3个拒绝服务漏洞、1个功能绕过以及1个身份假冒漏洞,其中3个漏洞级别为“Critical”(高危),53个为“Important”(严重)。建议用户及时使用火绒安全软件(个
继续阅读微软2022年6月补丁日多产品安全漏洞风险通告
微软2022年6月补丁日多产品安全漏洞风险通告 原创 QAX CERT 奇安信 CERT 2022-06-15 10:08 奇安信CERT 致力于 第一时间为企业级用户提供安全风险 通告 和 有效 解决方案。 通告摘要 本月,微软共发布了56个漏洞的补丁程序,修复了HEVC Video Extensions、Microsoft SharePoint Server Subscription Edit
继续阅读万字长文详解CVE-2014-1767提权漏洞分析与利用(x86x64)
万字长文详解CVE-2014-1767提权漏洞分析与利用(x86x64) yumoqaq 看雪学苑 2022-06-14 18:11 本文为看雪论坛精华文章看雪论坛作者ID:yumoqaq 这是我第一个研究的漏洞,虽然已经有相当多的资料与文章对这个漏洞进行了分析,但是大部分都是(ctrlCV你懂的),参考了前人的资料,给出了还不如前人的分析文章,让我这个纯纯的新手感觉到困难重重。所以我想把我的分析
继续阅读【漏洞预警】PHP远程代码执行
【漏洞预警】PHP远程代码执行 锦行科技 2022-06-14 16:30 前言 PHP(全称:PHP:Hypertext Preprocessor,即“PHP:超文本预处理器”)是一种开源的通用计算机脚本语言,尤其适用于网络开发并可嵌入HTML中使用。 2022年6月9日,PHP发布安全公告,修复了两个存在于PHP中的远程代码执行漏洞。 漏洞名称: PHP 多个远程执行代码漏洞 组件名称: PH
继续阅读CISA公布新漏洞,可以远程解锁任意门锁
CISA公布新漏洞,可以远程解锁任意门锁 关键基础设施安全应急响应中心 2022-06-14 14:52 专家发现 HID Mercury Access Controller 中的漏洞可被攻击者利用来远程解锁门。 安全公司 Trellix 的研究人员在 HID Mercury Access Controller 中发现了一些严重漏洞,攻击者可以利用这些漏洞远程解锁门。 这些缺陷影响了 LenelS
继续阅读上周关注度较高的产品安全漏洞(20220606-20220612)
上周关注度较高的产品安全漏洞(20220606-20220612) 国家互联网应急中心CNCERT 2022-06-14 14:14 一、境外厂商产品漏洞 1、Simple Real Estate Portal System SQL注入漏洞 Simple Real Estate Portal System是Carlo Montero个人开发者的一个房地产门户系统。Simple Real Estat
继续阅读【已复现】Linux Kernel eBPF权限提升漏洞 (CVE-2022-23222)安全风险通告
【已复现】Linux Kernel eBPF权限提升漏洞 (CVE-2022-23222)安全风险通告 原创 QAX CERT 奇安信 CERT 2022-06-13 19:52 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到Linux Kernel eBPF权限提升漏洞(CVE-2022-23222) 的POC 在互联
继续阅读两个严重的富士通云存储漏洞可用于破坏虚拟备份
两个严重的富士通云存储漏洞可用于破坏虚拟备份 Jessica Haworth 代码卫士 2022-06-13 18:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 富士通 (Fujitsu) 云存储系统的 web 接口中存在两个“严重”级别的漏洞(CVSS 评分9.8,CVE编号尚未分配完成),可导致未认证攻击者读、写并破坏备份文件。 这两个漏洞位于企业级的富士通 Eternus CS
继续阅读热门工业访问控制系统中存在8个严重0day
热门工业访问控制系统中存在8个严重0day Ravie Lakshmanan 代码卫士 2022-06-13 18:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Carrier 的 LenelS2 HID Mercury 访问控制系统中存在多达8个0day 漏洞。该系统广泛应用于医疗、教育、交通和政府机构。 Trellix 公司的安全研究员 Steve Povolny 和 Sam Q
继续阅读cgibin中与upnp协议有关的一些漏洞分析与复现
cgibin中与upnp协议有关的一些漏洞分析与复现 原创 winmt 看雪学苑 2022-06-13 18:01 本文为看雪论坛精华文章看雪论坛作者ID:winmt 一 前言 UPNP协议 UPNP,全称为:Universal Plug and Play,中文为:通用即插即用,是一套基于TCP/IP、UDP和HTTP的网络协议。 简单来说,就和它的名字一样,UPNP的目的就是为了在某个设备接入网
继续阅读ThinkPHP系列漏洞分析-2.x任意代码执行
ThinkPHP系列漏洞分析-2.x任意代码执行 原创 Fariy 火线Zone 2022-06-13 18:00 文章首发于: 火线Zone社区(https://zone.huoxian.cn/) 环境部署 使用vulhub进行部署 https://vulhub.org/,具体参考百度即可。 启动环境 访问环境 漏洞利用条件 thinkphp2.x或ThinkPHP3.0[因3.0版本Lite模
继续阅读雷神众测漏洞周报2022.06.06-2022.06.12-4
雷神众测漏洞周报2022.06.06-2022.06.12-4 雷神众测 雷神众测 2022-06-13 15:30 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意
继续阅读MIT爆出苹果M1芯片重大漏洞:补丁无法修复
MIT爆出苹果M1芯片重大漏洞:补丁无法修复 安全内参 2022-06-13 12:14 关注我们 带你读懂网络安全 新漏洞突破了苹果 M1 芯片的最后一道安全线 。 2020 年 11 月,苹果 M1 处理器正式发布,凭借其优越性能和低功耗表现一度引发轰动。 自两年前推出以来,还没有发生过针对 M1 芯片的严重攻击,这表明其安全系统运行总体良好,其中指针身份验证机制(Pointer Authen
继续阅读【漏洞通告】PHP 远程代码执行漏洞(CVE-2022-31625、CVE-2022-31626)
【漏洞通告】PHP 远程代码执行漏洞(CVE-2022-31625、CVE-2022-31626) 青藤云安全 2022-06-12 08:17 1 综述 6月9日,PHP发布安全公告,修复了两个存在于PHP中的远程代码执行漏洞。 PHP此次的漏洞,简而言之,会恶意查询服务器数据。 PHP(PHP: Hypertext Preprocessor)即“超文本预处理器”,是一种开源的通用计算机脚本语言
继续阅读Apache Httpd AJP请求走私 CVE-2022-26377 漏洞分析
Apache Httpd AJP请求走私 CVE-2022-26377 漏洞分析 原创 卫兵实验室 网络安全研究宅基地 2022-06-11 08:00 Smi1e@卫兵实验室 漏洞分析 0x00 影响版本 Apache Httpd < 2.4.54 0x01 AJP协议介绍 Tomcat最主要的功能是提供Servlet/JSP容器,尽管它也可以作为独立的Java Web服务器,它在对静态资
继续阅读GitLab账户接管漏洞(CVE-2022-1680)安全风险通告
GitLab账户接管漏洞(CVE-2022-1680)安全风险通告 原创 QAX CERT 奇安信 CERT 2022-06-10 18:01 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到GitLab官方发布了CVE-2022-1680 GitLab账户接管漏洞通告。 当GitLab配置组SAML SSO时,攻击者可利
继续阅读