【漏洞通告】Nacos 集群Raft反序列化漏洞
【漏洞通告】Nacos 集群Raft反序列化漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-06 20:39 漏洞名称: Nacos 集群Raft反序列化漏洞 组件名称: Alibaba Nacos 影响范围: 1.4.0 ≤ Alibaba Nacos < 1.4.6 2.0.0 ≤ Alibaba Nacos < 2.2.3 漏洞类型: 反序列化漏洞 利用条件: 1
继续阅读标签: 信息泄露
上周关注度较高的产品安全漏洞(20230529-20230604)
上周关注度较高的产品安全漏洞(20230529-20230604) 国家互联网应急中心CNCERT 2023-06-06 15:50 一、境外厂商产品漏洞 1、Google Android权限提升漏洞(CNVD-2023-41886)**** Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞源于S
继续阅读MOVEit Transfer 漏洞似乎被广泛利用
MOVEit Transfer 漏洞似乎被广泛利用 关键基础设施安全应急响应中心 2023-06-06 15:29 Progress Software 已在其文件传输软件 MOVEit Transfer 中发现一个漏洞,该漏洞可能导致权限提升和潜在的未经授权访问环境,该公司在一份安全公告中表示。 在 MOVEit Transfer Web 应用程序中发现了一个 SQL 注入漏洞,可能允许未经身份
继续阅读CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(四)
CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(四) 原创 本刊编辑部 中国信息安全 2023-06-05 17:36 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 编者按 国家信息安全漏洞库(CNNVD)漏洞奖励计划主要面向单位、团队、个人等社会漏洞研究和发现者。该计划以公平公正、科学择优和安全保密的原则对其发现报送的符合条件的高危通用型漏洞
继续阅读雷神众测漏洞周报2023.05.29-2023.06.04
雷神众测漏洞周报2023.05.29-2023.06.04 雷神众测 雷神众测 2023-06-05 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读API NEWS | Money Lover爆出潜在API漏洞
API NEWS | Money Lover爆出潜在API漏洞 星阑科技 2023-06-05 14:38 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – Money Lover爆出潜在API漏洞 丰田管理运营平台的API漏洞 一篇关于标准测试遗漏的
继续阅读NIST发布《联邦机构漏洞披露指南建议》概述
NIST发布《联邦机构漏洞披露指南建议》概述 安全内参 2023-06-05 11:04 “ 天极按 近日 ,美国国家标准与技术研究院 发布 《 对联邦漏洞披露指南的建议 》。 本文件就建立联邦漏洞披露框架、正确处理漏洞报告以及沟通漏洞的缓解和 /或修复提出了指导建议。该框架在提供联邦监督的同时允许地方解决支持,并应适用于联邦控制下的所有软件、硬件和数字服务。 美国政府漏洞披露 每年都有数以千计的
继续阅读CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(二)
CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(二) 原创 本刊编辑部 中国信息安全 2023-06-01 16:12 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 编者按 国家信息安全漏洞库(CNNVD)漏洞奖励计划主要面向单位、团队、个人等社会漏洞研究和发现者。该计划以公平公正、科学择优和安全保密的原则对其发现报送的符合条件的高危通用型漏洞
继续阅读黑客利用 cookie 插件漏洞攻击 150 万个 WordPress 网站
黑客利用 cookie 插件漏洞攻击 150 万个 WordPress 网站 网络安全应急技术国家工程中心 2023-06-01 14:41 持续的攻击针对名为 Beautiful Cookie Consent Banner 的 WordPress cookie 同意插件中的未经身份验证的存储跨站点脚本 (XSS) 漏洞,该插件具有超过 40,000 个活动安装。 在 XSS 攻击中,威胁参与者将
继续阅读【漏洞预警】WordPress Gravity Forms PHP对象注入漏洞
【漏洞预警】WordPress Gravity Forms PHP对象注入漏洞 SecPulse安全脉搏 2023-06-01 11:10 1. 通告信息 近日,安识科技 A-Team团队监测到Gravity Forms 插件中被披露存在PHP 对象注入漏洞(CVE-2023-28782),目前该漏洞的细节已经公开披露。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以
继续阅读这个Sonos One 扬声器漏洞价值10.5万美元
这个Sonos One 扬声器漏洞价值10.5万美元 Ravie Lakshmanan 代码卫士 2023-05-31 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 上周,ZDI发布报告指出,Sonos One 无线扬声器中存在多个漏洞,可导致信息泄露和远程代码执行后果。 这些漏洞已经由Qrious Secure、STAR Labs 和 DEVCORE 三家公司的研究员
继续阅读API NEWS | 三个Argo CD API漏洞
API NEWS | 三个Argo CD API漏洞 星阑科技 2023-05-31 09:53 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – 关于三个Argo CD API漏洞的文章 Gartner对API安全的看法 分布式标识是现代API安全的
继续阅读上周关注度较高的产品安全漏洞(20230522-20230528)
上周关注度较高的产品安全漏洞(20230522-20230528) 国家互联网应急中心CNCERT 2023-05-30 15:39 一、境外厂商产品漏洞 1、Adobe Substance 3D Painter越界读取漏洞(CNVD-2023-41408) Adobe Substance 3D Painter是美国奥多比(Adobe)公司的一个3D纹理处理应用程序。Adobe Substance
继续阅读云安全案例16: Wiz在黑帽子2021上展示亚马逊云跨租户漏洞
云安全案例16: Wiz在黑帽子2021上展示亚马逊云跨租户漏洞 原创 debugeeker 奶牛安全 2023-05-30 08:00 去年 11 月,Wiz机构 枚举了亚马逊云中允许从其他账户访问的所有服务,检查是否有任何服务可能无意中暴露客户,并在不同的亚马逊云服务中发现了3个漏洞,允许任何人读取或写入其他亚马逊云客户的账户。 亚马逊云 账户的隔离程度如何? 因此,去年 11 月,我们的研究
继续阅读高危漏洞占比上升4%,《2022漏洞威胁分析报告》复盘三大场景漏洞趋势
高危漏洞占比上升4%,《2022漏洞威胁分析报告》复盘三大场景漏洞趋势 智安全 深信服千里目安全技术中心 2023-05-26 20:50 随着2022年度国家信息安全漏洞库(CNNVD)工作总结暨优秀支撑单位表彰大会的召开,深信服凭借卓越的漏洞挖掘和响应处置能力揽获四项荣誉。(《笃行致远,深信服揽获CNNVD多项大奖!》 点击可查看 ) 在漏洞挖掘、利用原理及利用技术分析上,深信服早已有多年沉淀
继续阅读Gitlab任意文件读取漏洞CVE-2023-2825
Gitlab任意文件读取漏洞CVE-2023-2825 深瞳漏洞实验室 深信服千里目安全技术中心 2023-05-25 20:46 漏洞名称: Gitlab任意文件读取漏洞 组件名称: Gitlab 影响范围: GitLab CE 16.0.0 GitLab EE 16.0.0 漏洞类型: 任意文件读取 利用条件: 1、用户认证:是 2、前置条件:嵌套在至少五个组中的公共项目中存在附件 3、触发方
继续阅读使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管
使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管 Eduard Kovacs 代码卫士 2023-05-25 17:44 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 API安全公司 Salt Security 指出,广为使用的应用开发框架 Expo 中存在多个与 OAuth 相关的漏洞,可被用于控制用户账户。 Expo 是一款开源平台,用于为移动设备和 web 开
继续阅读蓝军视角:阿里云 RCE 战火余烬下的启示
蓝军视角:阿里云 RCE 战火余烬下的启示 原创 二喵 CT Stack 安全社区 2023-05-25 12:03 2023年4月19日,Wiz Research 在文章 Accidental ‘write’ permissions to private registry allowed potential RCE to Alibaba Cloud Database Services 中披露了被
继续阅读【已复现】GitLab 目录遍历漏洞(CVE-2023-2825)安全风险通告第二次更新
【已复现】GitLab 目录遍历漏洞(CVE-2023-2825)安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-05-25 11:41 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 Gitlab是目前被广泛使用的基于git的开源代
继续阅读上周关注度较高的产品安全漏洞(20230515-20230521)
上周关注度较高的产品安全漏洞(20230515-20230521) 原创 CNVD CNVD漏洞平台 2023-05-22 17:31 一、境外厂商产品漏洞 1、 Adobe Substance 3D Stager缓冲区溢出漏洞(CNVD-2023-37602) Adobe Substance 3D Stager 是美国奥多比( Adobe )公司的一个虚拟 3D 工作室。 Adobe Subst
继续阅读Apple WebKit 多个漏洞通告
Apple WebKit 多个漏洞通告 原创 360CERT 三六零CERT 2023-05-22 16:06 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-170 报告来源:360CERT 报告作者:360CERT 更新日期:2023-05-19 1 漏洞简述 2023年05月19日,360CERT监测发现Apple发布了Safari的风险通告,漏洞编号为CVE-2023-32
继续阅读【安全圈】注意!苹果又曝 0Day漏洞,iPhoneiPadMac等全部受影响
【安全圈】注意!苹果又曝 0Day漏洞,iPhoneiPadMac等全部受影响 安全圈 2023-05-20 19:00 关键词 漏洞 Bleeping Computer 网站披露,安全研究人员在 WebKit 浏览器引擎中发现了三个零日漏洞,分别被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-3 2373,网络攻击者可以利用这些漏洞,针对 iPhone
继续阅读【安全圈】快更新!iOS 出现严重安全漏洞:黑客可直接盗取你的通讯录
【安全圈】快更新!iOS 出现严重安全漏洞:黑客可直接盗取你的通讯录 安全圈 2023-05-19 19:01 关键词 数据安全 苹果近日发布了iOS 16 /iPad OS 15的更新,主要是为了修复一系列漏洞,提高设备的安全性。这些漏洞如果不及时修复,可能会被黑客利用,造成用户的隐私泄露或数据损失。 iOS/iPadOS 15.7.6 系统修复了两个已被证明被黑客利用的 WebKit 安全漏洞
继续阅读Apple WebKit 多个高危漏洞安全风险通告
Apple WebKit 多个高危漏洞安全风险通告 奇安信 CERT 2023-05-19 16:52 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Apple WebKit 是由苹果公司开发的一款开源浏览器引擎,它是 Safari 浏览器的核心组件,也被 Google、Adobe 等公司使用在其产品中。 WebKit 引擎采用 C++ 语言编写
继续阅读苹果修复3个已遭利用的新 0day
苹果修复3个已遭利用的新 0day Sergiu Gatlan 代码卫士 2023-05-19 15:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果修复了用于攻击 iPhone、Mac 和 iPad 的三个新0day。 苹果公司在安全公告中指出,“苹果已注意到该漏洞可能遭活跃利用的报告。”这三个漏洞均位于多平台的 WebKit 浏览器引擎中,编号为CVE-2023-32409、C
继续阅读【安全头条】CVE-2023-2478:GitLab代码执行漏洞通告
【安全头条】CVE-2023-2478:GitLab代码执行漏洞通告 安全客 2023-05-19 11:33 第511期 你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、思科交换机存在严重漏洞可能允许远程攻击 近日,思科发布更新以解决
继续阅读11个严重的 RCE 漏洞影响数千款 IIoT 设备
11个严重的 RCE 漏洞影响数千款 IIoT 设备 代码卫士 2023-05-17 16:39 聚焦源代码安全,网罗国内外最新资讯! 作者:Elizabeth Montalbano 编译:代码卫士 三款工业蜂窝路由器厂商的云管理平台中存在11个漏洞,可导致运营 (OT) 网络易遭远程代码执行攻击,即使该平台未被活跃配置用于云管理。 Otorio 公司的安全研发团队主管 Eran Jacob 和安
继续阅读工业路由器曝光11个新漏洞,可远程操控数十万台设备和OT网络
工业路由器曝光11个新漏洞,可远程操控数十万台设备和OT网络 网络安全应急技术国家工程中心 2023-05-17 15:39 据悉,与三个 工业路由器供应商相关的云管理平台中披露了多个安全漏洞,这些漏洞可能会使运营技术 (OT) 网络面临外部攻击。 上周,以色列工业网络安全公司 OTORIO 在 Black Hat Asia 2023 会议上公布了调查结果。 这 11 个漏洞允许“远程执行代码并完
继续阅读严重的RCE漏洞导致数以千计的工业物联网设备遭受网络攻击
严重的RCE漏洞导致数以千计的工业物联网设备遭受网络攻击 关键基础设施安全应急响应中心 2023-05-17 15:39 研究人员发现,三个工业蜂窝路由器供应商的云管理平台中的 11 个漏洞使操作技术 (OT) 网络面临远程代码执行的风险,即使该平台未主动配置为云管理也是如此。 这些漏洞非常严重,即使它们只影响来自三个供应商的设备:Sierra Wireless AirLink、Teltonika
继续阅读泛微E-Cology9 任意用户登录漏洞
泛微E-Cology9 任意用户登录漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-05-16 17:47 漏洞名称: 泛微E-Cology9 任意用户登录漏洞 组件名称: E-Cology9 影响范围: E-Cology9 < 10.57.1 漏洞类型: 绕过认证 利用条件: 1、用户认证:否 2、前置条件:默认配置 3、触发方式:远程 综合评价: <综合评定利用难度&g
继续阅读