NSO集团2022年至少使用了3个 iOS 零点击 exploit
NSO集团2022年至少使用了3个 iOS 零点击 exploit Eduard Kovacs 代码卫士 2023-04-19 18:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 公民实验室发布报告称,以色列监控软件厂商 NSO 集团在2022年至少使用了三个此前未知的 iOS 零点击 exploit。 NSO 集团开发的监控软件 Pegasus 常用于通过零点击和/或零点击 exp
继续阅读标签: 漏洞
速修复!VM2 库中又出现严重的沙箱逃逸漏洞
速修复!VM2 库中又出现严重的沙箱逃逸漏洞 Bill Toulas 代码卫士 2023-04-19 18:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员发现了另外一个沙箱逃逸漏洞,可被用于在运行 VM2 沙箱上运行的主机上执行不安全的代码。 VM2 是大量软件工具使用的特定 JavaScript 沙箱,用于在隔离环境中运行并测试不受信任的代码,阻止代码访问主机的系统资源或外
继续阅读0day通告!WebLogic JNDI 注入远程代码执行漏洞
0day通告!WebLogic JNDI 注入远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-04-19 16:09 01 漏洞概况 2023 年 4 月 19 日 , Oracle 发 布 安 全 补 丁 修 复 WebLogic 中 间 件 漏 洞 。其 中 CVE-2023-21931 由微步在线漏洞团队挖掘,并报告给监管和厂商。 经过分析与研判,该漏洞利用难度低,可以
继续阅读五大API安全漏洞及缓解措施
五大API安全漏洞及缓解措施 关键基础设施安全应急响应中心 2023-04-19 15:34 API流量约占全球互联网流量的83%,是数字经济的“关键基础设施”,同时也是最热门的攻击目标之一。 随着云计算、物联网、移动互联网和人工智能技术的快速普及,API安全已经成为当下企业和互联网面临的最严峻的网络安全挑战之一,根据Gartner的研究,2022年,超过九成Web应用程序遭到的攻击来自API,而
继续阅读【技术原创】Server Backup Manager漏洞调试环境搭建
【技术原创】Server Backup Manager漏洞调试环境搭建 原创 3gstudent 嘶吼专业版 2023-04-19 12:03 0x00 前言 Server Backup Manager(SBM)是一种快速、经济且高性能的备份软件,适用于物理和虚拟环境中的Linux和Windows服务器。本文将要介绍Server Backup Manager漏洞调试环境的搭建方法。 0x01 简介
继续阅读在野0Day漏洞预警|Apache Druid远程代码执行漏洞(内附检测工具)
在野0Day漏洞预警|Apache Druid远程代码执行漏洞(内附检测工具) 长亭安全应急响应中心 2023-04-19 10:36 长亭漏洞风险提示 Apache Druid远程代码执行漏洞 Apache Druid是一个高性能的实时大数据分析引擎,支持快速数据摄取、实时查询和数据可视化。它主要用于OLAP(在线分析处理)场景,能处理PB级别的数据。Druid具有高度可扩展、低延
继续阅读Oracle多个产品高危漏洞安全风险通告
Oracle多个产品高危漏洞安全风险通告 奇安信 CERT 2023-04-19 10:03 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Oracle官方发布了2023年4月的关键安全补丁集合更新CPU(Critical Patch Update),修复了多个漏洞包括CVE-2023-21912、CVE-2023-21996、CVE-2023-
继续阅读上周关注度较高的产品安全漏洞(20230410-20230416)
上周关注度较高的产品安全漏洞(20230410-20230416) 国家互联网应急中心CNCERT 2023-04-18 16:43 一、境外厂商产品漏洞 1、Apache InLong反序列化漏洞(CNVD-2023-25936) Apache InLong是美国阿帕奇(Apache)基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。Apache InLong 1.1.0版
继续阅读【已复现】Vm2 沙箱逃逸漏洞(CVE-2023-30547)安全风险通告
【已复现】Vm2 沙箱逃逸漏洞(CVE-2023-30547)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-04-18 16:30 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Vm2是一个npm包实现了沙箱环境,可以用Vm2创建沙箱环境并运行nodejs代码。 近日,奇安信CERT监测到 VM2 沙箱逃逸漏洞(CVE-202
继续阅读多个 TPM 2.0 实现存在越界写入和越界读取漏洞
多个 TPM 2.0 实现存在越界写入和越界读取漏洞 关键基础设施安全应急响应中心 2023-04-18 15:09 我们将在本文中详细讨论在可信平台模块(TPM) 2.0参考实现代码中发现的两个漏洞。这两个漏洞,即越界写入(CVE-2023-1017)和越界读取(CVE-2013-1018),影响了多个TPM 2.0软件实现(如虚拟化软件使用的软件)以及多个硬件TPM。 介绍 2021年10月,
继续阅读雷神众测漏洞周报2023.04.10-2023.04.16
雷神众测漏洞周报2023.04.10-2023.04.16 原创 雷神众测 雷神众测 2023-04-18 15:00 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读【漏洞通告】Apache Solr 代码执行漏洞
【漏洞通告】Apache Solr 代码执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-04-17 21:14 漏洞名称: Apache Solr 代码执行漏洞 组件名称: Apache Solr 影响范围: 8.10.0 ≤ Apache Solr < 9.2.0 漏洞类型: 远程代码执行 利用条件: 1、用户认证:否 2、前置条件: (1)solr以cloud模式启动 (2
继续阅读【漏洞通告】Google Chrome V8类型混淆漏洞CVE-2023-2033
【漏洞通告】Google Chrome V8类型混淆漏洞CVE-2023-2033 深瞳漏洞实验室 深信服千里目安全技术中心 2023-04-17 21:14 漏洞名称: Google Chrome V8类型混淆漏洞(CVE-2023-2033) 组件名称: Google Chrome 影响范围: Google Chrome < 112.0.5615.121 漏洞类型: 远程代码执行 利用条
继续阅读腾讯安全威胁情报中心推出2023年3月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年3月必修安全漏洞清单 腾讯威胁情报中心 腾讯安全威胁情报中心 2023-04-17 18:00 腾讯安全威胁情报中心推出2023年3月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的
继续阅读Chrome存在高危漏洞!谷歌紧急发布安全补丁
Chrome存在高危漏洞!谷歌紧急发布安全补丁 看雪学苑 看雪学苑 2023-04-17 17:59 谷歌浏览器的用户请注意,为修补一个可能已遭利用的0day漏洞,谷歌紧急发布了Chrome的安全更新。为避免遭受损失,受影响的用户应尽快自动或手动安装该浏览器的最新版本。 据了解,该漏洞(CVE-2023-2033)是一个存在于Chrome浏览器V8 JavaScript引擎中的类型混淆漏洞。 NI
继续阅读报名中!CVE复现漏洞精讲-从基础到入门
报名中!CVE复现漏洞精讲-从基础到入门 看雪课程 看雪学苑 2023-04-17 17:59 想要成为一名优秀的漏洞挖掘工程师吗? 想要掌握CVE复现能力,提升自己的实战能力吗? 想要深入了解IoT、v8、Windows等多类型漏洞挖掘基础知识和实操吗? 《CVE复现漏洞精讲-从基础到入门》带你走进漏洞挖掘的世界。 如果你想要提升自己的漏洞挖掘能力,买它! 课程简介 本课程属于体系课,分为【初级
继续阅读Juniper Networks 修复多个严重的第三方组件漏洞
Juniper Networks 修复多个严重的第三方组件漏洞 Ionut Arghire 代码卫士 2023-04-17 17:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络、云和网络安全解决方案提供商 Juniper Networks 上周发布安全公告,详述了产品中出现的数十个漏洞,其中包括 Junos OS 和 STRM 第三方组件中的多个严重漏洞。 其中一份安全公告是和
继续阅读谷歌紧急修复2023年第一个已遭利用的 Chrome 0day
谷歌紧急修复2023年第一个已遭利用的 Chrome 0day Sergiu Gatlan 代码卫士 2023-04-17 17:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布紧急Chrome 安全更新,修复今年第一个已遭利用的 0day 漏洞CVE-2023-2033。 谷歌在安全公告中指出,“谷歌发现 CVE-2023-2033 的 exploit 在野存在。”谷歌已发布
继续阅读深度协议特征分析在测绘领域中的应用:改革传统漏洞挖掘与运营的新途径
深度协议特征分析在测绘领域中的应用:改革传统漏洞挖掘与运营的新途径 小陈 360Quake空间测绘 2023-04-17 16:02 360QUAKE 因为看见 所以安全 深度协议特征分析在测绘方面的应用也将对传统的漏洞挖掘和运营产生巨大的变革。使用测绘系统对一个新暴露的漏洞在全网普查是这类系统典型的传统应用方式,这一方案的基本思路是基于漏洞,设计调度,发送利用程序,分析响应,从而找到真实影响的
继续阅读Google Chrome V8类型混淆漏洞(CVE-2023-2033)安全风险通告
Google Chrome V8类型混淆漏洞(CVE-2023-2033)安全风险通告 奇安信 CERT 2023-04-17 12:20 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的
继续阅读安全头条 | 国常会审议通过《商用密码管理条例(修订草案)》;CNNVD通报微软多个安全漏洞
安全头条 | 国常会审议通过《商用密码管理条例(修订草案)》;CNNVD通报微软多个安全漏洞 aqniu 安全牛 2023-04-17 11:41 点击蓝字·关注我们 AQNIU 上周安全热点回顾 • 国常会审议通过《商用密码管理条例(修订草案》 • 关于发布2023年度第一批网络安全国家标准需求的通知 • 中央网信办等五部门印发《2023年数字乡村发展工作要点》 • 国家标准《信息安全技术 软件
继续阅读ISRC劳模众测月!单个漏洞奖励最高可至万元!
ISRC劳模众测月!单个漏洞奖励最高可至万元! 暗影安全 2023-04-17 11:02
继续阅读Linux提权系列23: [训练营]利用linux能力漏洞6
Linux提权系列23: [训练营]利用linux能力漏洞6 原创 debugeeker 奶牛安全 2023-04-17 08:02 这篇讲述涉及进程注入和内核模块注入的能力 CAP_SYS_PTRACE 在本实验中,python 解释器在有效集和允许集都具有 cap_sys_ptrace 功能 当运行进程的有效集有 cap_sys_ptrace 能力,它可以打开任何进程并将数据写入其内存。这意味
继续阅读【已复现】Apache Solr 代码执行漏洞安全风险通告
【已复现】Apache Solr 代码执行漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-04-15 20:38 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 Apache Solr是一个开源搜索服务引擎,Solr 使用 Java 语言开
继续阅读【安全圈】Windows 系统曝高危漏洞,数十万个系统面临风险
【安全圈】Windows 系统曝高危漏洞,数十万个系统面临风险 安全圈 2023-04-15 19:01 关键词 系统漏洞 安全研究人员和专家警告称,Windows 消息队列 (MSMQ) 中间件服务中存在一个高危漏洞 CVE-2023-21554。利用该漏洞,攻击者能够在无用户交互的情况下实现远程代码执行,进而接管服务器资源。Windows 消息队列 (MSMQ) 在所有Windows版本里都可
继续阅读开源堡垒机teleport任意用户登录漏洞审计
开源堡垒机teleport任意用户登录漏洞审计 print(“”) 渗透测试网络安全 2023-04-15 16:12 声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。0X00 任意用户登录分析 拿到
继续阅读【已复现】Artifex Ghostscript 代码执行漏洞安全风险通告
【已复现】Artifex Ghostscript 代码执行漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-04-14 18:38 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 G hostscript是Artifex软件公司开发的用来处理
继续阅读【已复现】VM2 沙箱逃逸漏洞安全风险通告
【已复现】VM2 沙箱逃逸漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-04-14 18:38 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Vm2是一个npm包,实现了沙箱环境,可以用Vm2创建沙箱环境并运行nodejs代码。 近日,奇安信CERT监测到 VM2 沙箱逃逸漏洞(CVE-2023-29199),在 vm2
继续阅读【火绒安全周报】肯德基母公司报告数据泄露事件/OpenAI推出漏洞赏金计划
【火绒安全周报】肯德基母公司报告数据泄露事件/OpenAI推出漏洞赏金计划 火绒安全 火绒安全 2023-04-14 18:04 01 肯德基、必胜客母公司报告数据泄露事件 近日,旗下拥有肯德基、必胜客和 Taco Bell等快餐连锁品牌的百胜餐饮集团 发布通告称,集团因今年 1 月的勒索软件攻击导致客户信息遭泄露。据悉, 此次攻击不仅泄露了客户的姓名、身份证号码等信息,而且直接导致约300家餐厅
继续阅读Joomla Unauthorized”后”渗透到RCE
Joomla Unauthorized”后”渗透到RCE Betta 火线Zone 2023-04-14 17:06 前言 前文已经分析过了Joomla Unauthorized的漏洞成因,总的来说是由于函数array_merge()变量覆盖引起的,未授权的api接口很多。 Joomla Unauthorized RCE1 api路径 api/index.php/v1/co
继续阅读