【漏洞预警】GitLab CE和EE 权限管理不当漏洞
【漏洞预警】GitLab CE和EE 权限管理不当漏洞 cexlife 飓风网络安全 2024-09-12 23:22 漏洞描述:监测到Gitlab发布安全公告,修复了多个安全漏洞,其中包含一个权限管理不当漏洞,影响GitLab CE/EE从8.14开始到17.1.7之前、从17.2开始到17.2.5之前以及从 17.3开始到17.3.2之前的所有版本,该漏洞允许攻击者在某些情况下以任意用户身份触
继续阅读标签: 漏洞
聚焦AI与网络安全漏洞治理 推动国家漏洞库产业协同创新
聚焦AI与网络安全漏洞治理 推动国家漏洞库产业协同创新 原创 安全419 安全419 2024-09-12 19:57 在CCS 2024成都安全系列活动期间,以“进一步推动国家网络安全漏洞治理”为主题的国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办,该活动聚焦人工智能与网络安全漏洞治理相结合,旨在搭建政、产、学、研共同参与的平台,促进产业协同与技术创新。 研讨活动由全国知名学术专家、高校
继续阅读「漏洞复现」智联云采 SRM2.0 autologin 身份认证绕过漏洞
「漏洞复现」智联云采 SRM2.0 autologin 身份认证绕过漏洞 冷漠安全 冷漠安全 2024-09-12 18:00 0x01 免责声明 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本
继续阅读Adobe 修复Acrobat Reader 0day漏洞
Adobe 修复Acrobat Reader 0day漏洞 Lawrence Abrams 代码卫士 2024-09-12 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Acrobat Reader 中存在一个RCE 漏洞 (CVE-2024-41869),其 PoC 已公开。 该漏洞是一个严重的释放后使用 (UAF) 漏洞,可导致在打开一个特殊构造的 PDF 文档时造成远程代
继续阅读原创 Paper | Apache OFBiz SSRF to RCE(CVE-2024-45507) 漏洞分析
原创 Paper | Apache OFBiz SSRF to RCE(CVE-2024-45507) 漏洞分析 原创 404实验室 知道创宇404实验室 2024-09-12 16:26 作者:Sunflower@知道创宇404实验室 时间:2024年9月12日 1 前言 漏洞名称:Apache OFBiz SSRF to RCE 漏洞影响:version < 18.12.16 CVE:C
继续阅读GitLab身份认证绕过漏洞(CVE-2024-6678)安全风险通告
GitLab身份认证绕过漏洞(CVE-2024-6678)安全风险通告 奇安信 CERT 2024-09-12 11:45 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GitLab身份认证绕过漏洞 漏洞编号 QVD-2024-39544,CVE-2024-6678 公开时间 2024-09-11 影响量级 百万级 奇安信评级 高危 CVSS 3.1分数 9.9 威胁类型 身
继续阅读【漏洞预警】Ivanti Endpoint Manager 未授权反序列化漏洞可导致远程代码执行
【漏洞预警】Ivanti Endpoint Manager 未授权反序列化漏洞可导致远程代码执行 cexlife 飓风网络安全 2024-09-11 23:44 漏洞描述: 监测到Ivanti Endpoint Manager应用中存在一个反序列化漏洞,未经授权的攻击者可以通过该漏洞在服务器上执行任意代码,获取服务器控制权限和敏感信息。修复建议:正式防护方案:厂商已发布补丁修复漏洞,用户请尽快更新
继续阅读CCS 2024 | 国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办
CCS 2024 | 国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办 中国信息安全 2024-09-11 22:59 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 9月11日下午,CCS 2024成都网络安全系列活动──国家漏洞库(CNNVD)网络安全漏洞治理产业协同创新研讨活动,在成都高新创合中心报告大厅成功举办。来自国家关键基础设施单位、网络安全公
继续阅读CCS2024 | 国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办
CCS2024 | 国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办 CNNVD CNNVD安全动态 2024-09-11 22:05 点击蓝字 关注我们 2024年9月11日下午,CCS2024成都网络安全系列活动──国家漏洞库(CNNVD)网络安全漏洞治理产业协同创新研讨活动,在成都高新创合中心报告大厅成功举办。来自国家关键基础设施单位、网络安全公司、信创企业、高校科研机构的近300名代
继续阅读2024-09微软漏洞通告
2024-09微软漏洞通告 火绒安全 火绒安全 2024-09-11 19:59 微软官方发布了2024年09月的安全更新。本月更新公布了79个漏洞,包含30个特权提升漏洞、23个远程执行代码漏洞、11个信息泄露漏洞、8个拒绝服务漏洞、4个安全功能绕过漏洞、3个身份假冒漏洞,其中7个漏洞级别为“Critical”(高危),71个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/
继续阅读【安全圈】SonicWall SSL VPN曝出高危漏洞,可能导致防火墙崩溃
【安全圈】SonicWall SSL VPN曝出高危漏洞,可能导致防火墙崩溃 安全圈 2024-09-11 19:01 关键词 安全漏洞 近日,有黑客利用 SonicWall SonicOS 防火墙设备中的一个关键安全漏洞入侵受害者的网络。 这个不当访问控制漏洞被追踪为 CVE-2024-40766,影响到第 5 代、第 6 代和第 7 代防火墙。SonicWall于8月22日对其进行了修补,并警
继续阅读【安全圈】WhatsApp“阅后即焚”功能曝漏洞,黑客可反复查看
【安全圈】WhatsApp“阅后即焚”功能曝漏洞,黑客可反复查看 安全圈 2024-09-11 19:01 关键词 安全漏洞 据BleepingComputer消息,全球拥有20亿用户的即时通讯工具 WhatsApp最近修复了一个十分重要的隐私漏洞,该漏洞能允许攻击者多次查看用户发送的“阅后即焚”(View once)内容。 WhatsApp的“阅后即焚”于3年前推出,允许用户发送只能浏览一次的照
继续阅读Ivanti 修复Endpoint Management 软件中的严重RCE漏洞
Ivanti 修复Endpoint Management 软件中的严重RCE漏洞 Sergiu Gatlan 代码卫士 2024-09-11 18:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 修复了位于 Endpoint Management (EPM) 软件中的一个CVSS 满分漏洞,可导致未认证攻击者在核心服务器上获得远程代码执行权限。 Ivanti EPM 帮助
继续阅读微软9月补丁星期二到底修复了4个还是5个0day?
微软9月补丁星期二到底修复了4个还是5个0day? 综合编译 代码卫士 2024-09-11 18:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本月,微软共修复了79个漏洞,其中7个是“严重”等级,71个是“重要”等级,还有1个是中危等级。虽然和上月相比,漏洞总数差不多;但本次修复的已遭活跃利用的漏洞数量并不寻常。 在这些已修复漏洞中,1个被列为“公开已知”,另外4个是已遭活跃利用
继续阅读【漏洞通告】SonicWALL SonicOS 访问控制错误漏洞(CVE-2024-40766)
【漏洞通告】SonicWALL SonicOS 访问控制错误漏洞(CVE-2024-40766) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-09-11 17:41 漏洞名称: SonicWALL SonicOS 访问控制错误漏洞(CVE-2024-40766) 组件名称: SonicWALL SonicOS 影响范围: SOHO (Gen 5) ≤ 5.9.2.14-12oGen6 Fi
继续阅读微软2024年9月补丁日重点漏洞安全预警
微软2024年9月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2024-09-11 17:19 补丁概述 2024 年 9 月 10 日 ,微软官方发布了 9 月安全更新,针对 79 个 Microsoft CVE 进行修复。其中,包含 7 个严重漏洞(Critical)、 71 个重要漏洞(Important)和 1 个中危漏洞(Moderate) 。从漏
继续阅读涉及微软多款产品,4个被利用的0 Day漏洞亟待修复
涉及微软多款产品,4个被利用的0 Day漏洞亟待修复 安全客 2024-09-11 13:32 近日,微软发布了79个修复补丁,其中包括针对几个被攻击者在实际环境中利用的0 Day漏洞(CVE-2024-38217、CVE-2024-38226、CVE-2024-38014、CVE-2024-43461)以及一个导致Windows 10早期CVE修复失效的代码缺陷(CVE-2024-43491)。
继续阅读微软9月补丁日多个产品安全漏洞风险通告:4个在野利用、7个紧急漏洞
微软9月补丁日多个产品安全漏洞风险通告:4个在野利用、7个紧急漏洞 奇安信 CERT 2024-09-11 09:38 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2024年9月补丁日多个产品安全漏洞 影响产品 Windows Win32k、Windows Installer、Microsoft SharePoint Server 和 Microsoft Publish
继续阅读【漏洞预警】Apache Airflow<2.10.1 远程代码执行漏洞CVE-2024-45034
【漏洞预警】Apache Airflow<2.10.1 远程代码执行漏洞CVE-2024-45034 cexlife 飓风网络安全 2024-09-10 23:13 漏洞描述: Apache Airflow是开源的工作流自动化平台,允许用户以编程方式创建、调度和监控工作流(DAG),受影响版本中,由于允许用户在DAG目录中添加本地设置,具有DAG编辑权限的攻击者可在设置中注入恶意代码,当调度
继续阅读CVE-2024-43044 漏洞分析
CVE-2024-43044 漏洞分析 原创 0x6270 0x6270安全团队 2024-09-10 22:00 1. 引言 Jenkins 是一种广泛用于自动执行构建、测试和部署软件等任务的工具,用于自动执行构建、测试和部署软件等任务。它是许多公司组织开发过程的关键部分。如果攻击者获取对 Jenkins 服务器的访问权限,他们可能会造成严重的损害,例如窃取凭据、污染代码,甚至中断部署。通过访问
继续阅读通天星CMSV6车载定位监控平台 getAlarmAppealByGuid SQL注入漏洞复现及POC
通天星CMSV6车载定位监控平台 getAlarmAppealByGuid SQL注入漏洞复现及POC 原创 CatalyzeSec CatalyzeSec 2024-09-10 19:34 FOFA body="/808gps/" && icon_hash="1784259556" 漏洞复现 POC POST /alarm_appeal/g
继续阅读SonicWall SSL VPN曝出高危漏洞,可能导致防火墙崩溃
SonicWall SSL VPN曝出高危漏洞,可能导致防火墙崩溃 小薯条 FreeBuf 2024-09-10 19:07 近日,有黑客利用 SonicWall SonicOS 防火墙设备中的一个关键安全漏洞入侵受害者的网络。 这个不当访问控制漏洞被追踪为 CVE-2024-40766,影响到第 5 代、第 6 代和第 7 代防火墙。SonicWall于8月22日对其进行了修补,并警告称其只影响
继续阅读技术详解 | Divide and Conquer:ZK除法中隐藏的漏洞
技术详解 | Divide and Conquer:ZK除法中隐藏的漏洞 原创 CertiK CertiK 2024-09-10 19:01 ZK的崛起与演变 曾几何时,零知识证明(以下简称ZK)仍然被认为是密码学教科书中的理论概念,至少在传统安全研究中很少被主流社群深入探索。然而在Web3.0领域,区块链技术的迅速发展,用短短几年时间实现了ZK从理论到实践的跨越式进展,一路蓬勃,高歌猛进。 19
继续阅读美国网络安全漏洞披露管理情况研究
美国网络安全漏洞披露管理情况研究 商密君 2024-09-10 18:41 摘 要:网络安全漏洞披露是有效缓解攻防不平衡态势和降低网络安全风险的重要手段,美国在网络安全漏洞披露管理方面拥有一套行之有效的机制。 为此,聚焦美国联邦政府互联网信息系统和国防部信息网络,分析其网络安全漏洞披露管理情况。 首先,概述美国网络安全漏洞管理战略法规,了解其网络安全漏洞披露管理的战略布局和体系计划; 其次,梳理国
继续阅读FreeBSD紧急提醒注意严重漏洞CVE-2024-43102
FreeBSD紧急提醒注意严重漏洞CVE-2024-43102 DO SON 代码卫士 2024-09-10 17:36 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 FreeBSD Project 发布安全公告,提醒注意影响多个操作版本的严重漏洞CVE-2024-43102(CVSS评分10分),可导致恶意人员触发内核恐慌或执行任意代码,可能导致系统遭完全攻陷。 该漏洞位于系统调用 _u
继续阅读攻击者正在以创纪录的速度利用漏洞——以下是应对措施
攻击者正在以创纪录的速度利用漏洞——以下是应对措施 数世咨询 2024-09-10 16:01 在网络安全领域,攻击者正以前所未有的速度利用漏洞,这给安全团队带来了巨大挑战。虽然没有任何单一的解决方案能够完全超越网络犯罪分子,但我们可以采取一些关键步骤来确保组织的防御措施能够跟上他们的步伐。 “每天都有新漏洞”已经成为全球安全团队的口头禅。 根据最新的 Fortinet 全球威胁态势报告,攻击者利
继续阅读关于中通SRC恢复漏洞测试的通知
关于中通SRC恢复漏洞测试的通知 中通安全应急响应中心 2024-09-10 15:57
继续阅读FreeBSD umtx释放后重用漏洞(CVE-2024-43102)安全风险通告
FreeBSD umtx释放后重用漏洞(CVE-2024-43102)安全风险通告 奇安信 CERT 2024-09-10 15:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 FreeBSD umtx释放后重用漏洞 漏洞编号 QVD-2024-38841,CVE-2024-43102 公开时间 2024-09-05 影响量级 十万级 奇安信评级 高危 CVSS 3.1分
继续阅读【已复现】Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507)安全风险通告第二次更新
【已复现】Apache OFBiz 服务端请求伪造漏洞(CVE-2024-45507)安全风险通告第二次更新 奇安信 CERT 2024-09-10 15:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache OFBiz 服务端请求伪造漏洞 漏洞编号 QVD-2024-38644,CVE-2024-45507 公开时间 2024-09-03 影响量级 万级 奇安信
继续阅读上周关注度较高的产品安全漏洞(20240902-20240908)
上周关注度较高的产品安全漏洞(20240902-20240908) 国家互联网应急中心CNCERT 2024-09-10 14:48 一、境外厂商产品漏洞 1、ZOHO ManageEngine ADAudit Plus SQL注入漏洞(CNVD-2024-37481) ZOHO ManageEngine ADAudit Plus是美国卓豪(ZOHO)公司的用于简化审计、证明合规性和检测威胁。ZO
继续阅读