江森自控修复工业制冷产品中的严重漏洞
江森自控修复工业制冷产品中的严重漏洞 Eduard Kovacs 代码卫士 2023-11-21 17:42 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 最近,江森自控 (Johnson Controls) 修复了由外部研究员在工业制冷产品中发现的一个严重漏洞。 江森自控和CISA 发布安全公告称,该漏洞的编号是CVE-2023-4804,可“导致越权用户访问不慎遭暴露的调试特性
继续阅读标签: 漏洞
漏洞通告 | I Doc View在线文档预览系统远程代码执行漏洞
漏洞通告 | I Doc View在线文档预览系统远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-11-21 17:36 01 漏洞概况**** I Doc View在线文档预览系统是由北京卓软在线信息技术有限公司开发的一套系统,用于在Web环境中展示和预览各种文档类型,如文本文档、电子表格、演示文稿、PDF文件等。微步漏洞团队通过“X 漏洞奖励计划”获取到I Doc View
继续阅读上周关注度较高的产品安全漏洞(20231113-20231119)
上周关注度较高的产品安全漏洞(20231113-20231119) 国家互联网应急中心CNCERT 2023-11-21 14:25 一、境外厂商产品漏洞 1、Microsoft Office Visio远程代码执行漏洞(CNVD-2023-85905)**** Microsoft Office Visio是美国微软(Microsoft)公司的Office软件系列中的负责绘制流程图和示意图的软件。
继续阅读Reactor Netty HTTP Server 目录遍历漏洞(CVE-2023-34062)
Reactor Netty HTTP Server 目录遍历漏洞(CVE-2023-34062) 斗象智能安全 2023-11-21 10:25 1.1漏洞概述 近日,斗象科技漏洞情报中心监控到Spring官方发布了Reactor Netty HTTP Server 目录遍历漏洞。 Reactor Netty是基于 Netty 框架提供的非阻塞和支持背压的 TCP/HTTP/UDP/QUIC 客户
继续阅读通过分析JavaScript文件寻找漏洞
通过分析JavaScript文件寻找漏洞 Anastasis 迪哥讲事 2023-11-20 22:23 JavaScript在web中起着至关重要的作用,JavaScript文件是web应用程序 的重要组成部分。以下是为什么JavaScript文件在web中很重要的一些重要原因。 交互性:JavaScript使开发人员能够为网页添加交互性和响应性,使其更具吸引力和用户友好性。 动态内容:Java
继续阅读【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357)
【漏洞通告】Chromium libxslt XXE漏洞(CVE-2023-4357) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-11-20 19:57 漏洞名称: Chromium libxslt XXE漏洞(CVE-2023-4357) 组件名称: Chrome 影响范围: chrome < 116.0.5845.96 漏洞类型: XML外部实体注入 利用条件: 1、用户认证:
继续阅读【漏洞通告】金蝶云星空ScpSupRegHandler任意文件上传漏洞
【漏洞通告】金蝶云星空ScpSupRegHandler任意文件上传漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-11-20 19:57 漏洞名称: 金蝶云星空ScpSupRegHandler任意文件上传漏洞 组件名称: 金蝶云星空 影响范围: 金蝶云星空企业版私有云、企业版私有云(订阅)、标准版私有云(订阅)三个产品 V6.2(含17年12月补丁) 至 V8.1(含23年9月补丁) 漏
继续阅读CVE-2023-4357:Google Chrome 信息泄露漏洞通告
CVE-2023-4357:Google Chrome 信息泄露漏洞通告 原创 360CERT 三六零CERT 2023-11-20 18:19 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-535 报告来源:360CERT 报告作者:360CERT 更新日期:2023-11-20 1 漏洞简述 2023年11月20日,360CERT监测发现漏洞编号为CVE-2023-4357的
继续阅读人工智能/机器学习工具中存在十几个可利用漏洞
人工智能/机器学习工具中存在十几个可利用漏洞 Ionut Arghire 代码卫士 2023-11-20 17:29 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 自2023年8月起,人工智能 (AI) 和机器学习 (ML) 漏洞奖励平台 Huntr 发现了十几个漏洞,可导致AI/ML模型易受系统接管和敏感信息被盗攻击。 Huntr 的管理平台 Protect AI指出,这些漏洞存
继续阅读【已复现】金蝶云星空ScpSupRegHandler任意文件上传漏洞
【已复现】金蝶云星空ScpSupRegHandler任意文件上传漏洞 长亭应急响应 黑伞安全 2023-11-19 18:40 长亭安全应急响应中心 2023-11-16 20:52 发表于 北京 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。2023年11月,互联网上披露金蝶云星空任意文件上传漏洞详情,攻击者可利用该漏洞上传任
继续阅读还是狠炸裂的!Chromium libxslt XXE漏洞(CVE-2023-435)
还是狠炸裂的!Chromium libxslt XXE漏洞(CVE-2023-435) 长亭应急响应 黑伞安全 2023-11-19 18:40 修订:编号为CVE-2023-4357。Chromium 是一个开源的网络浏览器项目,由 Google 主导开发。Chromium 常被用作其他浏览器项目的基础,例如Chrome、 Opera、Brave 和 Microsoft Edge。2023年6月
继续阅读一个支付逻辑漏洞和一些tips
一个支付逻辑漏洞和一些tips 迪哥讲事 2023-11-18 21:49 一个支付逻辑漏洞 正文 某目标为xxx.com,其网站上面有价格为999元的订阅优惠,这里使用burp suite,在点击支付的时候拦截该支付请求, 将价格从999改为1,发现成功了 几个高频率的xss的payload <svg><animate xlink:href=#x attributeName=h
继续阅读实战 | 记一次简单的漏洞挖掘过程
实战 | 记一次简单的漏洞挖掘过程 迪哥讲事 2023-11-17 22:30 分享一下今天对某app进行渗透测试 ,从基础的信息收集到拿到网站的shell。总体来是还是很简单的,也没什么技术含量 使用模拟器挂上代理并对app进行抓包,我们把其域名给拿出来 使用工具对主域名 进行敏感目录扫描,发现存在一个admin的目录 对该目录进行访问,发现存在管理后台,且目前看没有验证码,可以尝试爆破 输入不
继续阅读【已复现】Google Chrome 信息泄露漏洞(CVE-2023-4357)安全风险通告
【已复现】Google Chrome 信息泄露漏洞(CVE-2023-4357)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-11-17 18:47 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome 信息泄露漏洞 漏洞编号 QVD-2023-18926,CVE-2023-4357 公开时间 2023-08-16 影响对象数量级 亿级
继续阅读2023 SDC 议题回顾 | 深入 Android 可信应用漏洞挖掘
2023 SDC 议题回顾 | 深入 Android 可信应用漏洞挖掘 原创 2023 SDC 看雪学苑 2023-11-17 18:02 在过去的几年中,可信执行环境(TEE,Trusted Execution Environment)在Android生态系统(智能手机、智能汽车、智能电视等)中实现了普及。TEE 运行独立、隔离的 TrustZone 操作系统,与 Android 并行,保证在A
继续阅读CISA必修清单新增三个漏洞
CISA必修清单新增三个漏洞 THN 代码卫士 2023-11-17 17:23 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 美国网络安全和基础设施安全局 (CISA)在“已知已利用漏洞”分类表中新增了三个已遭活跃利用的漏洞。 这三个漏洞是: CVE-2023-36584(CVSS评分5.4):微软 MotW 安全特性绕过漏洞 CVE-2023-1671(CVSS评分9.8):S
继续阅读Fortinet 提醒注意严重的FortiSIEM命令注入漏洞
Fortinet 提醒注意严重的FortiSIEM命令注入漏洞 Bill Toulas 代码卫士 2023-11-17 17:23 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Fortinet 提醒客户称,FortiSIEM 报送服务器中存在一个严重的 OS 命令注入漏洞,远程未认证攻击者可通过特殊构造的 API 请求执行命令。 FortiSIEM(安全信息和事件管理)是一款综合
继续阅读速修!海康威视综合安防RCE已被用于勒索
速修!海康威视综合安防RCE已被用于勒索 原创 微步情报局 微步在线研究响应中心 2023-11-17 15:29 01 漏洞概况**** 近日, 微步监测到有勒索团伙利用海康威视综合安防管理平台文件上传漏洞(XVE-2023-23734)开展大规模勒索攻击。 攻击者利用该漏洞上传Webshell,并随后执行任意命令,对主机上相关文件进行加密,加密后缀为locked1。该漏洞利用成本极低,危害极高
继续阅读ChatGPT新代码解释器曝出重大安全漏洞——黑客可轻松窃取数据
ChatGPT新代码解释器曝出重大安全漏洞——黑客可轻松窃取数据 网络安全应急技术国家工程中心 2023-11-17 15:24 ChatGPT最近添加的代码解释器让使用AI编写Python代码变得更便捷,因为它实际上已可以编写代码,然后在沙盒环境中运行代码。但是,沙盒环境完全暴露在泄露数据的提示注入攻击面前,这个环境还用于处理ChatGPT分析和绘制的任何电子表格。 近期,使用ChatGPT P
继续阅读还是Citrix Bleed漏洞!又一家金融服务公司遭勒索
还是Citrix Bleed漏洞!又一家金融服务公司遭勒索 关键基础设施安全应急响应中心 2023-11-17 15:23 日本汽车制造商的汽车融资和租赁子公司丰田金融服务公司(TFS)最近遭受破坏性网络攻击。Medusa(美杜莎)勒索软件团伙刚刚承认对此负责。本周早些时候,TFS Europe&Africa表示,该公司“发现了系统上未经授权的活动”,这迫使该公司关闭了一些系统。TFS表示
继续阅读金蝶云星空私有云任意文件上传漏洞安全通告
金蝶云星空私有云任意文件上传漏洞安全通告 安全内参 2023-11-17 15:20 漏洞概述 漏洞名称 金蝶云星空私有云任意文件上传漏洞 漏洞编号 QVD-2023-44581 公开时间 2023-10-26 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 9.8 威胁类型 代码执行 利用可能性 高 POC状态 已公开 在野利用状态 已发现 EXP状态 已公开 技术细节状态 未公开
继续阅读微软2023年11月补丁日重点漏洞安全预警
微软2023年11月补丁日重点漏洞安全预警 原创 安全技术研究院 山石网科安全技术研究院 2023-11-17 14:20 补丁概述 2023年11月14日,微软官方发布了11月安全更新,针对63个 Microsoft CVE 和15个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含3个严重漏洞(Critical)、56个重要漏洞(Important)和4个 中
继续阅读ChatGPT 的新代码解释器存在重大漏洞,用户数据可被盗
ChatGPT 的新代码解释器存在重大漏洞,用户数据可被盗 Avram Piltch 代码卫士 2023-11-16 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 ChatGPT 最近新增的 Code Interpreter (代码解释器),让用AI 编写 Python 代码变得更加强大,因为它真的在写代码并在沙箱环境下运行。遗憾的是,也用于处理用户要求 ChatGPT
继续阅读漏洞通告 | 金蝶云星空任意文件上传漏洞
漏洞通告 | 金蝶云星空任意文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2023-11-16 15:56 01 漏洞概况**** 金蝶云星空是由金蝶国际软件集团开发的一款企业级云平台。它是金蝶云服务的核心产品,旨在为企业提供全面的云计算解决方案,支持企业的数字化转型和业务创新。微步漏洞团队通过“X 漏洞奖励计划”获取到金蝶云星空任意文件上传漏洞情报。攻击者可利用该漏洞上传恶意代码,获取服
继续阅读助攻黑客的严重漏洞?不符合GOOGLE的威胁模型,不予解决!
助攻黑客的严重漏洞?不符合GOOGLE的威胁模型,不予解决! 网络安全应急技术国家工程中心 2023-11-16 15:17 Bitdefender研究人员11月15日撰文,揭露了Google Workspace中的新漏洞,这个漏洞可能导致勒索软件攻击、数据泄露和口令解密。研究人员表示,这些方法还可以用于通过自定义权限访问谷歌云平台(GCP),并且可以在机器之间横向移动。然而,Bitdefende
继续阅读高流量即高漏洞:浏览标题党网站可能遭受攻击风险
高流量即高漏洞:浏览标题党网站可能遭受攻击风险 网络安全应急技术国家工程中心 2023-11-16 15:17 自2023年8月底以来,研究人员观察到专门用于标题党和广告内容的受攻击服务器显著增加。但为什么这样的网站对攻击者来说如此有吸引力呢?主要因为这些网站的设计是为了接触到大量潜在的受害者。此外,标题党网站经常使用过时或未修复的软件,这使得它们很容易受到攻击。 本文足以让你了解标题党文章的危险
继续阅读漏洞调试的捷径:精简代码加速分析与利用
漏洞调试的捷径:精简代码加速分析与利用 路人丁 GobySec 2023-11-16 14:00 G o b y 社 区 第 36 篇 技 术 分 享 文 章 全 文 共 : 5053 字 预 计 阅 读 时 间 : 13 分 钟 01 前言 近期,Microsoft威胁情报团队曝光了DEV-0950(Lace Tempest)组织利用SysAid的事件。 随后,SysAi d安全团队迅速启动了应
继续阅读支付平台漏洞遭利用!犯罪团伙通过AI换脸盗刷他人医保卡
支付平台漏洞遭利用!犯罪团伙通过AI换脸盗刷他人医保卡 安全内参 2023-11-16 10:47 关注我们 带你读懂网络安全 重庆警方破获利用AI换脸盗刷他人医保卡案。 随着人工智能技术的迅猛发展 不法分子的犯罪手段也越来越科技化 利用“AI换脸”“AI换声” 等手段 进行违法犯罪的行为 屡见不鲜 REC 2023 年 4 月 18 日 重庆某医院医生到石油路派出所报案称 当天其正在手术室做手
继续阅读2023年“公益SRC”漏洞年度证书奖励计划公布!
2023年“公益SRC”漏洞年度证书奖励计划公布! 补天平台 2023-11-16 09:41 公益SRC漏洞 年度证书 Annual Certificate Award 及时快速响应 维护网络安全 近一年来,很多白帽子业精于勤、好学不倦,维护上万家厂商的网络安全,覆盖各个行业,同时也涌现了很多新人白帽,迅速成长, 为 感 谢 这 些公益能量满满 的 白 帽 子 , 在 2 0 2 3 年 及 时
继续阅读2023-11 补丁日: 微软多个漏洞安全更新通告
2023-11 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2023-11-15 18:06 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-526 报告来源:360CERT 报告作者:360CERT 更新日期:2023-11-15 1 漏洞简述 2023年11月15日,360CERT监测发现Microsoft发布了2023年11月安全更新,事件等级:
继续阅读