Argo CD 多个高危漏洞安全风险通告
Argo CD 多个高危漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-30 19:50 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Argo CD是用于Kubernetes的声明性GitOps持续交付工具。Argo CD可在指定的目标环境中自动部署所需的应用程序状态,应用程序部署可以在Git提交时跟踪对分支,标签的
继续阅读标签: 复现
CVE-2023-23560:Lexmark打印机服务器端请求伪造漏洞通告
CVE-2023-23560:Lexmark打印机服务器端请求伪造漏洞通告 原创 360CERT 三六零CERT 2023-01-30 16:26 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-013002 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-30 1 漏洞简述 2023年01月30日,360CERT监测发现Lexmark官方发布了Lexmark
继续阅读VMware vRealize Log Insight多个高危漏洞通告
VMware vRealize Log Insight多个高危漏洞通告 原创 360CERT 三六零CERT 2023-01-30 16:26 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-013001 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-30 1 漏洞简述 2023年01月30日,360CERT监测发现VMware官方发布了VMware vRe
继续阅读四款微软Azure服务存在漏洞,可导致云资源遭越权访问
四款微软Azure服务存在漏洞,可导致云资源遭越权访问 Ravie Lakshmanan 代码卫士 2023-01-20 13:11 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 四款不同的微软 Azure服务易受服务器端请求伪造 (SSRF) 攻击,可使攻击者获得对云资源的越权访问权限。 这些漏洞是由Orca公司在2022年10月8日至2022年12月2日在Azure API Manag
继续阅读厂商纷纷主动绕过Adobe发布的CVE-2022-24086安全补丁
厂商纷纷主动绕过Adobe发布的CVE-2022-24086安全补丁 Ionut Arghire 代码卫士 2023-01-19 18:00 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 电商安全公司 Sansec 提醒称,厂商和机构正在主动绕过Adobe 在2022年2月发布的CVE-2022-24086的安全补丁。该漏洞是位于Adobe Commerce 和 Magento 商店的严重
继续阅读TP-Link 和 NetComm 路由器中存在多个远程代码执行漏洞
TP-Link 和 NetComm 路由器中存在多个远程代码执行漏洞 Ionut Arghire 代码卫士 2023-01-19 18:00 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 TP-Link 和 NetComm 路由器机型中存在多个漏洞,可用于实现远程代码执行 (RCE)。 TP-Link WR710N-V1-151022和Archer-C5-V2-160201 SOHO 路由
继续阅读斗象漏洞情报中心分享|禅道命令注入漏洞深度分析
斗象漏洞情报中心分享|禅道命令注入漏洞深度分析 原创 斗象TCC实验室 斗象智能安全 2023-01-19 13:49 01 漏洞概述 1月6日,斗象漏洞情报运营中心监测到公网公开披露了禅道研发项目管理系统存在命令注入漏洞并发布了漏洞预警。 禅道研发项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,实现了软件的完整生命周
继续阅读上周关注度较高的产品安全漏洞(20230109-20230115)
上周关注度较高的产品安全漏洞(20230109-20230115) 国家互联网应急中心CNCERT 2023-01-18 20:44 一、境外厂商产品漏洞 1、ZOHO ManageEngine ADManager Plus存在命令执行漏洞 ZOHO ManageEngine ADManager Plus是美国卓豪(ZOHO)公司的一套为使用Windows域的企业用户设计的微软活动目录管理软件。该
继续阅读【安全圈】ManageEngine 曝出严重漏洞,攻击者无需身份验证即可远程运行代码
【安全圈】ManageEngine 曝出严重漏洞,攻击者无需身份验证即可远程运行代码 安全圈 2023-01-18 18:30 关键词 漏洞 IT之家 1 月 17 日消息,来自 Horizon3 Attack Team 的网络安全研究人员公布了一个概念验证 (PoC) 漏洞,这一漏洞存在于诸多 VMware 产品中。 据介绍,CVE-2022-47966 漏洞可允许攻击者无需身份验证即可在 Ma
继续阅读从美国CISA KEV项目看海量漏洞管理方法
从美国CISA KEV项目看海量漏洞管理方法 安全内参 2023-01-18 18:06 现状与难点 01 新形势下漏洞管理重要性凸显 在信息科技高速发展的时代背景下,信息技术产品供应链愈发庞大,网络威胁形势不断变化,网络运营者面临高水平的安全运营需求,漏洞管理已经成为安全运营中最直接、最关键的组成部分。各国政府、产业界均在不断探索完善科学、规范的漏洞管理机制,围绕此焦点的新政策、新要求、新机制、
继续阅读谷歌浏览器“SymStealer”漏洞:可窃取用户敏感文件
谷歌浏览器“SymStealer”漏洞:可窃取用户敏感文件 看雪学苑 看雪学苑 2023-01-16 17:59 近期,网络安全公司Imperva的红队披露了一个名为“SymStealer”的漏洞(CVE-2022-3656),据称影响超过25亿Google Chrome以及基于Chromium的浏览器用户。此漏洞允许攻击者窃取敏感文件,如加密钱包和云提供商凭据。 据悉,Chrome是目前使用最广
继续阅读【安全圈】竟然不修复!思科企业路由器存在严重漏洞
【安全圈】竟然不修复!思科企业路由器存在严重漏洞 安全圈 2023-01-14 18:31 关键词 漏洞、思科 思科中小企业产品线RV016、RV042、RV042G和RV082路由器上的网页管理界面存在 严重漏洞 ,使得远程攻击者可以绕过身份验证,并在底层操作系统上执行任意命令。 但由于这些路由器生命周期已结束,思科表示不会发布新软件解决这些路由器上的漏洞。 思科这些RV系列中小企业路由器的所有
继续阅读思科不打算修复SMB路由器中严重的认证绕过漏洞
思科不打算修复SMB路由器中严重的认证绕过漏洞 Tara Seals 代码卫士 2023-01-13 17:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科SMB路由器中存在两个严重的漏洞(CVE-2023-20025和CVE-2023-20026),可导致未认证攻击者完全控制目标设备,以root权限运行命令。遗憾的是,即使已存在在野PoC exploit,思科仍然不打算修复。 漏
继续阅读PowerShell 远程代码执行漏洞(CVE-2022-41076)安全风险通告二次更新
PowerShell 远程代码执行漏洞(CVE-2022-41076)安全风险通告二次更新 原创 QAX CERT 奇安信 CERT 2023-01-13 10:32 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到互联网上公开PowerShell 远程代码执行漏洞(CVE-2022-41076)技术细节及PoC,国外厂商
继续阅读【已复现】禅道项目管理系统远程命令执行漏洞安全风险通告
【已复现】禅道项目管理系统远程命令执行漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-13 10:32 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 禅道项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,完整覆盖了研发项目管理的核心流程。 近
继续阅读CVE-2023-21752:Windows Backup Service权限提升漏洞通告
CVE-2023-21752:Windows Backup Service权限提升漏洞通告 原创 360CERT 三六零CERT 2023-01-12 16:51 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-011201 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-12 1 漏洞简述 2023年01月12日,360CERT监测发现Windows Bac
继续阅读Experian严重漏洞暴露信用报告
Experian严重漏洞暴露信用报告 网络安全应急技术国家工程中心 2023-01-12 15:38 近日,有记者在消费者和企业信用报告领域的全球领导者 Experian 的官方网站上披露了一个安全漏洞的惊人细节,该漏洞正被身份盗窃诈骗者利用,而 Experian 对此一无所知。 到 2022 年底,Experian 网站允许用户绕过这些 MCQ,在输入姓名、出生日期、地址和社会安全号码后直接访问
继续阅读应对0Day攻击的高阶版防护实践
应对0Day攻击的高阶版防护实践 安全牛 2023-01-12 11:59 0day漏洞是指软件(或系统)中已经被人发现,但还并未被开发商或使用者所知晓的应用缺陷或隐患。通常,0day漏洞曝光得越晚,软件或系统提供商给出补丁的几率就越低,那么攻击者利用此类漏洞进行攻击的危害程度也就会越高,因为它们很难被预测和防御。 目前,0day攻击对所有企业组织和个人都是一个严重的威胁,如何有效防范这种类型的攻
继续阅读微软2023年1月补丁日多产品安全漏洞风险通告
微软2023年1月补丁日多产品安全漏洞风险通告 原创 QAX CERT 奇安信 CERT 2023-01-11 11:36 奇安信CERT 致力于 第一时间为企业级用户提供安全风险 通告 和 有效 解决方案。 通告摘要 本月,微软共发布了99个漏洞的补丁程序,修复了Microsoft Exchange Server、Microsoft SharePoint、Windows LDAP、Microso
继续阅读热门开源库 JsonWebToken 存在RCE漏洞,可引发供应链攻击
热门开源库 JsonWebToken 存在RCE漏洞,可引发供应链攻击 Bill Toulas 代码卫士 2023-01-10 17:57 聚焦源代码安全,网罗国内外最新资讯!**** 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复
继续阅读【已复现】GitLab 远程代码执行漏洞安全风险通告第二次更新
【已复现】GitLab 远程代码执行漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-01-09 17:03 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理,同时可以搭建W
继续阅读雷神众测漏洞周报2023.1.3-2023.1.8
雷神众测漏洞周报2023.1.3-2023.1.8 原创 雷神众测 雷神众测 2023-01-09 15:00 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此
继续阅读CVE-2022-43931:Synology VPN Plus Server越界写入漏洞通告
CVE-2022-43931:Synology VPN Plus Server越界写入漏洞通告 原创 360CERT 三六零CERT 2023-01-06 17:57 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-010602 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-06 1 漏洞简述 2023年01月06日,360CERT监测发现Synology官
继续阅读CVE-2022-39947/35845:Fortinet 命令注入漏洞通告
CVE-2022-39947/35845:Fortinet 命令注入漏洞通告 原创 360CERT 三六零CERT 2023-01-06 17:57 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-010601 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-06 1 漏洞简述 2023年01月06日,360CERT监测发现Fortinet官方发布了Forti
继续阅读汽车行业最严重漏洞:20家知名车企API暴露车主个人信息
汽车行业最严重漏洞:20家知名车企API暴露车主个人信息 安全内参 2023-01-05 18:53 关注我们 带你读懂网络安全 近日安全研究人员Sam Curry披露了近20家知名汽车制造商在线服务中的API安全漏洞,这些漏洞可能允许黑客执行恶意活动,包括从解锁、启动、跟踪汽车到窃取客户个人信息。这可能是汽车行业迄今披露的影响最为广泛,也最为严重的安全漏洞。 受漏洞影响的知名品牌包括宝马、劳斯莱
继续阅读Zoho:立即修复这个严重的ManageEngine漏洞!
Zoho:立即修复这个严重的ManageEngine漏洞! Sergiu Gatlan 代码卫士 2023-01-05 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Zoho 督促客户修复影响多款ManageEngine产品的一个严重漏洞。本周一,Zoho 公司提醒称,“该安全公告是为了告知大家,我们检测到了一个严重的安全漏洞。” 该漏洞的编号是CVE-2022-47523,是
继续阅读Notional Double Counting Free Collateral 分析和复现
Notional Double Counting Free Collateral 分析和复现 ghostmazeW 看雪学苑 2023-01-05 18:03 本文为看雪论坛优秀文章 看雪论坛作者ID:ghostmazeW Notional( https://notional.finance/portfolio/ ) 简单说来就是一个固定周期,固定利率的借贷池,主要支持Borrow,lend以及P
继续阅读Apache Kylin多个命令注入漏洞安全风险通告
Apache Kylin多个命令注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-03 18:53 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Apache Kylin 是一个开源的、分布式的分析型数据仓库,提供Hadoop或Spark之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 e
继续阅读《58集团漏洞标准V4.2》
《58集团漏洞标准V4.2》 58安全应急响应中心 2023-01-03 18:14 本标准将于2023年1月4日0:00起生效 基本原则 58集团非常重视自身产品和业务的安全,我们承诺对每一份报告都有专人及时跟进处理,给出漏洞评定结果以及原因,并给予白帽子与之匹配的利益。 58SRC非常希望您在提交漏洞前认真阅读平台《58SRC漏洞评分标准》、《58SRC漏洞审核策略》以及《白帽子常见FAQ》,
继续阅读12月API漏洞及相关资讯一览
12月API漏洞及相关资讯一览 星阑科技 2022-12-29 15:07 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 12月份的一些API安全漏洞报告和资讯 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 Zendesk Explore API中的SQL注入漏洞 漏洞详情:Zendesk Explore 是
继续阅读