【安全圈】官方强烈建议升级,GitLab又曝严重的账户接管漏洞
【安全圈】官方强烈建议升级,GitLab又曝严重的账户接管漏洞 安全圈 2024-07-11 19:01 关键词 安全漏洞 7月10日,GitLab警告称,其产品GitLab社区和企业版本中存在一个严重漏洞,允许攻击者以任何其他用户的身份运行管道作业。 GitLab DevSecOps平台拥有3000多万注册用户,活跃用户数仅次于 GitHub,超过50%的财富100强公司都在使用该平台,包括T-
继续阅读标签: 漏洞
【安全圈】微软警告称 Windows Hyper-V 零日漏洞正受到利用
【安全圈】微软警告称 Windows Hyper-V 零日漏洞正受到利用 安全圈 2024-07-11 19:01 关键词 安全漏洞 微软7月补丁日推出大量更新,以修复 Windows 生态系统中的安全漏洞,并警告称攻击者已经在野利用 Windows Hyper-V 权限提升漏洞。 微软在一份公告中表示:“成功利用此漏洞的攻击者可以获得系统权限”,并将 Hyper-V 问题标记为“检测到利用”类别
继续阅读共建漏洞协同防御体系,亚信安全成为麒麟软件漏洞协同优秀合作伙伴
共建漏洞协同防御体系,亚信安全成为麒麟软件漏洞协同优秀合作伙伴 你信任的 亚信安全 2024-07-11 18:43 7月10日,以“操作系统漏洞治理和安全开发实践”为主题的麒麟软件安全生态联盟2024年第二次工作会议在北京成功召开。作为安全生态联盟首批成员之一,亚信安全受邀参会并荣获“漏洞协同优秀合作伙伴”称号。 据悉,本次工作会议旨根据联盟工作目标和主要任务,积极推动后续工作开展,推动“麒麟软
继续阅读微软2024年7月补丁星期二修复了2个被积极利用的漏洞
微软2024年7月补丁星期二修复了2个被积极利用的漏洞 NERCIS 信息安全国家工程研究中心 2024-07-11 18:30 微软官方发布了2024年07月的安全更新。本月更新公布了142个漏洞,包含 5 个危急漏洞、134 个高危漏洞以及 3 个中危漏洞,其中2个被主动利用的漏洞和2个公开披露的零日漏洞。 各个漏洞类别的漏洞数量如下: 59 个远程代码执行漏洞 26 个特权提升漏洞 24 个
继续阅读【漏洞通告】GitLab身份认证绕过漏洞(CVE-2024-6385)
【漏洞通告】GitLab身份认证绕过漏洞(CVE-2024-6385) 深瞳漏洞实验室 深信服千里目安全技术中心 2024-07-11 17:42 漏洞名称: GitLab身份认证绕过漏洞(CVE-2024-6385) 组件名称: 极狐-GitLab代码托管平台 影响范围: 15.8 ≤ GitLab CE/EE ≤ 16.11.517.0 ≤ GitLab CE/EE ≤ 17.0.317.1
继续阅读漏洞报送最具贡献+1,这次来自NVDB
漏洞报送最具贡献+1,这次来自NVDB 微步在线 2024-07-11 17:35 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(以下简称“NVDB”)对2023年度在网络产品安全漏洞管理方面作出杰出贡献的单位进行表彰。 微步作为NVDB通用网络产品安全漏洞库首批技术支撑单位,凭借业内领先的漏洞情报能力,获评“2023年度漏洞报送最具贡献单位”。 NVDB由中国信通院会同国家工业信息安全发展
继续阅读NSA 的开源员工培训平台 SkillTree 中存在CSRF漏洞
NSA 的开源员工培训平台 SkillTree 中存在CSRF漏洞 Nate Nelson 代码卫士 2024-07-11 17:21 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国国家安全局 (NSA) 修复了位于开源的员工培训平台 SkillTree 上的一个跨站请求伪造 (CSRF) 漏洞,证明了在生产发布前捕获这类漏洞的难度所在。 SkillTree 是通过游戏元素如积分和成就
继续阅读VMware 修复Aria Automation 中严重的SQL注入漏洞
VMware 修复Aria Automation 中严重的SQL注入漏洞 Ryan Naraine 代码卫士 2024-07-11 17:21 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,VMware 修复了位于 Aria Automation 产品中的一个高危SQL注入漏洞,并提醒称认证的恶意用户可利用该漏洞操控数据库。 该漏洞的编号是CVE-2024-22280,攻击者通过特
继续阅读360斩获NVDB两大年度奖项 漏洞治理能力再获国家级认定!
360斩获NVDB两大年度奖项 漏洞治理能力再获国家级认定! 360漏洞云 2024-07-11 16:47 近日,网络安全威胁和漏洞信息共享平台(NVDB)对2023年度在网络产品安全漏洞管理方面作出杰出贡献的单位进行表彰。360数字安全集团凭借坚实的漏洞技术研究能力、丰富的漏洞治理实践成果及对平台工作的大力支持,荣获“漏洞治理合作最具贡献单位”、“漏洞报送最具贡献单位”两大奖项,是继360去年
继续阅读RADIUS身份验证协议惊现三十年的漏洞,CERT呼吁紧急关注
RADIUS身份验证协议惊现三十年的漏洞,CERT呼吁紧急关注 网络安全应急技术国家工程中心 2024-07-11 16:11 近日,网络安全研究人员发现RADIUS网络身份验证协议中存在一个安全漏洞,Blast-RADIUS可以利用该漏洞发动中间人(MitM)攻击,并在特定情况下绕过完整性检查,CERT、InkBridge Networks等多个安全机构呼吁积极关注该漏洞。 关于Blast-RA
继续阅读网络攻防对抗下的漏洞治理探索与实践
网络攻防对抗下的漏洞治理探索与实践 关键基础设施安全应急响应中心 2024-07-11 16:11 当前,网络空间安全已经成为国家安全的重要组成部分。筑牢国家网络安全屏障,切实维护网络空间安全,是关系我国发展全局的重大战略任务。根据中国网络空间安全协会发布的《2023 年网络安全态势研判分析年度综合报告》,2023 年针对我国的高级持续性威胁(APT)攻击超过 1200 起。漏洞作为网络攻防对抗的
继续阅读上周关注度较高的产品安全漏洞(20240701-20240707)
上周关注度较高的产品安全漏洞(20240701-20240707) 国家互联网应急中心CNCERT 2024-07-11 15:44 一、境外厂商产品漏洞 1、Sonatype Nexus Repository存在路径遍历漏洞 Nexus Repository Manager是一个仓库管理系统。Sonatype Nexus Repository Manager存在路径遍历漏洞,攻击者可利用该漏洞获
继续阅读GitLab身份认证绕过漏洞(CVE-2024-6385)安全风险通告
GitLab身份认证绕过漏洞(CVE-2024-6385)安全风险通告 奇安信 CERT 2024-07-11 14:07 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GitLab身份认证绕过漏洞 漏洞编号 QVD-2024-25991,CVE-2024-6385 公开时间 2024-07-10 影响量级 百万级 奇安信评级 高危 CVSS 3.1分数 9.6 威胁类型 身
继续阅读小米获 NVDB “2023年度漏洞管理实践先进企业” 荣誉
小米获 NVDB “2023年度漏洞管理实践先进企业” 荣誉 小米安全中心 2024-07-11 09:47 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)对2023年度在网络产品安全漏洞管理方面作出杰出贡献的单位进行表彰。小米凭借出色的漏洞挖掘能力、丰富的漏洞管理实践以及对NVDB平台工作的大力支持,从众多优秀网络安全企业中脱颖而出,荣获“2023年度漏洞管理实践先进企业”荣誉!
继续阅读CVE-2024-34331:Parallels Desktop权限提升漏洞分析
CVE-2024-34331:Parallels Desktop权限提升漏洞分析 原创 unr4v31 山石网科安全技术研究院 2024-07-11 09:22 Parallels Desktop是macOS下的一个虚拟机软件,在其打包功能中存在一处安全性问题。本文通过利用 Parallels Desktop 对 macOS 安装程序的信任,进行本地权限提升 [1]。 漏洞详情 受影响产品:Par
继续阅读Evernote 应用中PDF.js字体注入导致跨平台远程代码执行漏洞
Evernote 应用中PDF.js字体注入导致跨平台远程代码执行漏洞 原创 bggsec 甲方安全建设 2024-07-11 08:00 前言 一句话总结(点击原文跳转) 主要描述了一个在Evernote应用中发现的关键性漏洞,该漏洞可以通过嵌入恶意PDF文件到笔记中,利用PDF.js的字体注入进行JavaScript代码执行,进而通过Electron的ipcRenderer和BrokerBri
继续阅读[漏洞挖掘与防护] 01.漏洞利用之CVE-2019-0708复现及防御详解(含学习路线)
[漏洞挖掘与防护] 01.漏洞利用之CVE-2019-0708复现及防御详解(含学习路线) 原创 eastmount 娜璋AI安全之家 2024-07-10 23:50 “ 2024年4月28日是Eastmount的安全星球 —— 『网络攻防和AI安全之家』正式创建和运营的日子,该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每日推送、网络攻防技术总
继续阅读Docassemble存在任意文件读取任意文件读取漏洞CVE-2024-27292 附POC
Docassemble存在任意文件读取任意文件读取漏洞CVE-2024-27292 附POC 南风漏洞复现文库 南风漏洞复现文库 2024-07-10 23:36 Docassemble存在任意文件读取任意文件读取漏洞CVE-2024-27292 附POC 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责
继续阅读红盟云发卡系统存在反序列化RCE漏洞
红盟云发卡系统存在反序列化RCE漏洞 原创 四月安全 四月安全 2024-07-10 23:00 0x0 免责声明 本文仅用于技术学习和讨论。请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 0x1 漏洞介绍 红盟云发卡系统 /shop/order/orderContent接口
继续阅读网络安全学习资料 — 逻辑漏洞
网络安全学习资料 — 逻辑漏洞 网络安全者 2024-07-10 22:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/cb7ac25de031 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 关 注 有 礼 个人微信:ivu123ivu 各类学习教程下载合集 https://docs.qq.com/sheet/
继续阅读2024-07微软漏洞通告
2024-07微软漏洞通告 火绒安全 火绒安全 2024-07-10 18:47 微软官方发布了2024年07月的安全更新。本月更新公布了142个漏洞,包含59个远程执行代码漏洞、26个特权提升漏洞、24个功能绕过漏洞、17个拒绝服务漏洞、9个信息泄露漏洞、7个身份假冒漏洞,其中5个漏洞级别为“Critical”(高危),134个为“Important”(严重)。建议用户及时使用火绒安全软件(个人
继续阅读Microsoft 7 月 CVE 漏洞预警
Microsoft 7 月 CVE 漏洞预警 网新安服 2024-07-10 18:30 点击上方蓝字关注我们,获取最新消息 1 基本情况 7 月份,Microsoft 发布了 139 个漏洞补丁,解决了 Microsoft Windows 和 Windows 组件、Office 和 Office 组件、 Azure、.NET 框架 和 Visual Studio、Defender for IoT
继续阅读专题·漏洞治理 | 网络攻防对抗下的漏洞治理探索与实践
专题·漏洞治理 | 网络攻防对抗下的漏洞治理探索与实践 鲁辉等 中国信息安全 2024-07-10 18:14 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 广州大学网络空间安全学院/网络空间先进技术研究院 鲁辉 王乐 孙彦斌 苏申 陈星池 田志宏 当前,网络空间安全已经成为国家安全的重要组成部分。筑牢国家网络安全屏障,切实维护网络空间安全,是关系我国
继续阅读OpenSSH 易受RCE新漏洞影响
OpenSSH 易受RCE新漏洞影响 THN 代码卫士 2024-07-10 17:40 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OpenSSH 安全网络套件的多个版本易受一个新漏洞(CVE-2024-6409)的影响,可触发远程代码执行 (RCE)。 CVE-2024-6409(CVSS评分7.0)与CVE-2024-6387(即RegreSSHion)不同,与信号处理中因一个竞争
继续阅读【漏洞通告】RADIUS协议欺骗漏洞(CVE-2024-3596)
【漏洞通告】RADIUS协议欺骗漏洞(CVE-2024-3596) 启明星辰安全简讯 2024-07-10 17:40 一、漏洞概述 漏洞名称 RADIUS协议欺骗漏洞 CVE ID CVE-2024-3596 漏洞类型 伪造、MITM 发现时间 2024-07-10 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 高 用户交互 无 PoC/EXP 未公开 在野利用
继续阅读【漏洞通告】微软7月多个安全漏洞
【漏洞通告】微软7月多个安全漏洞 启明星辰安全简讯 2024-07-10 17:40 一、漏洞概述 2024年7月10日,启明星辰集团VSRC监测到微软发布了7月安全更新,本次更新共修复了142个漏洞,漏洞类型包括特权提升漏洞、安全功能绕过漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞和欺骗漏洞等。 本次安全更新修复了4个0 day漏洞,其中两个被积极利用,另外两个已经公开披露: CVE-20
继续阅读微软7月补丁星期二修复142个漏洞,含4个0day
微软7月补丁星期二修复142个漏洞,含4个0day 综合编译 代码卫士 2024-07-10 17:40 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在7月补丁星期二供修复了142个漏洞,其中2个是已遭利用漏洞,2个是已公开的0day。该补丁日共修复5个严重漏洞,均为远程代码执行漏洞。 这些漏洞的类别如下: 26个提权漏洞 24个安全特性绕过漏洞 59个远程代码执行漏洞 9个信息泄露
继续阅读2024-07 微软补丁日 | 漏洞预警
2024-07 微软补丁日 | 漏洞预警 小草 四叶草安全 2024-07-10 17:22 01 摘要 2024年7月9日,微软发布了2024年7月份安全更新。 本次更新共修复了175个漏洞,其中包含严重漏洞6个、高危漏洞134个、中危漏洞6个、低危漏洞3个。同时包含了26个Chromium的漏洞更新。 02 漏洞列表 漏洞详情如下: 03 漏洞详情 CVE-2024-38080: Window
继续阅读坚持总体国家安全观 加快推进国家网络安全漏洞治理 赋能新质生产力发展
坚持总体国家安全观 加快推进国家网络安全漏洞治理 赋能新质生产力发展 关键基础设施安全应急响应中心 2024-07-10 14:56 习近平总书记强调,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题”。当前,以网络化、数字化为代表的新科技革命和产业变革深入发展,对国家安全治理产生了深远影响。随着网数智的快速发展,网络安全漏洞已成为国家安全体系不可忽视的一环。在总
继续阅读多家网络安全上市公司上半年业绩预亏,市场整体形势仍较严峻;一款流行的文档转换工具被曝存在远程代码执行漏洞 | 牛览
多家网络安全上市公司上半年业绩预亏,市场整体形势仍较严峻;一款流行的文档转换工具被曝存在远程代码执行漏洞 | 牛览 安全牛 2024-07-10 13:58 新闻速览 ㆍ 多家网络安全上市公司上半年业绩预亏,市场整体形势仍较严峻 ㆍ 卡巴斯基发现一个新的APT攻击组织——CloudSorcerer ㆍ 网络安全保险费率稳步下降 推动中小企业应用需求增长 ㆍ Mekotio 银行木马对金融系统的威胁
继续阅读