ATT&CK-Log4j2远程代码执行漏洞(CVE-2021-44228)漏洞分析
ATT&CK-Log4j2远程代码执行漏洞(CVE-2021-44228)漏洞分析 小海 雷神众测 2022-06-09 15:00 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容
继续阅读标签: 命令执行
API NEWS | 国际最新API安全漏洞
API NEWS | 国际最新API安全漏洞 传递资讯的 星阑科技 2022-06-09 13:18 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – 开放自动化软件(OAS)平台的一个高危远程代码执行(RCE)和API访问漏洞; 云麦智能秤API存在
继续阅读ATT&CK-Spring Framework(CVE-2022-22965)远程代码执行漏洞
ATT&CK-Spring Framework(CVE-2022-22965)远程代码执行漏洞 原创 小海 雷神众测 2022-06-07 15:00 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括
继续阅读美国BIS发布网络安全漏洞出口禁令,全球漏洞共享机制遭严峻挑战
美国BIS发布网络安全漏洞出口禁令,全球漏洞共享机制遭严峻挑战 关键基础设施安全应急响应中心 2022-06-07 14:48 据nextgov.com消息,美国商务部工业与安全局(BIS)正式发布了针对网络安全领域的最新的出口管制规定(以下简称“新规”),2022年5月26日,该规定已经发布在美国政府公报网站《联邦公报》上。 总的来说,BIS此次发布的新规和2021年发布的征求意见稿并无重大修改
继续阅读美商务部出台新规:未经审批禁止向中国分享安全漏洞,微软反对无效!
美商务部出台新规:未经审批禁止向中国分享安全漏洞,微软反对无效! NERCIS 信息安全国家工程研究中心 2022-06-07 12:00 内容导读 近日,美国商务部工业和安全局发布了一项网络安全最终规定。中国被分到D类,在网络漏洞信息分享上受到更严格的管控。 近日,美国商务部工业和安全局(BIS)正式发布了针对网络安全领域的最新的出口管制规定。 对,就是那个发布「实体清单」、「贸易黑名单」的BI
继续阅读CVE-2022-30190 MSDT 代码注入漏洞分析
CVE-2022-30190 MSDT 代码注入漏洞分析 原创 404实验室 知道创宇404实验室 2022-06-07 11:35 作者:HuanGMz@知道创宇404实验室时间:2022年6月7日 分析一下最近Microsoft Office 相关的 MSDT 漏洞。 1. WTP框架 文档: https://docs.microsoft.com/en-us/previous-versions
继续阅读[调研]80%的软件代码库含有至少一个漏洞
[调研]80%的软件代码库含有至少一个漏洞 nana 数世咨询 2022-04-25 23:32 新发布的研究结果显示:2021年开源软件占典型代码库的份额增长到78%,但公司仍继续使用过时和不再维护的组件,导致自身软件面临潜在漏洞威胁。 Synopsy本周发布的年度《开源软件风险分析》(OSSRA)报告揭示,绝大多数软件代码库含有至少一个漏洞(81%),使用过时四年以上的开源组件(85%),且包
继续阅读上周关注度较高的产品安全漏洞(20220418-20220424)
上周关注度较高的产品安全漏洞(20220418-20220424) 原创 CNVD CNVD漏洞平台 2022-04-25 16:45 一、境外厂商产品漏洞 1、Zoho ManageEngine ADAudit Plus远程代码执行漏洞 Zoho ManageEngine Adaudit Plus是美国Zoho Corporation公司的用于简化审计、证明合规性和检测威胁。Zoho Manag
继续阅读亚马逊的 Log4j 热补丁易受提权漏洞影响
亚马逊的 Log4j 热补丁易受提权漏洞影响 Ravie Lakshmanan 代码卫士 2022-04-22 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多
继续阅读开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控 Ravie Lakshmanan 代码卫士 2022-04-22 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供
继续阅读高通和联发科芯片漏洞致数百万安卓设备可被远程监控
高通和联发科芯片漏洞致数百万安卓设备可被远程监控 安全内参 2022-04-22 17:03 关注我们 带你读懂网络安全 近日,高通和联发科芯片的音频解码器曝出三个远程代码执行漏洞(RCE),攻击者可利用这些漏洞远程监控受影响移动设备的媒体和音频对话。 根据以色列网络安全公司Check Point的报告,这些漏洞可“听懂命令”,攻击者只需发送特制的音频文件即可执行远程代码执行攻击。 研究人员在报告
继续阅读漏洞马拉松·京麒站 | TSRC 3重奖励叠加,挖到就是赚到!
漏洞马拉松·京麒站 | TSRC 3重奖励叠加,挖到就是赚到! 京东安全应急响应中心 2022-04-22 16:10 京麒 &漏洞盒子联袂呈现漏洞马拉松·京麒站 第三期活动来了! 本届马拉松,携手腾讯 SRC、美团 SRC、华为终端安全、OPPO SRC、微博安全、陌陌安全、贝壳 SRC、京东 SRC,呈现年度挖洞挑战大戏! 第三期!TSRC独家呈现三重奖励!大家看过来! 你努力,我给力
继续阅读【漏洞预警】WSO2 API Manager安全漏洞
【漏洞预警】WSO2 API Manager安全漏洞 夜影实验室 锦行科技 2022-04-22 11:15 漏洞名称: WSO2 API Manager安全漏洞 影响范围: WSO2 API Manager 2.2.0 and above WSO2 Identity Server 5.2.0 and above WSO2 Identity Server Analytics 5.4.0, 5.4.
继续阅读开源的 Snort 入侵检测系统中存在高危漏洞
开源的 Snort 入侵检测系统中存在高危漏洞 Ravie Lakshmanan 代码卫士 2022-04-21 18:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 开源的思科 Snort 检测和预防系统中存在一个漏洞 (CVE-2022-20685),可触发拒绝服务条件并使其无法抵御恶意流量。 该漏洞的CVSS 评分为 7.5,位于 Snort 检测引擎的 Modbus 预处理器中
继续阅读谷歌2021年0day威胁形势复盘:你知道越多,你越知道你不知道
谷歌2021年0day威胁形势复盘:你知道越多,你越知道你不知道 安全内参 2022-04-21 15:51 关注我们 带你读懂网络安全 编译:代码卫士 谷歌 Project Zero 团队回顾了2021年已遭在野利用的58个0day,发布继2019年和2020年以来的第三份年度报告,窥见未来趋势、总结经验教训。本文是对该文章的编译。 一、要点概览:让0day 难以遁形 我们分析58个已遭利用0d
继续阅读“精”准把握静态分析|科恩二进制文件自动化静态漏洞检测工具正式开源
“精”准把握静态分析|科恩二进制文件自动化静态漏洞检测工具正式开源 原创 腾讯科恩实验室 腾讯科恩实验室 2022-04-20 14:10 引言 为提升静态分析在二进制文件漏洞检测领域效率和可扩展性,科恩孵化并开源二进制文件静态漏洞分析工具BinAbsInspector项目。 代码仓库地址: https://github.com/KeenSecurityLab/BinAbsInspector (⬇
继续阅读【安全风险通告】Oracle多个组件漏洞安全风险通告
【安全风险通告】Oracle多个组件漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-04-20 14:01 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Oracle 官方发布了 2022 年 4 月的关键安全补丁集合更新 CPU ( CriticalPatch Update ),修复了多个存在于 WebLogic 中的漏洞
继续阅读2021年零日漏洞在野利用状况:数量创纪录,传统漏洞为主
2021年零日漏洞在野利用状况:数量创纪录,传统漏洞为主 安全内参编译 安全内参 2022-04-20 12:06 关注我们 带你读懂网络安全 谷歌Project Zero披露,2021年共追踪到58起“在野”发生的零日漏洞利用案例; 从技术角度来看,其中仅有2个“非常新颖”的漏洞,其余56个基本属于“以往已公开漏洞的翻版”; Project Zero希望,2022年能有更多厂商通过安全公告披露漏
继续阅读【技术分享】Phar与Stream Wrapper造成PHP RCE的深入挖掘
【技术分享】Phar与Stream Wrapper造成PHP RCE的深入挖掘 原创 zsx 安全客 2022-04-20 10:02 今年的HITCON打完了,沉迷写前端搞Nextjs骚操作的我成功爆0(雾),不想写前端了.jpg。 先跑个题。 HITCON 2016上,orange 出了一道PHP反序列化。 HITCON 2017上,orange 出了一道Phar + PHP反序列化。 HIT
继续阅读开源工具 PrivateBin 修复XSS 漏洞
开源工具 PrivateBin 修复XSS 漏洞 Emma Woollacott 代码卫士 2022-04-19 18:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PrivateBin 是热门 ZeroBin 的一个分叉,它是一款在线工具,用于存储信息并通过 256位 AES 在浏览器中加密/解密,即服务器“不知晓所粘贴数据”。这款开源工具中存在一个跨站点脚本 (XSS) 漏洞。
继续阅读【漏洞预警】7-zip命令执行
【漏洞预警】7-zip命令执行 夜影实验室 锦行科技 2022-04-19 14:27 漏洞名称:7-Zip 命令执行 影响范围:v21.07 漏洞编号:CVE-2022-29072 漏洞类型:命令执行或提升权限 利用条件:无 综合评价: <利用难度>:低 <威胁等级>: 高危 能获取服务器权限 #1 漏洞描述 Windows平台 7-Zip(v21.07) 允许将扩展名为
继续阅读【技术分享】Visual Studio Code本地代码执行漏洞(CVE-2019-1414)
【技术分享】Visual Studio Code本地代码执行漏洞(CVE-2019-1414) 原创 Slash 安全客 2022-04-19 10:00 背景 微软在2015年推出的跨平台开源编辑器Visual Studio Code(VS Code),凭借其开箱即用的便捷以及丰富的插件社区,迅速吸引了大批用户。在最新的PYPL IDE 排行榜 中,VS Code已位列第六,并且仍处于上升趋势。
继续阅读上周关注度较高的产品安全漏洞(20220411-20220417)
上周关注度较高的产品安全漏洞(20220411-20220417) 原创 CNVD CNVD漏洞平台 2022-04-18 17:59 一、境外厂商产品漏洞 1、 Oracle MySQL存在逻辑缺陷漏洞 MySQL是一个关系型数据库管理系统。Oracle MySQL存在逻辑缺陷漏洞,攻击者可利用该漏洞获取明文密码。 参考链接: https://www.cnvd.org.cn/flaw/show/
继续阅读【技术干货】CVE-2022-1162 gitlab 硬编码漏洞
【技术干货】CVE-2022-1162 gitlab 硬编码漏洞 原创 PortalLab实验室 星阑科技 2022-04-18 13:19 arp @PortalLab实验室 漏洞描述 GitLab是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。 在GitLab CE/EE版本14.7(14.7.7之前)、14.8(14.8.5之前)和1
继续阅读从Spring RCE 0day(CVE-2022-22965)看黑产利用速度
从Spring RCE 0day(CVE-2022-22965)看黑产利用速度 原创 零壹实验室 网络安全研究宅基地 2022-04-18 13:00 点击蓝字关注我们**** 从Spring RCE 0day(CVE-2022-22965)看黑产利用速度 by 零壹实验室- 01 前言 2022年3月29号晚8点左右,关于“Spring RCE漏洞”的相关舆情,在互联网微博、微信等朋友圈传播开来
继续阅读从Spring RCE 0day(CVE-2022-22965)看黑产利用速度
从Spring RCE 0day(CVE-2022-22965)看黑产利用速度 原创 零壹实验室 网络安全研究宅基地 2022-04-18 13:00 点击蓝字关注我们**** 从Spring RCE 0day(CVE-2022-22965)看黑产利用速度 by 零壹实验室- 01 前言 2022年3月29号晚8点左右,关于“Spring RCE漏洞”的相关舆情,在互联网微博、微信等朋友圈传播开来
继续阅读