Fortinet FortiADC 命令注入漏洞(CVE-2022-39947)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-09 17:03 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Fortinet(飞塔)是一家全球知名的网络安全产品和安全解决方案提供商,其产品包括防火墙、防病毒软件、入侵防御系统和终端安全组件等
继续阅读【已复现】GitLab 远程代码执行漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-01-09 17:03 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理,同时可以搭建W
继续阅读雷神众测漏洞周报2023.1.3-2023.1.8 原创 雷神众测 雷神众测 2023-01-09 15:00 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此
继续阅读某达摄像头的漏洞挖掘经历 原创 狒猩橙 ChaMd5安全团队 2023-01-08 10:51 前言 在看了一位师傅的关于摄像头的文章之后,我也心血来潮找了一款摄像头(某达最新款CP7)固件去挖一下练练手。 串口获取shell 拿到摄像头拆下来之后尝试了一波串口获取shell。 image-20230103171820881 但是连上之后发现这个摄像头貌似无法获得一个正常的shell,只能用来看回
继续阅读CVE-2022-39947/35845:Fortinet 命令注入漏洞通告 原创 360CERT 三六零CERT 2023-01-06 17:57 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-010601 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-06 1 漏洞简述 2023年01月06日,360CERT监测发现Fortinet官方发布了Forti
继续阅读CVE-2022-43931:Synology VPN Plus Server越界写入漏洞通告 原创 360CERT 三六零CERT 2023-01-06 17:57 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-010602 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-06 1 漏洞简述 2023年01月06日,360CERT监测发现Synology官
继续阅读汽车行业最严重漏洞:20家知名车企API暴露车主个人信息 安全内参 2023-01-05 18:53 关注我们 带你读懂网络安全 近日安全研究人员Sam Curry披露了近20家知名汽车制造商在线服务中的API安全漏洞,这些漏洞可能允许黑客执行恶意活动,包括从解锁、启动、跟踪汽车到窃取客户个人信息。这可能是汽车行业迄今披露的影响最为广泛,也最为严重的安全漏洞。 受漏洞影响的知名品牌包括宝马、劳斯莱
继续阅读丰田、奔驰、宝马等API漏洞暴露车主个人信息 Bill Toulas 代码卫士 2023-01-05 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究人员发现,近20家汽车制造商和服务中包含API漏洞,可使黑客执行恶意活动如解锁车门、启动汽车并追踪车辆,暴露客户的个人信息。这些漏洞影响多家知名车厂,包括宝马、劳斯莱斯、奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英
继续阅读Fortinet 两款产品FortiTester和FortiADC中存在高危命令注入漏洞 Ionut Arghire 代码卫士 2023-01-05 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,网络安全解决方案提供商Fortinet 发布了产品中多个漏洞的补丁,并将FortiADC中的高危命令注入漏洞告知客户。该漏洞的编号是CVE-2022-39947,位于FortiA
继续阅读Zoho:立即修复这个严重的ManageEngine漏洞! Sergiu Gatlan 代码卫士 2023-01-05 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Zoho 督促客户修复影响多款ManageEngine产品的一个严重漏洞。本周一,Zoho 公司提醒称,“该安全公告是为了告知大家,我们检测到了一个严重的安全漏洞。” 该漏洞的编号是CVE-2022-47523,是
继续阅读Notional Double Counting Free Collateral 分析和复现 ghostmazeW 看雪学苑 2023-01-05 18:03 本文为看雪论坛优秀文章 看雪论坛作者ID:ghostmazeW Notional( https://notional.finance/portfolio/ ) 简单说来就是一个固定周期,固定利率的借贷池,主要支持Borrow,lend以及P
继续阅读漏洞奖励计划升级第二弹:首胜奖励+周周有奖! X社区 微步在线 2023-01-05 17:41 “ 各位白帽子师傅: 半月前,我们开启了“X漏洞奖励计划 · 年终尾牙”活动的第一弹【全网最早年终奖】,得到师傅们的鼎力支持,我们也发放出一大波奖励。 现开启活动第二弹【不止漏洞奖励】 ,提供更多获得报酬的玩法~ 首日漏洞 额外奖励 自2023年1月1日起,各位师傅首条提交且通过审核的漏洞,除获得该漏
继续阅读Synology 修复严重的VPN路由器漏洞,CVSS评分10分 Sergiu Gatlan 代码卫士 2023-01-04 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 台湾NAS厂商Synology 修复了一个CVSS评分为10分的严重漏洞,影响配置为VPN服务器运行的路由器。 VPN Plus Server 是一款虚拟的私有网络服务器,可使管理员将Synology路由器设
继续阅读研究人员发现Google 智能扬声器中的多个漏洞,获奖超10万美元 Ionut Arghire 代码卫士 2023-01-04 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员 Matt Kunze 表示,谷歌因他负责任地提交了Google Home Mini智能扬声器中的多个漏洞,而获得10.7万美元的奖励。 Kunze 表示,这些漏洞可被在无线范围内的攻击者在设备上
继续阅读上周关注度较高的产品安全漏洞(20221226-20230101) 国家互联网应急中心CNCERT 2023-01-04 16:43 一、境外厂商产品漏洞 1、IBM Cognos Analytics服务器端请求伪造漏洞 IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。IBM Cog
继续阅读Apache Kylin多个命令注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-03 18:53 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Apache Kylin 是一个开源的、分布式的分析型数据仓库,提供Hadoop或Spark之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 e
继续阅读《58集团漏洞标准V4.2》 58安全应急响应中心 2023-01-03 18:14 本标准将于2023年1月4日0:00起生效 基本原则 58集团非常重视自身产品和业务的安全,我们承诺对每一份报告都有专人及时跟进处理,给出漏洞评定结果以及原因,并给予白帽子与之匹配的利益。 58SRC非常希望您在提交漏洞前认真阅读平台《58SRC漏洞评分标准》、《58SRC漏洞审核策略》以及《白帽子常见FAQ》,
继续阅读Google Home智能音箱漏洞可监听用户会话 关键基础设施安全应急响应中心 2023-01-03 15:48 漏洞概述 2016年,谷歌发布Google Home智能音箱产品。2021年,安全研究人员Matt在Google Home智能音箱设备中发现了一个安全漏洞,攻击者利用该漏洞可以在受害者设备中安装后门装好,并通过互联网远程发送命令给受害者设备、访问麦克风数据量、在受害者网络中发起任意HT
继续阅读【处置手册】Exchange Server OWASSRF漏洞(CVE-2022-41080/CVE-2022-41082) 原创 NS-CERT 绿盟科技CERT 2022-12-29 19:43 通告编号:NS-2022-0034 2022-12-29 TAG: Exchange Server、OWA、任意代码执行、SSRF 漏洞危害: 攻击者利用此漏洞可实现任意命令执行 版本: 1.0 1
继续阅读12月API漏洞及相关资讯一览 星阑科技 2022-12-29 15:07 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 12月份的一些API安全漏洞报告和资讯 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 Zendesk Explore API中的SQL注入漏洞 漏洞详情:Zendesk Explore 是
继续阅读重磅福利 | X情报社区全面开放漏洞情报能力! 微步在线 2022-12-28 19:21 漏洞,是入侵目标最有效的方法之一。 因此,在如今漏洞满天飞的攻防形势下,只有及时掌握最关键/活跃的漏洞情报信息,才能不陷于被动 。 最近流行的漏洞是什么? 这些漏洞利用有什么特征? 谁在用这些漏洞搞事情? 这些漏洞的解决方案是什么? …… …… 你都知道吗? 为了帮助大家快速找到答案,快速应对漏洞威胁,
继续阅读CVE-2022-41966:XStream 拒绝服务漏洞通告 原创 360CERT 三六零CERT 2022-12-28 18:13 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-122801 报告来源:360CERT 报告作者:360CERT 更新日期:2022-12-28 1 漏洞简述 2022年12月28日,360CERT监测发现XStream官方发布漏洞通告,漏洞编号为CVE-
继续阅读上周关注度较高的产品安全漏洞(20221219-20221225) 国家互联网应急中心CNCERT 2022-12-28 16:33 一、境外厂商产品漏洞 1、Siemens Teamcenter Visualization和JT2Go越界写入漏洞 Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。Siemens JT2GO是一款J
继续阅读【已复现】Microsoft Exchange Server “OWASSRF” 漏洞安全风险通告 代码卫士 2022-12-26 17:38 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Microsoft Exchange Server是微软公司的一套电子邮件服务组件。 除传统的电子邮件的存取、储存、转发功能外,在新版
继续阅读CVE-2022-47939:Linux Kernel ksmbd UAF远程代码执行漏洞通告 原创 360CERT 三六零CERT 2022-12-26 17:16 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-122602 报告来源:360CERT 报告作者:360CERT 更新日期:2022-12-26 1 事件简述 2022年12月26日,360CERT监测发现Linux Ker
继续阅读Lastpass事件调查:黑客在云存储漏洞中窃取了保险库数据 网络安全应急技术国家工程中心 2022-12-26 15:43 据Bleeping Computer报道,LastPass当地时间12月22日透露,攻击者在今年早些时候使用2022年8月事件中窃取的信息侵入其云存储,窃取了客户的保险库数据。 此前,11月30日,该公司首席执行官卡里姆·图巴(Karim Toubba)曾公开承认遭黑客攻击
继续阅读macOS漏洞可绕过安全检查 关键基础设施安全应急响应中心 2022-12-26 15:35 微软研究人员在macOS中发现一个安全漏洞,攻击者利用该漏洞可以实现安全检查绕过。 Gatekeeper是macOS中的一个安全特征,可以自动检查从互联网下载的Mac APP是经过公证的还是开发者自签名的,并要求用户在启动前进行确认或发布关于APP不可信的预警消息。 微软首席安全研究员Jonathan B
继续阅读雷神众测漏洞周报2022.12.19-2022.12.25 原创 雷神众测 雷神众测 2022-12-26 15:10 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读微软发现可以绕过安全审查,开启Mac电脑大门的恶意漏洞 网络安全应急技术国家工程中心 2022-12-23 14:37 摘要: 微软发现编号CVE-2022-42821的“Achilles”漏洞,能让攻击者绕过苹果Gatekeeper安全机制,而在Mac电脑上执行恶意应用程序,建议Mac电脑用户更新作业系统至macOS Monterey 12.6.2、macOS Big Sur 11.7.2及ma
继续阅读CVE-2017-14627栈溢出漏洞及exploit的调试与分析 DriverUnload 看雪学苑 2022-12-19 18:00 本文为看雪论坛优秀文章 看雪论坛作者ID:DriverUnload 纸上得来终觉浅,绝知此事要躬行 –陆游 最近 《漏洞战争 》快看完了,也跟着书把漏洞分析了一遍。虽然也有自己的思考,但绝大部分都是复刻书中的操作。以我浅薄的知识,甚至有的时候无法理
继续阅读