KCon演讲议题巡展|闭源安卓系统下的漏洞自动化发现之旅
KCon演讲议题巡展|闭源安卓系统下的漏洞自动化发现之旅 Hearmen KCon 黑客大会 2023-08-03 11:30 “归源·智变” 2023年KCon黑客大会 举办时间:2023年8月19日-20日 举办地点:北京环球贸易中心·会议中心 KCon 2023 演讲议程已尘埃落定 为展示演讲议题风采 帮助大家更好地了解议题 特此开展 KCon 2023演讲议题巡展活动 欢迎朋友们围观 议题
继续阅读标签: 漏洞
热门游戏《我的世界》模组存在RCE漏洞,已被多次利用
热门游戏《我的世界》模组存在RCE漏洞,已被多次利用 安全内参 2023-08-03 11:16 关注我们 带你读懂网络安全 上周六,Minecraft安全社区MMPA的研究人员在一篇博客中提醒游戏用户,《Minecraft》游戏的部分1.7.10/1.12.2模组中存在一个已被多次利用的重大安全漏洞,该漏洞允许黑客在游戏服务器上运行恶意命令并危及游戏玩家设备安全。 据了解,微软旗下的热门游戏《M
继续阅读【安全圈】Ninja Forms漏洞危机:900,000+站点面临潜在风险
【安全圈】Ninja Forms漏洞危机:900,000+站点面临潜在风险 安全圈 2023-08-02 19:02 关键词 漏洞危机 专家警告说,WordPress的Ninja Forms插件受到多个漏洞的影响(跟踪为CVE-2023-37979、CVE-2023-3 8386和CVE-202-3 8393),黑客可以利用这些漏洞升级权限并窃取敏感数据。 WordPress插件Ninja For
继续阅读【已复现】Smartbi身份认证绕过漏洞安全风险通告
【已复现】Smartbi身份认证绕过漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-08-02 17:56 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Smartbi身份认证绕过漏洞 漏洞编号 QVD-2023-17461 公开时间 2023-07-28 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 9.4 威胁类型 身份认证绕过 利用
继续阅读nacos 身份认证绕过漏洞(QVD-2023-6271)
nacos 身份认证绕过漏洞(QVD-2023-6271) male1a 黑伞安全 2023-08-02 17:50 JWT(Json Web Token) 0x00 JWT构成 Json Web Token 简称 JWT ,用做用户身份验证。那么其结构长什么样呢,下面我会通过一个例子去分析。 上面是一串 JWT 格式的字符串,在线解密查看内容: https://jwt.io/ 从解密的结果可以看
继续阅读漏洞情报|Smartbi 未授权访问漏洞
漏洞情报|Smartbi 未授权访问漏洞 漏洞情报中心 斗象智能安全 2023-08-02 17:19 1.1漏洞概述 近日,斗象科技漏洞情报中心监控到Smartbi发布安全补丁,修复了 1 个安全漏洞。 Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析
继续阅读【漏洞通告】Apache NiFi 代码注入漏洞(CVE-2023-36542)
【漏洞通告】Apache NiFi 代码注入漏洞(CVE-2023-36542) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-08-02 16:57 漏洞名称: Apache NiFi 代码注入漏洞(CVE-2023-36542) 组件名称: Apache NiFi 影响范围: 0.0.2 ≤ Apache NiFi < 1.23.0 漏洞类型: 代码注入 利用条件: 1、用户认证:
继续阅读漏洞分析|Adobe ColdFusion 序列化漏洞(CVE-2023-29300)
漏洞分析|Adobe ColdFusion 序列化漏洞(CVE-2023-29300) M1sery GobySec 2023-08-02 11:18 G o b y 社 区 第 30 篇 技 术 分 享 文 章 全 文 共 : 8596 字 预 计 阅 读 时 间 : 18 分 钟 01 概述 近期,Adobe ColdFusion 发布了多个安全更新,引起了我们的关注。Adobe ColdFu
继续阅读美澳提醒注意 web 应用中的访问控制漏洞
美澳提醒注意 web 应用中的访问控制漏洞 Ionut Arghire 代码卫士 2023-08-01 17:51 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 澳大利亚网络安全中心 (ACSC) 、美国网络安全和基础设施安全局 (CISA)和美国国家安全局 (NSA) 联合发布新指南,提醒开发人员、厂商和组织机构注意 web 应用中的访问控制漏洞。 这些访问控制漏洞被称为不安全的
继续阅读漏洞通告 | Smartbi 权限绕过漏洞
漏洞通告 | Smartbi 权限绕过漏洞 原创 微步情报局 微步在线研究响应中心 2023-08-01 17:38 01 漏洞概况**** Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。近日,微步漏洞团队监测到Smartbi官方修复了一处权限绕过漏洞。未经授权的攻击者可利用该漏洞,获取管理员token,完全接管管理员权限。获取管理员权
继续阅读QNAP 多个高危漏洞通告
QNAP 多个高危漏洞通告 原创 360CERT 三六零CERT 2023-08-01 16:30 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-317 报告来源:360CERT 报告作者:360CERT 更新日期:2023-08-01 1 漏洞简述 2023年08月01日,360CERT监测发现QNAP发布了QVPN Device Client for Window,QTS的风
继续阅读【已复现】Linux Kernel权限提升漏洞(CVE-2023-3269)安全风险通告
【已复现】Linux Kernel权限提升漏洞(CVE-2023-3269)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-08-01 16:18 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Linux Kernel 权限提升漏洞 漏洞编号 QVD-2023-15242、CVE-2023-3269 公开时间 2023-07-05 影响对象数量级 万级 奇安
继续阅读风险提示|Smartbi 权限绕过漏洞导致后台接管
风险提示|Smartbi 权限绕过漏洞导致后台接管 长亭安全应急响应 黑伞安全 2023-08-01 16:05 Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。近期,长亭科技监测到Smartbi发布新补丁,修复了一处权限绕过漏洞。长亭应急团队经过分析后发现该漏洞类型为权限绕过,仍有较多公网系统仍未修复漏洞。于是根据漏洞原理编写了无害化的
继续阅读综合分析CVE-2023-23397漏洞初始攻击样本
综合分析CVE-2023-23397漏洞初始攻击样本 xiaohui 嘶吼专业版 2023-08-01 12:01 CVE-2023-23397,是一个权限提升漏洞,攻击者可以利用该漏洞访问受害者的 Net-NTLMv2 响应身份验证哈希并冒充用户。一旦攻击者成功利用 CVE-2023-23397 漏洞,便可通过向受害者发送恶意 Outlook 邮件或任务来窃取 NTLM 身份验证哈希。当 Out
继续阅读Vyper 智能合约重入锁防御失效漏洞分析
Vyper 智能合约重入锁防御失效漏洞分析 原创 whatiwhere 山石网科安全技术研究院 2023-08-01 10:02 事件背景 2023年7月31日0点左右,vyper官方提醒,0.2.15, 0.2.16和0.3.0的vyper的重入锁有漏洞。目前,由此漏洞造成的损失已超过7000万美元,受影响的项目包括Curve、Alchemix 和 JPEG’d。 原因分析 生成外部
继续阅读【安全圈】勒索赎金超7亿元!2023上半年最“费钱”的漏洞来了!
【安全圈】勒索赎金超7亿元!2023上半年最“费钱”的漏洞来了! 安全圈 2023-07-31 19:00 关键词 漏洞 据BleepingComputer 7月21日消息,随着近期Clop 勒索软件组织利用 MOVEit Transfer 文件传输工具漏洞进行大规模攻击,Coveware发布报告称,Clop将从中获得7500万美元至1亿美元(约7亿元)的赎金收入。 报告解释称,虽然支付赎金的受害
继续阅读命令注入漏洞CVE-2022-34527复现
命令注入漏洞CVE-2022-34527复现 伯爵的信仰 看雪学苑 2023-07-31 17:59 ◆CVE编号: CVE-2022-34527(https://www.cvedetails.com/cve/CVE-2022-34527/) ◆漏洞描述:D-Link DSL-3782 v1.03 and below was discovered to contain a command inje
继续阅读挪威政府机构遭攻击,黑客利用的不止IT巨头 Ivanti的一个0day
挪威政府机构遭攻击,黑客利用的不止IT巨头 Ivanti的一个0day Jonathan Greig 代码卫士 2023-07-31 17:53 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 IT 巨头 Ivanti 发布公告称发现了影响其移动端点管理软件中的另外一个漏洞。 Ivanti 公司在上周五发布了关于CVE-2023-35081的安全公告,该0day漏洞不同于攻击者用于攻
继续阅读雷神众测漏洞周报2023.7.24-2022.7.30
雷神众测漏洞周报2023.7.24-2022.7.30 原创 雷神众测 雷神众测 2023-07-31 15:38 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读KCon演讲议题巡展|AI对于代码审计和漏洞挖掘的作用
KCon演讲议题巡展|AI对于代码审计和漏洞挖掘的作用 俍梁 KCon 黑客大会 2023-07-31 11:45 “归源·智变” 2023年KCon黑客大会 举办时间:2023年8月19日-20日 举办地点:北京环球贸易中心·会议中心 KCon 2023 演讲议程已尘埃落定 为展示演讲议题风采 帮助大家更好地了解议题 特此开展 KCon 2023演讲议题巡展活动 欢迎朋友们围观 议题展示顺序以议
继续阅读【安全圈】全球紧急服务通信协议曝出五个零日漏洞
【安全圈】全球紧急服务通信协议曝出五个零日漏洞 安全圈 2023-07-30 19:00 关键词 安全漏洞 研究人员近日发现,全球紧急服务使用的一种无线电通信协议存在几个严重漏洞,可能会让不法分子得以监视或操纵传输的信息。 地面集群无线电(TETRA)是一种无线电语音和数据标准,主要用于紧急服务(比如警察、消防和军队)以及一些工业环境。 多个TETRA安全通道提供密钥管理、语音和数据加密,而TET
继续阅读.NET ViewState反序列化 (十三) ViewState RCE
.NET ViewState反序列化 (十三) ViewState RCE 专攻.NET安全的 dotNet安全矩阵 2023-07-30 09:30 星球优惠活动 为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直 聚焦于.NET领域的安全攻防技术,定位于 高质量安全攻防星球社区,也 得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.
继续阅读【安全圈】WordPress Ninja Forms 又被曝出严重安全漏洞
【安全圈】WordPress Ninja Forms 又被曝出严重安全漏洞 安全圈 2023-07-29 19:00 关键词 窃取数据 Bleeping Computer 网站披露,WordPress 表单构建插件 Ninja Forms 存在三个安全漏洞,攻击者可以通过这些漏洞实现权限提升并窃取用户数据 2023 年 6 月 22 日,Patchstack 的研究人员向插件开发者 Saturda
继续阅读风险提示|泛微OA e-cology 前台文件上传漏洞
风险提示|泛微OA e-cology 前台文件上传漏洞 长亭安全应急响应中心 2023-07-28 19:23 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。近期,长亭科技监测到泛微官方发布了新补丁修复了一处前台文件上传漏洞。长亭应急团队经过分析后发现该漏洞类型为文件上传,但是漏洞仅可在内网进行利用。为了方便用户排查受影响的资产,已经根
继续阅读【安全圈】全球92万台!RouterOS漏洞曝光:设备面临大规模攻击
【安全圈】全球92万台!RouterOS漏洞曝光:设备面临大规模攻击 安全圈 2023-07-28 19:00 关键词 漏洞曝光 VulCheck研究人员警告称,MikroTik RouterOS有一个关键漏洞,被追踪为CVE-2023-30799(CVSS得分:9.1),可以针对500000多个RouterOS系统发起大规模攻击。 NIST发布的公告中写道:“ MikroTik RouterOS
继续阅读开源BI分析工具 Metabase 中存在远程代码执行漏洞,未完全修复
开源BI分析工具 Metabase 中存在远程代码执行漏洞,未完全修复 综合编译 代码卫士 2023-07-28 18:20 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 在商业情报 (BI) 领域,开源工具 Metabase 以无缝的数据解释能力占据一席之地。该自助服务BI工具已用于全球各地的组织机构中,赋能用户提出数据问题并获得可视化的、易于理解的答案。Metabase 的设计
继续阅读谷歌发布2022年在野利用0day年度回顾报告
谷歌发布2022年在野利用0day年度回顾报告 Maddie Stone 代码卫士 2023-07-28 18:20 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 谷歌在博客发布2022年已遭利用 0day 的年度回顾报告,这是自2019年以来发布的第四期报告。文章提到,回顾的目的并非详述每个利用,而是从一整年的角度分析这些利用,寻求相关趋势、差距、经验和教训。本文是对报告的摘译。
继续阅读【火绒安全周报】亲兄弟合伙窃取教育机构学生信息/TikTok未修复的已知漏洞被黑客利用
【火绒安全周报】亲兄弟合伙窃取教育机构学生信息/TikTok未修复的已知漏洞被黑客利用 火绒安全 火绒安全 2023-07-28 18:02 01 亲兄弟合伙窃取教育机构学生信息 近日,某教培机构内部员工因窃取学生信息被提起公诉。2022年9月初,该机构员工纷纷反映,查询学生信息的内部系统网速极慢。技术部分析发现,有一员工ID正疯狂查询学生信息,大量挤占网速,并在短短20天里发起查询数十万次。经调
继续阅读漏洞通告 | Metabase 远程代码执行漏洞
漏洞通告 | Metabase 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-07-28 18:00 01 漏洞概况**** Metabase是一个开源的数据分析和可视化工具,支持连接各种数据源(包括数据库、云服务和API等)、数据分析以及可视化。近日,微步漏洞团队监测到Metabase修复了一处远程代码执行漏洞(CVE-2023-38646)。 攻击者可以利用该漏洞在Met
继续阅读发力车联网漏洞治理,360提升车联网安全防护能力
发力车联网漏洞治理,360提升车联网安全防护能力 360漏洞云 2023-07-28 17:39 7月25日,由中汽数据有限公司主办的车联网产品安全漏洞专业库(CAVD)年中总结会、2023车联网网络安全演练启动会和2023年车联网漏洞分析专家工作组全体会议等系列会议在天津顺利召开。 工业和信息化部网络安全管理局相关领导、天津市通信管理局网络安全处处长沈伟明、中汽数据总经理冯屹、中汽数据副总经理杜
继续阅读