标签: 命令执行

速修复这些Netgear Orbi路由器漏洞

发布于 作者:

速修复这些Netgear Orbi路由器漏洞 Bill Toulas 代码卫士 2023-03-23 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科Talos团队发布了Netgear Orbi 740系列路由器和扩展卫星中多个漏洞的PoC exploit,其中一个漏洞是严重的远程命令执行漏洞。 Netgear Orbi 是适用于家庭用户的流行网络无线网格系统,可同时最多为5

继续阅读

CISA提醒修复这些严重的ICS漏洞

发布于 作者:

CISA提醒修复这些严重的ICS漏洞 Ravie Lakshmanan 代码卫士 2023-03-23 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 周二,美国CISA发布八份ICS安全公告,提醒注意影响台达电子 (Delta Electronics) 公司和罗克韦尔自动化 (Rockewell Automation) 公司设备的严重漏洞。 台达电子公司的实时设备监控软件 In

继续阅读

微步成为国家信息安全漏洞库(CNNVD)一级技术支撑单位

发布于 作者:

微步成为国家信息安全漏洞库(CNNVD)一级技术支撑单位 ThreatBook 微步在线 2023-03-21 17:32 近日,微步在线成为国家信息安全漏洞库(CNNVD)漏洞信息共享合作单位,并荣获中国信息安全测评中心颁发的“国家信息安全漏洞库(CNNVD)技术支撑单位等级(一级)证书”,成为该领域最高级别的技术支撑单位之一。 面对日益复杂严峻的网络安全形势,“共筑防线、共享安全”已成为业界共

继续阅读

2023年2月必修漏洞清单

发布于 作者:

2023年2月必修漏洞清单 原创 漏洞情报中心 斗象智能安全 2023-03-21 16:25 斗象科技漏洞情报中心推出2023年2月份必修安全漏洞清单。必修漏洞,指的是影响范围较广、企业必须立刻聚焦修复的安全漏洞。该清单上的漏洞一旦被黑客利用并发生入侵事件后,将会造成十分严重的损失。 斗象科技漏洞情报中心围绕安全漏洞的“危害、影响面、在野利用情况、POC/EXP公开情况、武器化情况、漏洞技术细节

继续阅读

春春欲洞 | 漏洞翻倍奖励,暖心好礼迎春

发布于 作者:

春春欲洞 | 漏洞翻倍奖励,暖心好礼迎春 X社区 微步在线 2023-03-20 19:31 “ 各位白帽师傅: 春意盎然,万物复苏,X漏洞奖励计划 · 暖春季活动来啦! 这次活动准备了翻倍奖励和暖心礼品,邀请你一起来肝洞! 放心去肝,你的肝,我来守护! 活动时间: 2023/3/20~2023/3/31 漏洞提交入口: 登录X情报社区(x.threatbook.com)- 导航栏“奖励计划” &

继续阅读

谷歌在三星Exynos 芯片集中发现18个0day漏洞

发布于 作者:

谷歌在三星Exynos 芯片集中发现18个0day漏洞 Sergiu Gatlan 代码卫士 2023-03-17 17:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌零日项目组从三星的Exynos芯片集中发现并报告了18个0day漏洞,这些芯片集用于移动设备、可穿戴设备和车辆中。 这些漏洞由安全研究员在2022年年末至2023年年初期间发现。其中4个漏洞最为严重,可导致从Int

继续阅读

Fastjson漏洞和JNDI注入的前世今生

发布于 作者:

Fastjson漏洞和JNDI注入的前世今生 Betta 火线Zone 2023-03-17 16:48 简介 Fastjson是一个Java库,它可以解析 JSON 格式的字符串,支持将 JavaBean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。复现的环境使用的是vulhub的环境,在1.2.24fastjson的反序列化利用中有两条链 –

继续阅读

紧急修复!微软Outlook和Web标记功能的两个高危漏洞已被大肆利用

发布于 作者:

紧急修复!微软Outlook和Web标记功能的两个高危漏洞已被大肆利用 网络安全应急技术国家工程中心 2023-03-17 14:44 微软在本月的补丁星期二发布延续了自2022年6月以来修复零日漏洞的趋势。3月14日的补丁星期二共修复了85个漏洞,其中9个是关键漏洞。其中两个被积极利用的零日漏洞尤其显眼,一个(CVE-2023-23397)在几乎无处不在的Outlook应用程序中,允许攻击者在窃

继续阅读

.NET PC客户端安全评估-SQLite注入漏洞

发布于 作者:

.NET PC客户端安全评估-SQLite注入漏洞 专攻.NET安全的 dotNet安全矩阵 2023-03-17 09:25 星球优惠活动 为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直 聚焦于.NET领域的安全攻防技术,定位于 高质量安全攻防星球社区,也 得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发

继续阅读

腾讯安全威胁情报中心推出2023年2月必修安全漏洞清单

发布于 作者:

腾讯安全威胁情报中心推出2023年2月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-03-16 11:34 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年2月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果

继续阅读

CISA提醒注意与LastPass泄露事件有关的Plex漏洞

发布于 作者:

CISA提醒注意与LastPass泄露事件有关的Plex漏洞 Ionut Arghire 代码卫士 2023-03-14 17:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 在“已知利用漏洞 (KEV)”分类列表中新增了影响Plex和VMware产品的漏洞。 CVE-2020-5741是位于Plex Media Server中的一个高危反序

继续阅读

Fortinet FortiOS漏洞被用于攻击政府实体

发布于 作者:

Fortinet FortiOS漏洞被用于攻击政府实体 Ravie Lakshmanan 代码卫士 2023-03-14 17:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 未知威胁组织正在利用Fortinet FortiOS 中的一个0day漏洞 (CVE-2022-41328),攻击政府实体和大型组织机构,窃取数据并损坏操作系统和文件。 Fortinet公司的研究员 Guilla

继续阅读

思科企业路由器受高危DoS漏洞影响

发布于 作者:

思科企业路由器受高危DoS漏洞影响 Ionut Arghire 代码卫士 2023-03-10 17:40 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,思科发布补丁,修复了位于ASR 9000、ASR 9902和ASR 9903系列企业路由器的 IOS XR软件中的高危DoS漏洞 (CVE-2023-20049)。 该漏洞的CVSS评分为8.6,影响该平台的双向转发检测 (BFD)

继续阅读

Fortinet:注意这个严重的未认证RCE漏洞!

发布于 作者:

Fortinet:注意这个严重的未认证RCE漏洞! Bill Toulas 代码卫士 2023-03-09 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet 披露了影响FortiOS和FortiProxy的一个严重漏洞 (CVE-2023-25610),它可导致未认证攻击者通过特殊构造的请求,在易受攻击设备的GUI上执行拒绝服务。 该缓冲区溢出漏洞的CVSS评分为

继续阅读

CVE-2022-25365在内的多个 Docker漏洞,通过攻击命名管道实现权限升级

发布于 作者:

CVE-2022-25365在内的多个 Docker漏洞,通过攻击命名管道实现权限升级 xiaohui 嘶吼专业版 2023-03-08 12:00 通过攻击命名管道实现权限升级是我研究Windows Docker时发现的,它需要安装 Docker Desktop for Windows,我在其中发现很多Docker进程。由于其中一些进程是保密的,因此我进行了进一步探索。分析发现,这些进程使用命名

继续阅读

【安全圈】研究机构披露某购物平台利用漏洞,非法获取竞对信息,阻止用户卸载 APP

发布于 作者:

【安全圈】研究机构披露某购物平台利用漏洞,非法获取竞对信息,阻止用户卸载 APP 安全圈 2023-03-07 19:00 关键词 系统漏洞 近日,研究机构 “DarkNavy” 发文披露某国产 APP 恶意利用系统漏洞,非法提权获取用户隐私及争对手商业信息,远程遥控用户设备,并阻止用户卸载自身 APP。 文章中提到,该 APP 利用 Android 系统的 Parcel

继续阅读

[译]大疆无人机安全与DroneID漏洞

发布于 作者:

[译]大疆无人机安全与DroneID漏洞 CDra90n 看雪学苑 2023-03-07 17:59 本文为看雪论坛优秀文章 看雪论坛作者ID:CDra90n 消费级无人机可以用于高级航拍、物流和人道主义救援等等。但是其广泛使用给安全、安保和隐私带来了许多风险。例如,攻击方可能会使用无人机进行监视、运输非法物品,或通过侵入机场上方的封闭空域造成经济损失。为了防止恶意使用,无人机制造商采用多种对策来

继续阅读

雷神众测漏洞周报2023.02.27-2023.03.05

发布于 作者:

雷神众测漏洞周报2023.02.27-2023.03.05 原创 雷神众测 雷神众测 2023-03-06 16:00 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改

继续阅读

重大供应链威胁!这个 Java 开源框架存在严重漏洞

发布于 作者:

重大供应链威胁!这个 Java 开源框架存在严重漏洞 关键基础设施安全应急响应中心 2023-03-03 14:37 美国网络安全和基础设施安全局(CISA)的安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,以向未打补丁的服务器部署后门。专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 CISA已将CVE-2022-36537添加到其已知已开发漏洞(K

继续阅读

如何以一种意外的方式发现并找到 WinIO 内核驱动栈溢出漏洞

发布于 作者:

如何以一种意外的方式发现并找到 WinIO 内核驱动栈溢出漏洞 关键基础设施安全应急响应中心 2023-03-03 14:37 研究人员在OEM厂商的外围设备中发现了多个漏洞,这影响了这些OEM厂商(Razer、EVGA、MSI、AMI)的许多用户。这些漏洞源于一个众所周知的易受攻击的驱动程序,通常被称为WinIO/WinRing0。 本文会重点介绍一个有趣的TOCTOU漏洞案例(CVE-2022

继续阅读

漏洞风险提示 | Smartbi 远程命令执行漏洞

发布于 作者:

漏洞风险提示 | Smartbi 远程命令执行漏洞 长亭安全应急响应中心 2023-03-02 15:11 长亭漏洞风险提示        Smartbi 远程命令执行漏洞 Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,致力于为企业客户提供一站式商业智能解决方案。Smartbi三大产品包括企业报表平台、自助分析平台、数据挖掘平台,覆盖企业从传统BI到自助BI,再到智能BI

继续阅读

Smartbi远程命令执行漏洞安全风险通告

发布于 作者:

Smartbi远程命令执行漏洞安全风险通告 奇安信 CERT 2023-03-01 16:50 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,为企业客户提供一站式商业智能解决方案。 Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平

继续阅读

0day 速修!Smartbi 远程命令执行漏洞

发布于 作者:

0day 速修!Smartbi 远程命令执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-03-01 14:58 01 漏洞概况  近日,微步在线通过“X漏洞奖励计划”获取到Smartbi大数据分析平台远程命令执行漏洞的0day相关漏洞情报,攻击者可以通过此漏洞进行任意命令执行,导致系统被攻击与控制。Smartbi是思迈特软件推出的商业智能BI软件,满足BI产品的发展阶段。思迈特软件整合

继续阅读

QNAP推出新的漏洞奖励计划,覆盖应用、云服务和OS,最高赏金2万美元

发布于 作者:

QNAP推出新的漏洞奖励计划,覆盖应用、云服务和OS,最高赏金2万美元 Ionut Arghire 代码卫士 2023-02-28 17:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 位于中国台湾省的公司 QNAP Systems 宣布,通过新推出的漏洞奖励计划提交漏洞的研究员,最高可获得2万美元的奖励。 QNAP 因网络附加存储 (NAS) 和专业的网络视频录像机 (NVR) 解决

继续阅读