高危无补丁0day影响思科数据中心交换机,可导致加密流量遭篡改
高危无补丁0day影响思科数据中心交换机,可导致加密流量遭篡改 Sergiu Gatlan 代码卫士 2023-07-07 17:48 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 今天,思科提醒客户称某些数据中心交换机型中存在一个高危漏洞,可导致攻击者篡改加密流量。该漏洞的编号是CVE-2023-20185。 该漏洞是思科内部审计数据中心 Cisco Nexus 9000系列 F
继续阅读标签: 漏洞
年审发现2万个关键漏洞且迟迟不修,这家政府机构遭通报
年审发现2万个关键漏洞且迟迟不修,这家政府机构遭通报 安全内参编译 安全内参 2023-07-07 17:41 关注我们 带你读懂网络安全 美国环保局回应,未能按照联邦规定时间表修补系统,原因是安全资源不足、关键漏洞过多。 前情回顾·美国政府网络安全研究 – 美国政府如何管控供应商数据安全?以国土安全领域为例 美国政府推进收敛互联网攻击面:网络设备管理必须上零信任 美国联邦政府近三年采
继续阅读nginxWebUI runCmd 未授权远程代码执行
nginxWebUI runCmd 未授权远程代码执行 GoTTY 火线Zone 2023-07-07 17:40 01 漏洞简介 之前对 nginxWebUI 进行过搭建和审计,但是当时仅仅关注到了后台的一些命令执行漏洞,最近爆出了未授权远程代码执行,再一次进行搭建环境和分析。 02 环境搭建 https://github.com/cym1102/nginxWebUI/releases/down
继续阅读腾讯安全威胁情报中心推出2023年6月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年6月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-07-07 16:50 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年6月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读【安全圈】警惕!仍有33万台FortiGate防火墙尚未修补CVE-2023-27997漏洞
【安全圈】警惕!仍有33万台FortiGate防火墙尚未修补CVE-2023-27997漏洞 安全圈 2023-07-06 19:01 关键词 安全漏洞 此前,Fortinet在今年的6月8日更新FortiOS作业系统,以修补旗下防火墙设备FortiGate的多个安全漏洞,其中风险最高的CVE-2023-27997在修补当时已遭到黑客利用,而根据另一个网络安全公司Bishop Fox的调查, 在全
继续阅读太阳能监控产品存在三个RCE漏洞,影响数百家能源机构
太阳能监控产品存在三个RCE漏洞,影响数百家能源机构 Eduard Kovacs 代码卫士 2023-07-06 17:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 漏洞情报公司 VulnCheck 在本周三提醒称,日本公司 Contec 制造的太阳能监控产品受一个已遭活跃利用漏洞 (CVE-2022-29303) 的影响,导致数百家能源组织机构受牵连。 Contec 公司专
继续阅读路由器漏洞挖掘系列之未授权访问漏洞及常见绕过技巧
路由器漏洞挖掘系列之未授权访问漏洞及常见绕过技巧 原创 B2eFly 山石网科安全技术研究院 2023-07-06 10:38 #01 「 基本介绍 」 未授权访问漏洞是指攻击者利用系统或应用程序中未正确实施访问控制机制的安全弱点,以获取未经授权的数据或功能权限。这种漏洞可以被黑客利用来窃取敏感信息、篡改数据或执行未经授权的操作。 通常,未授权访问漏洞的原因包括: 1. 系统或应用程序的访问
继续阅读联发科漏洞影响智能手机、平板、WiFi 等芯片集
联发科漏洞影响智能手机、平板、WiFi 等芯片集 Guru Baran 代码卫士 2023-07-05 17:23 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 联发科在2023年7月产品安全公告中披露了24个漏洞,影响适用于智能手机、平板、AIoT、智能展示、OTT和 WiFi 的芯片集。其中,CVE-2023-20754和CVE-2023-20755被评级为“高危”漏洞。 高危
继续阅读超30万Fortinet防火墙仍未修复严重漏洞
超30万Fortinet防火墙仍未修复严重漏洞 网络安全应急技术国家工程中心 2023-07-05 15:22 根据攻击性安全公司Bishop Fox的最新报告,虽然Fortinet已经发布安全更新一个多月,但仍有数十万个FortiGate防火墙的严重漏洞(CVE-2023-27997)未得到修补。 该漏洞是一个远程代码执行漏洞,严重性评分高达9.8分,是由FortiOS中堆栈缓冲区溢出问题造成的
继续阅读Smartbi 多个高危漏洞通告
Smartbi 多个高危漏洞通告 原创 360CERT 三六零CERT 2023-07-04 17:14 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-257 报告来源:360CERT 报告作者:360CERT 更新日期:2023-07-04 1 漏洞简述 2023年07月04日,360CERT监测发现Smartbi发布了Smartbi的补丁更新,漏洞分别为Smartbi远程代码
继续阅读通用型漏洞收录|雷神众测星网计划一期全面启动
通用型漏洞收录|雷神众测星网计划一期全面启动 雷神众测 雷神众测 2023-07-04 17:14 2023年夏日,安恒信息|雷神众测全面启动星网计划! 星网计划是雷神众测 定向通用型漏洞收录计划。我们会不定期发布不同的通用型0day漏洞收录方向,主要针对可影响金融行业、通信行业、能源行业、教育行业、医疗行业、云厂商、云原生等重点行业关基相关系统及其供应链系统通用型安全漏洞及相关利用技术研究项目提
继续阅读上周关注度较高的产品安全漏洞(20230626-20230702)
上周关注度较高的产品安全漏洞(20230626-20230702) 国家互联网应急中心CNCERT 2023-07-04 15:53 一、境外厂商产品漏洞 1、 Google Android缓冲区溢出漏洞(CNVD-2023-52817) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在缓冲区溢出漏洞,攻击者可利用该
继续阅读MOVEit Transfer漏洞成肉鸡收割机–受害者遍及20多个国家10多个行业
MOVEit Transfer漏洞成肉鸡收割机–受害者遍及20多个国家10多个行业 关键基础设施安全应急响应中心 2023-07-04 15:23 流行的文件传输工具MOVEit Transfer中的漏洞引发了广泛的后利用攻击,导致网络安全形势岌岌可危。黑客利用这一安全漏洞发起了一系列攻击,影响了政府、金融、IT服务、能源、大学等多个行业的众多组织,受害者遍布美国、英国、加拿大、法国、
继续阅读【漏洞预警】Parse Server远程代码执行漏洞威胁通告
【漏洞预警】Parse Server远程代码执行漏洞威胁通告 安识科技 SecPulse安全脉搏 2023-07-04 12:13 1. 通告信息 近日,安识科技 A-Team团队监测到Parse Server中修复了一个远程代码执行漏洞(CVE-2023-36475),其CVSSv3评分为9.8。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。 2.
继续阅读香港中文大学 | TChecker:用于检测PHP应用程序中的污点式漏洞的精确静态跨过程分析
香港中文大学 | TChecker:用于检测PHP应用程序中的污点式漏洞的精确静态跨过程分析 原创 1cey 安全学术圈 2023-07-03 22:53 原文标题:TChecker: Precise Static Inter-Procedural Analysis for Detecting Taint-Style Vulnerabilities in PHP Applications原文作者:
继续阅读【漏洞通告】Parse Server远程代码执行漏洞(CVE-2023-36475)
【漏洞通告】Parse Server远程代码执行漏洞(CVE-2023-36475) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-07-03 20:22 漏洞名称: Parse Server远程代码执行漏洞(CVE-2023-36475) 组件名称: Parse Server 影响范围: Parse Server < 5.5.2 6.0.0 ≤ Parse Server <
继续阅读0day速修|Smartbi 远程代码执行漏洞
0day速修|Smartbi 远程代码执行漏洞 长亭安全应急响应中心 2023-07-03 19:01 Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。近期,长亭科技安全研究员发现并上报了Smartbi的一个远程代码执行漏洞。该漏洞类型为逻辑绕过漏洞,可实现RCE,而目前仍有较多公网系统仍未修复漏洞。根据漏洞原理编写了无害化的X-POC远
继续阅读【安全圈】WordPress爆高危漏洞插件!可被用来创建非法管理员帐户
【安全圈】WordPress爆高危漏洞插件!可被用来创建非法管理员帐户 安全圈 2023-07-03 19:01 关键词 安全漏洞 WordPress网站的终极会员插件中有多达20万个未修补的关键安全漏洞,如今面临着很高的攻击风险。 该漏洞被追踪为CVE-2023-3460 (CVSS得分:9.8),影响所有版本的Ultimate Member插件,包括2023年6月29日发布的最新版本(2.6.
继续阅读黑客利用WordPress 插件中的提权0day攻陷网站
黑客利用WordPress 插件中的提权0day攻陷网站 Bill Toulas 代码卫士 2023-07-03 17:37 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 黑客利用 “Ultimate Member” WordPress 插件中的 0day 漏洞 (CVE-2023-3460),通过绕过安全措施和注册恶意管理员账户,攻陷网站。 Ultimate Member 是一款
继续阅读Smartbi 登录代码逻辑漏洞安全风险通告
Smartbi 登录代码逻辑漏洞安全风险通告 奇安信 CERT 2023-07-03 16:54 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Smartbi 登录代码逻辑漏洞 漏洞编号 QVD-2023-15129 公开时间 2023-07-03 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 7.5 威胁类型 信息泄露 利用可能性 中 POC状态 未公开 在
继续阅读雷神众测漏洞周报2023.06.26-2023.07.02
雷神众测漏洞周报2023.06.26-2023.07.02 原创 雷神众测 雷神众测 2023-07-03 16:48 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【安全通告】Smartbi商业智能软件登录代码逻辑漏洞
【安全通告】Smartbi商业智能软件登录代码逻辑漏洞 原创 NS-CERT 绿盟科技CERT 2023-07-03 15:28 通告编号:NS-2023-0029 2023-07-03 TAG: Smartbi、登录代码逻辑漏洞 漏洞危害: 攻击者利用此漏洞可造成敏感信息泄露 版本: 1.0 1 漏洞概述 近日,绿盟科技 CERT 监测到 Smartbi 官方修复了一个登录代码逻辑漏洞,由于 S
继续阅读【安全圈】用户账户信息遭泄露!WordPress 社交登录插件曝出漏洞
【安全圈】用户账户信息遭泄露!WordPress 社交登录插件曝出漏洞 安全圈 2023-07-01 19:00 关键词 安全漏洞 The Hacker News 网站消息,miniOrange 的 WordPress 社交登录和注册插件中出现了一个关键安全漏洞,该漏洞可能使潜在网络攻击者登录用户帐户。(任何用户提供的有关电子邮件地址信息都是已知的) 据悉,漏洞被追踪为 CVE-2023-2982
继续阅读在野0day捕获|nginxWebUI runCmd远程命令执行漏洞
在野0day捕获|nginxWebUI runCmd远程命令执行漏洞 长亭安全应急响应中心 2023-06-27 20:42 nginxWebUI是一款图形化管理nginx配置的工具,能通过网页快速配置nginx的各种功能,包括HTTP和TCP协议转发、反向代理、负载均衡、静态HTML服务器以及SSL证书的自动申请、续签和配置,配置完成后可以一键生成nginx.conf文件,并控制nginx使用此
继续阅读漏洞分析|死磕Jenkins漏洞回显与利用效果
漏洞分析|死磕Jenkins漏洞回显与利用效果 原创 14m3ta7k@ GobySec 2023-06-27 18:29 G o b y 社 区 第 2 8 篇 技 术 分 享 文 章 全 文 共 : 9135 字 预 计 阅 读 时 间 : 20 分 钟 01 背景 近期我们发起了一个 Goby 漏洞挑战赛的活动,在活动期间收到了大量的反馈信息,延伸出一系列在编写 PoC 漏洞检测与利用中考虑
继续阅读Azure 机器学习服务上已验证的 SSRF 漏洞
Azure 机器学习服务上已验证的 SSRF 漏洞 枇杷五星加强版 黑伞安全 2023-06-27 18:03 我们如何发现 SSRF 漏洞 首先,我们通过https://ml.azure.com 端点在 Azure 机器学习服务中创建了一个新工作区 – 创建后,我们导航到“数据” 仪表板,将各种资产上传到我的工作区。 我们单击左侧窗格菜单中的数据仪表板,然后选择“创建” – 在 C
继续阅读转发先知社区《SRC中的SSRF漏洞挖掘笔记1.0》
转发先知社区《SRC中的SSRF漏洞挖掘笔记1.0》 先知社区 黑伞安全 2023-06-27 18:03 原文地址:https://xz.aliyun.com/t/12227 SRC中的SSRF小记 ssrf – 漏洞简介 SSRF全称:Server-Side Request Forgery,即 服务器端请求伪造。是一个由攻击者构造请求,在目标服务端执行的一个安全漏洞。攻击者可以利用
继续阅读Chrome 漏洞多:web 浏览器还安全吗?
Chrome 漏洞多:web 浏览器还安全吗? Kevin Townsend 代码卫士 2023-06-27 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 和所有大型应用程序一样,谷歌 Chrome 也饱受漏洞之苦。2022年期间,SecurityWeek 媒体报道发现456个漏洞(每月平均38个漏洞),其中9个0day 漏洞。需要修复的漏洞如此之多,一个简单的问题是:
继续阅读CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析
CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析 原创 小透明 雷神众测 2023-06-27 15:34 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者
继续阅读Grafana 身份认证绕过漏洞CVE-2023-3128
Grafana 身份认证绕过漏洞CVE-2023-3128 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-26 21:12 漏洞名称: Grafana 身份认证绕过漏洞(CVE-2023-3128) 组件名称: Grafana 影响范围: 10.0.0 <= Grafana < 10.0.1, 9.5.0 <= Grafana < 9.5.5, 9.4.0 &
继续阅读