预售报名中!系统0day安全-Windows平台漏洞挖掘
预售报名中!系统0day安全-Windows平台漏洞挖掘 釉子 看雪学苑 2023-07-13 18:05 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问题的认识和理
继续阅读标签: 复现
哈佛大学网站存在严重漏洞,易受远程代码执行攻击
哈佛大学网站存在严重漏洞,易受远程代码执行攻击 看雪学苑 看雪学苑 2023-07-13 18:05 据外媒Cybernews报道,世界顶尖学府哈佛大学的一个子域名存在漏洞,使其容易受到远程代码执行(RCE)攻击,攻击者有可能窃取、修改存储在该网站上的数据。 据了解,该漏洞(CVE-2020-2551)是一个严重性得分9.8的WebLogic服务器(由美国软件巨头Oracle开发的基于Java的应
继续阅读风险提示|Apache RocketMQ远程命令执行漏洞(CVE-2023-37582)
风险提示|Apache RocketMQ远程命令执行漏洞(CVE-2023-37582) 长亭安全应急响应中心 2023-07-13 17:03 Apache RocketMQ是一款开源的分布式消息和流处理平台,提供了高效、可靠、可扩展的低延迟消息和流数据处理能力,广泛用于异步通信、应用解耦、系统集成以及大数据、实时计算等场景。近期,长亭科技监测到RocketMQ发布新版本修复了一个远程命令执行漏
继续阅读Artifex Ghostscript 代码执行漏洞(CVE-2023-36664)安全风险通告
Artifex Ghostscript 代码执行漏洞(CVE-2023-36664)安全风险通告 奇安信 CERT 2023-07-13 16:58 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Artifex Ghostscript 代码执行漏洞 漏洞编号 QVD-2023-14620、CVE-2023-36664 公开时间 2023-06-27 影响对象数量级 十万级 奇
继续阅读【已复现】泛微E-Cology XML外部实体注入漏洞安全风险通告
【已复现】泛微E-Cology XML外部实体注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-07-13 16:58 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 泛微E-Cology XML外部实体注入漏洞 漏洞编号 QVD-2023-16177 公开时间 2023-07-11 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 9.4
继续阅读SonicWall GMS/Analytics 多个高危漏洞安全风险通告
SonicWall GMS/Analytics 多个高危漏洞安全风险通告 奇安信 CERT 2023-07-13 16:58 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 SonicWall GMS/Analytics多个高危漏洞 漏洞编号 CVE-2023-34133、CVE-2023-34124、CVE-2023-34137 公开时间 2023-07-12 影响对象数量级
继续阅读【漏洞预警】VMware Aria Operations for Logs反序列化漏洞漏洞威胁通告
【漏洞预警】VMware Aria Operations for Logs反序列化漏洞漏洞威胁通告 安识科技 SecPulse安全脉搏 2023-07-13 10:46 1. 通告信息 近日, 安识科技A-Team团队 监测到一则VMware Aria Operations for Logs存在反序列化漏洞的信息,漏洞编号: CVE-2023-20864 ,漏洞威胁等级:高危。 该漏洞源于 Int
继续阅读风险提示|泛微OA e-cology XXE 漏洞
风险提示|泛微OA e-cology XXE 漏洞 长亭安全应急响应 黑伞安全 2023-07-13 08:14 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。近期,长亭科技监测到泛微官方发布了新补丁修复了一处XXE漏洞。长亭应急团队经过分析后发现该漏洞类型为XXE,仍有较多公网系统仍未修复漏洞。长亭应急响应实验室根据漏洞原理编写了X-
继续阅读【安全圈】危险!哈佛大学网站现高危漏洞,可导致数据泄露
【安全圈】危险!哈佛大学网站现高危漏洞,可导致数据泄露 安全圈 2023-07-12 19:00 关键词 安全漏洞 Cybernews 研究团队发现,哈佛大学课程网站上存在一个 WebLogic Server 漏洞,严重程度高达9.8 分。 WebLogic Server是美国跨国计算机技术公司Oracle公司开发的基于Java的应用服务器。该漏洞发现于 2020 年,编号为 CVE-2020-2
继续阅读2023-07 补丁日: 微软多个漏洞安全更新通告
2023-07 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2023-07-12 17:46 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-273 报告来源:360CERT 报告作者:360CERT 更新日期:2023-07-12 1 漏洞简述 2023年07月12日,360CERT监测发现Microsoft发布了2023年7月安全更新,事件等级:严
继续阅读【安全更新】微软7月安全更新多个产品高危漏洞
【安全更新】微软7月安全更新多个产品高危漏洞 原创 NS-CERT 绿盟科技CERT 2023-07-12 14:10 通告编号:NS-2023-0030 2023-07-12 TAG: 安全更新、ADV230001、Microsoft SharePoint Server、Windows Pragmatic General Multicast (PGM)、Windows MSHTML、Micros
继续阅读定制化白盒检测 | 越权漏洞治理分享
定制化白盒检测 | 越权漏洞治理分享 无恒实验室 字节跳动技术团队 2023-07-12 12:03 一、背景 在漏洞扫描领域,主流的扫描方式分为黑盒扫描和白盒扫描,其中源代码安全检测即白盒扫描是安全开发流程(SDLC)中非常重要的一部分。传统漏洞大多数都能通过工具的方式检出,但对于越权漏洞,工具较难解决,在对黑盒工具赋能后, 无恒实验室又尝试探索对白盒工具赋能进行定制化的扫描,下面将为大家分享无
继续阅读微软2023年7月补丁日多个产品安全漏洞风险通告
微软2023年7月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2023-07-12 10:31 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2023年7月补丁日多个产品安全漏洞 影响厂商&产品 Microsoft Visual Studio 2022、Microsoft Office、Microsoft SharePoint Server等 公开时间 20
继续阅读99.99%漏洞屏蔽率的NPatch,部署简单+业务0影响,是如何做到的?
99.99%漏洞屏蔽率的NPatch,部署简单+业务0影响,是如何做到的? 刘沙 青藤云安全 2023-07-11 18:27 近年来,信息技术快速发展和普及,改变了企业运营和个人生活的方式,但也让网络安全问题变得越来越复杂。 根据CNVD (国家信息安全漏洞共享平台)公开数据显示,自2015年以来,信息系统安全漏洞的数量一直持续走高,年平均增长率达到了21.6%。2022 年披露出来的安全漏洞则
继续阅读20万网站受影响,WordPress插件曝零日漏洞
20万网站受影响,WordPress插件曝零日漏洞 看雪学苑 看雪学苑 2023-07-11 17:59 近日,网络安全研究人员发现广泛使用的WordPress网站的Ultimate Member插件(用于简化用户注册及登录流程)存在0day漏洞,该插件目前已安装在全球超过20万个活跃网站上。 该0day(CVE-2023-3460,CVSSv3.1评分9.8)使得黑客能够在目标网站上获取提升的权
继续阅读三万个太阳能光伏电站面临严重漏洞威胁
三万个太阳能光伏电站面临严重漏洞威胁 网络安全应急技术国家工程中心 2023-07-11 15:34 全球数万个太阳能光伏发电站所采用的太阳能发电监控系统曝出严重漏洞,远程攻击者目前正积极利用该漏洞破坏运营或在系统中驻留。 曝出漏洞的设备是日本大阪的Contec(康泰克)公司生产的SolarView太阳能发电监控系统,可帮助太阳能光伏电站内的人员监控产生、存储和配电。 Contec表示,全球大约3
继续阅读上周关注度较高的产品安全漏洞(20230703-20230709)
上周关注度较高的产品安全漏洞(20230703-20230709) 国家互联网应急中心CNCERT 2023-07-11 15:19 一、境外厂商产品漏洞 1、Microsoft Excel代码执行漏洞(CNVD-2023-53909) Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞,攻击
继续阅读风险提示|泛微 OA e-cology 前台SQL注入漏洞
风险提示|泛微 OA e-cology 前台SQL注入漏洞 长亭安全应急响应中心 2023-07-11 13:19 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。近期,长亭科技监测到泛微官方发布了新补丁修复了一处SQL注入漏洞。长亭应急团队经过分析后发现该漏洞类型为SQL注入,仍有较多公网系统仍未修复漏洞。长亭应急响应实验室根据漏洞原理
继续阅读原创Paper | 从入门 .NET 到分析金蝶反序列化漏洞学习笔记
原创Paper | 从入门 .NET 到分析金蝶反序列化漏洞学习笔记 原创 404实验室 知道创宇404实验室 2023-07-11 11:19 作者: Sunflower@知道创宇404实验室日期:2023年7月10日 1.前言 参考资料 由于金蝶云星空能够使用 format 参数指定数据格式为二进制,攻击者可以通过发送由 BinaryFormatter 恶意序列化后的数据让服务端进行危险的 B
继续阅读已复现!泛微e-cology SQL注入漏洞
已复现!泛微e-cology SQL注入漏洞 原创 微步情报局 微步在线研究响应中心 2023-07-10 20:12 01 漏洞概况**** 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。近日,微步漏洞团队监测到泛微e-cology官方修复了一个SQ
继续阅读【安全圈】速看,三万个太阳能光伏电站面临严重漏洞威胁
【安全圈】速看,三万个太阳能光伏电站面临严重漏洞威胁 安全圈 2023-07-10 19:00 关键词 黑客攻击 全球数万个太阳能光伏发电站所采用的太阳能发电监控系统曝出严重漏洞,远程攻击者目前正积极利用该漏洞破坏运营或在系统中驻留。 曝出漏洞的设备是日本大阪的Contec(康泰克)公司生产的SolarView太阳能发电监控系统,可帮助太阳能光伏电站内的人员监控产生、存储和配电。Contec表示,
继续阅读严重的 TootRoot 漏洞可导致Mastodon 服务器遭劫持
严重的 TootRoot 漏洞可导致Mastodon 服务器遭劫持 Bill Toulas 代码卫士 2023-07-10 18:07 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 免费开源的去中心化社交网络平台 Mastodon 修复了四个漏洞,其中一个严重漏洞可导致黑客在使用特殊构造的媒体文件的服务器上创建任意文件。 Mastodon 拥有约880万名用户,分布在由志愿者托管的
继续阅读【已复现】泛微E-Cology SQL注入漏洞安全风险通告
【已复现】泛微E-Cology SQL注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-07-10 16:38 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 泛微E-Cology SQL注入漏洞 漏洞编号 QVD-2023-15672 公开时间 2023-07-07 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 8.6 威胁类型 代码执
继续阅读网络安全漏洞(风险)扫描的12种类型
网络安全漏洞(风险)扫描的12种类型 安全牛 2023-07-10 12:06 漏洞(风险)扫描是保障现代企业数字化转型安全开展过程中一个至关重要的组成部分,可以帮助企业识别数字化系统和应用中的各类安全缺陷。在实际应用时,漏洞扫描的类型需要和它们能够保护的IT环境保持一致。如果充分了解不同类型漏洞扫描技术之间的区别,企业可以提高整体网络安全防御能力,并加固系统以防范潜在威胁。本文收集整理了目前最常
继续阅读看一个经典的缓冲区溢出漏洞
看一个经典的缓冲区溢出漏洞 原创 01dGu0 白帽100安全攻防实验室 2023-07-10 12:04 点击订阅关注我哦 前 言 在当今数字化时代,软件的广泛应用为我们的生活带来了巨大的便利和效率提升。然而,随着软件规模和复杂性的不断增加,安全性问题也变得愈发突出。缓冲区溢出漏洞就是其中一种最常见和危险的安全漏洞,它可以被恶意黑客利用,导致严重的安全风险和损失。 本文将初步探讨缓冲区溢出漏洞的
继续阅读云上跨租户漏洞攻击面分析-RSAC议题解读
云上跨租户漏洞攻击面分析-RSAC议题解读 geekby.site 渗透测试网络安全 2023-07-08 19:00 1 相关概念 1.1 多租户技术 多租户技术是一种在云计算环境中广泛使用的架构设计方法,用于在单个应用程序或服务中同时支持多个独立的租户或用户。 在传统的单租户架构中,每个应用程序或服务只为一个租户提供服务。而在多租户架构中,应用程序或服务被设计成可以同时为多个租户提供服务,而且
继续阅读9月1日正式开课!系统0day安全-Windows平台漏洞挖掘
9月1日正式开课!系统0day安全-Windows平台漏洞挖掘 釉子 看雪学苑 2023-07-07 18:02 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问题的认
继续阅读nginxWebUI runCmd 未授权远程代码执行
nginxWebUI runCmd 未授权远程代码执行 GoTTY 火线Zone 2023-07-07 17:40 01 漏洞简介 之前对 nginxWebUI 进行过搭建和审计,但是当时仅仅关注到了后台的一些命令执行漏洞,最近爆出了未授权远程代码执行,再一次进行搭建环境和分析。 02 环境搭建 https://github.com/cym1102/nginxWebUI/releases/down
继续阅读腾讯安全威胁情报中心推出2023年6月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年6月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-07-07 16:50 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年6月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读【安全圈】警惕!仍有33万台FortiGate防火墙尚未修补CVE-2023-27997漏洞
【安全圈】警惕!仍有33万台FortiGate防火墙尚未修补CVE-2023-27997漏洞 安全圈 2023-07-06 19:01 关键词 安全漏洞 此前,Fortinet在今年的6月8日更新FortiOS作业系统,以修补旗下防火墙设备FortiGate的多个安全漏洞,其中风险最高的CVE-2023-27997在修补当时已遭到黑客利用,而根据另一个网络安全公司Bishop Fox的调查, 在全
继续阅读