上周关注度较高的产品安全漏洞(20230424-20230507)
上周关注度较高的产品安全漏洞(20230424-20230507) 原创 CNVD CNVD漏洞平台 2023-05-08 16:01 一、境外厂商产品漏洞 1、RIOT-OS缓冲区溢出漏洞 RIOT-OS是一个支持物联网设备的操作系统,包含一个能够处理6LoWPAN帧的网络堆栈。RIOT-OS 2022.10之前的版本存在缓冲区溢出漏洞,攻击者可以利用该漏洞执行任意代码。 参考链接: https
继续阅读标签: 敏感信息
GitLab代码执行漏洞(CVE-2023-2478)安全风险通告
GitLab代码执行漏洞(CVE-2023-2478)安全风险通告 奇安信 CERT 2023-05-08 15:37 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理,同时可以搭建Web服务。 近日,奇
继续阅读针对ChatGPT的隐私提取攻击:多步骤越狱漏洞
针对ChatGPT的隐私提取攻击:多步骤越狱漏洞 网络安全应急技术国家工程中心 2023-05-06 14:48 摘要 随着大型语言模型(LLM)的快速发展,许多下游的 NLP 任务都可以在友善的提示(即Prompt,是用户或程序向LLM AI 提供的输入或查询)下得到很好的解决。尽管模型开发人员和研究人员在对话安全性方面做了大量工作以避免从语言模型生成有害文字,但要引导 AI 生成内容 (AIG
继续阅读研究员在微软 Azure API 管理服务中发现3个漏洞
研究员在微软 Azure API 管理服务中发现3个漏洞 Ravie Lakshmanan 代码卫士 2023-05-05 17:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软 Azure API 管理服务中存在三个新漏洞,可用于获得敏感信息或后端服务的访问权限。 以色列安全公司 Ermetic 提到,在这三个漏洞中,两个是服务器端伪造 (SSRF) 漏洞,一个是位于 API 管
继续阅读热门的开源互联网路由协议软件中含多个漏洞,存在供应链风险
热门的开源互联网路由协议软件中含多个漏洞,存在供应链风险 Ravie Lakshmanan 代码卫士 2023-05-04 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员在 BGP 的一个软件实现中发现了三个漏洞,可被用于在易受攻击的 BGP 对等体上实现拒绝服务条件。 这三个漏洞位于适用于 Linux 和 Unix 平台的热门开源互联网路由协议套件 FRRout
继续阅读TSRC拍了拍你,全新漏洞处理和评分标准即将上线~
TSRC拍了拍你,全新漏洞处理和评分标准即将上线~ 腾讯安全应急响应中心 2023-04-27 18:08 经过了多轮的意见征集和共创,全新的《TSRC漏洞处理和评分标准》正式和大家见面啦! 新标准(V3.2)联合了腾讯各业务团队和白帽师傅们,从 资产划分、评级标准、报告奖励等方面进行了全方位升级,以期减小评分争议,提升风险处置效率。 同时,为感谢师傅们长年以来的倾情付出,新标准也提升了基础奖励,
继续阅读VMware Workstation与Fusion 多个高危漏洞安全风险通告
VMware Workstation与Fusion 多个高危漏洞安全风险通告 奇安信 CERT 2023-04-26 16:52 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 V Mware Workstation是一款功能强大的桌面虚拟计算机软件,提供用户可在单一的桌面上同时运行不同的操作系统,和进行开发、测试 、部署新的应用程序的最佳解决方案
继续阅读【已复现】Apache Superset身份认证绕过漏洞安全风险通告
【已复现】Apache Superset身份认证绕过漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-04-26 16:52 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 A pache Superset是 一种用于数据探索和数据可视化的开
继续阅读【已复现】Strapi 多个高危漏洞安全风险通告第二次更新
【已复现】Strapi 多个高危漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-04-24 20:08 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 Strapi 是下一代 headless CMS、开源、javascript,
继续阅读【已复现】泛微Ecology SQL注入漏洞安全风险通告
【已复现】泛微Ecology SQL注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-04-24 20:08 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流
继续阅读漏洞风险提示 | 泛微 Ecology OA SQL 注入漏洞
漏洞风险提示 | 泛微 Ecology OA SQL 注入漏洞 长亭技术沙盒 黑伞安全 2023-04-23 18:28 长亭漏洞风险提示 泛微 Ecology OA SQL 注入漏洞# 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
继续阅读【漏洞预警】Oracle WebLogic 4月份补丁日安全通告
【漏洞预警】Oracle WebLogic 4月份补丁日安全通告 SecPulse安全脉搏 2023-04-20 11:55 1. 通告信息 近日, 安识科技 A-Team团队监测 到一则 Oracle WebLogic官方发布安全补丁的通告,其中包含4个高危漏洞的信息。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。 2. 漏洞概述 1、Oracle
继续阅读Oracle多个产品高危漏洞安全风险通告
Oracle多个产品高危漏洞安全风险通告 奇安信 CERT 2023-04-19 10:03 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Oracle官方发布了2023年4月的关键安全补丁集合更新CPU(Critical Patch Update),修复了多个漏洞包括CVE-2023-21912、CVE-2023-21996、CVE-2023-
继续阅读上周关注度较高的产品安全漏洞(20230410-20230416)
上周关注度较高的产品安全漏洞(20230410-20230416) 国家互联网应急中心CNCERT 2023-04-18 16:43 一、境外厂商产品漏洞 1、Apache InLong反序列化漏洞(CNVD-2023-25936) Apache InLong是美国阿帕奇(Apache)基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。Apache InLong 1.1.0版
继续阅读Juniper Networks 修复多个严重的第三方组件漏洞
Juniper Networks 修复多个严重的第三方组件漏洞 Ionut Arghire 代码卫士 2023-04-17 17:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络、云和网络安全解决方案提供商 Juniper Networks 上周发布安全公告,详述了产品中出现的数十个漏洞,其中包括 Junos OS 和 STRM 第三方组件中的多个严重漏洞。 其中一份安全公告是和
继续阅读检测工具发布|瑞友天翼应用虚拟化系统远程代码执行漏洞
检测工具发布|瑞友天翼应用虚拟化系统远程代码执行漏洞 长亭技术沙盒 CT Stack 安全社区 2023-04-14 13:59 长亭漏洞风险提示 瑞友天翼应用虚拟化系统 远程代码执行漏洞 瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服
继续阅读微软2023年4月补丁日多产品安全漏洞风险通告
微软2023年4月补丁日多产品安全漏洞风险通告 奇安信 CERT 2023-04-12 14:59 奇安信CERT 致力于 第一时间为企业级用户提供安 权威 漏洞情报和 有效 解决方案。 风险通告 本 月,微软共发布了97个漏洞的补丁程序,修复了Windows Server 2022、Visual Studio Code等产品中的漏洞,其中包含1个已被用于在野攻击的0 Day漏洞。值得注意的是,微
继续阅读上周关注度较高的产品安全漏洞(20230403-20230409)
上周关注度较高的产品安全漏洞(20230403-20230409) 国家互联网应急中心CNCERT 2023-04-11 16:22 一、境外厂商产品漏洞 1、Google Chrome Web Payments API组件代码问题漏洞 Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 111.0.5563.64之前版本存在代码问题漏洞,该漏洞
继续阅读安全头条丨CNNVD漏洞奖励计划发布;知网因数据出境问题暂停部分港澳台高校服务提供
安全头条丨CNNVD漏洞奖励计划发布;知网因数据出境问题暂停部分港澳台高校服务提供 安全牛 2023-04-10 12:21 点击蓝字·关注我们 AQNIU 上周安全热点回顾 四部门联合印发《关于开展网络安全服务认证工作的实施意见》 《信息安全技术 公钥基础设施 在线证书状态协议》(征求意见稿)等2项国家标准征求意见 信安标委下达3项网络安全推荐性国家标准计划 公安部:构筑网络安全等级保护、网络入
继续阅读惠普将在90天内修复这个严重的 LaserJet 打印机漏洞
惠普将在90天内修复这个严重的 LaserJet 打印机漏洞 Bill Toulas 代码卫士 2023-04-07 17:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,惠普发布安全公告称,将在90天内修复影响某些企业级打印机固件的一个严重漏洞 (CVE-2023-1707)。该漏洞影响约50款 HP Enterprise LaserJet 和 HP LaserJet Mana
继续阅读Nexx 智能设备存在多个漏洞可使黑客打开车库门等,无修复方案
Nexx 智能设备存在多个漏洞可使黑客打开车库门等,无修复方案 BILL TOULAS 代码卫士 2023-04-07 17:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Nexx 公司的智能设备中存在多个漏洞,可被用于控制车库门、禁用家用报警器或智能插座等。这些被公开的漏洞共计五个,严重程度从中危到严重不一而足,该厂商尚未证实和修复这些漏洞。 其中最严重的问题是该厂商使用在固件中硬
继续阅读CVE-2023-28432 MinIO信息泄露漏洞分析及复现
CVE-2023-28432 MinIO信息泄露漏洞分析及复现 0x6270 火线Zone 2023-04-06 17:49 前言 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 如果文章中的漏洞出现敏感内容产生了部分影响,请及时联系作者及火线安全,望谅解。 一、漏洞原理 漏洞简述 MinIO是一个用Golang开发的基于Apa
继续阅读基于Drozer框架对安卓四大组件的漏洞挖掘总结
基于Drozer框架对安卓四大组件的漏洞挖掘总结 原创 之D 山石网科安全技术研究院 2023-04-06 10:56 01 前言 之前分析了安卓四大组件漏洞形成的原因,这次我们来讲一下如何通过Drozer 测试框架来挖掘。Drozer 是一个开源项目,用户可以自由下载和使用。其代码托管在GitHub 上,用户可以参与到Drozer 的开发和维护中。Drozer 的文档和教程也非常丰富,用户可以
继续阅读上周关注度较高的产品安全漏洞(20230327-20230402)
上周关注度较高的产品安全漏洞(20230327-20230402) 国家互联网应急中心CNCERT 2023-04-04 17:15 一、境外厂商产品漏洞 1、 LS ELECTRIC XBC-DN32U拒绝服务漏洞 LS ELECTRIC XBC-DN32U是韩国LS ELECTRIC公司的一款PLC可编程逻辑控制器。LS ELECTRIC XBC-DN32U存在拒绝服务漏洞,该漏洞源于访问在通
继续阅读1500万公开服务易受 CISA 已知已遭利用漏洞攻击
1500万公开服务易受 CISA 已知已遭利用漏洞攻击 Bill Toulas 代码卫士 2023-04-03 16:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Rezilion 公司发布报告称,超过1500万家公开服务至少易受CISA 已知已利用漏洞 (KEV) 分类清单(共896个)中一种漏洞的影响。 该公司开展大规模研究,识别暴露到攻击中的易受攻击系统的情况。这一发现结果令人
继续阅读紧急!问脉开源工具支持扫描 MinIO 敏感信息泄露漏洞
紧急!问脉开源工具支持扫描 MinIO 敏感信息泄露漏洞 CT Stack 安全社区 2023-03-31 12:45 「问脉独家」支持扫描 MinIO 敏感信息泄露漏洞(CVE-2023-28432) 漏洞风险 漏洞描述:在集群模式的配置下,MinIO 部分接口由于信息处理不当返回了所有的环境变量信息(包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD),从而导致
继续阅读【漏洞通告】Minio敏感文件泄露漏洞CVE-2023-28432
【漏洞通告】Minio敏感文件泄露漏洞CVE-2023-28432 深瞳漏洞实验室 深信服千里目安全技术中心 2023-03-24 18:08 漏洞名称: Minio敏感文件泄露漏洞(CVE-2023-28432) 组件名称: Minio 影响范围: RELEASE.2019-12-17T23-16-33Z≤Minio<RELEASE.2023-03-20T20-16-18Z 漏洞类型: 信
继续阅读【漏洞通告】MinIO信息泄露漏洞(CVE-2023-28432)
【漏洞通告】MinIO信息泄露漏洞(CVE-2023-28432) 原创 NS-CERT 绿盟科技CERT 2023-03-24 15:37 通告编号:NS-2023-0016 2023-03-24 TAG: MinIO、信息泄露、CVE-2023-28432 漏洞危害: 攻击者利用漏洞可读取敏感信息 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测发现MinIO官方发布安全通告,修复了一
继续阅读MinIO 信息泄露漏洞(CVE-2023-28432)安全风险通告
MinIO 信息泄露漏洞(CVE-2023-28432)安全风险通告 奇安信 CERT 2023-03-23 18:44 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 MinIO是一个用Golang开发的基于Apache License v2.0开源协议的对象存储服务。 近日,奇安信CERT监测到 MinIO 信息泄露漏洞(CVE-2023-28
继续阅读速修复这些Netgear Orbi路由器漏洞
速修复这些Netgear Orbi路由器漏洞 Bill Toulas 代码卫士 2023-03-23 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科Talos团队发布了Netgear Orbi 740系列路由器和扩展卫星中多个漏洞的PoC exploit,其中一个漏洞是严重的远程命令执行漏洞。 Netgear Orbi 是适用于家庭用户的流行网络无线网格系统,可同时最多为5
继续阅读