开源邮件平台Zimbra 出现新漏洞,用户登录凭据可被盗
开源邮件平台Zimbra 出现新漏洞,用户登录凭据可被盗 Ravie Lakshmanan 代码卫士 2022-06-15 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员发现 Zimbra 邮件套件中又出现一个高危漏洞 (CVE-2022-27924),如遭成功利用可导致未认证攻击者窃取用户明文密码且无需任何用户交互。 研究员在报告中指出,“通过对受害者邮箱后续的访问权
继续阅读标签: 复现
2022-06 补丁日: 微软多个漏洞安全更新通告
2022-06 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2022-06-15 17:03 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-061501 报告来源:360CERT 报告作者:360CERT 更新日期:2022-06-15 1 漏洞简述 2022年06月14日,微软发布了2022年6月份安全更新,事件等级:严重,事件评分:8.8。 此次安全更新
继续阅读【漏洞预警】Linux Kernel ebpf权限提升漏洞
【漏洞预警】Linux Kernel ebpf权限提升漏洞 SecPulse安全脉搏 2022-06-15 16:43 1. 通告信息 近日, 安识科技 A-Team团队 监测到一则 Linux Kernel 组件存在权限提升漏洞的信息,漏洞编号:CVE-2022-23222,漏洞威胁等级:高危。 该漏洞是由于 Linux 内核的 BPF 验证器存在一个空指针漏洞,没有对 *_OR_NULL 指针
继续阅读2022-06微软漏洞通告
2022-06微软漏洞通告 火绒安全 2022-06-15 15:14 点击蓝字 关注我们 微软官方发布了2022年06月的安全更新。本月更新公布了61个漏洞,包含28个远程执行代码漏洞、12个特权提升漏洞、11个信息泄露漏洞、3个拒绝服务漏洞、1个功能绕过以及1个身份假冒漏洞,其中3个漏洞级别为“Critical”(高危),53个为“Important”(严重)。建议用户及时使用火绒安全软件(个
继续阅读微软六月补丁日:广泛关注的Follina漏洞(CVE-2022-30190)得以修复
微软六月补丁日:广泛关注的Follina漏洞(CVE-2022-30190)得以修复 腾讯安全威胁情报中心 2022-06-15 10:40 长按二维码关注 腾讯安全威胁情报中心 今天是微软2022年6月例行补丁日,微软修复了56个安全漏洞,最近被广泛跟踪报道的 Windows MSDT“Follina”0day漏洞(CVE-2022-30190)今天得以修复。 6月安全更新修复的 56 个漏洞中
继续阅读微软2022年6月补丁日多产品安全漏洞风险通告
微软2022年6月补丁日多产品安全漏洞风险通告 原创 QAX CERT 奇安信 CERT 2022-06-15 10:08 奇安信CERT 致力于 第一时间为企业级用户提供安全风险 通告 和 有效 解决方案。 通告摘要 本月,微软共发布了56个漏洞的补丁程序,修复了HEVC Video Extensions、Microsoft SharePoint Server Subscription Edit
继续阅读万字长文详解CVE-2014-1767提权漏洞分析与利用(x86x64)
万字长文详解CVE-2014-1767提权漏洞分析与利用(x86x64) yumoqaq 看雪学苑 2022-06-14 18:11 本文为看雪论坛精华文章看雪论坛作者ID:yumoqaq 这是我第一个研究的漏洞,虽然已经有相当多的资料与文章对这个漏洞进行了分析,但是大部分都是(ctrlCV你懂的),参考了前人的资料,给出了还不如前人的分析文章,让我这个纯纯的新手感觉到困难重重。所以我想把我的分析
继续阅读CISA公布新漏洞,可以远程解锁任意门锁
CISA公布新漏洞,可以远程解锁任意门锁 关键基础设施安全应急响应中心 2022-06-14 14:52 专家发现 HID Mercury Access Controller 中的漏洞可被攻击者利用来远程解锁门。 安全公司 Trellix 的研究人员在 HID Mercury Access Controller 中发现了一些严重漏洞,攻击者可以利用这些漏洞远程解锁门。 这些缺陷影响了 LenelS
继续阅读上周关注度较高的产品安全漏洞(20220606-20220612)
上周关注度较高的产品安全漏洞(20220606-20220612) 国家互联网应急中心CNCERT 2022-06-14 14:14 一、境外厂商产品漏洞 1、Simple Real Estate Portal System SQL注入漏洞 Simple Real Estate Portal System是Carlo Montero个人开发者的一个房地产门户系统。Simple Real Estat
继续阅读【已复现】Linux Kernel eBPF权限提升漏洞 (CVE-2022-23222)安全风险通告
【已复现】Linux Kernel eBPF权限提升漏洞 (CVE-2022-23222)安全风险通告 原创 QAX CERT 奇安信 CERT 2022-06-13 19:52 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到Linux Kernel eBPF权限提升漏洞(CVE-2022-23222) 的POC 在互联
继续阅读两个严重的富士通云存储漏洞可用于破坏虚拟备份
两个严重的富士通云存储漏洞可用于破坏虚拟备份 Jessica Haworth 代码卫士 2022-06-13 18:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 富士通 (Fujitsu) 云存储系统的 web 接口中存在两个“严重”级别的漏洞(CVSS 评分9.8,CVE编号尚未分配完成),可导致未认证攻击者读、写并破坏备份文件。 这两个漏洞位于企业级的富士通 Eternus CS
继续阅读cgibin中与upnp协议有关的一些漏洞分析与复现
cgibin中与upnp协议有关的一些漏洞分析与复现 原创 winmt 看雪学苑 2022-06-13 18:01 本文为看雪论坛精华文章看雪论坛作者ID:winmt 一 前言 UPNP协议 UPNP,全称为:Universal Plug and Play,中文为:通用即插即用,是一套基于TCP/IP、UDP和HTTP的网络协议。 简单来说,就和它的名字一样,UPNP的目的就是为了在某个设备接入网
继续阅读雷神众测漏洞周报2022.06.06-2022.06.12-4
雷神众测漏洞周报2022.06.06-2022.06.12-4 雷神众测 雷神众测 2022-06-13 15:30 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意
继续阅读MIT爆出苹果M1芯片重大漏洞:补丁无法修复
MIT爆出苹果M1芯片重大漏洞:补丁无法修复 安全内参 2022-06-13 12:14 关注我们 带你读懂网络安全 新漏洞突破了苹果 M1 芯片的最后一道安全线 。 2020 年 11 月,苹果 M1 处理器正式发布,凭借其优越性能和低功耗表现一度引发轰动。 自两年前推出以来,还没有发生过针对 M1 芯片的严重攻击,这表明其安全系统运行总体良好,其中指针身份验证机制(Pointer Authen
继续阅读【漏洞通告】PHP 远程代码执行漏洞(CVE-2022-31625、CVE-2022-31626)
【漏洞通告】PHP 远程代码执行漏洞(CVE-2022-31625、CVE-2022-31626) 青藤云安全 2022-06-12 08:17 1 综述 6月9日,PHP发布安全公告,修复了两个存在于PHP中的远程代码执行漏洞。 PHP此次的漏洞,简而言之,会恶意查询服务器数据。 PHP(PHP: Hypertext Preprocessor)即“超文本预处理器”,是一种开源的通用计算机脚本语言
继续阅读【技术干货】2022-29464 WSO2 API Manager 任意文件上传、远程代码执行漏洞
【技术干货】2022-29464 WSO2 API Manager 任意文件上传、远程代码执行漏洞 星阑科技 2022-06-10 11:43 arp @PortalLab实验室 漏洞描述 某些WSO2产品允许不受限制地上传文件,从而执行远程代码。以WSO2 API Manager 为例,它是一个完全开源的 API 管理平台。它支持API设计,API发布,生命周期管理,应用程序开发,API安全性,
继续阅读火线安全荣获“国家信息安全漏洞库(CNNVD)技术支撑单位二级证书”
火线安全荣获“国家信息安全漏洞库(CNNVD)技术支撑单位二级证书” 火线安全 火线安全平台 2022-06-10 10:00 近日,中国国家信息安全漏洞库(英文简称:CNNVD)公示2022年度新增技术支撑单位名单。 北京安全共识科技有限公司(火线安全)成功荣获 “国家信息安全漏洞库(CNNVD)技术支撑单位等级(二级)”证书,成为CNNVD的技术支撑单位之一。 自与CNNVD展开合作以来,火线
继续阅读ATT&CK-Log4j2远程代码执行漏洞(CVE-2021-44228)漏洞分析
ATT&CK-Log4j2远程代码执行漏洞(CVE-2021-44228)漏洞分析 小海 雷神众测 2022-06-09 15:00 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容
继续阅读API NEWS | 国际最新API安全漏洞
API NEWS | 国际最新API安全漏洞 传递资讯的 星阑科技 2022-06-09 13:18 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – 开放自动化软件(OAS)平台的一个高危远程代码执行(RCE)和API访问漏洞; 云麦智能秤API存在
继续阅读《2022年道德黑客洞察报告》:不少人计划当全职漏洞猎人
《2022年道德黑客洞察报告》:不少人计划当全职漏洞猎人 Intigriti 代码卫士 2022-06-08 18:17 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 欧洲漏洞奖励和敏捷渗透测试平台Intigriti 发布《2022年道德黑客洞察报告》。如下是对报告内容的节选编译。 01 报告概览 在2022年,成为道德黑客是全球信息安全专业人员中间非常热门的职业选项。该平台在对1759名
继续阅读上周关注度较高的产品安全漏洞(20220530-20220605)
上周关注度较高的产品安全漏洞(20220530-20220605) 国家互联网应急中心CNCERT 2022-06-07 17:48 一、境外厂商产品漏洞 1、 微软支持诊断工具远程代码执行漏洞 微软支持诊断工具(MSDT,Microsoft Support Diagnostic Tool)是一种实用程序,用于排除故障并收集诊断数据,供专业人员分析和解决问题。Microsoft Office是由微
继续阅读ATT&CK-Spring Framework(CVE-2022-22965)远程代码执行漏洞
ATT&CK-Spring Framework(CVE-2022-22965)远程代码执行漏洞 原创 小海 雷神众测 2022-06-07 15:00 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括
继续阅读CVE-2022-30190 MSDT 代码注入漏洞分析
CVE-2022-30190 MSDT 代码注入漏洞分析 原创 404实验室 知道创宇404实验室 2022-06-07 11:35 作者:HuanGMz@知道创宇404实验室时间:2022年6月7日 分析一下最近Microsoft Office 相关的 MSDT 漏洞。 1. WTP框架 文档: https://docs.microsoft.com/en-us/previous-versions
继续阅读上周关注度较高的产品安全漏洞(20220418-20220424)
上周关注度较高的产品安全漏洞(20220418-20220424) 原创 CNVD CNVD漏洞平台 2022-04-25 16:45 一、境外厂商产品漏洞 1、Zoho ManageEngine ADAudit Plus远程代码执行漏洞 Zoho ManageEngine Adaudit Plus是美国Zoho Corporation公司的用于简化审计、证明合规性和检测威胁。Zoho Manag
继续阅读雷神众测漏洞周报2022.04.18-2022.04.24-4
雷神众测漏洞周报2022.04.18-2022.04.24-4 雷神众测 雷神众测 2022-04-25 15:38 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意
继续阅读【漏洞预警】Java数字签名伪造漏洞
【漏洞预警】Java数字签名伪造漏洞 夜影实验室 锦行科技 2022-04-25 15:04 漏洞名称: Java 数字签名伪造漏洞 影响范围: Oracle Java SE 7u311 Oracle Java SE 11.0.14Oracle Java SE 17.0.2Oracle Java SE 18Oracle GraalVM Enterprise Edition 20.3.5Oracle
继续阅读【漏洞预警】Apache Log4j SQL注入漏洞
【漏洞预警】Apache Log4j SQL注入漏洞 夜影实验室 锦行科技 2022-04-25 15:04 漏洞名称: Apache Log4j SQL注入漏洞 影响范围: Log4j v1.x 漏洞编号: CVE-2022-23305 漏洞类型: SQL注入 利用条件: 无 综合评价: <利用难度>:低 <威胁等级>: 高危 #1 漏洞描述 Apache Log4j是美
继续阅读开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控 Ravie Lakshmanan 代码卫士 2022-04-22 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供
继续阅读业务安全漏洞-登录认证实战总结(一)
业务安全漏洞-登录认证实战总结(一) 原创 萨满 火线Zone 2022-04-22 18:00 文章首发于: 火线Zone社区(https://zone.huoxian.cn/) 用户名枚举 漏洞描述 一般存在于系统登录或注册页面,利用登陆系统中的漏洞可以试验出是否存在的哪些用户名,返回不同的出错信息可枚举出系统中存在的用户名。 此处以注册页面为例,通过手工的方式输入账号查看回显信息。 在注册页
继续阅读高通和联发科芯片漏洞致数百万安卓设备可被远程监控
高通和联发科芯片漏洞致数百万安卓设备可被远程监控 安全内参 2022-04-22 17:03 关注我们 带你读懂网络安全 近日,高通和联发科芯片的音频解码器曝出三个远程代码执行漏洞(RCE),攻击者可利用这些漏洞远程监控受影响移动设备的媒体和音频对话。 根据以色列网络安全公司Check Point的报告,这些漏洞可“听懂命令”,攻击者只需发送特制的音频文件即可执行远程代码执行攻击。 研究人员在报告
继续阅读