新的CVSS 4.0漏洞严重程度评级标准发布
新的CVSS 4.0漏洞严重程度评级标准发布 安全客 2023-11-02 11:06 事件响应和安全团队论坛 (FIRST) 正式发布了 CVSS v4.0,这是其下一代通用漏洞评分系统标准,距上一个主要版本 CVSS v3.0 已经过去了八年。 CVSS 是一个用于评估软件安全漏洞严重性的标准化框架,用于根据可利用性、对机密性、完整性、可用性和所需权限的影响来分配数字分数或定性表示(例如低、中
继续阅读标签: 敏感信息
手把手玩转路由器漏洞挖掘系列 – SNMP协议分析
手把手玩转路由器漏洞挖掘系列 – SNMP协议分析 原创 nil 山石网科安全技术研究院 2023-11-01 18:17 1. 基本介绍 1.1 概要 SNMP协议(Simple Network Management Protocol,SNMP)原名叫做简单网关协议。该协议是基于简单网关监视协议指定的,是专门设计用于在IP网络管理网络节点的一种标准协议,是一种应用层协议。 主要作用帮
继续阅读实战 | 记一次艰难的任意文件下载漏洞挖掘和总结思考
实战 | 记一次艰难的任意文件下载漏洞挖掘和总结思考 迪哥讲事 2023-10-31 12:00 0X01 前言 本文的起因是在一次渗透测试中,挖掘到了一个比较奇葩的任意文件下载漏洞,鄙人的性格又比较倔,非想着从这个任意文件下载漏洞收获一些足以打入内网的成果。于是整了半天,在这个过程中也进一步加深了对这类漏洞在利用方式上的理解。 0x02 漏洞点 在信息搜集的时候发现这样一个后台登陆入口 测试了弱
继续阅读上周关注度较高的产品安全漏洞(20231023-20231029)
上周关注度较高的产品安全漏洞(20231023-20231029) 原创 CNVD CNVD漏洞平台 2023-10-30 17:27 一、境外厂商产品漏洞 1、Cisco Catalyst SD-WAN Manager授权绕过漏洞 Cisco Catalyst SD-WAN Manager是美国思科(Cisco)公司的一款SD-WAN网络管理程序。Cisco Catalyst SD-WAN Ma
继续阅读【已复现】NetScaler ADC和NetScaler Gateway敏感信息泄露漏洞安全风险通告第二次更新
【已复现】NetScaler ADC和NetScaler Gateway敏感信息泄露漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-10-26 16:23 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 NetScaler ADC和NetScaler Gateway敏感信息泄露漏洞 漏洞编号 QVD-2023-24045、CVE-2023-496
继续阅读“三角测量行动”利用 iOS 0day漏洞(CVE-2023-32434)部署后门
“三角测量行动”利用 iOS 0day漏洞(CVE-2023-32434)部署后门 安全客 2023-10-25 18:42 2023年6月,卡巴斯基曝光了一起高级持续威胁(APT)攻击——“三角测量行动”,攻击者秘密从受感染设备中窃取敏感信息。 近日,卡巴斯基再发报告,详细介绍了“三角测量行动”进一步的技术细节。 报告指出,该攻击框架的核心是一个名为TriangleDB 的后门,该植入程序包含至
继续阅读CVE-2023-4966:Citrix NetScaler信息泄露漏洞通告
CVE-2023-4966:Citrix NetScaler信息泄露漏洞通告 原创 360CERT 三六零CERT 2023-10-19 17:38 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-471 报告来源:360CERT 报告作者:360CERT 更新日期:2023-10-19 1 漏洞简述 2023年10月19日,360CERT监测发现Citrix发布了NetScale
继续阅读NetScaler ADC和NetScaler Gateway 敏感信息泄露漏洞(CVE-2023-4966)安全风险通告
NetScaler ADC和NetScaler Gateway 敏感信息泄露漏洞(CVE-2023-4966)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-10-19 13:35 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 NetScaler ADC和NetScaler Gateway敏感信息泄露漏洞 漏洞编号 QVD-2023-24045、CVE-20
继续阅读【漏洞复现】NocoDB任意文件读取(CVE-2023-35843)
【漏洞复现】NocoDB任意文件读取(CVE-2023-35843) 渗透安全团队 2023-10-14 23:47 前言 由于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 免责声明: 文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果
继续阅读2023年Q3季度 | 漏洞监测报告
2023年Q3季度 | 漏洞监测报告 奇安信 CERT 2023-10-14 08:02 漏洞监测报告 2023年7月1日至9月30日期间,奇安信CERT共监测到新增漏洞12870个,其中有10060条敏感信息触发了人工研判 。经研判,本季度值得重点关注的漏洞共813个,达到奇安信CERT发布安全风险通告标准的漏洞共40个(奇安信CERT对其中25个漏洞进行深度分析)。 摘要**** 代码执行是2
继续阅读腾讯安全威胁情报中心推出2023年9月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年9月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-10-13 16:18 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年9月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读现金大奖| 2023补天通用型漏洞专项活动第四期来啦!
现金大奖| 2023补天通用型漏洞专项活动第四期来啦! 补天平台 2023-10-13 12:03 通用专项活动第四期 ◆ 2 0 2 3 年10 月12 日 09 点 起 至10 月 26 日 2 3 : 5 9 止 ◆ 收取范围:web通用型漏洞 0 1 活动奖励A计划 收录范围说明 漏洞实际影响 资产存在备案信息归属的独立ip数≥2500 漏洞等级 高 危 漏 洞 活动额外奖励 1.每个有效
继续阅读【安全圈】大更新!微软发布103个漏洞补丁,其中13个为严重漏洞
【安全圈】大更新!微软发布103个漏洞补丁,其中13个为严重漏洞 安全圈 2023-10-12 19:01 关键词 软件漏洞 近日,微软发布了2023年10月的补丁更新,解决了其软件中的103个漏洞。 在这103个漏洞中,有13个的评级为严重漏洞,90个被评为重要漏洞。自9月12日以来,谷歌已经解决了基于chrome的Edge浏览器的18个安全漏洞。 这些漏洞中,有两个漏洞已被积极利用,具体如下:
继续阅读安全跟我学|这些网络安全“漏洞”,你堵好了吗?
安全跟我学|这些网络安全“漏洞”,你堵好了吗? 网络安全和信息化 2023-10-12 16:51 对网络安全“漏洞”,每天上网的你,了解多少?知道怎样保护自己的个人信息吗?我们一起科普网络安全知识,向安全漏洞、风险隐患说“不”! 漏洞一:个人敏感信息随意外泄 一张照片就能泄露全部家庭成员信息,容易给不法人员创造行骗、行窃的机会,尤其是老人、小孩的信息,更要注意保护,包括姓名、幼儿园和学校的地址等
继续阅读漏洞复现|深信服SG上网优化管理系统存在文件读取漏洞
漏洞复现|深信服SG上网优化管理系统存在文件读取漏洞 原创 禾小盾 数字人才创研院 2023-10-12 15:51 点击上方 蓝字关注我们 BEGINNING OF SPRING 0x01 阅读须知 Reading Instructions 数字人才创研院秉承探究学习与交流的理念,一切从降低已有潜在威胁出发,所有发布的技术文章仅供参考,未经授权请勿利用文章中的技术内容对任何计算机系
继续阅读对MOVEit Transfer SQL注入漏洞的最新分析(10月4日更新)
对MOVEit Transfer SQL注入漏洞的最新分析(10月4日更新) lucywang 嘶吼专业版 2023-10-12 15:12 今年5月31日,Progress Software发布了一则通知,提醒客户其MOVEit Transfer产品存在严重的结构化查询语言注入(SQLi)漏洞(CVE-2023-34362)。MOVEit Transfer是一个托管文件传输(MFT)应用程序,旨
继续阅读华测监测预警系统 2.2 存在任意文件读取漏洞 附POC
华测监测预警系统 2.2 存在任意文件读取漏洞 附POC 原创 南风徐来 南风漏洞复现文库 2023-10-09 23:00 华测监测预警系统 2.2 存在任意文件读取漏洞 附POC 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 华
继续阅读物联网安全3.物联网10大安全漏洞
物联网安全3.物联网10大安全漏洞 W-haidragon 安全狗的自我修养 2023-10-09 18:35 物联网安全-物联网介绍及其架构 物联网安全-2.物联网攻击面 如果您还没有阅读我们的 IoT 安全博客系列的第 1 部分 和第 2 部分 ,我建议您先阅读它们,除非您已经熟悉基础知识并且只想阅读 IoT 十大漏洞。 说到十大漏洞,我们首先想到的是OWASP。为什么不呢,毕竟他们是定义 W
继续阅读注意!开源命令行工具Curl 中存在严重漏洞
注意!开源命令行工具Curl 中存在严重漏洞 JONATHAN GREIG 代码卫士 2023-10-09 18:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多元,复杂
继续阅读上周关注度较高的产品安全漏洞(20230925-20231008)
上周关注度较高的产品安全漏洞(20230925-20231008) 原创 CNVD CNVD漏洞平台 2023-10-09 17:27 一、境外厂商产品漏洞 1、IBM FileNet Content Manager Web UI跨站脚本漏洞 IBM FileNet Content Manager是一种灵活且功能齐全的内容管理解决方案。IBM FileNet Content Manager Web
继续阅读【安全圈】Arm 发布安全公告:修复 Mali GPU 数据泄露漏洞
【安全圈】Arm 发布安全公告:修复 Mali GPU 数据泄露漏洞 安全圈 2023-10-06 19:00 关键词 数据泄露 漏洞 Arm 于 10 月 2 日发布安全公告,表示 Mali GPU 驱动程序中存在漏洞,现有证据表明已经有黑客利用该漏洞发起攻击。 该漏洞目前追踪编号为 CVE-2023-4211,由 Google 威胁分析小组(TAG)和 Project Zero 的研究人员发现
继续阅读【安全圈】微软更新 Edge、Teams 及 Skype 软件,修复 Chromium 零日漏洞
【安全圈】微软更新 Edge、Teams 及 Skype 软件,修复 Chromium 零日漏洞 安全圈 2023-10-06 19:00 关键词 漏洞 微软日前宣布,正更新旗下 Edge、Teams、Skype 软件及 Webp Image Extensions 扩展程序,以修补 Chromium 的两个零日漏洞 CVE-2023-4863 与 CVE-2023-5217。 ▲ 图源 微软 IT
继续阅读【安全圈】谷歌为 libwebp 漏洞分配新的 CVE 编号,CVSS 评分 10 分。
【安全圈】谷歌为 libwebp 漏洞分配新的 CVE 编号,CVSS 评分 10 分。 安全圈 2023-10-05 19:00 关键词 漏洞 谷歌为 libwebp 漏洞分配新的 CVE 编号,CVSS 评分 10 分。 Libwebp 是一个用于处理 WebP 格式图像编解码的开源库。9 月 6 日,苹果公司安全工程和架构(SEAR)部门和加拿大多伦多大学研究人员在 libwebp 库中发现
继续阅读关于libwebp开源库存在远程代码执行漏洞的安全公告
关于libwebp开源库存在远程代码执行漏洞的安全公告 网络安全应急技术国家工程中心 2023-09-29 11:08 安全公告编号:CNTA-2023-0016 2023年9月27日,国家信息安全漏洞共享平台(CNVD)收录了libwebp开源库远程代码执行漏洞( CNVD-2023-73247 ,对应CVE-2023-5129、CVE-2023-4863)。攻击者利用该漏洞可以在目标主机设备执
继续阅读CNCERT:关于libwebp开源库存在远程代码执行漏洞的安全公告
CNCERT:关于libwebp开源库存在远程代码执行漏洞的安全公告 安全内参 2023-09-28 19:58 安全公告编号:CNTA-2023-0016 2023年9月27日,国家信息安全漏洞共享平台(CNVD)收录了libwebp开源库远程代码执行漏洞( CNVD-2023-73247 ,对应CVE-2023-5129、CVE-2023-4863)。攻击者利用该漏洞可以在目标主机设备执行任意
继续阅读libwebp图像库漏洞已在攻击中被利用,CVSS评级满分
libwebp图像库漏洞已在攻击中被利用,CVSS评级满分 看雪学苑 看雪学苑 2023-09-28 17:59 近日,Google为libwebp安全漏洞分配了一个新的CVE ID(CVE-2023-5129),该漏洞获得了最高的10.0严重性评级,可能造成严重后果,如崩溃、任意代码执行以及未经授权访问敏感信息。 起初,谷歌将此漏洞披露为Chrome漏洞,编号为CVE-2023-4863,涉及W
继续阅读又一个基础组件满分漏洞曝光!曾因披露不当引发全球安全社区混乱
又一个基础组件满分漏洞曝光!曾因披露不当引发全球安全社区混乱 关键基础设施安全应急响应中心 2023-09-28 16:04 据不完全统计,使用libwebp组件的下游软件可能超过百万款,或将使其成为下一个Log4Shell漏洞。 9月27日消息,谷歌为近期热议的libwebp漏洞申请了独立漏洞编号CVE-2023-5129,终结了安全社区 的混乱讨论。 该漏洞此前曾被攻击者利用发动零日攻击,并在
继续阅读【安全圈】JetBrains TeamCity存在安全漏洞,需尽快更新以避免服务器被黑客攻击
【安全圈】JetBrains TeamCity存在安全漏洞,需尽快更新以避免服务器被黑客攻击 安全圈 2023-09-26 19:00 关键词 安全漏洞 etBrains TeamCity是一款由JetBrains开发的流行且高度可扩展的持续集成(CI)和持续交付(CD)服务器。JetBrains是一家以开发者工具闻名的软件开发公司。TeamCity旨在自动化软件开发过程的各个方面,包括构建、测试
继续阅读严重漏洞可导致TeamCity CI/CD 服务器遭接管
严重漏洞可导致TeamCity CI/CD 服务器遭接管 Ionut Arghire 代码卫士 2023-09-26 17:34 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 TeamCity CI/CD 服务器中存在一个严重漏洞,可在无需认证的情况下遭远程利用,执行任意代码并获得对易受攻击服务器的管理控制权限。 TeamCity 由 JetBrains 开发,是适用于本地和云的通
继续阅读GitLab存在高严重性漏洞,建议立即更新版本
GitLab存在高严重性漏洞,建议立即更新版本 看雪学苑 看雪学苑 2023-09-22 18:05 本周,GitLab发布了一个重要的安全补丁,以修复一个严重身份认证绕过漏洞(CVE-2023-5009,CVSS 分数:9.6)。 GitLab安全公告中写道:“发现了一个影响GitLab EE(从13.12版本开始到16.2.7之前的所有版本,以及从16.3版本开始到16.3.4之前的所有版本)
继续阅读