WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞
WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞 Ravie Lakshmanan 代码卫士 2023-06-02 17:37 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 WordPress 发布自动更新,修复了位于安装在500多万个网站上的 Jetpack 插件中的一个严重漏洞。 该漏洞是在一次内部安全审计中发现的,影响2012年11月发布的 Jet
继续阅读标签: 命令执行
合勤科技修复NAS 设备中的高危漏洞
合勤科技修复NAS 设备中的高危漏洞 Helga Labus 代码卫士 2023-06-02 17:37 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 合勤科技 (Zyxel) 修复了家庭用户所使用的 NAS 设备中的一个高危认证命令注入漏洞 (CVE-2023-27988)。 漏洞简述 该漏洞位于设备的 web 管理接口中。 合勤科技证实称,“具有管理员权限的认证攻击者可利用该漏
继续阅读速修!Apache RocketMQ 曝 RCE 漏洞
速修!Apache RocketMQ 曝 RCE 漏洞 原创 微步情报局 微步在线研究响应中心 2023-06-01 18:48 01 漏洞概况**** Apache RocketMQ是一款使用广泛的分布式消息中间件,既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。近日,微步漏洞团队监测到Apache RocketMQ 远程命令执行
继续阅读CVE-2023-33246:Apache RocketMQ 远程代码执行漏洞通告
CVE-2023-33246:Apache RocketMQ 远程代码执行漏洞通告 原创 360CERT 三六零CERT 2023-06-01 17:36 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-194 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-01 1 漏洞简述 2023年06月01日,360CERT监测发现Apache发布了Rocke
继续阅读这个Sonos One 扬声器漏洞价值10.5万美元
这个Sonos One 扬声器漏洞价值10.5万美元 Ravie Lakshmanan 代码卫士 2023-05-31 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 上周,ZDI发布报告指出,Sonos One 无线扬声器中存在多个漏洞,可导致信息泄露和远程代码执行后果。 这些漏洞已经由Qrious Secure、STAR Labs 和 DEVCORE 三家公司的研究员
继续阅读黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备
黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备 Zeljka Zorz 代码卫士 2023-05-31 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Barracuda 公司表示,黑客利用0day (CVE-2023-2868) 攻陷某些客户的 ESG 设备,并部署三种恶意软件和数据提取能力。该公司并未说明受影响组织机构的数量,但证实称,
继续阅读【已复现】Apache RocketMQ 远程代码执行漏洞(CVE-2023-33246)安全风险通告
【已复现】Apache RocketMQ 远程代码执行漏洞(CVE-2023-33246)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-05-31 16:57 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 RocketMQ是阿里巴巴在2012年开发的分布式消息中间件,专为万亿级超大规模的消息处理而设计,具有高吞吐量、低延迟、海
继续阅读高危漏洞占比上升4%,《2022漏洞威胁分析报告》复盘三大场景漏洞趋势
高危漏洞占比上升4%,《2022漏洞威胁分析报告》复盘三大场景漏洞趋势 智安全 深信服千里目安全技术中心 2023-05-26 20:50 随着2022年度国家信息安全漏洞库(CNNVD)工作总结暨优秀支撑单位表彰大会的召开,深信服凭借卓越的漏洞挖掘和响应处置能力揽获四项荣誉。(《笃行致远,深信服揽获CNNVD多项大奖!》 点击可查看 ) 在漏洞挖掘、利用原理及利用技术分析上,深信服早已有多年沉淀
继续阅读合勤科技防火墙和VPN设备中存在多个严重漏洞
合勤科技防火墙和VPN设备中存在多个严重漏洞 Bill Toulas 代码卫士 2023-05-26 17:38 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 合勤科技公司提醒用户称,多款防火墙和VPN产品中存在两个严重漏洞,攻击者无需认证即可利用。 这两个漏洞都是缓冲区溢出漏洞,可导致拒绝服务和远程代码执行后果。合勤科技指出,“合勤科技已发布补丁,修复受多个缓冲区溢出漏洞影响的固
继续阅读D-Link 修复D-Link D-View 8软件中的认证绕过和 RCE 漏洞
D-Link 修复D-Link D-View 8软件中的认证绕过和 RCE 漏洞 Bill Toulas 代码卫士 2023-05-26 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 D-Link 修复了位于 D-View 8 网络管理套件中的两个严重漏洞,它们可导致远程攻击者绕过认证并执行任意代码。 D-View 是由D-Link 公司开发的网络管理套件,用于规模不一的企业中
继续阅读泛微e-cology9 changeUserInfo信息泄漏及ofsLogin任意用户登录漏洞分析
泛微e-cology9 changeUserInfo信息泄漏及ofsLogin任意用户登录漏洞分析 原创 小透明 雷神众测 2023-05-26 16:25 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版
继续阅读Barracuda 邮件网关遭 0day 漏洞利用攻击
Barracuda 邮件网关遭 0day 漏洞利用攻击 Sergiu Gatlan 代码卫士 2023-05-25 17:44 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 邮件和网络安全解决方案公司 Barracuda 提醒客户称,一些邮件安全网关 (ESG) 设备上周遭攻击,目前用于攻击的 0day 漏洞已修复。 5月19日,邮件附件扫描模块中出现一个漏洞,Barracuda
继续阅读GitLab强烈建议尽快修复 CVSS 满分漏洞
GitLab强烈建议尽快修复 CVSS 满分漏洞 Bill Toulas 代码卫士 2023-05-25 17:44 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab 发布紧急安全更新 16.0.1版本,修复CVSS评分为10分的路径遍历漏洞CVE-2023-2825。 GitlAB 是基于 web 的 Git 仓库,为需要远程管理代码的开发团队服务,目前已拥有约3000万名已注
继续阅读蓝军视角:阿里云 RCE 战火余烬下的启示
蓝军视角:阿里云 RCE 战火余烬下的启示 原创 二喵 CT Stack 安全社区 2023-05-25 12:03 2023年4月19日,Wiz Research 在文章 Accidental ‘write’ permissions to private registry allowed potential RCE to Alibaba Cloud Database Services 中披露了被
继续阅读史上最高:LayerZero 漏洞奖励计划最高赏金1500万美元
史上最高:LayerZero 漏洞奖励计划最高赏金1500万美元 Bill Toulas 代码卫士 2023-05-19 15:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 LayerZero Labs 在 Immunefi 平台上发布漏洞奖励计划。为严重的智能合约以及区块链漏洞开出最高为1500万美元的赏金,刷新了加密领域赏金的记录。 漏洞奖励计划是由企业和软件开发者发布的计划,用
继续阅读思科提醒:多款交换机存在多个RCE漏洞且利用代码已公开
思科提醒:多款交换机存在多个RCE漏洞且利用代码已公开 Sergiu Gatlan 代码卫士 2023-05-18 16:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今天,思科提醒客户称,多款 Small Business 系列交换机中存在四个严重的远程代码执行漏洞,且利用代码已遭公开。 这四个漏洞的 CVSS 评分为9.8分,如遭成功利用可导致未认证的攻击者以根权限在受攻陷设备上
继续阅读11个严重的 RCE 漏洞影响数千款 IIoT 设备
11个严重的 RCE 漏洞影响数千款 IIoT 设备 代码卫士 2023-05-17 16:39 聚焦源代码安全,网罗国内外最新资讯! 作者:Elizabeth Montalbano 编译:代码卫士 三款工业蜂窝路由器厂商的云管理平台中存在11个漏洞,可导致运营 (OT) 网络易遭远程代码执行攻击,即使该平台未被活跃配置用于云管理。 Otorio 公司的安全研发团队主管 Eran Jacob 和安
继续阅读严重的RCE漏洞导致数以千计的工业物联网设备遭受网络攻击
严重的RCE漏洞导致数以千计的工业物联网设备遭受网络攻击 关键基础设施安全应急响应中心 2023-05-17 15:39 研究人员发现,三个工业蜂窝路由器供应商的云管理平台中的 11 个漏洞使操作技术 (OT) 网络面临远程代码执行的风险,即使该平台未主动配置为云管理也是如此。 这些漏洞非常严重,即使它们只影响来自三个供应商的设备:Sierra Wireless AirLink、Teltonika
继续阅读CVE-2023-21768 Windows内核提权漏洞
CVE-2023-21768 Windows内核提权漏洞 The_Itach1 看雪学苑 2023-05-16 17:59 对最近的一个Windows提权洞进行分析,漏洞点不是很难,相比于之前分析的CVE-2021-1732,过程还简单一些,主要是学习I/O Ring这种读写原语,感觉后续微软可能会对I/O Ring的预注册输出缓冲区进行一些调整修改。还有就是分析过程中,结合chatGPT,感觉是
继续阅读腾讯安全威胁情报中心推出2023年4月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年4月必修安全漏洞清单 腾讯威胁情报中心 腾讯安全威胁情报中心 2023-05-12 18:04 腾讯安全威胁情报中心推出2023年4月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的
继续阅读SAP 修复多个高危漏洞
SAP 修复多个高危漏洞 Ionut Arghire 代码卫士 2023-05-11 17:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 德国企业软件商 SAP 在本周的五月安全补丁星期二,发布了18个新的安全说明,其中包括多个严重漏洞的“重要”说明。 在这些“重要”说明中,其中一个和位于 SAP 3D 可视化企业许可证管理的 Reprise 许可证管理器 (RLM) 14.2 组件
继续阅读2023-05微软漏洞通告
2023-05微软漏洞通告 火绒安全 火绒安全 2023-05-10 17:02 微软官方发布了2023年5月的安全更新。本月更新公布了49个漏洞,包含12个远程执行代码漏洞、9个特权提升漏洞、8个信息泄露漏洞、5个拒绝服务漏洞、5个安全功能绕过漏洞、1个身份假冒漏洞,其中6个漏洞级别为“Critical”(高危),33个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)
继续阅读云安全案例11: 溯源分析黑客如何利用Oracle云基础设施Attachme漏洞无需授权访问和篡改任意租户的存储卷
云安全案例11: 溯源分析黑客如何利用Oracle云基础设施Attachme漏洞无需授权访问和篡改任意租户的存储卷 原创 debugeeker 奶牛安全 2023-05-10 08:05 2022年6 月,wiz 工程师发现并报告了Oracle云基础设施(OCI) 中的一个主要云隔离漏洞#AttachMe,促使 Oracle 在数小时内修补该漏洞,而无需客户采取行动。 – 潜在影响:在
继续阅读漏洞风险提示 | Gitlab CE&EE GraphQL添加恶意Runner漏洞
漏洞风险提示 | Gitlab CE&EE GraphQL添加恶意Runner漏洞 长亭技术沙盒 黑伞安全 2023-05-09 10:18 长亭漏洞风险提示 Gitlab CE&EE GraphQL 添加恶意Runner漏洞 Gitlab是一款开源的代码管理平台,基于Ruby On Rails构建。该平台提供源代码管理、代码审核、问题跟踪、持续集成等功能。它能帮助开
继续阅读WordPress 热门插件中存在漏洞,200多万网站受影响
WordPress 热门插件中存在漏洞,200多万网站受影响 Ravie Lakshmanan 代码卫士 2023-05-08 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 热门插件 Advanced Custom Fields 中存在一个漏洞,用户需升级至版本 6.1.6。该漏洞的编号是CVE-2023-30777。 该漏洞是反射型XSS,可滥用于将任意可
继续阅读上周关注度较高的产品安全漏洞(20230424-20230507)
上周关注度较高的产品安全漏洞(20230424-20230507) 原创 CNVD CNVD漏洞平台 2023-05-08 16:01 一、境外厂商产品漏洞 1、RIOT-OS缓冲区溢出漏洞 RIOT-OS是一个支持物联网设备的操作系统,包含一个能够处理6LoWPAN帧的网络堆栈。RIOT-OS 2022.10之前的版本存在缓冲区溢出漏洞,攻击者可以利用该漏洞执行任意代码。 参考链接: https
继续阅读阿里云数据库漏洞分析与思考
阿里云数据库漏洞分析与思考 黑伞安全 2023-05-07 19:29 一. 概述 近日,云安全公司Wiz披露了阿里云数据库服务ApsaraDB RDS for PostgreSQL和AnalyticDB for PostgreSQL的一连串严重漏洞。这些漏洞被Wiz命名为“BrokenSesame”,允许攻击者突破租户的隔离保护机制,从而未授权访问其他阿里云客户的PostgreSQL数据库,并
继续阅读【安全圈】8220 利用 Log4Shell 漏洞进行挖矿
【安全圈】8220 利用 Log4Shell 漏洞进行挖矿 安全圈 2023-05-07 19:01 关键词 漏洞 研究人员近日发现 8220 组织正在利用 Log4Shell 漏洞攻击 VMware Horizon 服务器,以便后续进行挖矿获利。受攻击的目标系统中包含韩国能源企业,由于系统存在漏洞且未打补丁,就被攻击者集火攻击。 Log4Shell(CVE-2021-44228)是 Java 日
继续阅读Fortinet 修复FortiADC 和 FortiOS 中的多个高危漏洞
Fortinet 修复FortiADC 和 FortiOS 中的多个高危漏洞 Ionut Arghire 代码卫士 2023-05-06 16:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,Fortinet 月度安全更新修复了位于多款产品中的九个漏洞,其中两个是位于 FortiADC、FortiOS 和 FortiProxy 中的高危漏洞。 CVE-2023-27999最为严重
继续阅读针对ChatGPT的隐私提取攻击:多步骤越狱漏洞
针对ChatGPT的隐私提取攻击:多步骤越狱漏洞 网络安全应急技术国家工程中心 2023-05-06 14:48 摘要 随着大型语言模型(LLM)的快速发展,许多下游的 NLP 任务都可以在友善的提示(即Prompt,是用户或程序向LLM AI 提供的输入或查询)下得到很好的解决。尽管模型开发人员和研究人员在对话安全性方面做了大量工作以避免从语言模型生成有害文字,但要引导 AI 生成内容 (AIG
继续阅读