GraphQL API 漏洞
GraphQL API 漏洞 枇杷五星加强版 黑伞安全 2023-08-10 20:18 GraphQL 漏洞通常是由于实现和设计缺陷而产生的。 例如,内省功能可能会保持活动状态,使攻击者能够查询 API 以收集有关其架构的信息。 GraphQL 攻击通常采用恶意请求的形式,使攻击者能够获取数据或执行未经授权的操作。 这些攻击可能会产生严重影响,特别是如果用户能够通过操纵查询或执行 CSRF 漏洞
继续阅读标签: 信息泄露
CLFS信息泄露漏洞CVE-2023-28266分析
CLFS信息泄露漏洞CVE-2023-28266分析 王cb 看雪学苑 2023-08-10 17:59 这篇文章的目的是介绍今年4月发布的CLFS信息泄露漏洞CVE-2023-28266分析。 文章结合了逆向代码和调试结果分析了CVE-2023-28266漏洞利用过程和漏洞成因。 CVE-2023-28266是笔者今年1月提交的一个关于CLFS文件系统驱动程序的信息泄露漏洞,漏洞公告发布于今年4
继续阅读【已复现】Smartbi Token 回调地址漏洞(QVD-2023-18159)安全风险通告
【已复现】Smartbi Token 回调地址漏洞(QVD-2023-18159)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-08-10 15:54 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Smartbi Token 回调地址漏洞 漏洞编号 QVD-2023-18159 公开时间 2023-08-08 影响对象数量级 万级 奇安信评级 高危 CVS
继续阅读2023攻防演练必修开源组件漏洞合集
2023攻防演练必修开源组件漏洞合集 数世咨询 2023-08-10 12:18 前言 近年来,随着互联网技术的不断发展,网络安全问题也日益凸显。攻击者们利用各种手段对网络系统进行攻击,开源软件的漏洞已经深深影响了应用系统的安全性,历史的高风险漏洞及大量的0day漏洞,往往可能会导致攻击者突破企业的防御体系。 攻防演练已盛大开启,软安科技梳理了历史常见及近期爆发的开源漏洞共计20个,旨在帮助广大企
继续阅读【漏洞预警】通达OA SQL注入漏洞威胁通告
【漏洞预警】通达OA SQL注入漏洞威胁通告 安识科技 SecPulse安全脉搏 2023-08-10 09:59 1. 通告信息 近日,安识科技 A-Team团队监测到通达OA存在两个SQL注入漏洞(CVE-2023-4165和CVE-2023-4166),CVSSv3评分均为5.5,目前这些漏洞的PoC已公开。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受
继续阅读2023-08微软漏洞通告
2023-08微软漏洞通告 火绒安全 火绒安全 2023-08-09 16:27 微软官方发布了2023年8月的安全更新。本月更新公布了89个漏洞,包含23个远程执行代码漏洞、18个特权提升漏洞、12个身份假冒漏洞、10个信息泄露漏洞、8个拒绝服务漏洞、4个安全功能绕过漏洞、2个深度防御漏洞,其中6个漏洞级别为“Critical”(高危),68个为“Important”(严重)。建议用户及时使用火
继续阅读上周关注度较高的产品安全漏洞(20230731-20230806)
上周关注度较高的产品安全漏洞(20230731-20230806) 国家互联网应急中心CNCERT 2023-08-08 16:03 一、境外厂商产品漏洞 1、Siemens SIMATIC CN 4100默认权限不正确漏洞 Siemens SIMATIC CN 4100是德国西门子(Siemens)公司的一个通信节点。Siemens SIMATIC CN 4100 2.5版本之前存在安全漏洞,该
继续阅读被别家CEO狂怼,微软火速且老实地修复了严重漏洞后……回怼
被别家CEO狂怼,微软火速且老实地修复了严重漏洞后……回怼 综合编译 代码卫士 2023-08-08 15:48 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 被 Tenable 公司的 CEO 公开批判“严重不负责任”后,微软修复了位于 Power Platform Custom Connectors 特性中的一个漏洞。该漏洞可导致未认证攻击者访问跨租户应
继续阅读【安全圈】黑客组织Clop发动零时差漏洞攻击,近600家企业遭殃
【安全圈】黑客组织Clop发动零时差漏洞攻击,近600家企业遭殃 安全圈 2023-08-07 19:00 关键词 漏洞攻击 勒索软体黑客组织Clop发起MFT档案共享系统MOVEit Transfer零时差漏洞攻击,近六百家企业机构遭殃,亦有部分组织因IT服务供应商遭受攻击而受害,且规模持续扩大。 这起事故发生迄今快2个月,从当初指出攻击者的身份,到黑客组织坦诚犯案、公布受害组织名单,后来则有部
继续阅读PaperCut高危漏洞可使未修复服务器受RCE攻击
PaperCut高危漏洞可使未修复服务器受RCE攻击 Sergiu Gatlan 代码卫士 2023-08-07 18:15 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Horizon3.ai 公司的安全研究员从 Windows 版本的 PaperCut 打印管理软件中发现了一个新的高危漏洞 (CVE-2023-39143),在特定情况下可导致在未修复 Windows 服务器上获
继续阅读红队最爱50个高危漏洞,马了赶紧修
红队最爱50个高危漏洞,马了赶紧修 原创 微步情报局 微步在线研究响应中心 2023-08-07 18:00 盼望着,盼望着,演练来了,红队的脚步近了。 强烈建议各家蓝队负责人,自查以下50+高危漏洞的资产信息,并赶在正式开打前完成针对性处置动作。 这50多个漏洞是微步漏洞团队根据漏洞的危害、利用难易程度、影响面、实网攻击行为情况等诸多维度,从海量漏洞情报中提取出了近一年来被攻击方频繁利用、且危害
继续阅读三年内攻防演练实战总结,200+必修高危漏洞清单
三年内攻防演练实战总结,200+必修高危漏洞清单 原创 360漏洞云情报 360漏洞云 2023-08-07 17:44 2023攻防演练 必修高危漏洞合集 360数字安全集团 – 漏洞云 2023年8月 报告信息 报告名称 2023 攻防演练必修高危漏洞合集 报告类型 漏洞统计 报告日期 2023-08-01 报告编号 04T-202300801-01 联系方式 loudongyun
继续阅读【漏洞通告】通达OA SQL注入漏洞(CVE-2023-4166)
【漏洞通告】通达OA SQL注入漏洞(CVE-2023-4166) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-08-07 17:29 漏洞名称: 通达OA SQL注入漏洞(CVE-2023-4166) 组件名称: 通达OA 影响范围: 通达OA v11 < 11.10 漏洞类型: 远程代码执行 利用条件: 1、用户认证:否 2、前置条件:无 3、触发方式:远程 综合评价: <
继续阅读腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-08-07 10:15 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年7月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读上周关注度较高的产品安全漏洞(20230724-20230730)
上周关注度较高的产品安全漏洞(20230724-20230730) 深信服千里目安全技术中心 2023-08-04 15:16 一、境外厂商产品漏洞 1、IBM DB2拒绝服务漏洞(CNVD-2023-58522) IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM DB2存在
继续阅读Salesforce 邮件服务0day用于钓鱼攻击活动
Salesforce 邮件服务0day用于钓鱼攻击活动 THN 代码卫士 2023-08-03 18:00 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Guardio Labs的研究员 Oleg Zaytsev 和 Nati Tal 发布报告提到,一起复杂的 Facebook 钓鱼攻击活动利用 Salesforce 邮件服务0day漏洞,通过该公司的域名和基础设施构造目标钓鱼信息
继续阅读404星链计划 | 5 款全开源的免费漏洞探测工具
404星链计划 | 5 款全开源的免费漏洞探测工具 原创 404实验室 知道创宇404实验室 2023-08-03 16:43 404星链计划目前已收录60+开源项目 涵盖了甲方工具、信息收集、漏洞探测、 攻击与利用、信息分析、内网工具等多个种类 近期我们会陆续发布不同类别工具的精选专题 帮助你找到更好用更适合自己的“神兵利器” 上期回顾: 404星链计划 | 精选 10 个甲方开源安全工具 本期
继续阅读【安全圈】Ninja Forms漏洞危机:900,000+站点面临潜在风险
【安全圈】Ninja Forms漏洞危机:900,000+站点面临潜在风险 安全圈 2023-08-02 19:02 关键词 漏洞危机 专家警告说,WordPress的Ninja Forms插件受到多个漏洞的影响(跟踪为CVE-2023-37979、CVE-2023-3 8386和CVE-202-3 8393),黑客可以利用这些漏洞升级权限并窃取敏感数据。 WordPress插件Ninja For
继续阅读美澳提醒注意 web 应用中的访问控制漏洞
美澳提醒注意 web 应用中的访问控制漏洞 Ionut Arghire 代码卫士 2023-08-01 17:51 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 澳大利亚网络安全中心 (ACSC) 、美国网络安全和基础设施安全局 (CISA)和美国国家安全局 (NSA) 联合发布新指南,提醒开发人员、厂商和组织机构注意 web 应用中的访问控制漏洞。 这些访问控制漏洞被称为不安全的
继续阅读【安全圈】WordPress Ninja Forms 又被曝出严重安全漏洞
【安全圈】WordPress Ninja Forms 又被曝出严重安全漏洞 安全圈 2023-07-29 19:00 关键词 窃取数据 Bleeping Computer 网站披露,WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞,攻击者可以通过这些漏洞实现权限提升并窃取用户数据 2023 年 6 月 22 日,Patchstack 的研究人员向插件开发者 Saturda
继续阅读开源BI分析工具 Metabase 中存在远程代码执行漏洞,未完全修复
开源BI分析工具 Metabase 中存在远程代码执行漏洞,未完全修复 综合编译 代码卫士 2023-07-28 18:20 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 在商业情报 (BI) 领域,开源工具 Metabase 以无缝的数据解释能力占据一席之地。该自助服务BI工具已用于全球各地的组织机构中,赋能用户提出数据问题并获得可视化的、易于理解的答案。Metabase 的设计
继续阅读【火绒安全周报】亲兄弟合伙窃取教育机构学生信息/TikTok未修复的已知漏洞被黑客利用
【火绒安全周报】亲兄弟合伙窃取教育机构学生信息/TikTok未修复的已知漏洞被黑客利用 火绒安全 火绒安全 2023-07-28 18:02 01 亲兄弟合伙窃取教育机构学生信息 近日,某教培机构内部员工因窃取学生信息被提起公诉。2022年9月初,该机构员工纷纷反映,查询学生信息的内部系统网速极慢。技术部分析发现,有一员工ID正疯狂查询学生信息,大量挤占网速,并在短短20天里发起查询数十万次。经调
继续阅读奖金累加上不封顶!BSRC启动首次隐私安全漏洞众测
奖金累加上不封顶!BSRC启动首次隐私安全漏洞众测 百度安全应急响应中心 2023-07-28 15:17 来了!BSRC启动首次隐私安全漏洞众测~ 随着个人信息滥用事件的频频发生,用户对App是否合法收集信息越来越关注。同时,监管也对App收集使用个人信息发布了认定办法。 面对互联网隐私安全问题挑战,百度安全团队肩负使命与责任,始终将保护用户隐私信息放在第一位, 努力创造一个不断完善的个人信息保
继续阅读现金奖励 | 2023补天通用型漏洞专项活动第一期来啦!
现金奖励 | 2023补天通用型漏洞专项活动第一期来啦! 快乐的 补天平台 2023-07-28 15:00 通用专项活动第一期 ◆ 2 0 2 3 年07 月14 日 0 点 起 至07 月 31 日 2 3 : 5 9 止 ◆ 收取范围:web通用型漏洞 1 活动奖励A计划 1.收录范围说明 漏 洞 影 响 并 存 在 备 案 信 息 归 属 的 资 产 独立ip数在2000+ 2.漏洞等级
继续阅读云安全漏洞管理的原则与实践
云安全漏洞管理的原则与实践 安全牛 2023-07-28 12:35 当企业组织将关键业务上云后,加强云安全防护就成为企业管理者们的重要优先事项。一旦云上的应用存在安全漏洞,那么数据泄露、业务中断、勒索威胁等灾难性事件随时都可能发生。研究数据显示,在78%的云上攻击活动中,攻击者会将已知漏洞作为初始路径。因此,定期评估云环境的风险态势并加强云安全漏洞管理,将是保障组织云应用安全的最有效途径之一。
继续阅读【安全圈】TikTok未修复漏洞节省了千万美元,结果大选期间遭攻击
【安全圈】TikTok未修复漏洞节省了千万美元,结果大选期间遭攻击 安全圈 2023-07-27 19:00 关键词 黑客攻击 7月26日消息,土耳其总统埃尔多安险胜连任的几周前,TikTok代理安全主管Kim Albarella收到一条坏消息: 多达70万个土耳其TikTok账户遭到黑客攻击,攻击者能够访问用户个人信息并控制他们的账户。 根据TikTok内部电子邮件、聊天记录、文件,以及其他内部
继续阅读TETRA:BURST:热门无线通信系统中存在5个新漏洞
TETRA:BURST:热门无线通信系统中存在5个新漏洞 THN 代码卫士 2023-07-27 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 政府实体和关基行业广为使用的无线电通信陆地集群无线电 (TETRA) 标准中存在5个漏洞,其中包含被认为是故意预留的后门,可泄露敏感信息。 这些漏洞由荷兰公司 Midnight Blue在2021年发现但一直到现在才发布,它们被
继续阅读TikTok未修漏洞节省数千万美元,一年后在海外大选期间遭利用
TikTok未修漏洞节省数千万美元,一年后在海外大选期间遭利用 关键基础设施安全应急响应中心 2023-07-27 15:14 土耳其总统选举前一年多,一家英国安全机构曾警告TikTok有漏洞被利用。但是,该公司并未修复漏洞。 7月26日消息,土耳其总统埃尔多安险胜连任的几周前,TikTok代理安全主管Kim Albarella收到一条坏消息:多达70万个土耳其TikTok账户遭到黑客攻击,攻击者
继续阅读【漏洞预警】VMware信息泄露漏洞
【漏洞预警】VMware信息泄露漏洞 安识科技 SecPulse安全脉搏 2023-07-27 10:29 1. 通告信息 近日,安识科技 A-Team团队监测到VMware Tanzu Application Service for VMs (TAS for VMs)和Isolation Segment中存在信息泄露漏洞(CVE-2023-20891),该漏洞的CVSS评分为6.5。 对此,安识
继续阅读【安全圈】所有 AMD Zen 2 CPU 均受影响,专家发现 Zenbleed 远程执行漏洞
【安全圈】所有 AMD Zen 2 CPU 均受影响,专家发现 Zenbleed 远程执行漏洞 安全圈 2023-07-26 10:59 关键词 安全漏洞 7 月 25 日消息,谷歌信息安全研究员 Tavis Ormandy 今天发布博文,表示基于 Zen 2 的 AMD 处理器中发现了新的安全漏洞,并将其命名为 Zenbleed。 Ormandy 表示所有基于 Zen 2 的 AMD 处理器均受
继续阅读