Sophos 修复位于 Sophos Web Appliance 设备中的三个漏洞
Sophos 修复位于 Sophos Web Appliance 设备中的三个漏洞 代码卫士 2023-04-11 17:22 聚焦源代码安全,网罗国内外最新资讯! 作者:Pierluigi Paganini 编译:代码卫士 Sophos 修复了位于 Sophos Web Appliance 中的三个漏洞,其中一个是可导致代码执行的严重漏洞 CVE-2023-1671(CVSS 评分9.8)。 C
继续阅读标签: 漏洞
上周关注度较高的产品安全漏洞(20230403-20230409)
上周关注度较高的产品安全漏洞(20230403-20230409) 国家互联网应急中心CNCERT 2023-04-11 16:22 一、境外厂商产品漏洞 1、Google Chrome Web Payments API组件代码问题漏洞 Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 111.0.5563.64之前版本存在代码问题漏洞,该漏洞
继续阅读瑞友天翼应用虚拟化系统远程代码执行漏洞通告
瑞友天翼应用虚拟化系统远程代码执行漏洞通告 原创 360CERT 三六零CERT 2023-04-11 16:03 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-92 报告来源:360CERT 报告作者:360CERT 更新日期:2023-04-11 1 漏洞简述 2023年04月11日,360CERT监测发现瑞友天翼应用虚拟化系统远程代码执行漏洞,暂无CVE编号 ,漏洞等级:严
继续阅读雷神众测漏洞周报2023.04.03-2023.04.09
雷神众测漏洞周报2023.04.03-2023.04.09 原创 雷神众测 雷神众测 2023-04-11 15:02 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读Apple发布针对间谍软件式0day漏洞的紧急修复
Apple发布针对间谍软件式0day漏洞的紧急修复 安全客 2023-04-11 11:38 Apple 发布了安全更新,以解决两个在野外被积极利用并针对 iPad、Mac 和 iPhone 的零日漏洞。 这些漏洞被跟踪为CVE-2023-28205和CVE-2023-28206。根据 Apple安全公告,这些修复解决了谷歌威胁分析小组的 Clément Lecigne 和国际特赦组织安全实验室的
继续阅读.NET ViewState反序列化漏洞 (三) 命令回显
.NET ViewState反序列化漏洞 (三) 命令回显 专攻.NET安全的 dotNet安全矩阵 2023-04-11 09:21 星球优惠活动 为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直 聚焦于.NET领域的安全攻防技术,定位于 高质量安全攻防星球社区,也 得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量
继续阅读JSLIM:通过”瘦身”技术减少已知JS漏洞
JSLIM:通过”瘦身”技术减少已知JS漏洞 原创 NING 安全学术圈 2023-04-10 21:15 原文标题:JSLIM: Reducing the Known Vulnerabilities of JavaScript Application by Debloating原文作者:Renjun Ye, Liang Liu, Simin Hu, Fangzhou Z
继续阅读赋能企业安全!系统0day安全-二进制漏洞攻防
赋能企业安全!系统0day安全-二进制漏洞攻防 看雪课程 看雪学苑 2023-04-10 17:59 二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成软件执行了非预期的功能。由于二进制漏洞大都涉及到系统层面,所以危害程度比较高。 因此,二进制漏洞的挖掘和分析就显得尤为重要,不仅能帮助安全从业者强化解决实际问题能力,掌握高效防御技能,还能及时发现业务系统内潜在的问题,赋能企业安全!
继续阅读0day 速修!瑞友天翼应用虚拟化系统远程代码执行漏洞
0day 速修!瑞友天翼应用虚拟化系统远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-04-10 17:25 01 漏洞概况 近日,微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到
继续阅读CVE-2023-29017:vm2沙箱逃逸漏洞通告
CVE-2023-29017:vm2沙箱逃逸漏洞通告 原创 360CERT 三六零CERT 2023-04-10 17:08 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-89 报告来源:360CERT 报告作者:360CERT 更新日期:2023-04-10 1 漏洞简述 2023年04月10日,360CERT监测发现vm2发布了vm2的风险通告,漏洞编号为CVE-2023-2
继续阅读VM2 JavaScript 沙箱库中存在严重的 RCE 漏洞
VM2 JavaScript 沙箱库中存在严重的 RCE 漏洞 Bill Toulas 代码卫士 2023-04-10 17:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门的 JavaScript 沙箱 VM2 库中存在一个严重的 RCE 漏洞 (CVE-2023-29017)。多款软件使用该哭在虚拟化环境中安全地运行代码。 该 VM2 库旨在 Node.js 服务器的隔离上下文
继续阅读苹果紧急修复两个已遭利用的 0day,影响 iPhone 和 Mac设备
苹果紧急修复两个已遭利用的 0day,影响 iPhone 和 Mac设备 Sergiu Gatlan 代码卫士 2023-04-10 17:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果发布紧急安全更新,修复了被用于攻陷 iPhone、Mac 和 iPad 的两个0day 漏洞。 苹果公司在上周五发布的安全公告中指出,“苹果收到关于该漏洞可能已遭活跃利用的一份报告。” 第一个漏洞
继续阅读Apple 多个产品高危漏洞安全风险通告
Apple 多个产品高危漏洞安全风险通告 奇安信 CERT 2023-04-10 16:07 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 IOSurfaceAccelerator是一个对象,用于管理IOSurface框架中IOSurface之间的硬件加速传输/缩放。 它仅与具有 k32BGRAPixelFormat 或 k16LE565Pixe
继续阅读安全头条丨CNNVD漏洞奖励计划发布;知网因数据出境问题暂停部分港澳台高校服务提供
安全头条丨CNNVD漏洞奖励计划发布;知网因数据出境问题暂停部分港澳台高校服务提供 安全牛 2023-04-10 12:21 点击蓝字·关注我们 AQNIU 上周安全热点回顾 四部门联合印发《关于开展网络安全服务认证工作的实施意见》 《信息安全技术 公钥基础设施 在线证书状态协议》(征求意见稿)等2项国家标准征求意见 信安标委下达3项网络安全推荐性国家标准计划 公安部:构筑网络安全等级保护、网络入
继续阅读Linux提权系列14:[训练营] 利用存在漏洞的应用程序进行权限提升
Linux提权系列14:[训练营] 利用存在漏洞的应用程序进行权限提升 原创 debugeeker 奶牛安全 2023-04-08 08:14 陨落的守护程序 实验开始时,将获得一个低权限 shell,并且没有可疑的 SUID 二进制文件或 sudo 漏洞。当检查进程时,会看到一个脚本正在以 root 用户权限运行。 因为 当前用户可以读取它,所以可以看到它正在运行一些 rootkitchecke
继续阅读Nexx 智能设备存在多个漏洞可使黑客打开车库门等,无修复方案
Nexx 智能设备存在多个漏洞可使黑客打开车库门等,无修复方案 BILL TOULAS 代码卫士 2023-04-07 17:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Nexx 公司的智能设备中存在多个漏洞,可被用于控制车库门、禁用家用报警器或智能插座等。这些被公开的漏洞共计五个,严重程度从中危到严重不一而足,该厂商尚未证实和修复这些漏洞。 其中最严重的问题是该厂商使用在固件中硬
继续阅读惠普将在90天内修复这个严重的 LaserJet 打印机漏洞
惠普将在90天内修复这个严重的 LaserJet 打印机漏洞 Bill Toulas 代码卫士 2023-04-07 17:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,惠普发布安全公告称,将在90天内修复影响某些企业级打印机固件的一个严重漏洞 (CVE-2023-1707)。该漏洞影响约50款 HP Enterprise LaserJet 和 HP LaserJet Mana
继续阅读2023年3月必修漏洞清单
2023年3月必修漏洞清单 原创 漏洞情报中心 斗象智能安全 2023-04-07 15:42 斗象科技漏洞情报中心推出2023年3月份必修安全漏洞清单。必修漏洞,指的是影响范围较广、企业必须立刻聚焦修复的安全漏洞。该清单上的漏洞一旦被黑客利用并发生入侵事件后,将会造成十分严重的损失。 斗象科技漏洞情报中心围绕安全漏洞的“危害、影响面、在野利用情况、POC/EXP公开情况、武器化情况、漏洞技术细节
继续阅读美国FBI查封全球网络犯罪关键平台,封堵网络防御漏洞
美国FBI查封全球网络犯罪关键平台,封堵网络防御漏洞 关键基础设施安全应急响应中心 2023-04-07 15:20 Genesis Market售卖的特色产品“附带浏览器指纹的凭证”,使得许多身份防御措施失效。 4月6日消息,美国联邦调查局(FBI)牵头、十余个国际合作伙伴参与联合执法行动,查封了全球最重要的网络犯罪平台之一Genesis Market。 作为犯罪分子的一站式商店,Genesis
继续阅读CVE-2023-28432 MinIO信息泄露漏洞分析及复现
CVE-2023-28432 MinIO信息泄露漏洞分析及复现 0x6270 火线Zone 2023-04-06 17:49 前言 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 如果文章中的漏洞出现敏感内容产生了部分影响,请及时联系作者及火线安全,望谅解。 一、漏洞原理 漏洞简述 MinIO是一个用Golang开发的基于Apa
继续阅读QNAP正在紧急修复两个0day,影响全球超8万设备
QNAP正在紧急修复两个0day,影响全球超8万设备 Becky Bracken 代码卫士 2023-04-06 17:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 适用于NAS 设备的多款 QNAP 操作系统中存在两个0day漏洞(CVE-2022-27597和CVE-2022-27598),影响全球8万多台设备。在受影响的4款操作系统中,仍有两款未修复。 这些操作系统漏洞由 St
继续阅读影响上千万网站,WordPress插件曝高危漏洞
影响上千万网站,WordPress插件曝高危漏洞 网络安全应急技术国家工程中心 2023-04-06 14:47 黑客正在积极利用流行的Elementor Pro WordPress插件中的高危漏洞,该插件已被超过1200万个网站使用。 Elementor Pro是一款WordPress页面构建器插件,允许用户轻松构建专业外观的网站而无需了解编码知识,具有拖放、主题构建、模板集合、自定义小部件支持
继续阅读基于Drozer框架对安卓四大组件的漏洞挖掘总结
基于Drozer框架对安卓四大组件的漏洞挖掘总结 原创 之D 山石网科安全技术研究院 2023-04-06 10:56 01 前言 之前分析了安卓四大组件漏洞形成的原因,这次我们来讲一下如何通过Drozer 测试框架来挖掘。Drozer 是一个开源项目,用户可以自由下载和使用。其代码托管在GitHub 上,用户可以参与到Drozer 的开发和维护中。Drozer 的文档和教程也非常丰富,用户可以
继续阅读权威认证!星阑科技入选CNNVD漏洞库技术支撑单位
权威认证!星阑科技入选CNNVD漏洞库技术支撑单位 星阑科技 2023-04-06 10:33 近期,国家信息安全漏洞库(CNNVD)公布2023年度新增技术支撑单位,北京星阑科技有限公司成功入选,荣获“CNNVD技术三级支撑单位”认定。 中国国家信息安全漏洞库(CNNVD),是国家信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务
继续阅读【上新】实战能力UP!从基础到入门,轻松掌握 CVE 复现技能
【上新】实战能力UP!从基础到入门,轻松掌握 CVE 复现技能 看雪课程 看雪学苑 2023-04-05 17:59 想要成为一名优秀的漏洞挖掘工程师吗? 想要掌握CVE复现能力,提升自己的实战能力吗? 想要深入了解IoT、v8、Windows等多类型漏洞挖掘基础知识和实操吗? 《CVE复现漏洞精讲-从基础到入门》带你走进漏洞挖掘的世界。 如果你想要提升自己的漏洞挖掘能力,买它! 课程简介 本课程
继续阅读关于发布 “CNNVD漏洞奖励计划”的公告
关于发布 “CNNVD漏洞奖励计划”的公告 中国信息安全 2023-04-04 21:09 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 一、计划简介 “CNNVD漏洞奖励计划”面向对象是为CNNVD报送漏洞的企业、团队以及个人,奖励其报送的高质量漏洞。本计划以精神表彰与物质奖励相结合的方式,鼓励引导安全研究人员积极有序提交漏洞,共同提升我国网络安全漏洞预警及
继续阅读上周关注度较高的产品安全漏洞(20230327-20230402)
上周关注度较高的产品安全漏洞(20230327-20230402) 国家互联网应急中心CNCERT 2023-04-04 17:15 一、境外厂商产品漏洞 1、 LS ELECTRIC XBC-DN32U拒绝服务漏洞 LS ELECTRIC XBC-DN32U是韩国LS ELECTRIC公司的一款PLC可编程逻辑控制器。LS ELECTRIC XBC-DN32U存在拒绝服务漏洞,该漏洞源于访问在通
继续阅读3月这几个API安全漏洞值得注意!
3月这几个API安全漏洞值得注意! 星阑科技 2023-04-04 14:29 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 3月份的一些API安全漏洞报告 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 影子API将带来不可预知的漏洞 漏洞详情:时至今日,许多企业没有准确的API库存清单,因此导致了一种新的威
继续阅读【漏洞预警】WordPress Elementor Pro插件访问控制漏洞
【漏洞预警】WordPress Elementor Pro插件访问控制漏洞 安识科技 SecPulse安全脉搏 2023-04-04 11:45 1. 通告信息 近日,安识科技 A-Team团队监测到WordPress Elementor Pro 插件中修复了一个访问控制漏洞,其CVSSv3评分为8.8。经过身份验证的用户可利用该漏洞更改站点设置,甚至完全控制网站,目前该漏洞的细节已经公开,且已发
继续阅读418新品发布预告 | 漏洞之痛,有了新“药”
418新品发布预告 | 漏洞之痛,有了新“药” 青藤云安全 2023-04-03 18:04 左滑下图揭秘 了解更多418大会信息 2023年4月18日,青藤将举办“云时代,安全变了——2023云安全高峰论坛暨青藤品牌升级发布会”。 扫码或点击阅读原文,快速预约参会: 会上青藤将正式发布: (1)“青藤品牌新定位及Slogan” (2)“青藤-先进云安全整体解决方案”及“新产品” (3)国内首个“
继续阅读