CVE-2023-34478:Apache Shiro 身份认证绕过漏洞通告
CVE-2023-34478:Apache Shiro 身份认证绕过漏洞通告 原创 360CERT 三六零CERT 2023-07-27 16:20 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-308 报告来源:360CERT 报告作者:360CERT 更新日期:2023-07-27 1 漏洞简述 2023年07月27日,360CERT监测发现Apache发布了Shiro的风险
继续阅读标签: 行业
数百万台计算机中的固件漏洞可能使黑客获得超级用户身份
数百万台计算机中的固件漏洞可能使黑客获得超级用户身份 网络安全应急技术国家工程中心 2023-07-24 15:53 两年前,勒索软件骗子入侵了硬件制造商 Gigabyte,并泄露了超过 112 GB 的数据,其中包括来自英特尔和 AMD 等一些最重要的供应链合作伙伴的信息。 现在,研究人员警告称,泄露的信息揭示了可能构成严重零日漏洞的漏洞,可能危及计算世界的大片地区。 这些漏洞存在于位于佐治亚州
继续阅读CVE-2023-38408:OpenSSH ssh-agent 远程代码执行漏洞通告
CVE-2023-38408:OpenSSH ssh-agent 远程代码执行漏洞通告 原创 360CERT 三六零CERT 2023-07-21 16:20 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-295 报告来源:360CERT 报告作者:360CERT 更新日期:2023-07-21 1 漏洞简述 2023年07月21日,360CERT监测发现OpenSSH发布了Op
继续阅读CVE-2023-34192 —— Zimbra XSS To RCE
CVE-2023-34192 —— Zimbra XSS To RCE 原创 Skay 赛博少女 2023-07-20 15:22 一、组件概述 1.关键词 邮服、协作 2.概述 Zimbra 是一个电子邮件和协作平台,包括聊天、视频会议、日历、 联系人、任务、文件共享/编辑,并且集成了Slack、Zoom、Dropbox 等内置功能。500 多个SaaS 合作伙伴以及2000 多家经销商都在使用
继续阅读CVSS 4.0 发布,助力评估实时威胁和漏洞影响
CVSS 4.0 发布,助力评估实时威胁和漏洞影响 Help Net 代码卫士 2023-07-19 17:14 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 FIRST 发布了CVSS(“通用漏洞评分系统”) 的最新版本4.0。CVSS 是提供商和客户之间的重要桥梁,有助于捕获安全漏洞的最重要特征并生成反映其技术严重程度的分数,告知并为企业、服务提供商、政府和公众提供相关指南。
继续阅读CVE-2023-3519:Citrix ADC/Gateway 远程代码执行漏洞通告
CVE-2023-3519:Citrix ADC/Gateway 远程代码执行漏洞通告 原创 360CERT 三六零CERT 2023-07-19 16:06 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-290 报告来源:360CERT 报告作者:360CERT 更新日期:2023-07-19 1 漏洞简述 2023年07月19日,360CERT监测发现Citrix发布了Net
继续阅读如何解决防火墙拉黑Nginx转发的漏洞扫描流量问题? | 总第198周
如何解决防火墙拉黑Nginx转发的漏洞扫描流量问题? | 总第198周 原创 群秘 君哥的体历 2023-07-18 22:58 0x1本周话题 请教各位一个问题,漏扫扫描Nginx服务器,Nginx转发到真实服务器,中间过防火墙,防火墙把Nginx的漏扫流量拉黑了,这个有什么好的办法吗?**** A1: 我们认为扫描也是一种威胁, 扫描流量会按照源IP生成归并告警。 A2:Nginx是在D
继续阅读罗克韦尔提醒关基或遭APT组织RCE漏洞利用攻击
罗克韦尔提醒关基或遭APT组织RCE漏洞利用攻击 Sergiu Gatlan 代码卫士 2023-07-17 17:41 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 罗克韦尔自动化公司表示,与某未具名APT组织相关联的一个新的RCE利用可用于攻击未修复的 ControlLogix 通信模块中,而该模块常用于制造、电力、油气和液化天然气行业中。 罗克韦尔自动化公司与CISA联合分析
继续阅读艾默生电气成为MOVEit漏洞攻击受害者-疑客户和员工数据被窃
艾默生电气成为MOVEit漏洞攻击受害者-疑客户和员工数据被窃 关键基础设施安全应急响应中心 2023-07-17 14:27 7月11日,知名威胁情报分析师在Twitter上透露,全球知名自动化头部企业美国艾默生电气公司被Clop勒索组织勒索。7月12日,艾默生公司在官网发布声明,确认成为本轮MOVEit漏洞攻击的受害者,但只说受影响是客户和雇员信息,其余一切正常。截止7月15日,受5月底爆发的
继续阅读长亭获评工信部移动互联网APP产品安全漏洞专业库支撑单位
长亭获评工信部移动互联网APP产品安全漏洞专业库支撑单位 长亭科技 2023-07-14 19:57 7月12日,由中国软件评测中心(工业和信息化部软件和集成电路促进中心)、工业和信息化部网络安全威胁和漏洞信息共享平台移动互联网APP产品安全漏洞专业库主办的“2023年度首期移动互联网APP产品安全漏洞技术沙龙”在南京顺利召开, 长亭科技高级APP专家张一峰受邀发表演讲, 高级政府关系经理高歌 受
继续阅读【安全圈】受 MOVEit Transfer漏洞影响,德意志银行确认其供应商泄露客户数据
【安全圈】受 MOVEit Transfer漏洞影响,德意志银行确认其供应商泄露客户数据 安全圈 2023-07-14 18:00 关键词 数据泄漏 2023年7月11日,据报道德意志银行(Deutsche Bank AG)向BleepingComputer 证实,其一家服务供应商泄露客户数据,并且这可能是一次受 MOVEit Transfer漏洞影响的数据泄露事件。 一位发言人告诉 Bleepi
继续阅读预售报名中!系统0day安全-Windows平台漏洞挖掘
预售报名中!系统0day安全-Windows平台漏洞挖掘 釉子 看雪学苑 2023-07-13 18:05 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问题的认识和理
继续阅读2023-07 补丁日: 微软多个漏洞安全更新通告
2023-07 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2023-07-12 17:46 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-273 报告来源:360CERT 报告作者:360CERT 更新日期:2023-07-12 1 漏洞简述 2023年07月12日,360CERT监测发现Microsoft发布了2023年7月安全更新,事件等级:严
继续阅读定制化白盒检测 | 越权漏洞治理分享
定制化白盒检测 | 越权漏洞治理分享 无恒实验室 字节跳动技术团队 2023-07-12 12:03 一、背景 在漏洞扫描领域,主流的扫描方式分为黑盒扫描和白盒扫描,其中源代码安全检测即白盒扫描是安全开发流程(SDLC)中非常重要的一部分。传统漏洞大多数都能通过工具的方式检出,但对于越权漏洞,工具较难解决,在对黑盒工具赋能后, 无恒实验室又尝试探索对白盒工具赋能进行定制化的扫描,下面将为大家分享无
继续阅读【安全圈】安卓程序出现高危漏洞,CISA 要求联邦政府尽快修复
【安全圈】安卓程序出现高危漏洞,CISA 要求联邦政府尽快修复 安全圈 2023-07-11 19:00 关键词 安全漏洞 近日,CISA要求联邦机构尽快修补一个高危的内核驱动特权升级漏洞Arm Mali GPU,该漏洞已被列入到其积极处理的漏洞列表中,并在本月的安卓安全更新中得到解决。 该漏洞(被追踪为CVE-2021-29256)是一种在释放后使用的漏洞,通过允许对GPU内存的不正当操作,让攻
继续阅读99.99%漏洞屏蔽率的NPatch,部署简单+业务0影响,是如何做到的?
99.99%漏洞屏蔽率的NPatch,部署简单+业务0影响,是如何做到的? 刘沙 青藤云安全 2023-07-11 18:27 近年来,信息技术快速发展和普及,改变了企业运营和个人生活的方式,但也让网络安全问题变得越来越复杂。 根据CNVD (国家信息安全漏洞共享平台)公开数据显示,自2015年以来,信息系统安全漏洞的数量一直持续走高,年平均增长率达到了21.6%。2022 年披露出来的安全漏洞则
继续阅读CISA要求联邦政府尽快修复影响安卓程序的高危漏洞
CISA要求联邦政府尽快修复影响安卓程序的高危漏洞 网络安全应急技术国家工程中心 2023-07-11 15:34 近日,CISA要求联邦机构尽快修补一个高危的内核驱动特权升级漏洞Arm Mali GPU,该漏洞已被列入到其积极处理的漏洞列表中,并在本月的安卓安全更新中得到解决。 该漏洞(被追踪为CVE-2021-29256)是一种在释放后使用的漏洞,通过允许对GPU内存的不正当操作,让攻击者升级
继续阅读网络安全漏洞(风险)扫描的12种类型
网络安全漏洞(风险)扫描的12种类型 安全牛 2023-07-10 12:06 漏洞(风险)扫描是保障现代企业数字化转型安全开展过程中一个至关重要的组成部分,可以帮助企业识别数字化系统和应用中的各类安全缺陷。在实际应用时,漏洞扫描的类型需要和它们能够保护的IT环境保持一致。如果充分了解不同类型漏洞扫描技术之间的区别,企业可以提高整体网络安全防御能力,并加固系统以防范潜在威胁。本文收集整理了目前最常
继续阅读9月1日正式开课!系统0day安全-Windows平台漏洞挖掘
9月1日正式开课!系统0day安全-Windows平台漏洞挖掘 釉子 看雪学苑 2023-07-07 18:02 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问题的认
继续阅读太阳能监控产品存在三个RCE漏洞,影响数百家能源机构
太阳能监控产品存在三个RCE漏洞,影响数百家能源机构 Eduard Kovacs 代码卫士 2023-07-06 17:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 漏洞情报公司 VulnCheck 在本周三提醒称,日本公司 Contec 制造的太阳能监控产品受一个已遭活跃利用漏洞 (CVE-2022-29303) 的影响,导致数百家能源组织机构受牵连。 Contec 公司专
继续阅读Smartbi 多个高危漏洞通告
Smartbi 多个高危漏洞通告 原创 360CERT 三六零CERT 2023-07-04 17:14 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-257 报告来源:360CERT 报告作者:360CERT 更新日期:2023-07-04 1 漏洞简述 2023年07月04日,360CERT监测发现Smartbi发布了Smartbi的补丁更新,漏洞分别为Smartbi远程代码
继续阅读通用型漏洞收录|雷神众测星网计划一期全面启动
通用型漏洞收录|雷神众测星网计划一期全面启动 雷神众测 雷神众测 2023-07-04 17:14 2023年夏日,安恒信息|雷神众测全面启动星网计划! 星网计划是雷神众测 定向通用型漏洞收录计划。我们会不定期发布不同的通用型0day漏洞收录方向,主要针对可影响金融行业、通信行业、能源行业、教育行业、医疗行业、云厂商、云原生等重点行业关基相关系统及其供应链系统通用型安全漏洞及相关利用技术研究项目提
继续阅读MOVEit Transfer漏洞成肉鸡收割机–受害者遍及20多个国家10多个行业
MOVEit Transfer漏洞成肉鸡收割机–受害者遍及20多个国家10多个行业 关键基础设施安全应急响应中心 2023-07-04 15:23 流行的文件传输工具MOVEit Transfer中的漏洞引发了广泛的后利用攻击,导致网络安全形势岌岌可危。黑客利用这一安全漏洞发起了一系列攻击,影响了政府、金融、IT服务、能源、大学等多个行业的众多组织,受害者遍布美国、英国、加拿大、法国、
继续阅读CVE-2023-33299:FortiNAC 反序列化漏洞通告
CVE-2023-33299:FortiNAC 反序列化漏洞通告 原创 360CERT 三六零CERT 2023-06-26 16:46 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-239 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-26 1 漏洞简述 2023年06月26日,360CERT监测发现Fortinet发布了FortiNAC的风险通
继续阅读CVE-2023-3128:Grafana 身份认证绕过漏洞通告
CVE-2023-3128:Grafana 身份认证绕过漏洞通告 原创 360CERT 三六零CERT 2023-06-26 16:46 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-240 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-26 1 漏洞简述 2023年06月26日,360CERT监测发现Grafana发布了Grafana的风险通告,
继续阅读CVE-2023-1829:Linux Kernel 权限提升漏洞通告
CVE-2023-1829:Linux Kernel 权限提升漏洞通告 原创 360CERT 三六零CERT 2023-06-21 17:40 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-234 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-21 1 漏洞简述 2023年06月21日,360CERT监测发现Linux发布了Kernel的风险通告,
继续阅读OT:Icefall:Wago 控制器中存在多个漏洞
OT:Icefall:Wago 控制器中存在多个漏洞 Ionut Arghire 代码卫士 2023-06-21 16:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Forescout Technologies 公司详述了影响 Wago 和施耐德电气公司运营技术 (OT) 产品中的三个漏洞。 这些漏洞是 OT:Icefall 研究成果的一部分,该研究成果发现影响13家厂商100多款
继续阅读上周关注度较高的产品安全漏洞(20230612-20230618)
上周关注度较高的产品安全漏洞(20230612-20230618) 国家互联网应急中心CNCERT 2023-06-21 16:25 一、境外厂商产品漏洞 1、Google Chrome类型混肴漏洞 Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 114.0.5735.110之前版本存在类型混肴漏洞,攻击者可利用该漏洞在系统上执行任意代码或导
继续阅读速修!Smartbi 曝身份认证绕过漏洞,可RCE
速修!Smartbi 曝身份认证绕过漏洞,可RCE 原创 微步情报局 微步在线研究响应中心 2023-06-20 16:37 01 漏洞概况**** Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析产品。近日,微步漏洞团队监测到Smartbi官方修复了一个绕过登录漏洞,在某种特定情况下存在默认用户任意登录问题,未经身份验证的攻击者通过该漏洞可获取系统中敏感信息,最终造成敏感信息泄
继续阅读【新课预售】学习Windows平台漏洞挖掘,为企业安全保驾护航!
【新课预售】学习Windows平台漏洞挖掘,为企业安全保驾护航! 原创 釉子 看雪学苑 2023-06-19 17:59 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全
继续阅读