重大供应链威胁!这个 Java 开源框架存在严重漏洞
重大供应链威胁!这个 Java 开源框架存在严重漏洞 关键基础设施安全应急响应中心 2023-03-03 14:37 美国网络安全和基础设施安全局(CISA)的安全研究人员报告称,一个受广泛使用的开源Java框架中存在严重漏洞并被攻击者利用,以向未打补丁的服务器部署后门。专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 CISA已将CVE-2022-36537添加到其已知已开发漏洞(K
继续阅读标签: 复现
1&2月份重点关注的API安全漏洞一览
1&2月份重点关注的API安全漏洞一览 星阑科技 2023-03-02 16:12 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 1&2月份的一些API安全漏洞报告 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 一个允许远程控制现代和创世纪车辆的API关键漏洞 漏洞详情:近期,研究人员披露了现
继续阅读Windows 2000系统的一个0day漏洞发现过程
Windows 2000系统的一个0day漏洞发现过程 Qfwfq- 看雪学苑 2023-02-28 18:00 本文为看雪论坛优秀文章 看雪论坛作者ID:Qfwfq- 其实安装这个系统的本意是折腾老游戏,装点菠萝1之类的玩玩,结果找到了个漏洞。 这个漏洞位于cmd.exe,是一个缓冲区溢出漏洞,我在公开资料上没有查询到该漏洞的任何信息,也不知道是我没查到,还是确实没人公开它,如果有谁查到这个漏洞
继续阅读QNAP推出新的漏洞奖励计划,覆盖应用、云服务和OS,最高赏金2万美元
QNAP推出新的漏洞奖励计划,覆盖应用、云服务和OS,最高赏金2万美元 Ionut Arghire 代码卫士 2023-02-28 17:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 位于中国台湾省的公司 QNAP Systems 宣布,通过新推出的漏洞奖励计划提交漏洞的研究员,最高可获得2万美元的奖励。 QNAP 因网络附加存储 (NAS) 和专业的网络视频录像机 (NVR) 解决
继续阅读上周关注度较高的产品安全漏洞(20230220-20230226)
上周关注度较高的产品安全漏洞(20230220-20230226) 国家互联网应急中心CNCERT 2023-02-27 16:44 一、境外厂商产品漏洞 1、Siemens Tecnomatix Plant Simulation越界写入漏洞(CNVD-2023-10619) Siemens Tecnomatix Plant Simulation是面向对象的、图形化的、集成的建模、仿真工具。Sie
继续阅读【TrustZone相关漏洞导读】Glitched on Earth by Humans
【TrustZone相关漏洞导读】Glitched on Earth by Humans 关键基础设施安全应急响应中心 2023-02-25 10:27 议题名称:Glitched on Earth by Humans: A Black-Box Security Evaluation of the SpaceX Starlink User Terminal (2022.08)[1] 议题视频:ht
继续阅读【漏洞通告】Joomla未授权访问漏洞(CVE-2023-23752)
【漏洞通告】Joomla未授权访问漏洞(CVE-2023-23752) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-02-22 18:07 漏洞名称: Joomla未授权访问漏洞(CVE-2023-23752) 组件名称: Joomla 影响范围: 4.0.0 ≤ Joomla ≤ 4.2.7 漏洞类型: 未授权访问 利用条件: 1、用户认证:不需要2、前置条件:无3、触发方式:远程 综合
继续阅读CVE-2016-7255提权漏洞学习笔记
CVE-2016-7255提权漏洞学习笔记 1900 看雪学苑 2023-02-22 17:59 本文为看雪论坛优秀文章 看雪论坛作者ID:1900 1.漏洞描述 该漏洞存在于win32k中的xxxNextWindow函数中,该函数没有对tagWND对象的spmenu成员的合法性进行验证,就直接将其作为合法地址进行读写,导致了BSOD的产生。通过将spmenu设置为特定的值,可以让tagWND对象
继续阅读【已复现】Fortinet FortiNAC 远程代码执行漏洞安全风险通告第二次更新
【已复现】Fortinet FortiNAC 远程代码执行漏洞安全风险通告第二次更新 奇安信 CERT 2023-02-22 17:13 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 FortiNAC(Network Access Control) 是Fortinet的一种零信任网络访问控制解决方案,可增强用户对企业网络上的物联网 (IoT) 设
继续阅读TouchEn nxKey键盘加密应用程序出现的许多漏洞很容易使其被黑化
TouchEn nxKey键盘加密应用程序出现的许多漏洞很容易使其被黑化 luochicun 嘶吼专业版 2023-02-22 12:00 TouchEn nxKey是韩国安全软件公司Raonsecure开发的端到端加密应用程序,用于保证键盘使用时的全方位安全,目前这个应用程序主要用于韩国的金融业务,在韩国几乎所有电脑上都安装了这款软件。如果你想在韩国操作网上银行业务,就必须使用它。不过韩国人对它
继续阅读热门开源代理 HAProxy 修复HTTP请求伪造漏洞
热门开源代理 HAProxy 修复HTTP请求伪造漏洞 Ben Dickson 代码卫士 2023-02-21 17:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门的开源负载均衡器和反向代理 HAProxy 修复了一个漏洞,可导致攻击者发动HTTP请求走私攻击。攻击者可发送恶意构造的HTTP请求,绕过HAProxy的过滤器并获得对后端服务器的越权访问权限。 01 被释放的标头 H
继续阅读CVE-2023-23752:Joomla未授权访问漏洞通告
CVE-2023-23752:Joomla未授权访问漏洞通告 原创 360CERT 三六零CERT 2023-02-21 16:53 赶紧点击上方话题进行订阅吧! 报告编号: 报告来源:360CERT 报告作者:360CERT 更新日期:2023-02-21 1 漏洞简述 2023年02月21日,360CERT监测发现Joomla官方发布了Joomla未授权访问漏洞的风险通告,漏洞编号为CVE-2
继续阅读CVE-2023-24998:Apache Commons FileUpload拒绝服务漏洞通告
CVE-2023-24998:Apache Commons FileUpload拒绝服务漏洞通告 原创 360CERT 三六零CERT 2023-02-21 16:53 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-022102 报告来源:360CERT 报告作者:360CERT 更新日期:2023-02-21 1 漏洞简述 2023年02月21日,360CERT监测发现Apache官方
继续阅读【已复现】Joomla未授权访问漏洞(CVE-2023-23752)安全风险通告
【已复现】Joomla未授权访问漏洞(CVE-2023-23752)安全风险通告 奇安信 CERT 2023-02-21 12:00 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 XXX XXXXXX Joomla是一套全球知名的内容管理系统。Joomla是使用PHP语言加上MySQL数据库所开发的软件系统。可以在Linux、Windows、Ma
继续阅读ZKP 系列之 Circom 验证合约输入假名漏洞复现
ZKP 系列之 Circom 验证合约输入假名漏洞复现 原创 慢雾安全团队 慢雾科技 2023-02-20 18:18 By: Victory 概述 此前,俄罗斯开发者 poma 在 Semaphore 上发现了一个 零知识证明验证合约存在双花漏洞 (详见 https://github.com/semaphore-protocol/semaphore/issues/16)。出于兴趣,想先尝试复现一
继续阅读CVE-2015-2546提权漏洞学习笔记
CVE-2015-2546提权漏洞学习笔记 1900 看雪学苑 2023-02-19 17:59 本文为看雪论坛优秀文章 看雪论坛作者ID:1900 1.漏洞描述 和CVE-2014-4113一样,这个漏洞也是因为调用xxxSendMessage函数的时候,没有对第一个参数进行合法性验证。用户可以通过一定的方法修改第一个参数的值,导致可以通过xxxSendMessageTimeout中的以下代码实
继续阅读Android 反序列化漏洞攻防史话
Android 反序列化漏洞攻防史话 原创 evilpan 有价值炮灰 2023-02-18 16:30 序列化和反序列化是指将内存数据结构转换为字节流,通过网络传输或者保存到磁盘,然后再将字节流恢复为内存对象的过程。在 Web 安全领域,出现过很多反序列化漏洞,比如 PHP 反序列化、Java 反序列化等。由于在反序列化的过程中触发了非预期的程序逻辑,从而被攻击者用精心构造的字节流触发并利用漏洞
继续阅读【漏洞预警】微软2月多个安全漏洞
【漏洞预警】微软2月多个安全漏洞 安识科技 SecPulse安全脉搏 2023-02-16 11:55 1. 通告信息 2023年2月14日,微软发布了2月安全更新,本次更新修复了包括3个0 day漏洞在内的75个安全漏洞(不包括Microsoft Edge和其它漏洞),其中有9个漏洞评级为“严重”。 对此,安识科技建议广大用户及时升级到安全版本 ,并做好资产自查以及预防工作,以免遭受黑客攻击。
继续阅读Clop勒索软件团伙声称:使用GoAnywhere零日漏洞闯入了130家组织
Clop勒索软件团伙声称:使用GoAnywhere零日漏洞闯入了130家组织 布加迪 嘶吼专业版 2023-02-15 12:00 Clop勒索软件团伙近日声称自己策划了最近利用GoAnywhere MFT安全文件传输工具的一个零日漏洞的攻击,表示已从130多家组织窃取了数据。 该安全漏洞现在被编号为CVE-2023-0669,使攻击者能够在未打补丁的GoAnywhere MFT实例上获得远程执行
继续阅读CVE-2022-22583和CVE-2022-32800技术分析
CVE-2022-22583和CVE-2022-32800技术分析 gejigeji 嘶吼专业版 2023-02-15 12:00 我们会在本文详细介绍如何使用不同的方法利用CVE-2022-22583的技术细节。我们还在本报告中讨论了CVE-2022-32800的技术细节。 2022年1月26日,苹果公司修复了PackageKit框架中的系统完整性保护(SIP)绕过漏洞,该漏洞被识别为CVE-2
继续阅读CVE-2023-23529:Apple WebKit任意代码执行漏洞通告
CVE-2023-23529:Apple WebKit任意代码执行漏洞通告 原创 360CERT 三六零CERT 2023-02-14 15:53 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-021401 报告来源:360CERT 报告作者:360CERT 更新日期:2023-02-14 1 漏洞简述 2023年02月14日,360CERT监测发现Apple发布了Apple WebKi
继续阅读Apple产品多个漏洞安全风险通告
Apple产品多个漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-02-14 12:26 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 WebKit 是一个开源的浏览器引擎,主要用于Safari,Dashboard,Mail和其他一些Mac OS X程序。 WebKit内核在手机上的应用十分广泛,例如Google的手机And
继续阅读CVE-2022-34689:Windows CryptoAPI漏洞PoC公布
CVE-2022-34689:Windows CryptoAPI漏洞PoC公布 ang010ela 嘶吼专业版 2023-02-09 12:00 漏洞概述 CryptoAPI是Windows系统处理与加密相关事务的API。在证书处理方面,负责读取和分析证书来验证是否经过验证的CA。浏览器也会使用CryptoAPI用于TLS证书验证。 2022年,美国国家安全局(NSA)和国家网络安全中心(NCSC
继续阅读【漏洞通告】IBM WebSphere Application Server远程代码执行漏洞(CVE-2023-23477)
【漏洞通告】IBM WebSphere Application Server远程代码执行漏洞(CVE-2023-23477) 原创 NS-CERT 绿盟科技CERT 2023-02-08 18:38 通告编号:NS-2023-0006 2023-02-08 TAG: IBM、WebSphere、CVE-2023-23477 漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。 版本: 1.0 1 漏
继续阅读IBM WebSphere Application Server远程代码执行漏洞(CVE-2023-23477)安全风险通告
IBM WebSphere Application Server远程代码执行漏洞(CVE-2023-23477)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-02-08 14:35 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 WebSphere 是 IBM 的软件平台。 它包含了编写、运行和监视全天候的工业强度的随需应变 W
继续阅读热门开源Dompdf PHP 库中存在严重漏洞
热门开源Dompdf PHP 库中存在严重漏洞 DO SON 代码卫士 2023-02-03 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 开源的Dompdf PHP库中存在一个高危漏洞 (CVE-2023-23924),如遭利用,可导致攻击者在目标服务器上远程执行代码。 开发人员 Bsweeney 在安全公告中指出,“攻击者如果能够向dompdf 提供SVG文件,则可能利用该
继续阅读ImageMagick:隐藏在网上图像背后的漏洞
ImageMagick:隐藏在网上图像背后的漏洞 布加迪 嘶吼专业版 2023-02-03 12:00 ImageMagick是一种免费开源软件套件,用于显示、转换和编辑图像文件。它可以对200多种格式的图像文件进行读写操作,因此它在全球网站上很常见,因为我们总是需要为用户的个人资料和目录等内容处理图片。 Ocelot团队在最近的一次高级持续性威胁(APT)模拟活动中发现,ImageMagick在
继续阅读27200美元赏金!安全研究员披露Facebook、Instagram双因素身份验证漏洞
27200美元赏金!安全研究员披露Facebook、Instagram双因素身份验证漏洞 看雪学苑 看雪学苑 2023-02-02 17:59 近日,一名来自尼泊尔的安全研究员Gtm Mänôz,披露了一个影响Instagram和Facebook的双因素身份验证漏洞。在向Meta报告此漏洞后,其将一笔27200美元的赏金收入了囊中。 双因素身份验证(2FA)是目前常见的一种保护用户账户安全的手段。
继续阅读CVE-2023-22482/22736:Argo CD 身份验证绕过漏洞通告
CVE-2023-22482/22736:Argo CD 身份验证绕过漏洞通告 原创 360CERT 三六零CERT 2023-02-01 18:42 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-020101 报告来源:360CERT 报告作者:360CERT 更新日期:2023-02-01 1 漏洞简述 2023年02月01日,360CERT监测发现Argo CD官方发布了Argo
继续阅读CVE-2022-27596:QNAP QTS/QuTS hero SQL注入漏洞通告
CVE-2022-27596:QNAP QTS/QuTS hero SQL注入漏洞通告 原创 360CERT 三六零CERT 2023-01-31 17:09 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-013104 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-31 1 漏洞简述 2023年01月31日,360CERT监测发现QNAP官方发布了QTS
继续阅读