严重的 TootRoot 漏洞可导致Mastodon 服务器遭劫持
严重的 TootRoot 漏洞可导致Mastodon 服务器遭劫持 Bill Toulas 代码卫士 2023-07-10 18:07 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 免费开源的去中心化社交网络平台 Mastodon 修复了四个漏洞,其中一个严重漏洞可导致黑客在使用特殊构造的媒体文件的服务器上创建任意文件。 Mastodon 拥有约880万名用户,分布在由志愿者托管的
继续阅读标签: 敏感信息
【已复现】泛微E-Cology SQL注入漏洞安全风险通告
【已复现】泛微E-Cology SQL注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-07-10 16:38 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 泛微E-Cology SQL注入漏洞 漏洞编号 QVD-2023-15672 公开时间 2023-07-07 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 8.6 威胁类型 代码执
继续阅读雷神众测漏洞周报2023.07.03-2023.07.09
雷神众测漏洞周报2023.07.03-2023.07.09 原创 雷神众测 雷神众测 2023-07-10 15:01 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读网络安全漏洞(风险)扫描的12种类型
网络安全漏洞(风险)扫描的12种类型 安全牛 2023-07-10 12:06 漏洞(风险)扫描是保障现代企业数字化转型安全开展过程中一个至关重要的组成部分,可以帮助企业识别数字化系统和应用中的各类安全缺陷。在实际应用时,漏洞扫描的类型需要和它们能够保护的IT环境保持一致。如果充分了解不同类型漏洞扫描技术之间的区别,企业可以提高整体网络安全防御能力,并加固系统以防范潜在威胁。本文收集整理了目前最常
继续阅读路由器漏洞挖掘系列之未授权访问漏洞及常见绕过技巧
路由器漏洞挖掘系列之未授权访问漏洞及常见绕过技巧 原创 B2eFly 山石网科安全技术研究院 2023-07-06 10:38 #01 「 基本介绍 」 未授权访问漏洞是指攻击者利用系统或应用程序中未正确实施访问控制机制的安全弱点,以获取未经授权的数据或功能权限。这种漏洞可以被黑客利用来窃取敏感信息、篡改数据或执行未经授权的操作。 通常,未授权访问漏洞的原因包括: 1. 系统或应用程序的访问
继续阅读Smartbi 多个高危漏洞通告
Smartbi 多个高危漏洞通告 原创 360CERT 三六零CERT 2023-07-04 17:14 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-257 报告来源:360CERT 报告作者:360CERT 更新日期:2023-07-04 1 漏洞简述 2023年07月04日,360CERT监测发现Smartbi发布了Smartbi的补丁更新,漏洞分别为Smartbi远程代码
继续阅读上周关注度较高的产品安全漏洞(20230626-20230702)
上周关注度较高的产品安全漏洞(20230626-20230702) 国家互联网应急中心CNCERT 2023-07-04 15:53 一、境外厂商产品漏洞 1、 Google Android缓冲区溢出漏洞(CNVD-2023-52817) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在缓冲区溢出漏洞,攻击者可利用该
继续阅读MOVEit Transfer漏洞成肉鸡收割机–受害者遍及20多个国家10多个行业
MOVEit Transfer漏洞成肉鸡收割机–受害者遍及20多个国家10多个行业 关键基础设施安全应急响应中心 2023-07-04 15:23 流行的文件传输工具MOVEit Transfer中的漏洞引发了广泛的后利用攻击,导致网络安全形势岌岌可危。黑客利用这一安全漏洞发起了一系列攻击,影响了政府、金融、IT服务、能源、大学等多个行业的众多组织,受害者遍布美国、英国、加拿大、法国、
继续阅读Smartbi 登录代码逻辑漏洞安全风险通告
Smartbi 登录代码逻辑漏洞安全风险通告 奇安信 CERT 2023-07-03 16:54 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Smartbi 登录代码逻辑漏洞 漏洞编号 QVD-2023-15129 公开时间 2023-07-03 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 7.5 威胁类型 信息泄露 利用可能性 中 POC状态 未公开 在
继续阅读【安全通告】Smartbi商业智能软件登录代码逻辑漏洞
【安全通告】Smartbi商业智能软件登录代码逻辑漏洞 原创 NS-CERT 绿盟科技CERT 2023-07-03 15:28 通告编号:NS-2023-0029 2023-07-03 TAG: Smartbi、登录代码逻辑漏洞 漏洞危害: 攻击者利用此漏洞可造成敏感信息泄露 版本: 1.0 1 漏洞概述 近日,绿盟科技 CERT 监测到 Smartbi 官方修复了一个登录代码逻辑漏洞,由于 S
继续阅读雷神众测漏洞周报2023.06.19-2023.06.25
雷神众测漏洞周报2023.06.19-2023.06.25 原创 雷神众测 雷神众测 2023-06-26 15:35 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Grafana 身份认证绕过漏洞(CVE-2023-3128)安全风险通告
Grafana 身份认证绕过漏洞(CVE-2023-3128)安全风险通告 奇安信 CERT 2023-06-25 18:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Grafana 身份认证绕过漏洞 漏洞编号 QVD-2023-14458、CVE-2023-3128 公开时间 2023-06-22 影响对象数量级 十万级 奇安信评级 高危 CVSS 3.1分数 9.4
继续阅读Grafana 提醒注意严重的认证绕过漏洞
Grafana 提醒注意严重的认证绕过漏洞 Bill Toulas 代码卫士 2023-06-25 17:51 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Grafana 为其多个应用版本发布安全修复方案,修复了一个严重漏洞,它可使攻击者绕过认证并接管使用 Azure Active Directory 用于认证的任何 Grafana 账户。该漏洞的编号是CVE-2023-3128
继续阅读【工具篇】SRC自动化监控赏金项目 自动收集资产漏洞检测漏洞推送@laoyue
【工具篇】SRC自动化监控赏金项目 自动收集资产漏洞检测漏洞推送@laoyue Soufaker 渗透测试网络安全 2023-06-24 20:34 0x01 laoyue介绍 laoyue是一款自动化监控收集资产的工具,可以帮助你定期收获资产,敏感信息和漏洞信息,发现安全问题进行自动推送到钉钉。 0x02 效果展示 定期自动 新增暴露面资产推送如图 定期自动发现敏感信息 推送如图 漏洞信息AWV
继续阅读上周关注度较高的产品安全漏洞(20230612-20230618)
上周关注度较高的产品安全漏洞(20230612-20230618) 国家互联网应急中心CNCERT 2023-06-21 16:25 一、境外厂商产品漏洞 1、Google Chrome类型混肴漏洞 Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 114.0.5735.110之前版本存在类型混肴漏洞,攻击者可利用该漏洞在系统上执行任意代码或导
继续阅读可RCE速修|Smartbi内置用户登陆绕过漏洞
可RCE速修|Smartbi内置用户登陆绕过漏洞 长亭安全应急响应中心 2023-06-19 16:45 Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。近期,长亭科技监测到Smartbi发布新补丁,修复了一处登录绕过漏洞。长亭应急团队经过分析后发现该漏洞类型为登录绕过,仍有较多公网系统仍未修复漏洞。于是根据漏洞原理编写了无害化的X-PO
继续阅读黑客团伙通过虚假PoC诱骗网络安全研究人员
黑客团伙通过虚假PoC诱骗网络安全研究人员 看雪学苑 看雪学苑 2023-06-15 18:03 漏洞情报公司VulnCheck最近发现,在GitHub和Twitter上有黑客团伙假冒网络安全研究人员发布虚假的PoC漏洞利用,借此针对Windows和Linux设备植入恶意软件。 在个人资料页面,这些人自称是“High Sierra Cyber Security”网络安全公司的研究人员,为增加可信度
继续阅读微软 Azure Bastion 和 Container Registry 中存在两个严重漏洞
微软 Azure Bastion 和 Container Registry 中存在两个严重漏洞 Ravie Lakshmanan 代码卫士 2023-06-15 17:44 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 微软 Azure Bastion 和 Azure Container Registry 中存在两个严重该漏洞,可用于执行XSS攻击。 Orca 公司的安全研究员表示
继续阅读GitHub 上的虚假0day PoC 推送 Windows 和 Linux 恶意软件
GitHub 上的虚假0day PoC 推送 Windows 和 Linux 恶意软件 Bill Toulas 代码卫士 2023-06-15 17:44 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 黑客正在推特和 GitHub 上假冒研究员发布虚假的 0day 漏洞利用,在Window 和 Linux 设备上分发恶意软件。 这些恶意利用由虚假网络安全公司 “High Sierr
继续阅读【安全圈】Windows和MacOS平台上发现多个Zoom漏洞,已发布补丁
【安全圈】Windows和MacOS平台上发现多个Zoom漏洞,已发布补丁 安全圈 2023-06-14 19:00 关键词 漏洞 最新的Zoom漏洞列表已经出来了,其中几个漏洞的严重程度非常高。此次发布的补丁针对六个漏洞。 这些漏洞几乎影响了所有的Windows客户端,而有两个是在MacOS平台发现的。它们的严重程度各不相同,有可能被攻击者利用,以获得未经授权的访问、提升权限或破坏数据完整性。
继续阅读本田电商平台API漏洞暴露客户数据
本田电商平台API漏洞暴露客户数据 关键基础设施安全应急响应中心 2023-06-13 15:32 近日,安全研究人员Eaton Zveare发现本田动力设备的电商平台存在API漏洞,攻击者可为任何帐户重置密码,导致本田动力(包括电力、船舶、草坪和花园设备)电子商务平台容易受到任何人未经授权的访问。 本田是一家日本汽车、摩托车和动力设备制造商,受漏洞影响的是动力设备用户,汽车或摩托车的车主不受影响
继续阅读上周关注度较高的产品安全漏洞(20230605-20230611)
上周关注度较高的产品安全漏洞(20230605-20230611) 国家互联网应急中心CNCERT 2023-06-13 15:25 一、境外厂商产品漏洞 1 、Microsoft Windows DNS远程代码执行漏洞(CNVD-2023-44300) Microsoft Windows DNS是美国微软(Microsoft)公司的一个域名解析服务。域名系统(DNS)是包含TCP/IP的行业标准
继续阅读openfire鉴权绕过漏洞原理解析
openfire鉴权绕过漏洞原理解析 原创 HhhM 山石网科安全技术研究院 2023-06-13 10:53 Openfire是根据开放源 Apache 许可获得许可的实时协作(RTC)服务器。它使用唯一被广泛采用的用于即时消息的开放协议 XMPP(也称为 Jabber)。Openfire 的设置和管理非常简单,但是却提供了坚实的安全性和性能。 Openfire存在鉴权绕过漏洞,允许未经身份验证
继续阅读本田电商平台API漏洞暴露客户隐私数据
本田电商平台API漏洞暴露客户隐私数据 安全内参 2023-06-12 18:37 关注我们 带你读懂网络安全 近日,安全研究人员Eaton Zveare发现本田动力设备的电商平台存在API漏洞,攻击者可为任何帐户重置密码,导致本田动力(包括电力、船舶、草坪和花园设备)电子商务平台容易受到任何人未经授权的访问。 本田是一家日本汽车、摩托车和动力设备制造商,受漏洞影响的是动力设备用户,汽车或摩托车的
继续阅读速修复MOVEit Transfer 中的这个新0day!
速修复MOVEit Transfer 中的这个新0day! Ravie Lakshmanan 代码卫士 2023-06-12 18:22 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 MOVEit Transfer 应用所属公司 Progress Software 发布补丁,修复影响该文件传输解决方案的全新 SQL 漏洞,该漏洞可导致敏感信息被盗。 Progress Softwar
继续阅读【已复现】GeoServer SQL注入漏洞(CVE-2023-25157)安全风险通告
【已复现】GeoServer SQL注入漏洞(CVE-2023-25157)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-06-09 19:01 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GeoServer SQL注入漏洞 漏洞编号 QVD-2023-4979、CVE-2023-25157 公开时间 2023-02-21 影响对象数量级 万级 奇安信评
继续阅读尽快更新!VMware修复严重远程代码执行漏洞
尽快更新!VMware修复严重远程代码执行漏洞 看雪学苑 看雪学苑 2023-06-09 17:59 虚拟化巨头VMware于6月9日新发布了多个安全补丁,以解决VMware Aria Operations for Networks中的三个严重漏洞——未经身份验证的攻击者可利用它来远程执行任意代码、访问敏感信息。 VMware Aria Operations for Networks是一个网络可见
继续阅读漏洞风险提示|GeoServer SQL注入漏洞(CVE-2023-25157)
漏洞风险提示|GeoServer SQL注入漏洞(CVE-2023-25157) 长亭安全应急响应 黑伞安全 2023-06-08 19:50 GeoServer是一款开源的地理数据服务器软件,主要用于发布、共享和处理各种地理空间数据。它支持众多的地图和空间数据标准,能够使各种设备通过网络来浏览和使用这些地理信息数据。近期,长亭科技监测到GeoServer发布新版本修复了一个SQL注入漏洞。经过漏
继续阅读VMware 修复 vRealize 网络分析工具中的严重漏洞
VMware 修复 vRealize 网络分析工具中的严重漏洞 Sergiu Gatlan 代码卫士 2023-06-08 17:52 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 VMware 发布了多个补丁,修复了位于 VMware Aria Operations for Networks 中的多个严重和高危漏洞,它们可导致攻击者获得远程执行或访问敏感信息的权限。 VMware
继续阅读OWASP发布大型语言模型漏洞威胁Top10(草案清单)
OWASP发布大型语言模型漏洞威胁Top10(草案清单) 安全牛 2023-06-07 11:18 基于大型语言模型(LLM)的生成式AI技术应用已经成为当前全球企业普遍关注的热点。作为一种创新技术,企业组织在未来数字化发展中有很多机会应用ChatGPT或类似AI工具。因此,CISO们需要提前做好准备,以避免可能出现的安全隐患和隐私泄露风险。 日前,OWASP(全球开放应用软件安全项目组织)发布了
继续阅读