【漏洞通告】GitLab 身份认证绕过漏洞CVE-2023-4998
【漏洞通告】GitLab 身份认证绕过漏洞CVE-2023-4998 深瞳漏洞实验室 深信服千里目安全技术中心 2023-09-22 16:40 漏洞名称: GitLab 身份认证绕过漏洞(CVE-2023-4998) 组件名称: GitLab CE/EE 影响范围: 13.12 <= GitLab CE < 16.2.7 13.12 <= GitLab EE < 16.2
继续阅读标签: 敏感信息
漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞
漏洞通告 | 用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞 原创 微步情报局 微步在线研究响应中心 2023-09-22 14:56 01 漏洞概况**** 用友GRP-U8是用友软件推出的一款企业级管理软件套件,旨在帮助企业实现全面的数字化管理和业务优化。 近日,微步漏洞团队监测到用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞
继续阅读数据泄露风险|JumpServer堡垒机会话回放未授权访问漏洞(CVE-2023-42442)
数据泄露风险|JumpServer堡垒机会话回放未授权访问漏洞(CVE-2023-42442) 长亭应急响应 黑伞安全 2023-09-22 11:33 辽宁省义务教育阶段学生作业管理“十要求 JumpServer是一款开源的堡垒机解决方案,提供远程登录和运维审计功能,常用于企业网络安全和信息化管理中。近期,长亭科技监测到JumpServer官方发布新版本,修复了未授权访问和权限绕过漏洞。长亭应急
继续阅读CVE-2023-42442:JumpServer未授权访问漏洞通告
CVE-2023-42442:JumpServer未授权访问漏洞通告 原创 360CERT 三六零CERT 2023-09-19 17:35 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-418 报告来源:360CERT 报告作者:360CERT 更新日期:2023-09-19 1 漏洞简述 2023年09月19日,360CERT监测发现JumpServer发布了JumpServ
继续阅读【漏洞通告】JumpServer未授权访问漏洞CVE-2023-42442
【漏洞通告】JumpServer未授权访问漏洞CVE-2023-42442 深瞳漏洞实验室 深信服千里目安全技术中心 2023-09-19 16:59 漏洞名称: JumpServer未授权访问漏洞(CVE-2023-42442) 组件名称: JumpServer 影响范围: 3.0.0 <= JumpServer <= 3.5.4 3.6.0 <= JumpServer <
继续阅读上周关注度较高的产品安全漏洞(20230911-20230917)
上周关注度较高的产品安全漏洞(20230911-20230917) 国家互联网应急中心CNCERT 2023-09-19 16:59 一、境外厂商产品漏洞 1、IBM Sterling Connect:Direct加密问题漏洞 IBM Sterling Connect:Direct是美国国际商业机器(IBM)公司的一套基于文件的点对点文件传输解决方案。IBM Sterling Connect:Di
继续阅读即将被零信任取代?企业VPN屡屡曝安全漏洞
即将被零信任取代?企业VPN屡屡曝安全漏洞 网络安全应急技术国家工程中心 2023-09-19 15:05 你在日常工作生活中,是否曾使用过VPN?它或许曾帮助你轻松访问了一些突破地理限制的内容。但你知道吗?在使用的过程中,你很可能早已将自己的隐私暴露于“危险”之中。 随着互联网的普及和信息安全的关注,VPN早已成为许多人保护在线隐私和安全的首选工具。然而,尽管VPN被广泛认可为一种安全性较高的上
继续阅读漏洞通告|JumpServer未授权访问漏洞
漏洞通告|JumpServer未授权访问漏洞 原创 微步情报局 微步在线研究响应中心 2023-09-19 15:02 01 漏洞概况**** JumpServer 是一款开源的堡垒机和权限管理系统,旨在帮助企业实现对服务器和网络设备的安全管理和 访问控制。 近日,微步漏洞团队监测到JumpServer未授权访问漏洞情报(CVE-2023-42442)。JumpServer的权限管理存在缺陷,未经
继续阅读【已复现】JumpServer未授权访问漏洞(CVE-2023-42442)安全风险通告
【已复现】JumpServer未授权访问漏洞(CVE-2023-42442)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-09-19 11:51 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 JumpServer未授权访问漏洞 漏洞编号 QVD-2023-22341、CVE-2023-42442 公开时间 2023-09-15 影响对象数量级 十万级 奇安
继续阅读微软2023年9月份补丁日重点漏洞安全预警
微软2023年9月份补丁日重点漏洞安全预警 原创 安全技术研究院 山石网科安全技术研究院 2023-09-15 11:43 补丁概述 2023年9月12日,微软官方发布了9月安全更新,针对59个Microsoft CVE和7个non-Microsoft CVE进行修复。Microsoft CVE中,包含5个严重漏洞(Critical)、53个重要漏洞(Important)和1个中危漏洞(Moder
继续阅读漏洞通告|Jeecg Boot SQL注入漏洞
漏洞通告|Jeecg Boot SQL注入漏洞 原创 漏洞团队 微步在线研究响应中心 2023-09-14 16:38 01 漏洞概况**** Jeecg Boot是一款基于代码生成器的低代码开发平台,可以帮助解决Java项目的重复工作,提高企业应用开发效率,让开发更多关注业务逻辑。近日,微步漏洞团队监测到Jeecg Boot修复了一处SQL注入漏洞。Jeecg Boot v3.5.3及以下版本
继续阅读微软2023年9月补丁日多个产品安全漏洞风险通告
微软2023年9月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2023-09-13 10:04 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2023年9月补丁日多个产品安全漏洞 影响厂商&产品 Microsoft Office、Microsoft Exchange Server、Microsoft Visual Studio 等 公开时间 2023-09-
继续阅读上周关注度较高的产品安全漏洞(20230904-20230910)
上周关注度较高的产品安全漏洞(20230904-20230910) 原创 CNVD CNVD漏洞平台 2023-09-11 17:03 一、境外厂商产品漏洞 1、IBM Security Guardium跨站脚本漏洞(CNVD-2023-66735) IBM Security Guardium是美国国际商业机器(IBM)公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计
继续阅读【漏洞通告】Cacti SQL注入漏洞CVE-2023-39361
【漏洞通告】Cacti SQL注入漏洞CVE-2023-39361 深瞳漏洞实验室 深信服千里目安全技术中心 2023-09-10 16:29 漏洞名称: Cacti SQL注入漏洞(CVE-2023-39361) 组件名称: Cacti 影响范围: Cacti < 1.2.25 漏洞类型: 远程代码执行 利用条件: 1、用户认证:否 2、前置条件:默认配置 3、触发方式:远程 综合评价:
继续阅读PHPFusion 开源 CMS 中存在严重漏洞
PHPFusion 开源 CMS 中存在严重漏洞 Jai Vijayan 代码卫士 2023-09-06 20:05 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 安全研究员在广泛使用的开源内容管理系统 PHPFusion CMS 中发现了一个严重漏洞,目前尚无补丁。 该漏洞是一个验证的本地文件包含漏洞,编号为CVE-2023-2453。如攻击者可在目标系统的一个已知路径上上传恶意
继续阅读黑客利用 MinIO 存储系统漏洞攻陷服务器
黑客利用 MinIO 存储系统漏洞攻陷服务器 THN 代码卫士 2023-09-05 18:13 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 未知威胁者利用位于 MinIO 高性能对象存储系统重的多个高危漏洞在受影响服务器上实现未授权漏洞执行。 网络安全和事件响应公司 Security Joes 表示,攻击利用了公开可用的利用链在 MinIO 实例中安装后门。该利用链由CVE-2
继续阅读EVIL_MINIO 漏洞被用于攻击 MINIO 存储系统
EVIL_MINIO 漏洞被用于攻击 MINIO 存储系统 安全客 2023-09-05 16:58 Security Joes 研究人员观察到,一个未知的威胁参与者利用 MinIO 对象存储系统中的漏洞的公开可用的漏洞利用链,在易受攻击的服务器上实现任意代码执行。 对象存储是一种数据存储架构,用于将非结构化数据存储到称为“对象”的单元中,并将它们存储在结构扁平的数据环境中。此类服务的领先提供商是
继续阅读安全课堂|关于小程序AppSecret密钥泄露漏洞官方
安全课堂|关于小程序AppSecret密钥泄露漏洞官方 枇杷五星加强版 黑伞安全 2023-09-01 13:24 为进一步提升小程序的安全性和用户体验,目前平台对提审的小程序均需进行安全检测,在检测过程中发现仍有许多小程序存在安全漏洞,其中涉及AppSecret密钥泄露漏洞,希望通过以下相关的漏洞介绍、案例分析和修复建议,开发者能更加了解如何对该漏洞进行防御。 一、漏洞介绍 AppSecret是
继续阅读“0元购”支付逻辑漏洞的意外发现
“0元购”支付逻辑漏洞的意外发现 迪哥讲事 2023-08-31 22:27 项目 在某授权项目中对多个app进行漏洞挖掘的一次过程中,发现某一款app软件中可通过打卡的方式进行积分累积,累积后的积分可通过换购的方式在积分商城进行商品换购。随手对打卡获得积分的功能和购物的功能进行了任意的尝试,单当时并未发现漏洞的存在,在对购物功能初测时返回包报错如下: 看到异常后就没有再进行测试,当时认为系统都进
继续阅读上周关注度较高的产品安全漏洞(20230821-20230827)
上周关注度较高的产品安全漏洞(20230821-20230827) 国家互联网应急中心CNCERT 2023-08-29 15:32 一、境外厂商产品漏洞 1、 NETGEAR RBR750信息泄露漏洞 NETGEAR RBR750是美国网件(NETGEAR)公司的一套家庭WiFi系统。NETGEAR RBR750 4.6.8.5版本存在信息泄露漏洞,该漏洞源于在远程管理功能中存在明文传输。攻击者
继续阅读美国国防巨头Belcan曝出漏洞!40多个联邦机构陷入危机
美国国防巨头Belcan曝出漏洞!40多个联邦机构陷入危机 网络安全应急技术国家工程中心 2023-08-24 15:38 Cybernews研究团队透露,美国政府和国防承包商Belcan将其超级管理员证书向公众开放。5月15日,网络新闻研究团队发现了一个开放的 Kibana 实例,其中包含有关 Belcan、其员工和内部基础设施的敏感信息。Kibana 是数据搜索和分析引擎 ElasticSea
继续阅读Apache Ivy 注入漏洞可导致攻击者提取敏感数据
Apache Ivy 注入漏洞可导致攻击者提取敏感数据 代码卫士 2023-08-23 18:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Apache Ivy 中存在一个 XPath 盲注漏洞,可导致攻击者提取数据并访问仅限运行 Apache Ivy 的机器访问的敏感信息。 该漏洞位于 Apache Ivy 2.5.2以下版本中,当解析自身配置 Maven POMs时同时解
继续阅读上周关注度较高的产品安全漏洞(20230814-20230820)
上周关注度较高的产品安全漏洞(20230814-20230820) 国家互联网应急中心CNCERT 2023-08-22 16:12 一、境外厂商产品漏洞 1、Adobe Acrobat Reader越界读取漏洞(CNVD-2023-62945) Adobe Acrobat Reader是美国奥多比(Adobe)公司的一款PDF查看器。该软件用于打印,签名和注释PDF。Adobe Acrobat
继续阅读字节跳动IoT产品漏洞奖励计划V1.0
字节跳动IoT产品漏洞奖励计划V1.0 字节跳动安全中心 2023-08-22 11:34 字节跳动IoT产品漏洞奖励计划 正式上线啦! 🎉 欢迎IoT大佬们多多关注! 奖励计划范围 产品类型:VR设备 型号:PICO 4、PICO 4 Pro PICO非IoT类漏洞 按照《字节跳动安全响应中心安全报告处置规则V5.0》收取 漏洞评分标准 根据漏洞的危害程度将其等级分为【严重】、【高危】、【中危】
继续阅读PowerShell 多个漏洞可引发供应链攻击,微软说修了但仍可复现?!
PowerShell 多个漏洞可引发供应链攻击,微软说修了但仍可复现?! THN 代码卫士 2023-08-18 18:20 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 PowerShell Gallery 中存在多个漏洞,可触发针对注册表用户的供应链攻击。 Aqua 安全公司的研究员 Mor Weinberger、Yakir Kadkoda和 IIay Goldman 在报告中
继续阅读【众测挑战赛】第5期-单个漏洞最高奖励可达20万!OPPO浏览器与快应用专场
【众测挑战赛】第5期-单个漏洞最高奖励可达20万!OPPO浏览器与快应用专场 OSRC OPPO安全中心 2023-08-18 17:43 2023年 OSRC众测挑战赛 第5期 – OPPO浏览器与快应用专场 来咯~ 2023年OSRC将举办持续全年的众测挑战赛。 从3月开始,不定期举办多期众测活动。每期有独立的众测范围及挖洞奖励,白帽师傅可自由选择参加的场次 (相关奖励方案见每期活
继续阅读潜伏于数据中心的威胁-电源管理软件漏洞可导致关机、恶意软件横行和隐蔽数字间谍活动
潜伏于数据中心的威胁-电源管理软件漏洞可导致关机、恶意软件横行和隐蔽数字间谍活动 网络安全应急技术国家工程中心 2023-08-16 14:58 数据中心是为现代生活各个方面提供动力的最关键组件之一,但这些大型设施也很容易受到黑客的攻击,黑客可能会通过电源管理系统的缺陷来破坏它们。在DEF CON 2023安全会议期间,网络安全公司Trellix的研究人员披露了数据中心常用应用程序中的漏洞,这些漏
继续阅读关于企业移动办公场景下如何管控数据安全的杂谈暨近期漏洞情报共享|总第202周
关于企业移动办公场景下如何管控数据安全的杂谈暨近期漏洞情报共享|总第202周 群秘 君哥的体历 2023-08-16 11:01 0x1本周话题TOP1 话题:有了移动办公、im办公,信息安全人员真的能管理控制企业的数据安全吗?监守自盗、违规操作,信息安全能防住吗?要为此承担责任吗? A1:安全只能提高操作门槛,避免批量泄露机会,不能彻底防止。手机上都能看到了,回家慢慢抄也可以。 安全不是风
继续阅读上周关注度较高的产品安全漏洞(20220807-20220813)
上周关注度较高的产品安全漏洞(20220807-20220813) 国家互联网应急中心CNCERT 2023-08-15 16:00 一、境外厂商产品漏洞 1、Apple macOS Ventura安全绕过漏洞(CNVD-2023-61766) Apple macOS Ventura 是美国 Apple 公司的一个桌面操作系统。 Apple macOS Ventura 存在安全绕过漏洞,攻击者可利
继续阅读福特曝WiFi安全漏洞,官方称仍可安全驾驶
福特曝WiFi安全漏洞,官方称仍可安全驾驶 网络安全应急技术国家工程中心 2023-08-15 15:40 据bleepingcomputer消息,福特汽车供应商的安全人员向福特公司报告了一个安全漏洞,漏洞编号 CVE-2023-29468。该漏洞位于汽车信息娱乐系统集成的 WiFi 系统 WL18xx MCP 驱动程序中,允许 WiFi 范围内的攻击者使用特制的帧触发缓冲区溢出。 资料显示,SY
继续阅读