openfire鉴权绕过漏洞原理解析
openfire鉴权绕过漏洞原理解析 原创 HhhM 山石网科安全技术研究院 2023-06-13 10:53 Openfire是根据开放源 Apache 许可获得许可的实时协作(RTC)服务器。它使用唯一被广泛采用的用于即时消息的开放协议 XMPP(也称为 Jabber)。Openfire 的设置和管理非常简单,但是却提供了坚实的安全性和性能。 Openfire存在鉴权绕过漏洞,允许未经身份验证
继续阅读标签: CVE
【漏洞通告】Fortinet FortiOS SSL-VPN 远程代码执行漏洞CVE-2023-27997
【漏洞通告】Fortinet FortiOS SSL-VPN 远程代码执行漏洞CVE-2023-27997 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-12 20:43 漏洞名称: Fortinet FortiOS SSL-VPN 远程代码执行漏洞(CVE-2023-27997) 组件名称: FortiOS 影响范围: 6.0.0 ≤ FortiOS < 6.0.17 6.2.
继续阅读Fortinet 修复 Fortigate SSL-VPN 设备中严重的 RCE 漏洞
Fortinet 修复 Fortigate SSL-VPN 设备中严重的 RCE 漏洞 Lawrence Abrams 代码卫士 2023-06-12 18:22 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Fortinet 发布新的 Fortigate 固件更新,修复了一个位于 SSL VPN设备中未披露的严重的预认证远程代码执行漏洞。 该修复方案在上周五 FortiOS 固件
继续阅读速修复MOVEit Transfer 中的这个新0day!
速修复MOVEit Transfer 中的这个新0day! Ravie Lakshmanan 代码卫士 2023-06-12 18:22 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 MOVEit Transfer 应用所属公司 Progress Software 发布补丁,修复影响该文件传输解决方案的全新 SQL 漏洞,该漏洞可导致敏感信息被盗。 Progress Softwar
继续阅读CVE-2023-27997:Fortinet FortiOS SSL-VPN 远程代码执行漏洞通告
CVE-2023-27997:Fortinet FortiOS SSL-VPN 远程代码执行漏洞通告 原创 360CERT 三六零CERT 2023-06-12 16:58 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-215 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-12 1 漏洞简述 2023年06月12日,360CERT监测发现Forti
继续阅读雷神众测漏洞周报2023.06.05-2023.06.11
雷神众测漏洞周报2023.06.05-2023.06.11 原创 雷神众测 雷神众测 2023-06-12 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Fortinet FortiOS SSL-VPN 远程代码执行漏洞 (CVE-2023-27997) 安全风险通告
Fortinet FortiOS SSL-VPN 远程代码执行漏洞 (CVE-2023-27997) 安全风险通告 奇安信 CERT 2023-06-12 12:09 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiOS SSL-VPN 远程代码执行漏洞 漏洞编号 QVD-2023-13607、CVE-2023-27997 公开时间 2023-06-
继续阅读CVE复现漏洞精讲-从基础到入门
CVE复现漏洞精讲-从基础到入门 看雪课程 看雪学苑 2023-06-11 17:59 想要成为一名优秀的漏洞挖掘工程师吗? 想要掌握CVE复现能力,提升自己的实战能力吗? 想要深入了解IoT、v8、Windows等多类型漏洞挖掘基础知识和实操吗? 《CVE复现漏洞精讲-从基础到入门》带你走进漏洞挖掘的世界。 如果你想要提升自己的漏洞挖掘能力,买它! 课程简介 本课程属于体系课,分为【初级篇】和【
继续阅读CVE-2022-37969 CLFS 提权漏洞
CVE-2022-37969 CLFS 提权漏洞 hml189 看雪学苑 2023-06-10 18:15 大佬可直接转至https://www.zscaler.com/blogs/security-research/technical-analysis-windows-clfs-zero-day-vulnerability-cve-2022-37969-part 照着文章复现一遍。 通用日志文件
继续阅读GeoServer CQL_FILTER SQL注入漏洞(CVE-2023-25157)
GeoServer CQL_FILTER SQL注入漏洞(CVE-2023-25157) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-10 13:44 漏洞名称: GeoServer CQL_FILTER SQL注入漏洞 组件名称: GeoServer 影响范围: GeoServer < 2.21.4 2.22.0 ≤ GeoServer < 2.22.2 漏洞类型:
继续阅读【已复现】GeoServer SQL注入漏洞(CVE-2023-25157)安全风险通告
【已复现】GeoServer SQL注入漏洞(CVE-2023-25157)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-06-09 19:01 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GeoServer SQL注入漏洞 漏洞编号 QVD-2023-4979、CVE-2023-25157 公开时间 2023-02-21 影响对象数量级 万级 奇安信评
继续阅读【已复现】Windows Win32k 权限提升漏洞 (CVE-2023-29336) 安全风险通告
【已复现】Windows Win32k 权限提升漏洞 (CVE-2023-29336) 安全风险通告 原创 QAX CERT 奇安信 CERT 2023-06-09 19:01 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows Win32k 权限提升漏洞 漏洞编号 QVD-2023-11002、CVE-2023-29336 公开时间 2023-05-09 影响对象
继续阅读尽快更新!VMware修复严重远程代码执行漏洞
尽快更新!VMware修复严重远程代码执行漏洞 看雪学苑 看雪学苑 2023-06-09 17:59 虚拟化巨头VMware于6月9日新发布了多个安全补丁,以解决VMware Aria Operations for Networks中的三个严重漏洞——未经身份验证的攻击者可利用它来远程执行任意代码、访问敏感信息。 VMware Aria Operations for Networks是一个网络可见
继续阅读思科修复企业协作解决方案中的严重漏洞
思科修复企业协作解决方案中的严重漏洞 Ionut Arghire 代码卫士 2023-06-09 17:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周三,思科宣布修复 Expressway 序列和 TelePresence 视频通信服务器 (VCS) 企业协作和视频通信解决方案中的一个严重漏洞CVE-2023-20105,CVSS 评分为9.6。 该漏洞可导致具有“只读”
继续阅读【漏洞预警】VMware Aria Operations for Networks命令注入漏洞
【漏洞预警】VMware Aria Operations for Networks命令注入漏洞 安识科技 SecPulse安全脉搏 2023-06-09 11:49 1. 通告信息 近日,安识科技 A-Team团队监测到VMware发布安全公告,修复了Aria Operations Networks 6.x中的一个命令注入漏洞(CVE-2023-20887),该漏洞的CVSSv3评分为9.8,对
继续阅读漏洞风险提示|GeoServer SQL注入漏洞(CVE-2023-25157)
漏洞风险提示|GeoServer SQL注入漏洞(CVE-2023-25157) 长亭安全应急响应 黑伞安全 2023-06-08 19:50 GeoServer是一款开源的地理数据服务器软件,主要用于发布、共享和处理各种地理空间数据。它支持众多的地图和空间数据标准,能够使各种设备通过网络来浏览和使用这些地理信息数据。近期,长亭科技监测到GeoServer发布新版本修复了一个SQL注入漏洞。经过漏
继续阅读VMware 修复 vRealize 网络分析工具中的严重漏洞
VMware 修复 vRealize 网络分析工具中的严重漏洞 Sergiu Gatlan 代码卫士 2023-06-08 17:52 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 VMware 发布了多个补丁,修复了位于 VMware Aria Operations for Networks 中的多个严重和高危漏洞,它们可导致攻击者获得远程执行或访问敏感信息的权限。 VMware
继续阅读CVE-2023-20887:VMware Aria Operations for Networks命令注入漏洞通告
CVE-2023-20887:VMware Aria Operations for Networks命令注入漏洞通告 原创 360CERT 三六零CERT 2023-06-08 16:59 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-207 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-08 1 漏洞简述 2023年06月08日,360CERT监
继续阅读【安全圈】尽快更新!苹果iTunes出现漏洞,威胁Windows电脑安全
【安全圈】尽快更新!苹果iTunes出现漏洞,威胁Windows电脑安全 安全圈 2023-06-07 19:00 关键词 系统漏洞 苹果公司的iTunes在微软Windows系统上使用时存在一个安全漏洞,可能使攻击者劫持受影响设备的操作系统。虽然目前苹果已经打上了补丁,但该漏洞已经存在了六个月之久。 苹果公司于5月23日推出了适用于Windows10和Windows11的iTunes12.12.
继续阅读[漏洞分析] 【CVE-2021-3490】eBPF verifier 32 位边界计算错误漏洞分析与利用
[漏洞分析] 【CVE-2021-3490】eBPF verifier 32 位边界计算错误漏洞分析与利用 原创 吾爱pojie 吾爱破解论坛 2023-06-07 12:46 作者论坛账号:arttnba3 0x00. 一切开始之前 CVE-2021-3490 是一个发生在 eBPF verifier 中的漏洞,由于 eBPF verifier 在校验位运算操作( 与、或、异或 )时没有正确地更
继续阅读【漏洞通告】Google Chrome 类型混淆漏洞
【漏洞通告】Google Chrome 类型混淆漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-06 20:39 漏洞名称: Google Chrome类型混淆漏洞 组件名称: Google Chrome 影响范围: Google Chrome For Windows<114.0.5735.110 Google Chrome For Linux or Mac<114.0
继续阅读Azure API 管理服务上的经过身份验证的 SSRF 漏洞
Azure API 管理服务上的经过身份验证的 SSRF 漏洞 枇杷五星加强版 黑伞安全 2023-06-06 18:30 我们描述了我们如何发现 Azure API 管理服务上的一个重要的服务器端请求伪造 (SSRF) 漏洞,允许任何经过身份验证的用户请求滥用服务器的任何 URL。 我们于 11 月 12 日向 Microsoft 报告了此漏洞,并于 2022 年 11 月 16 日修复了该漏洞
继续阅读CVE-2023-3079:Google V8类型混淆漏洞通告
CVE-2023-3079:Google V8类型混淆漏洞通告 原创 360CERT 三六零CERT 2023-06-06 15:30 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-201 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-06 1 漏洞简述 2023年06月06日,360CERT监测发现Google官方发布了Google Chrome
继续阅读MOVEit Transfer 漏洞似乎被广泛利用
MOVEit Transfer 漏洞似乎被广泛利用 关键基础设施安全应急响应中心 2023-06-06 15:29 Progress Software 已在其文件传输软件 MOVEit Transfer 中发现一个漏洞,该漏洞可能导致权限提升和潜在的未经授权访问环境,该公司在一份安全公告中表示。 在 MOVEit Transfer Web 应用程序中发现了一个 SQL 注入漏洞,可能允许未经身份
继续阅读【安全圈】Zyxel 防火墙曝出高危安全漏洞,现已修复!
【安全圈】Zyxel 防火墙曝出高危安全漏洞,现已修复! 安全圈 2023-06-05 19:01 关键词 安全漏洞 日前,Zyxel发布了一份指南,旨在保护防火墙和VPN设备免受利用CVE-2023-28771、CVE-2023-33009和CVE-2023-33010漏洞的持续攻击。 指南中提到,该公司一直在通过多种渠道敦促用户安装补丁,比如已经给注册用户和资讯订阅者发送了多份安全资讯,通过本
继续阅读插件分享 | Headshot ⼀击即中,对指定URL进行漏洞批量扫描
插件分享 | Headshot ⼀击即中,对指定URL进行漏洞批量扫描 原创 kv2 GobySec 2023-06-05 18:14 G o b y 社 区 第 2 4 篇 插 件 分 享 文 章 全 文 共 : 2445 字 预 计 阅 读 时 间 : 7 分 钟 在⼀次真实的攻防场景中,我们发现了⼀个存在 Struts2 漏洞的地址,这个地址在我们通过 Fuzz 获得的⼆级⽬录下,这使得 G
继续阅读Splunk 企业版修复多个高危漏洞
Splunk 企业版修复多个高危漏洞 Ionut Arghire 代码卫士 2023-06-05 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 上周四,Splunk 公司发布 Splunk 企业版安全更新,修复了多个高危漏洞,其中一些影响该产品使用的第三方程序包。 其中最严重的漏洞是权限提升漏洞CVE-2023-32707,可导致具有 ‘edit_user’能力的低权限
继续阅读MOVEit 文件传输软件0day被用于窃取数据
MOVEit 文件传输软件0day被用于窃取数据 Eduard Kovacs 代码卫士 2023-06-05 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 5月31日,Progress Software 提醒称 MOVEit Transfer 管理文件传输 (MFT) 软件受一个严重的SQL注入漏洞影响,可导致未认证攻击者访问 MOVEit Transfer 数据库。
继续阅读雷神众测漏洞周报2023.05.29-2023.06.04
雷神众测漏洞周报2023.05.29-2023.06.04 雷神众测 雷神众测 2023-06-05 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读NIST发布《联邦机构漏洞披露指南建议》概述
NIST发布《联邦机构漏洞披露指南建议》概述 安全内参 2023-06-05 11:04 “ 天极按 近日 ,美国国家标准与技术研究院 发布 《 对联邦漏洞披露指南的建议 》。 本文件就建立联邦漏洞披露框架、正确处理漏洞报告以及沟通漏洞的缓解和 /或修复提出了指导建议。该框架在提供联邦监督的同时允许地方解决支持,并应适用于联邦控制下的所有软件、硬件和数字服务。 美国政府漏洞披露 每年都有数以千计的
继续阅读