Apple 多产品多个高危漏洞安全风险通告
Apple 多产品多个高危漏洞安全风险通告 奇安信 CERT 2023-09-22 14:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apple 多产品多个高危漏洞 漏洞编号 CVE-2023-41991、CVE-2023-41992、CVE-2023-41993 公开时间 2023-09-21 影响对象数量级 千万级 奇安信评级 高危 利用可能性 高 POC状态 未
继续阅读标签: 漏洞
风险提示|用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞
风险提示|用友GRP-U8 bx_historyDataCheck.jsp SQL注入漏洞 长亭应急响应 黑伞安全 2023-09-22 11:33 .辽宁省义务教育阶段学生作业管理“十要求 用友GRP-U8是一款企业管理软件,专为大型企业提供财务、采购、库存、生产等业务管理解决方案。近期,用友官方收到一则漏洞情报,及时发布了补丁,成功修复了一个前台SQL注入漏洞。同时用友与长亭科技联合发布了该漏
继续阅读数据泄露风险|JumpServer堡垒机会话回放未授权访问漏洞(CVE-2023-42442)
数据泄露风险|JumpServer堡垒机会话回放未授权访问漏洞(CVE-2023-42442) 长亭应急响应 黑伞安全 2023-09-22 11:33 辽宁省义务教育阶段学生作业管理“十要求 JumpServer是一款开源的堡垒机解决方案,提供远程登录和运维审计功能,常用于企业网络安全和信息化管理中。近期,长亭科技监测到JumpServer官方发布新版本,修复了未授权访问和权限绕过漏洞。长亭应急
继续阅读【技术干货】CVE-2023-23638 Apache Dubbo反序列化漏洞分析
【技术干货】CVE-2023-23638 Apache Dubbo反序列化漏洞分析 星阑科技 2023-09-22 10:32 框架介绍 Apache Dubbo是一款高性能、轻量级的开源Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。Dubbo一开始把自己定位为一个RPC框架,专注于服务之间的调用。随着微服务的概念越来越火爆,Du
继续阅读CVE-2023-4998:GitLab 身份认证绕过漏洞通告
CVE-2023-4998:GitLab 身份认证绕过漏洞通告 原创 360CERT 三六零CERT 2023-09-21 18:17 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-423 报告来源:360CERT 报告作者:360CERT 更新日期:2023-09-21 1 漏洞简述 2023年09月21日,360CERT监测发现GitLab发布了CE/EE的风险通告,漏洞编号
继续阅读Nagios XI 网络监控软件中存在多个严重漏洞
Nagios XI 网络监控软件中存在多个严重漏洞 THN 代码卫士 2023-09-21 18:11 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Nagios XI 网络监控软件中存在多个漏洞,可导致提权和信息泄露。 这四个漏洞的编号从CVE-2023-40931到CVE-2023-40934,影响 Nagios XI 5.11.1及以下版本。研究员在2023年8月4日报送这些
继续阅读虚假WinRAR PoC exp 释放恶意软件VenomRAT
虚假WinRAR PoC exp 释放恶意软件VenomRAT Bill Toulas 代码卫士 2023-09-21 18:11 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 一名黑客正在GitHub 上传播虚假的 WinRAR 最新漏洞 PoC,试图通过恶意软件VenomRAT 来感染下载工具。 Palo Alto Networks 公司Unit 42 研究团队发现了该虚假利用
继续阅读【已复现】Windows 内核权限提升漏洞(CVE-2023-35359)安全风险通告
【已复现】Windows 内核权限提升漏洞(CVE-2023-35359)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-09-21 16:55 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows 内核权限提升漏洞 漏洞编号 QVD-2023-18220、CVE-2023-35359 公开时间 2023-08-08 影响对象数量级 百万级 奇安信评
继续阅读手慢会被删,这两个重磅企业被0day攻击
手慢会被删,这两个重磅企业被0day攻击 原创 ThreatBook 微步在线 2023-09-21 11:01 穷则社工钓鱼,达则0day炸场。你要还抱着“谁舍得用0day打我“这种幻想的防守方,可能在第一天就被薅到秃顶。 攻击者有三宝:供应链、0day和(社工)钓鱼。但供应链攻击最后部分也落到0day,所以在突破边界方面,攻击者最常用手段大部分时候其实只有两个:社工钓鱼和0day。 宣称能检测
继续阅读CVE-2022-0847复现
CVE-2022-0847复现 /x01 看雪学苑 2023-09-19 18:14 在 Linux 内核的 copy_page_to_iter_pipe 和 push_pipe 函数中,管道缓冲区结构的 “flags “成员缺乏正确的初始化,因此可能包含过期的值。无权限的本地用户可利用此漏洞任意写入文件,从而完成提权。 pipe机制 pipe是内核提供的一种通讯机制,返回
继续阅读Fortinet 修复影响多款产品中的高危漏洞
Fortinet 修复影响多款产品中的高危漏洞 Ionut Arghire 代码卫士 2023-09-19 17:47 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Fortinet公司修复了影响多个 FortiOS 和 FortiProxy 版本中的一个高危XSS 漏洞 (CVE-2023-29183)。 该漏洞是“在网页生成过程中的处理不当”问题,CVSS 评分为7.3分,如遭
继续阅读上万台 Juniper 设备易受未认证RCE漏洞攻击
上万台 Juniper 设备易受未认证RCE漏洞攻击 Bill Toulas 代码卫士 2023-09-19 17:47 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 约1.2万台 Juniper SRX 防火墙和EX 交换机易受无文件远程代码执行漏洞影响,可导致攻击者在无需认证的情况下利用它。 8月份,Juniper 披露了多个“PHP环境变量操纵” (CVE-2023-3684
继续阅读CVE-2023-42442:JumpServer未授权访问漏洞通告
CVE-2023-42442:JumpServer未授权访问漏洞通告 原创 360CERT 三六零CERT 2023-09-19 17:35 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-418 报告来源:360CERT 报告作者:360CERT 更新日期:2023-09-19 1 漏洞简述 2023年09月19日,360CERT监测发现JumpServer发布了JumpServ
继续阅读【漏洞通告】JumpServer未授权访问漏洞CVE-2023-42442
【漏洞通告】JumpServer未授权访问漏洞CVE-2023-42442 深瞳漏洞实验室 深信服千里目安全技术中心 2023-09-19 16:59 漏洞名称: JumpServer未授权访问漏洞(CVE-2023-42442) 组件名称: JumpServer 影响范围: 3.0.0 <= JumpServer <= 3.5.4 3.6.0 <= JumpServer <
继续阅读上周关注度较高的产品安全漏洞(20230911-20230917)
上周关注度较高的产品安全漏洞(20230911-20230917) 国家互联网应急中心CNCERT 2023-09-19 16:59 一、境外厂商产品漏洞 1、IBM Sterling Connect:Direct加密问题漏洞 IBM Sterling Connect:Direct是美国国际商业机器(IBM)公司的一套基于文件的点对点文件传输解决方案。IBM Sterling Connect:Di
继续阅读即将被零信任取代?企业VPN屡屡曝安全漏洞
即将被零信任取代?企业VPN屡屡曝安全漏洞 网络安全应急技术国家工程中心 2023-09-19 15:05 你在日常工作生活中,是否曾使用过VPN?它或许曾帮助你轻松访问了一些突破地理限制的内容。但你知道吗?在使用的过程中,你很可能早已将自己的隐私暴露于“危险”之中。 随着互联网的普及和信息安全的关注,VPN早已成为许多人保护在线隐私和安全的首选工具。然而,尽管VPN被广泛认可为一种安全性较高的上
继续阅读漏洞通告|JumpServer未授权访问漏洞
漏洞通告|JumpServer未授权访问漏洞 原创 微步情报局 微步在线研究响应中心 2023-09-19 15:02 01 漏洞概况**** JumpServer 是一款开源的堡垒机和权限管理系统,旨在帮助企业实现对服务器和网络设备的安全管理和 访问控制。 近日,微步漏洞团队监测到JumpServer未授权访问漏洞情报(CVE-2023-42442)。JumpServer的权限管理存在缺陷,未经
继续阅读【已复现】JumpServer未授权访问漏洞(CVE-2023-42442)安全风险通告
【已复现】JumpServer未授权访问漏洞(CVE-2023-42442)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-09-19 11:51 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 JumpServer未授权访问漏洞 漏洞编号 QVD-2023-22341、CVE-2023-42442 公开时间 2023-09-15 影响对象数量级 十万级 奇安
继续阅读【漏洞通告】Windows Themes 远程代码执行漏洞CVE-2023-38146
【漏洞通告】Windows Themes 远程代码执行漏洞CVE-2023-38146 深益研究实验室 深信服千里目安全技术中心 2023-09-18 19:03 漏洞名称: Windows Themes 远程代码执行漏洞 组件名称: Windows Themes 影响范围: Windows 11 Version 22H2 for x64-based Systems Windows 11 Vers
继续阅读【已复现】Internet 连接共享(ICS) 远程代码执行漏洞(CVE-2023-38148)安全风险通告
【已复现】Internet 连接共享(ICS) 远程代码执行漏洞(CVE-2023-38148)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-09-18 18:10 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Internet 连接共享 (ICS) 远程代码执行漏洞 漏洞编号 QVD-2023-22050、CVE-2023-38148 公开时间 2023
继续阅读安全头条 |4项网络安全国家标准获批发布;CNNVD 通报微软多个安全漏洞
安全头条 |4项网络安全国家标准获批发布;CNNVD 通报微软多个安全漏洞 安全牛 2023-09-18 12:47 点击蓝字·关注我们 AQNIU 上周安全热点回顾 4项网络安全国家标准获批发布 国家标准《信息安全技术 网络安全保险应用指南》(征求意见稿)公开征求意见 7项网络安全国家标准公开征集参编单位 中央网信办印发《关于进一步加强网络侵权信息举报工作的指导意见》 2023国家网络安全宣传周
继续阅读盘点那些漏洞 POC 测试工具
盘点那些漏洞 POC 测试工具 原创 xazlwiki 信安之路 2023-09-18 11:23 大家常说的安全漏洞,根据漏洞类型划分,我们知道有 OWASP TOP 10,这类漏洞的测试有固定的测试 payload,需要借助网络爬虫的能力,发现网站接口,然后针对这些功能接口进行 payload 测试,从而发现漏洞。 除此之外,还有一些隐藏比较深的漏洞也可以自动化发现,这种漏洞也就是我们常说的
继续阅读CVE-2023-26369:Adobe Acrobat Reader 代码执行漏洞通告
CVE-2023-26369:Adobe Acrobat Reader 代码执行漏洞通告 原创 360CERT 三六零CERT 2023-09-15 17:30 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-410 报告来源:360CERT 报告作者:360CERT 更新日期:2023-09-15 1 漏洞简述 2023年09月15日,360CERT监测发现Adobe发布了Acr
继续阅读CVE-2023-38146:Windows Themes远程代码执行漏洞通告
CVE-2023-38146:Windows Themes远程代码执行漏洞通告 原创 360CERT 三六零CERT 2023-09-15 17:30 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-411 报告来源:360CERT 报告作者:360CERT 更新日期:2023-09-15 1 漏洞简述 2023年09月15日,360CERT监测发现Microsoft发布了Wind
继续阅读N-Able Take Control Agent 高危漏洞可用于 Windows 系统提权
N-Able Take Control Agent 高危漏洞可用于 Windows 系统提权 THN 代码卫士 2023-09-15 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 N-Able 的 Take Control Agent 中存在一个高危漏洞 (CVE-2023-27470),可被本地低权限攻击者用于获得Windows 系统权限。 该漏洞的CVSS评分为8.
继续阅读微软发现ncurses 库中的多个漏洞,影响 Linux 和 macOS 系统
微软发现ncurses 库中的多个漏洞,影响 Linux 和 macOS 系统 THN 代码卫士 2023-09-15 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 微软在ncurses 编程库中发现了多个内存损坏漏洞,可被用于在易受攻击的 Linux 和 macOS 系统上运行恶意代码。 微软威胁情报研究员 Jonathan Bar Or、Emanuele Cozzi
继续阅读腾讯安全威胁情报中心推出2023年8月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年8月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-09-15 16:49 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年8月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读【众测挑战赛】第6期OPPO终端专场,单个漏洞奖励最高20万!
【众测挑战赛】第6期OPPO终端专场,单个漏洞奖励最高20万! OSRC OPPO安全中心 2023-09-15 15:30 2023年 OSRC众测挑战赛 第6期 – OPPO终端专场 来咯~ 2023年OSRC将举办持续全年的众测挑战赛。 从3月开始,不定期举办多期众测活动。每期有独立的众测范围及挖洞奖励,白帽师傅可自由选择参加的场次 (相关奖励方案见每期活动发文)。 同时,年终将
继续阅读微软2023年9月份补丁日重点漏洞安全预警
微软2023年9月份补丁日重点漏洞安全预警 原创 安全技术研究院 山石网科安全技术研究院 2023-09-15 11:43 补丁概述 2023年9月12日,微软官方发布了9月安全更新,针对59个Microsoft CVE和7个non-Microsoft CVE进行修复。Microsoft CVE中,包含5个严重漏洞(Critical)、53个重要漏洞(Important)和1个中危漏洞(Moder
继续阅读【漏洞公告】微软补丁日安全通告|9月份
【漏洞公告】微软补丁日安全通告|9月份 深益研究实验室 深信服千里目安全技术中心 2023-09-15 10:53 2023年9月14日(北京时间),微软发布了安全更新,共发布了65个CVE的补丁程序,同比上月减少了21个。 在漏洞安全等级方面,存在5个标记等级为“Critical”的漏洞,59个漏洞被标记为“Important/High”等级的漏洞;在漏洞类型方面,主要有25个远程代码执行漏洞,
继续阅读