雷神众测漏洞周报2022.12.19-2022.12.25
雷神众测漏洞周报2022.12.19-2022.12.25 原创 雷神众测 雷神众测 2022-12-26 15:10 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读标签: 权限绕过
CVE-2022-46169:Cacti命令注入漏洞
CVE-2022-46169:Cacti命令注入漏洞 360CERT 三六零CERT 2022-12-07 16:05 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-120701 报告来源:360CERT 报告作者:360CERT 更新日期:2022-12-07 1 漏洞简述 2022年12月07日,360CERT监测发现Cacti的漏洞细节在互联网公开,漏洞编号为CVE-2022-46
继续阅读雷神众测漏洞周报2022.11.28-2022.12.4
雷神众测漏洞周报2022.11.28-2022.12.4 原创 雷神众测 雷神众测 2022-12-05 15:00 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或
继续阅读CVE-2022-4262:Google Chrome V8类型混淆漏洞通告
CVE-2022-4262:Google Chrome V8类型混淆漏洞通告 原创 360CERT 三六零CERT 2022-12-03 13:09 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-120301 报告来源:360CERT 报告作者:360CERT 更新日期:2022-12-03 1 漏洞简述 2022年12月3日,360CERT监测发现Google官方发布了Google C
继续阅读英伟达发布 GPU 驱动更新,修复25个漏洞
英伟达发布 GPU 驱动更新,修复25个漏洞 Bill Toulas 代码卫士 2022-12-01 18:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 英伟达发布 Windows 版本的 GPU 显示驱动安全更新,修复了25个漏洞,含7个高危漏洞,其中1个高危漏洞可导致攻击者实现代码执行和权限提升等。 最严重的两个漏洞是: CVE-2022-34669(CVSS 8.8):位于 W
继续阅读思科ISE多个漏洞可用于一次点击exploit
思科ISE多个漏洞可用于一次点击exploit Sergiu Gatlan 代码卫士 2022-11-29 17:44 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科身份服务引擎 (ISE) 中存在多个漏洞,可导致远程攻击者注入任意命令、绕过已有安全防护措施,或执行跨站点脚本 (XSS) 攻击。 思科ISE是基于身份的网络访问控制 (NAC) 和策略执行系统,可使管理员控制端点访问权限
继续阅读雷神众测漏洞周报2022.11.14-2022.11.20
雷神众测漏洞周报2022.11.14-2022.11.20 原创 雷神众测 雷神众测 2022-11-21 15:54 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读F5 多款产品中存在多个RCE漏洞
F5 多款产品中存在多个RCE漏洞 Eduard Kovacs 代码卫士 2022-11-17 18:21 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全公司Rapid7表示,F5产品受多个漏洞和其它安全问题影响。 Rapid7公司在8月中旬将研究成果告知F5,并在F5发布安全公告通知用户并推出工程热补丁之时,发布了相关漏洞详情。 研究人员指出,其中两个漏洞是高危漏洞并已获得CVE编号
继续阅读速修!开源API接口管理平台YApi爆高危漏洞(附补丁链接)
速修!开源API接口管理平台YApi爆高危漏洞(附补丁链接) 原创 ThreatBook 微步在线 2022-11-11 16:52 经“X漏洞奖励计划”,微步获取到一个YApi高危漏洞信息,无需点击(0-click),无任何权限要求,即可利用。YApi在GitHub上获得超过25000颗星,包括阿里、腾讯、百度、美团等中国一大批互联网公司都在用,可谓影响广泛。目前微步TDP支持对该漏洞的检出。
继续阅读【风险提示】天融信关于微软11月安全更新中重要漏洞的风险提示
【风险提示】天融信关于微软11月安全更新中重要漏洞的风险提示 原创 天融信应急响应 天融信阿尔法实验室 2022-11-09 16:07 0x00背景介绍 11月9日,天融信阿尔法实验室监测到微软官方发布的11月安全更新通告,此次更新官方发布了微软系列软件的安全补丁,共修复64个漏洞,涉及组件包括:.NET Framework、Azure、Linux Kernel、Microsoft Exchan
继续阅读【漏洞通告】微软补丁日安全通告|11月份
【漏洞通告】微软补丁日安全通告|11月份 深益研究实验室 深信服千里目安全技术中心 2022-11-09 15:38 2022年11月9日(北京时间),微软发布了安全更新,共发布了69个CVE的补丁程序,同比上月减少了14个。 在漏洞安全等级方面,存在12个标记等级为 “Critical” 的漏洞,57个漏洞被标记为 “Important/High” ;在漏洞类型方面,主要有18个远程代码执行漏洞
继续阅读Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新
Microsoft Exchange Server多个0Day漏洞安全风险通告第六次更新 原创 QAX CERT 奇安信 CERT 2022-11-09 14:35 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到GTSC SOC 团队发布博客,披露了Microsoft Exchange Server中的两个0Day漏洞,
继续阅读微软2022年11月补丁日多产品安全漏洞风险通告
微软2022年11月补丁日多产品安全漏洞风险通告 原创 QAX CERT 奇安信 CERT 2022-11-09 14:35 奇安信CERT 致力于 第一时间为企业级用户提供安全风险 通告 和 有效 解决方案。 通告摘要 本月,微软共发布了64个漏洞的补丁程序,修复了Microsoft Exchange Server、Visual Studio、Microsoft Office等产品中的漏洞。值得
继续阅读腾讯安全威胁情报中心推出2022年9月必修安全漏洞清单
腾讯安全威胁情报中心推出2022年9月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2022-11-07 10:45 长按二维码关注 腾讯安全威胁情报中心 腾讯安全攻防团队A&D Team 腾讯安全 企业安全运营团队 腾讯安全威胁情报中心推出2022年9月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,不修复就意味着黑客攻击入侵后会造成十分严
继续阅读【漏洞通告】Spring Security身份认证绕过漏洞CVE-2022-31692
【漏洞通告】Spring Security身份认证绕过漏洞CVE-2022-31692 深瞳漏洞实验室 深信服千里目安全技术中心 2022-11-04 17:59 漏洞名称: Spring Security 身份认证绕过漏洞 组件名称: Spring Security 影响范围: 5.6.0 ≤ Spring Security ≤ 5.6.8 5.7.0 ≤ Spring Security ≤ 5
继续阅读【技术干货】CVE-2022-25237 Bonitasoft Platform RCE漏洞分析
【技术干货】CVE-2022-25237 Bonitasoft Platform RCE漏洞分析 星阑科技 2022-10-18 13:40 xxhzz @PortalLab实验室 项目介绍 Bonitasoft 是一个业务自动化平台,可以更轻松地在业务流程中构建、部署和管理自动化应用程序;Bonita 是一个用于业务流程自动化和优化的开源和可扩展平台。 漏洞描述 在Bonitasoft Auth
继续阅读重温OMI:分析CVE-2022-29149,Azure OMI中的权限提升漏洞
重温OMI:分析CVE-2022-29149,Azure OMI中的权限提升漏洞 养了个羊 火线Zone 2022-10-14 11:29 本文为译文,原文链接:https://www.wiz.io/blog/omi-returns-lpe-technical-analysis 作为2022年6月补丁星期二的一部分,微软发布了一个补丁,以修复开放管理基础设施(OMI)中新的权限提升漏洞
继续阅读Aruba 修复EdgeConnect 中的严重RCE和认证绕过漏洞
Aruba 修复EdgeConnect 中的严重RCE和认证绕过漏洞 Bill Toulas 代码卫士 2022-10-13 18:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 摘要 Aruba 发布EdgeConnect Enterprise Orchestrator 安全更新,修复了可导致远程攻击者攻陷主机的多个严重漏洞。 Aruba EdgeConnect Orchestrat
继续阅读这个VMware高危漏洞已发现超一年,官方至今仍未修复
这个VMware高危漏洞已发现超一年,官方至今仍未修复 安全内参 2022-10-12 21:14 关注我们 带你读懂网络安全 编译: 代码卫士 摘要 VMware 提醒客户称,vCenter Server 8.0(最新版本)仍然未修复早在2021年11月就已发现的一个高危漏洞(CVE-2022-22048)。 该漏洞是由CrowdStrike 公司的研究员在vCenter Server的IWA(
继续阅读【安全圈】CISA 在其已知漏洞目录中又增加了 2 个安全漏洞
【安全圈】CISA 在其已知漏洞目录中又增加了 2 个安全漏洞 安全圈 2022-09-16 19:32 关键词 CISA、安全漏洞 根据Hackernews消息,美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中添加了2个新漏洞,一个Windows权限提升漏洞,跟踪为CVE-2022-37969,以及一个任意代码执行漏洞,跟踪为CVE-2022-32917,影响iPhone和Ma
继续阅读【安全更新】微软9月安全更新多个产品高危漏洞通告
【安全更新】微软9月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2022-09-14 22:23 通告编号:NS-2022-0025 2022-09-14 TAG: 安全更新、Windows TCP/IP、Kernel、Windows Common Log File System Driver 漏洞危害: 攻击者利用本次安全更新中的漏洞,可造成权限提升、远程代码执行、敏感
继续阅读【风险提示】天融信关于微软9月安全更新中重要漏洞的风险提示
【风险提示】天融信关于微软9月安全更新中重要漏洞的风险提示 原创 天融信应急响应 天融信阿尔法实验室 2022-09-14 12:59 0x00背景介绍 9月14日,天融信阿尔法实验室监测到微软发布9月安全更新,共修复多个漏洞。其中3个被评为严重,53个被评为高危,还有7个被评为中危,涉及系统及组件包括Windows TCP/IP、Windows IKE Extension、Windows Ker
继续阅读微软2022年9月补丁日多产品安全漏洞风险通告
微软2022年9月补丁日多产品安全漏洞风险通告 原创 QAX CERT 奇安信 CERT 2022-09-14 10:49 奇安信CERT 致力于 第一时间为企业级用户提供安全风险 通告 和 有效 解决方案。 通告摘要 本月,微软共发布了63个漏洞的补丁程序,修复了Windows Server、Microsoft Office、.NET Framework、Microsoft SharePoint
继续阅读雷神众测漏洞周报2022.9.05-2022.9.11
雷神众测漏洞周报2022.9.05-2022.9.11 雷神众测 雷神众测 2022-09-13 15:00 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增
继续阅读【技术干货】CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考
【技术干货】CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考 星阑科技 2022-09-13 13:26 xxhzz @PortalLab实验室 前言 在此之前,已经对CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞进行了分析,它和CVE-2022-22978漏洞产生原理上,本质是一样的。在分
继续阅读KCon 2022议题分享:自动化API漏洞挖掘
KCon 2022议题分享:自动化API漏洞挖掘 星阑科技 2022-09-02 11:47 演讲者介绍 周阳 星阑科技安全研发工程师。具有丰富的漏洞研究及红队武器化经验,历经主机漏洞扫描、应用漏洞扫描、开源软件供应链安全跟踪以及漏洞情报管理平台等多款产品建设,曾参与发现多个linux系统安全漏洞并收到工信部及其他部委致谢。目前专注于API安全研究以及自动化应用漏洞扫描方向。 吕竭 星阑科技安全服
继续阅读DirtyCred:存在8年的Linux kernel漏洞
DirtyCred:存在8年的Linux kernel漏洞 关键基础设施安全应急响应中心 2022-08-29 14:59 研究人员发现存在8年的Linux kernel漏洞——DirtyCred。 美国西北大学研究人员在Linux kernel中发现了一个存在长达8年之久的安全漏洞——DirtyCred,CVE编号为CVE-2022-2588,攻击者利用该漏洞可以将权限提升到最高级别。 Dirt
继续阅读2022最危险的五个API安全漏洞
2022最危险的五个API安全漏洞 关键基础设施安全应急响应中心 2022-08-24 14:56 API安全漏洞仍然是企业的眼中钉,访问控制漏洞几乎成了高危漏洞的代名词。 API作为系统功能之间的关键通信方法,在网络服务中扮演着关键作用,已经成为网络攻击的热门目标。 根据API安全公司Wallarm最新发布的“2022年一季度API漏洞”报告,第一季度共发现并报告了48个与API相关的漏洞(下图
继续阅读上周关注度较高的产品安全漏洞(20220815-20220821)
上周关注度较高的产品安全漏洞(20220815-20220821) 国家互联网应急中心CNCERT 2022-08-22 16:46 一、境外厂商产品漏洞 1、SAP BusinessObjects Business Intelligence Platform授权问题漏洞 SAP BusinessObjects Business Intelligence Platform是德国思爱普(SAP)公司
继续阅读雷神众测漏洞周报2022.8.15-2022.8.21
雷神众测漏洞周报2022.8.15-2022.8.21 原创 雷神众测 雷神众测 2022-08-22 15:51 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读