OWASP发布大型语言模型漏洞威胁Top10(草案清单)
OWASP发布大型语言模型漏洞威胁Top10(草案清单) 安全牛 2023-06-07 11:18 基于大型语言模型(LLM)的生成式AI技术应用已经成为当前全球企业普遍关注的热点。作为一种创新技术,企业组织在未来数字化发展中有很多机会应用ChatGPT或类似AI工具。因此,CISO们需要提前做好准备,以避免可能出现的安全隐患和隐私泄露风险。 日前,OWASP(全球开放应用软件安全项目组织)发布了
继续阅读标签: 漏洞
X漏洞奖励计划周年庆 | 一周生日,三周欢庆
X漏洞奖励计划周年庆 | 一周生日,三周欢庆 小嘟 dotNet安全矩阵 2023-06-07 10:37 “ 各位白帽师傅: “X漏洞奖励计划”在各位师傅的支持下已经1岁啦! 为了感谢各位师傅的支持,我们准备了4个活动,与各位师傅一同庆祝1岁生日! 活动时间:6月2日~6月23日 漏洞提交入口:登录X情报社区(x.threatbook.com)- 导航栏“奖励计划” – “漏洞奖励计
继续阅读漏洞风险提示|Nacos Jraft Hessian反序列化漏洞
漏洞风险提示|Nacos Jraft Hessian反序列化漏洞 长亭安全应急响应 黑伞安全 2023-06-07 09:01 Nacos是一个开源的、易于使用的动态服务发现、配置和服务管理平台,适合构建云原生应用。它提供了一种统一的数据管理和服务发现解决方案。近期,长亭科技监测到Nacos发布新版本修复了一个远程代码执行漏洞。经过漏洞分析后,发现该系统应用较为广泛,且漏洞影响范围较大。应急团队根
继续阅读【漏洞通告】Google Chrome 类型混淆漏洞
【漏洞通告】Google Chrome 类型混淆漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-06 20:39 漏洞名称: Google Chrome类型混淆漏洞 组件名称: Google Chrome 影响范围: Google Chrome For Windows<114.0.5735.110 Google Chrome For Linux or Mac<114.0
继续阅读【漏洞通告】Nacos 集群Raft反序列化漏洞
【漏洞通告】Nacos 集群Raft反序列化漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-06 20:39 漏洞名称: Nacos 集群Raft反序列化漏洞 组件名称: Alibaba Nacos 影响范围: 1.4.0 ≤ Alibaba Nacos < 1.4.6 2.0.0 ≤ Alibaba Nacos < 2.2.3 漏洞类型: 反序列化漏洞 利用条件: 1
继续阅读Azure API 管理服务上的经过身份验证的 SSRF 漏洞
Azure API 管理服务上的经过身份验证的 SSRF 漏洞 枇杷五星加强版 黑伞安全 2023-06-06 18:30 我们描述了我们如何发现 Azure API 管理服务上的一个重要的服务器端请求伪造 (SSRF) 漏洞,允许任何经过身份验证的用户请求滥用服务器的任何 URL。 我们于 11 月 12 日向 Microsoft 报告了此漏洞,并于 2022 年 11 月 16 日修复了该漏洞
继续阅读上周关注度较高的产品安全漏洞(20230529-20230604)
上周关注度较高的产品安全漏洞(20230529-20230604) 国家互联网应急中心CNCERT 2023-06-06 15:50 一、境外厂商产品漏洞 1、Google Android权限提升漏洞(CNVD-2023-41886)**** Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞源于S
继续阅读CVE-2023-3079:Google V8类型混淆漏洞通告
CVE-2023-3079:Google V8类型混淆漏洞通告 原创 360CERT 三六零CERT 2023-06-06 15:30 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-201 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-06 1 漏洞简述 2023年06月06日,360CERT监测发现Google官方发布了Google Chrome
继续阅读MOVEit Transfer 漏洞似乎被广泛利用
MOVEit Transfer 漏洞似乎被广泛利用 关键基础设施安全应急响应中心 2023-06-06 15:29 Progress Software 已在其文件传输软件 MOVEit Transfer 中发现一个漏洞,该漏洞可能导致权限提升和潜在的未经授权访问环境,该公司在一份安全公告中表示。 在 MOVEit Transfer Web 应用程序中发现了一个 SQL 注入漏洞,可能允许未经身份
继续阅读Nacos 集群Raft反序列化漏洞安全风险通告
Nacos 集群Raft反序列化漏洞安全风险通告 奇安信 CERT 2023-06-06 11:57 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Nacos 集群Raft反序列化漏洞 漏洞编号 QVD-2023-13065 公开时间 2023-05-25 影响数量级 万级 漏洞等级 高危 漏洞评分 8.1 威胁类型 代码执行 利用可能性 中 POC状态 未发现 在野利用状态
继续阅读【安全圈】Zyxel 防火墙曝出高危安全漏洞,现已修复!
【安全圈】Zyxel 防火墙曝出高危安全漏洞,现已修复! 安全圈 2023-06-05 19:01 关键词 安全漏洞 日前,Zyxel发布了一份指南,旨在保护防火墙和VPN设备免受利用CVE-2023-28771、CVE-2023-33009和CVE-2023-33010漏洞的持续攻击。 指南中提到,该公司一直在通过多种渠道敦促用户安装补丁,比如已经给注册用户和资讯订阅者发送了多份安全资讯,通过本
继续阅读插件分享 | Headshot ⼀击即中,对指定URL进行漏洞批量扫描
插件分享 | Headshot ⼀击即中,对指定URL进行漏洞批量扫描 原创 kv2 GobySec 2023-06-05 18:14 G o b y 社 区 第 2 4 篇 插 件 分 享 文 章 全 文 共 : 2445 字 预 计 阅 读 时 间 : 7 分 钟 在⼀次真实的攻防场景中,我们发现了⼀个存在 Struts2 漏洞的地址,这个地址在我们通过 Fuzz 获得的⼆级⽬录下,这使得 G
继续阅读Azure Functions 上未经身份验证的 SSRF 漏洞
Azure Functions 上未经身份验证的 SSRF 漏洞 枇杷五星加强版 黑伞安全 2023-06-05 18:02 关于 Azure 函数 Azure Functions 是一种按需提供的云服务,可提供运行应用程序(无服务器计算)所需的所有不断更新的基础架构和资源。 您可以使用 Functions 构建 Web API、响应数据库更改、处理 IoT 流、管理消息队列等。 我们如何发现 S
继续阅读MOVEit 文件传输软件0day被用于窃取数据
MOVEit 文件传输软件0day被用于窃取数据 Eduard Kovacs 代码卫士 2023-06-05 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 5月31日,Progress Software 提醒称 MOVEit Transfer 管理文件传输 (MFT) 软件受一个严重的SQL注入漏洞影响,可导致未认证攻击者访问 MOVEit Transfer 数据库。
继续阅读Splunk 企业版修复多个高危漏洞
Splunk 企业版修复多个高危漏洞 Ionut Arghire 代码卫士 2023-06-05 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 上周四,Splunk 公司发布 Splunk 企业版安全更新,修复了多个高危漏洞,其中一些影响该产品使用的第三方程序包。 其中最严重的漏洞是权限提升漏洞CVE-2023-32707,可导致具有 ‘edit_user’能力的低权限
继续阅读CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(四)
CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(四) 原创 本刊编辑部 中国信息安全 2023-06-05 17:36 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 编者按 国家信息安全漏洞库(CNNVD)漏洞奖励计划主要面向单位、团队、个人等社会漏洞研究和发现者。该计划以公平公正、科学择优和安全保密的原则对其发现报送的符合条件的高危通用型漏洞
继续阅读雷神众测漏洞周报2023.05.29-2023.06.04
雷神众测漏洞周报2023.05.29-2023.06.04 雷神众测 雷神众测 2023-06-05 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读API NEWS | Money Lover爆出潜在API漏洞
API NEWS | Money Lover爆出潜在API漏洞 星阑科技 2023-06-05 14:38 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – Money Lover爆出潜在API漏洞 丰田管理运营平台的API漏洞 一篇关于标准测试遗漏的
继续阅读NIST发布《联邦机构漏洞披露指南建议》概述
NIST发布《联邦机构漏洞披露指南建议》概述 安全内参 2023-06-05 11:04 “ 天极按 近日 ,美国国家标准与技术研究院 发布 《 对联邦漏洞披露指南的建议 》。 本文件就建立联邦漏洞披露框架、正确处理漏洞报告以及沟通漏洞的缓解和 /或修复提出了指导建议。该框架在提供联邦监督的同时允许地方解决支持,并应适用于联邦控制下的所有软件、硬件和数字服务。 美国政府漏洞披露 每年都有数以千计的
继续阅读如何有效遏制针对通达OA漏洞利用活动
如何有效遏制针对通达OA漏洞利用活动 原创 debugeeker 奶牛安全 2023-06-05 10:17 前言 假设你是网络安全建设或防御负责人,相信针对通达 OA 的渗透测试一定是使你提心吊胆、夜不能寐且辗转反侧的原因之一。 在此篇文章中,我们将给出可以遏制针对通达 OA 进行漏洞利用的策略,及时发现并降低它可能给终端安全带来的风险。 关于通达 OA 通达 OA(Office Anywher
继续阅读RocketMQ 远程代码注入漏洞 CVE-2023-33246
RocketMQ 远程代码注入漏洞 CVE-2023-33246 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-03 11:31 漏洞名称: RocketMQ 远程代码注入漏洞 (CVE-2023-33246) 组件名称: RocketMQ 影响范围: 5.x≤RocketMQ≤5.1.04.x≤RocketMQ≤4.9.5 漏洞类型: 远程代码执行 利用条件: 1、用户认证:否 2、
继续阅读CVE-2023-22809 sudo提权漏洞
CVE-2023-22809 sudo提权漏洞 CatF1y 看雪学苑 2023-06-02 17:59 漏洞简介:Sudo中的sudoedit对处理用户提供的环境变量(如SUDO_EDITOR、VISUAL和EDITOR)中传递的额外参数存在缺陷。当用户指定的编辑器包含绕过sudoers策略的“–”参数时,拥有sudoedit访问权限的本地攻击者可通过将任意条目附加到要处理的文件列表中,最终在目
继续阅读WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞
WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞 Ravie Lakshmanan 代码卫士 2023-06-02 17:37 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 WordPress 发布自动更新,修复了位于安装在500多万个网站上的 Jetpack 插件中的一个严重漏洞。 该漏洞是在一次内部安全审计中发现的,影响2012年11月发布的 Jet
继续阅读合勤科技修复NAS 设备中的高危漏洞
合勤科技修复NAS 设备中的高危漏洞 Helga Labus 代码卫士 2023-06-02 17:37 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 合勤科技 (Zyxel) 修复了家庭用户所使用的 NAS 设备中的一个高危认证命令注入漏洞 (CVE-2023-27988)。 漏洞简述 该漏洞位于设备的 web 管理接口中。 合勤科技证实称,“具有管理员权限的认证攻击者可利用该漏
继续阅读梭子鱼邮件安全设备零日漏洞被利用长达七个月
梭子鱼邮件安全设备零日漏洞被利用长达七个月 安全内参 2023-06-02 15:56 关注我们 带你读懂网络安全 网络和电子邮件安全公司梭子鱼(Barracuda Networks)本周三透露,其10天前修补的零日漏洞已被利用至少七个月,攻击者利用该漏洞在梭子鱼的大型企业客户的网络中投放恶意软件并窃取数据。 梭子鱼于5月18日收到邮件安全网关(ESG)设备可疑流量的警报,一天后发现该零日漏洞并聘
继续阅读技嘉曝“类后门”安全漏洞,影响约 700 万台设备
技嘉曝“类后门”安全漏洞,影响约 700 万台设备 网络安全应急技术国家工程中心 2023-06-02 15:31 The Hacker News 网站披露, Eclypsium 网络安全研究员发现技嘉售出的 271 款,近 700 万片主板中存在”类似后门的“安全漏洞。设备的 UEFI 固件中“潜伏”一个 Windows 可执行文件,并以不安全的格式检索更新,以此触发隐藏的更新程序。 Eclyp
继续阅读【安全圈】技嘉曝“类后门”安全漏洞,影响约 700 万台设备
【安全圈】技嘉曝“类后门”安全漏洞,影响约 700 万台设备 安全圈 2023-06-01 19:01 关键词 安全漏洞 The Hacker News 网站披露, Eclypsium 网络安全研究员发现技嘉售出的 271 款,近 700 万片主板中存在”类似后门的“安全漏洞。设备的 UEFI 固件中“潜伏”一个 Windows 可执行文件,并以不安全的格式检索更新,以此触发隐藏的更新程序。Ecl
继续阅读速修!Apache RocketMQ 曝 RCE 漏洞
速修!Apache RocketMQ 曝 RCE 漏洞 原创 微步情报局 微步在线研究响应中心 2023-06-01 18:48 01 漏洞概况**** Apache RocketMQ是一款使用广泛的分布式消息中间件,既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。近日,微步漏洞团队监测到Apache RocketMQ 远程命令执行
继续阅读Chrome 114 发布18个漏洞补丁
Chrome 114 发布18个漏洞补丁 Ionut Arghire 代码卫士 2023-06-01 17:44 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周,谷歌发布 Chrome 114,共修复18个漏洞,其中13个由外部安全研究员报告。 在这些由外部报送的漏洞中,8个属于“高危”级别,其中6个是内存安全漏洞。 从所颁发的漏洞赏金来看,最重要的漏洞是CVE-2023-29
继续阅读CVE-2023-33246:Apache RocketMQ 远程代码执行漏洞通告
CVE-2023-33246:Apache RocketMQ 远程代码执行漏洞通告 原创 360CERT 三六零CERT 2023-06-01 17:36 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-194 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-01 1 漏洞简述 2023年06月01日,360CERT监测发现Apache发布了Rocke
继续阅读