四款微软Azure服务存在漏洞,可导致云资源遭越权访问
四款微软Azure服务存在漏洞,可导致云资源遭越权访问 Ravie Lakshmanan 代码卫士 2023-01-20 13:11 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 四款不同的微软 Azure服务易受服务器端请求伪造 (SSRF) 攻击,可使攻击者获得对云资源的越权访问权限。 这些漏洞是由Orca公司在2022年10月8日至2022年12月2日在Azure API Manag
继续阅读标签: CVE
TP-Link 和 NetComm 路由器中存在多个远程代码执行漏洞
TP-Link 和 NetComm 路由器中存在多个远程代码执行漏洞 Ionut Arghire 代码卫士 2023-01-19 18:00 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 TP-Link 和 NetComm 路由器机型中存在多个漏洞,可用于实现远程代码执行 (RCE)。 TP-Link WR710N-V1-151022和Archer-C5-V2-160201 SOHO 路由
继续阅读CISA提醒注意西门子、通用数字和康泰克工控系统中的漏洞
CISA提醒注意西门子、通用数字和康泰克工控系统中的漏洞 Ravie Lakshmanan 代码卫士 2023-01-19 18:00 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 发布四份工控安全公告,说明了影响西门子、通用数字 (GE Digital) 和日本康泰克 (Contec) 多款产品的安全漏洞。 其中最严重的漏洞是位于西门子SINE
继续阅读厂商纷纷主动绕过Adobe发布的CVE-2022-24086安全补丁
厂商纷纷主动绕过Adobe发布的CVE-2022-24086安全补丁 Ionut Arghire 代码卫士 2023-01-19 18:00 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 电商安全公司 Sansec 提醒称,厂商和机构正在主动绕过Adobe 在2022年2月发布的CVE-2022-24086的安全补丁。该漏洞是位于Adobe Commerce 和 Magento 商店的严重
继续阅读【安全圈】ManageEngine 曝出严重漏洞,攻击者无需身份验证即可远程运行代码
【安全圈】ManageEngine 曝出严重漏洞,攻击者无需身份验证即可远程运行代码 安全圈 2023-01-18 18:30 关键词 漏洞 IT之家 1 月 17 日消息,来自 Horizon3 Attack Team 的网络安全研究人员公布了一个概念验证 (PoC) 漏洞,这一漏洞存在于诸多 VMware 产品中。 据介绍,CVE-2022-47966 漏洞可允许攻击者无需身份验证即可在 Ma
继续阅读从美国CISA KEV项目看海量漏洞管理方法
从美国CISA KEV项目看海量漏洞管理方法 安全内参 2023-01-18 18:06 现状与难点 01 新形势下漏洞管理重要性凸显 在信息科技高速发展的时代背景下,信息技术产品供应链愈发庞大,网络威胁形势不断变化,网络运营者面临高水平的安全运营需求,漏洞管理已经成为安全运营中最直接、最关键的组成部分。各国政府、产业界均在不断探索完善科学、规范的漏洞管理机制,围绕此焦点的新政策、新要求、新机制、
继续阅读谷歌浏览器“SymStealer”漏洞:可窃取用户敏感文件
谷歌浏览器“SymStealer”漏洞:可窃取用户敏感文件 看雪学苑 看雪学苑 2023-01-16 17:59 近期,网络安全公司Imperva的红队披露了一个名为“SymStealer”的漏洞(CVE-2022-3656),据称影响超过25亿Google Chrome以及基于Chromium的浏览器用户。此漏洞允许攻击者窃取敏感文件,如加密钱包和云提供商凭据。 据悉,Chrome是目前使用最广
继续阅读【安全圈】竟然不修复!思科企业路由器存在严重漏洞
【安全圈】竟然不修复!思科企业路由器存在严重漏洞 安全圈 2023-01-14 18:31 关键词 漏洞、思科 思科中小企业产品线RV016、RV042、RV042G和RV082路由器上的网页管理界面存在 严重漏洞 ,使得远程攻击者可以绕过身份验证,并在底层操作系统上执行任意命令。 但由于这些路由器生命周期已结束,思科表示不会发布新软件解决这些路由器上的漏洞。 思科这些RV系列中小企业路由器的所有
继续阅读思科不打算修复SMB路由器中严重的认证绕过漏洞
思科不打算修复SMB路由器中严重的认证绕过漏洞 Tara Seals 代码卫士 2023-01-13 17:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科SMB路由器中存在两个严重的漏洞(CVE-2023-20025和CVE-2023-20026),可导致未认证攻击者完全控制目标设备,以root权限运行命令。遗憾的是,即使已存在在野PoC exploit,思科仍然不打算修复。 漏
继续阅读PowerShell 远程代码执行漏洞(CVE-2022-41076)安全风险通告二次更新
PowerShell 远程代码执行漏洞(CVE-2022-41076)安全风险通告二次更新 原创 QAX CERT 奇安信 CERT 2023-01-13 10:32 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到互联网上公开PowerShell 远程代码执行漏洞(CVE-2022-41076)技术细节及PoC,国外厂商
继续阅读【已复现】禅道项目管理系统远程命令执行漏洞安全风险通告
【已复现】禅道项目管理系统远程命令执行漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-13 10:32 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 禅道项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,完整覆盖了研发项目管理的核心流程。 近
继续阅读CVE-2023-21752:Windows Backup Service权限提升漏洞通告
CVE-2023-21752:Windows Backup Service权限提升漏洞通告 原创 360CERT 三六零CERT 2023-01-12 16:51 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-011201 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-12 1 漏洞简述 2023年01月12日,360CERT监测发现Windows Bac
继续阅读微软2023年1月补丁日多产品安全漏洞风险通告
微软2023年1月补丁日多产品安全漏洞风险通告 原创 QAX CERT 奇安信 CERT 2023-01-11 11:36 奇安信CERT 致力于 第一时间为企业级用户提供安全风险 通告 和 有效 解决方案。 通告摘要 本月,微软共发布了99个漏洞的补丁程序,修复了Microsoft Exchange Server、Microsoft SharePoint、Windows LDAP、Microso
继续阅读热门开源库 JsonWebToken 存在RCE漏洞,可引发供应链攻击
热门开源库 JsonWebToken 存在RCE漏洞,可引发供应链攻击 Bill Toulas 代码卫士 2023-01-10 17:57 聚焦源代码安全,网罗国内外最新资讯!**** 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复
继续阅读Fortinet FortiADC 命令注入漏洞(CVE-2022-39947)安全风险通告
Fortinet FortiADC 命令注入漏洞(CVE-2022-39947)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-09 17:03 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Fortinet(飞塔)是一家全球知名的网络安全产品和安全解决方案提供商,其产品包括防火墙、防病毒软件、入侵防御系统和终端安全组件等
继续阅读【已复现】GitLab 远程代码执行漏洞安全风险通告第二次更新
【已复现】GitLab 远程代码执行漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-01-09 17:03 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理,同时可以搭建W
继续阅读雷神众测漏洞周报2023.1.3-2023.1.8
雷神众测漏洞周报2023.1.3-2023.1.8 原创 雷神众测 雷神众测 2023-01-09 15:00 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此
继续阅读CVE-2022-39947/35845:Fortinet 命令注入漏洞通告
CVE-2022-39947/35845:Fortinet 命令注入漏洞通告 原创 360CERT 三六零CERT 2023-01-06 17:57 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-010601 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-06 1 漏洞简述 2023年01月06日,360CERT监测发现Fortinet官方发布了Forti
继续阅读CVE-2022-43931:Synology VPN Plus Server越界写入漏洞通告
CVE-2022-43931:Synology VPN Plus Server越界写入漏洞通告 原创 360CERT 三六零CERT 2023-01-06 17:57 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-010602 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-06 1 漏洞简述 2023年01月06日,360CERT监测发现Synology官
继续阅读Fortinet 两款产品FortiTester和FortiADC中存在高危命令注入漏洞
Fortinet 两款产品FortiTester和FortiADC中存在高危命令注入漏洞 Ionut Arghire 代码卫士 2023-01-05 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,网络安全解决方案提供商Fortinet 发布了产品中多个漏洞的补丁,并将FortiADC中的高危命令注入漏洞告知客户。该漏洞的编号是CVE-2022-39947,位于FortiA
继续阅读Zoho:立即修复这个严重的ManageEngine漏洞!
Zoho:立即修复这个严重的ManageEngine漏洞! Sergiu Gatlan 代码卫士 2023-01-05 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Zoho 督促客户修复影响多款ManageEngine产品的一个严重漏洞。本周一,Zoho 公司提醒称,“该安全公告是为了告知大家,我们检测到了一个严重的安全漏洞。” 该漏洞的编号是CVE-2022-47523,是
继续阅读Notional Double Counting Free Collateral 分析和复现
Notional Double Counting Free Collateral 分析和复现 ghostmazeW 看雪学苑 2023-01-05 18:03 本文为看雪论坛优秀文章 看雪论坛作者ID:ghostmazeW Notional( https://notional.finance/portfolio/ ) 简单说来就是一个固定周期,固定利率的借贷池,主要支持Borrow,lend以及P
继续阅读Synology 修复严重的VPN路由器漏洞,CVSS评分10分
Synology 修复严重的VPN路由器漏洞,CVSS评分10分 Sergiu Gatlan 代码卫士 2023-01-04 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 台湾NAS厂商Synology 修复了一个CVSS评分为10分的严重漏洞,影响配置为VPN服务器运行的路由器。 VPN Plus Server 是一款虚拟的私有网络服务器,可使管理员将Synology路由器设
继续阅读Apache Kylin多个命令注入漏洞安全风险通告
Apache Kylin多个命令注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-03 18:53 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Apache Kylin 是一个开源的、分布式的分析型数据仓库,提供Hadoop或Spark之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 e
继续阅读【处置手册】Exchange Server OWASSRF漏洞(CVE-2022-41080/CVE-2022-41082)
【处置手册】Exchange Server OWASSRF漏洞(CVE-2022-41080/CVE-2022-41082) 原创 NS-CERT 绿盟科技CERT 2022-12-29 19:43 通告编号:NS-2022-0034 2022-12-29 TAG: Exchange Server、OWA、任意代码执行、SSRF 漏洞危害: 攻击者利用此漏洞可实现任意命令执行 版本: 1.0 1
继续阅读重磅福利 | X情报社区全面开放漏洞情报能力!
重磅福利 | X情报社区全面开放漏洞情报能力! 微步在线 2022-12-28 19:21 漏洞,是入侵目标最有效的方法之一。 因此,在如今漏洞满天飞的攻防形势下,只有及时掌握最关键/活跃的漏洞情报信息,才能不陷于被动 。 最近流行的漏洞是什么? 这些漏洞利用有什么特征? 谁在用这些漏洞搞事情? 这些漏洞的解决方案是什么? …… …… 你都知道吗? 为了帮助大家快速找到答案,快速应对漏洞威胁,
继续阅读CVE-2022-41966:XStream 拒绝服务漏洞通告
CVE-2022-41966:XStream 拒绝服务漏洞通告 原创 360CERT 三六零CERT 2022-12-28 18:13 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-122801 报告来源:360CERT 报告作者:360CERT 更新日期:2022-12-28 1 漏洞简述 2022年12月28日,360CERT监测发现XStream官方发布漏洞通告,漏洞编号为CVE-
继续阅读【已复现】Microsoft Exchange Server “OWASSRF” 漏洞安全风险通告
【已复现】Microsoft Exchange Server “OWASSRF” 漏洞安全风险通告 代码卫士 2022-12-26 17:38 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Microsoft Exchange Server是微软公司的一套电子邮件服务组件。 除传统的电子邮件的存取、储存、转发功能外,在新版
继续阅读CVE-2022-47939:Linux Kernel ksmbd UAF远程代码执行漏洞通告
CVE-2022-47939:Linux Kernel ksmbd UAF远程代码执行漏洞通告 原创 360CERT 三六零CERT 2022-12-26 17:16 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-122602 报告来源:360CERT 报告作者:360CERT 更新日期:2022-12-26 1 事件简述 2022年12月26日,360CERT监测发现Linux Ker
继续阅读macOS漏洞可绕过安全检查
macOS漏洞可绕过安全检查 关键基础设施安全应急响应中心 2022-12-26 15:35 微软研究人员在macOS中发现一个安全漏洞,攻击者利用该漏洞可以实现安全检查绕过。 Gatekeeper是macOS中的一个安全特征,可以自动检查从互联网下载的Mac APP是经过公证的还是开发者自签名的,并要求用户在启动前进行确认或发布关于APP不可信的预警消息。 微软首席安全研究员Jonathan B
继续阅读