【漏洞通告】PHP 远程代码执行漏洞(CVE-2022-31625、CVE-2022-31626) 青藤云安全 2022-06-12 08:17 1 综述 6月9日,PHP发布安全公告,修复了两个存在于PHP中的远程代码执行漏洞。 PHP此次的漏洞,简而言之,会恶意查询服务器数据。 PHP(PHP: Hypertext Preprocessor)即“超文本预处理器”,是一种开源的通用计算机脚本语言
继续阅读Apache Httpd AJP请求走私 CVE-2022-26377 漏洞分析 原创 卫兵实验室 网络安全研究宅基地 2022-06-11 08:00 Smi1e@卫兵实验室 漏洞分析 0x00 影响版本 Apache Httpd < 2.4.54 0x01 AJP协议介绍 Tomcat最主要的功能是提供Servlet/JSP容器,尽管它也可以作为独立的Java Web服务器,它在对静态资
继续阅读GitLab账户接管漏洞(CVE-2022-1680)安全风险通告 原创 QAX CERT 奇安信 CERT 2022-06-10 18:01 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到GitLab官方发布了CVE-2022-1680 GitLab账户接管漏洞通告。 当GitLab配置组SAML SSO时,攻击者可利
继续阅读PHP多个远程代码执行漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-06-10 18:01 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到 PHP 官方发布了多个远程代码执行漏洞,包含CVE-2022-31626、CVE-2022-31625。PHP 远程代码执行漏洞(CVE-2022-31626
继续阅读Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属“碰瓷” Charlie Osborne 代码卫士 2022-06-10 17:30 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Formidable 项目的开发人员就 Mitre 公司分配的一个CVE漏洞提出反对。 Formidable 是一款热门解析器,可从GitHub 下载,用于生产和无服务器环境中。其中No
继续阅读【漏洞预警】Owl Labs Meeting Owl Pro信息泄露漏洞 安识科技 SecPulse安全脉搏 2022-06-10 16:56 1. 通告信息 近日, 安识科技 A-Team团队 监测到一则 Meeting Owl Pro 和 Whiteboard Owl 组件存在 信息泄露漏洞 的信息,该漏洞的 CVSS评分为7.4 , 漏洞编号: CVE-2022-31460 ,漏洞威胁等级:
继续阅读浅析LuCI系统的漏洞挖掘 原创 信创实验室 山石网科安全技术研究院 2022-06-10 16:39 01 摘要 Luci 系统 是基于lua 语言编写的一套开源系统,主要是介绍对其审计的一些技巧,先从准备阶段谈谈工具的使用,再讲一下从代码审计中的一些思路,希望能读完这篇文章的读 者能有所收获。 02 准备阶段 除非黑盒测试,代码审计是漏洞挖掘必不可少的过程,这个代码不仅限于我们下面要讲到的 l
继续阅读【技术干货】2022-29464 WSO2 API Manager 任意文件上传、远程代码执行漏洞 星阑科技 2022-06-10 11:43 arp @PortalLab实验室 漏洞描述 某些WSO2产品允许不受限制地上传文件,从而执行远程代码。以WSO2 API Manager 为例,它是一个完全开源的 API 管理平台。它支持API设计,API发布,生命周期管理,应用程序开发,API安全性,
继续阅读【安全头条】Linux僵尸网络张开怀抱迎接Confluence漏洞 安全客 安全客 2022-06-10 10:36 第298期 你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、Linux僵尸网络 张开怀抱迎接 Confluence漏洞
继续阅读火线安全荣获“国家信息安全漏洞库(CNNVD)技术支撑单位二级证书” 火线安全 火线安全平台 2022-06-10 10:00 近日,中国国家信息安全漏洞库(英文简称:CNNVD)公示2022年度新增技术支撑单位名单。 北京安全共识科技有限公司(火线安全)成功荣获 “国家信息安全漏洞库(CNNVD)技术支撑单位等级(二级)”证书,成为CNNVD的技术支撑单位之一。 自与CNNVD展开合作以来,火线
继续阅读ATT&CK-Log4j2远程代码执行漏洞(CVE-2021-44228)漏洞分析 小海 雷神众测 2022-06-09 15:00 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容
继续阅读API NEWS | 国际最新API安全漏洞 传递资讯的 星阑科技 2022-06-09 13:18 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – 开放自动化软件(OAS)平台的一个高危远程代码执行(RCE)和API访问漏洞; 云麦智能秤API存在
继续阅读我,TDP,正式官宣一个0day检测新能力! 原创 ThreatBook 微步在线 2022-06-09 08:42 网络安全圈最昂贵、最有杀伤力、且始终站在食物链顶端的攻击方式,是什么? 或者,你的企业武装到牙齿的时候,你最怕遇到的,是什么? 你心中一定在疾呼:“0day,只有0day”。 0day漏洞为何物 大家潜意识里只把那些未知且没有补丁,并能利用的安全漏洞,称为0day漏洞 。一旦软件厂
继续阅读DogWalk:Windows 新0day 获得非官方补丁 Sergiu Gatlan 代码卫士 2022-06-08 18:17 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软支持诊断工具 (MSDT) 中存在一个新的Windows 0day,被戏称为 “DogWalk”,微软不打算修复,无CVE编号,目前0patch 平台发布补丁。 早在2020年1月就发现 该漏洞是一个路径遍历漏
继续阅读《2022年道德黑客洞察报告》:不少人计划当全职漏洞猎人 Intigriti 代码卫士 2022-06-08 18:17 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 欧洲漏洞奖励和敏捷渗透测试平台Intigriti 发布《2022年道德黑客洞察报告》。如下是对报告内容的节选编译。 01 报告概览 在2022年,成为道德黑客是全球信息安全专业人员中间非常热门的职业选项。该平台在对1759名
继续阅读CNNVD通报Microsoft Windows Support Diagnostic Tool安全漏洞,23家安全厂商提供支持 安全牛 2022-06-08 11:42 点击蓝字,关注我们 日前,国家信息安全漏洞库(CNNVD)正式发布了关于Microsoft Windows Support Diagnostic Tool安全漏洞(CNNVD-202205-4277、CVE-2022-30190
继续阅读PWN入门-格式化字符串漏洞 柘狐 看雪学苑 2022-06-07 18:17 本文为看雪论坛优秀文章看雪论坛作者ID:柘狐 在我们学习c语言的时候我们就知道在输出或者输入的时候需要使用%s%d等等格式化字符,此处不过多介绍,详情可以去看看c语言的基础知识。 此处放出一些常见的格式化字符串函数: 1. #include <stdio.h> 2. int printf(const cha
继续阅读上周关注度较高的产品安全漏洞(20220530-20220605) 国家互联网应急中心CNCERT 2022-06-07 17:48 一、境外厂商产品漏洞 1、 微软支持诊断工具远程代码执行漏洞 微软支持诊断工具(MSDT,Microsoft Support Diagnostic Tool)是一种实用程序,用于排除故障并收集诊断数据,供专业人员分析和解决问题。Microsoft Office是由微
继续阅读ATT&CK-Spring Framework(CVE-2022-22965)远程代码执行漏洞 原创 小海 雷神众测 2022-06-07 15:00 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括
继续阅读美国BIS发布网络安全漏洞出口禁令,全球漏洞共享机制遭严峻挑战 关键基础设施安全应急响应中心 2022-06-07 14:48 据nextgov.com消息,美国商务部工业与安全局(BIS)正式发布了针对网络安全领域的最新的出口管制规定(以下简称“新规”),2022年5月26日,该规定已经发布在美国政府公报网站《联邦公报》上。 总的来说,BIS此次发布的新规和2021年发布的征求意见稿并无重大修改
继续阅读美商务部出台新规:未经审批禁止向中国分享安全漏洞,微软反对无效! NERCIS 信息安全国家工程研究中心 2022-06-07 12:00 内容导读 近日,美国商务部工业和安全局发布了一项网络安全最终规定。中国被分到D类,在网络漏洞信息分享上受到更严格的管控。 近日,美国商务部工业和安全局(BIS)正式发布了针对网络安全领域的最新的出口管制规定。 对,就是那个发布「实体清单」、「贸易黑名单」的BI
继续阅读CVE-2022-30190 MSDT 代码注入漏洞分析 原创 404实验室 知道创宇404实验室 2022-06-07 11:35 作者:HuanGMz@知道创宇404实验室时间:2022年6月7日 分析一下最近Microsoft Office 相关的 MSDT 漏洞。 1. WTP框架 文档: https://docs.microsoft.com/en-us/previous-versions
继续阅读[调研]80%的软件代码库含有至少一个漏洞 nana 数世咨询 2022-04-25 23:32 新发布的研究结果显示:2021年开源软件占典型代码库的份额增长到78%,但公司仍继续使用过时和不再维护的组件,导致自身软件面临潜在漏洞威胁。 Synopsy本周发布的年度《开源软件风险分析》(OSSRA)报告揭示,绝大多数软件代码库含有至少一个漏洞(81%),使用过时四年以上的开源组件(85%),且包
继续阅读SmartPTT、SmartICS 工业产品存在多个严重漏洞,影响全球90国 Eduard Kovacs 代码卫士 2022-04-25 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员 Michael Heinzl在俄罗斯专业无线通信和工业自动化公司 Elcomplus 生产的工业产品中发现了多个漏洞,其中一些是严重和高危级别。 Heinzl 在 Elcomplus
继续阅读上周关注度较高的产品安全漏洞(20220418-20220424) 原创 CNVD CNVD漏洞平台 2022-04-25 16:45 一、境外厂商产品漏洞 1、Zoho ManageEngine ADAudit Plus远程代码执行漏洞 Zoho ManageEngine Adaudit Plus是美国Zoho Corporation公司的用于简化审计、证明合规性和检测威胁。Zoho Manag
继续阅读雷神众测漏洞周报2022.04.18-2022.04.24-4 雷神众测 雷神众测 2022-04-25 15:38 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意
继续阅读【漏洞预警】Apache Log4j SQL注入漏洞 夜影实验室 锦行科技 2022-04-25 15:04 漏洞名称: Apache Log4j SQL注入漏洞 影响范围: Log4j v1.x 漏洞编号: CVE-2022-23305 漏洞类型: SQL注入 利用条件: 无 综合评价: <利用难度>:低 <威胁等级>: 高危 #1 漏洞描述 Apache Log4j是美
继续阅读【漏洞预警】Java数字签名伪造漏洞 夜影实验室 锦行科技 2022-04-25 15:04 漏洞名称: Java 数字签名伪造漏洞 影响范围: Oracle Java SE 7u311 Oracle Java SE 11.0.14Oracle Java SE 17.0.2Oracle Java SE 18Oracle GraalVM Enterprise Edition 20.3.5Oracle
继续阅读十年三倍!安全漏洞创纪录增长 关键基础设施安全应急响应中心 2022-04-25 14:27 2021年业界共检测发布了20175个新漏洞,创下年度新增漏洞数量新高。过去10年业界发布的漏洞总数在2021年累计达到166938个,十年间增长了三倍。 但漏洞增长只是问题的冰山一角。 工控安全失控:OT漏洞增长88% 根据Skybox研究实验室的最新漏洞报告,2021年运营技术(OT)漏洞增加了88%
继续阅读Intel CPU漏洞研究,为你深入详解三个史诗级的芯片漏洞 原创 看雪课程 看雪学苑 2022-04-23 17:59 安全问题的焦点是随着时代变化而变化的。 二十世纪末二十一世纪初的主流安全问题是栈溢出漏洞,之后在各种新的安全机制的绞杀下,栈溢出已经没有了生存之地。但随之而来的是更加隐蔽、威力更大的通用内存破坏漏洞。 可以预见在不久的将来内存破坏漏洞将逐渐退出一线,新的更加底层硬件漏洞将登上舞
继续阅读