雷神众测漏洞周报2022.9.05-2022.9.11
雷神众测漏洞周报2022.9.05-2022.9.11 雷神众测 雷神众测 2022-09-13 15:00 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增
继续阅读标签: CVE
【技术干货】CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考
【技术干货】CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考 星阑科技 2022-09-13 13:26 xxhzz @PortalLab实验室 前言 在此之前,已经对CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞进行了分析,它和CVE-2022-22978漏洞产生原理上,本质是一样的。在分
继续阅读Microsoft VPN远程代码执行漏洞分析1-CVE-2022-23252
Microsoft VPN远程代码执行漏洞分析1-CVE-2022-23252 原创 信创安全实验室 山石网科安全技术研究院 2022-09-13 10:43 之前对于windows平台漏洞分析中我们都集中分析了本地提权类别的相关漏洞,很少有远程代码执行漏洞进行过分析,该系列中我们将分析4个windows内核远程代码执行漏洞,揭示这些很少被分析的攻击面。 CVE-2022-23253 是 Nett
继续阅读API NEWS | Bitbucket 服务器中的命令注入漏洞
API NEWS | Bitbucket 服务器中的命令注入漏洞 星阑科技 2022-09-08 10:43 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – 关于 Atlassian Bitbucket 服务器中的命令注入漏洞 关于每月发生的API安
继续阅读如何在当今不断变化的威胁环境中,实现漏洞管理的现代化
如何在当今不断变化的威胁环境中,实现漏洞管理的现代化 lucywang 嘶吼专业版 2022-09-06 12:05 目前许多组织继续依赖于传统的漏洞管理解决方案、风险评估,以及必须手动应用的一长串补丁和安全控制更改。统计数据表明,这是行不通的,近70%的组织仍然容易受到WannaCry攻击,超过 80% 的组织认为他们容易因配置错误而受到攻击。 这篇文章介绍了当今的威胁格局是如何演变的,它给努力
继续阅读抖音国际版安卓APP安全漏洞可劫持用户账户
抖音国际版安卓APP安全漏洞可劫持用户账户 ang010ela 嘶吼专业版 2022-09-06 12:05 抖音国际版安卓APP安全漏洞可实现用户账户劫持。 2022年2月,微软研究人员在TikTok(抖音国际版)安卓APP中发现了一个严重安全漏洞,漏洞CVE编号为CVE-2022-28799,CVSS评分8.3分。攻击者利用该漏洞可以诱使目标点击特定的恶意链接,只需一次点击就可以劫持账户。 触
继续阅读雷神众测漏洞周报2022.08.29-2022.09.04-4
雷神众测漏洞周报2022.08.29-2022.09.04-4 原创 雷神众测 雷神众测 2022-09-05 15:07 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不
继续阅读Google Chrome 沙箱逃逸漏洞安全风险通告
Google Chrome 沙箱逃逸漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-09-04 20:17 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到Google Chrome官方紧急发布安全更新,修复了Google Chrome沙箱逃逸漏洞(CVE-2022-3075),由于Mojo中不恰当的
继续阅读【风险提示】天融信关于GitLab存在CVE-2022-2992 RCE漏洞的风险提示
【风险提示】天融信关于GitLab存在CVE-2022-2992 RCE漏洞的风险提示 原创 天融信应急响应 天融信阿尔法实验室 2022-08-31 17:37 0x00背景介绍 8月31日,天融信阿尔法实验室监测到GitLab存在RCE漏洞的相关信息,目前官方已经发布修复版本。 0x01漏洞简述 GitLab是一个利用 Ruby on Rails 开发的开源应用程序,实现一个自托管的Git项目
继续阅读【技术干货】VMware 系列产品之身份验证绕过和JDBC注入漏洞分析
【技术干货】VMware 系列产品之身份验证绕过和JDBC注入漏洞分析 星阑科技 2022-08-29 16:09 xxhzz @PortalLab实验室 前言 在此前分析了CVE-2022-22972 VMware Workspace ONE Access和CVE-2022-22954 VMware Workspace ONE Access SSTI RCE之后,发现当时的安全公告中同时披露了
继续阅读DirtyCred:存在8年的Linux kernel漏洞
DirtyCred:存在8年的Linux kernel漏洞 关键基础设施安全应急响应中心 2022-08-29 14:59 研究人员发现存在8年的Linux kernel漏洞——DirtyCred。 美国西北大学研究人员在Linux kernel中发现了一个存在长达8年之久的安全漏洞——DirtyCred,CVE编号为CVE-2022-2588,攻击者利用该漏洞可以将权限提升到最高级别。 Dirt
继续阅读安全头条 |2022年中国网络文明大会主论坛在天津举行;CNNVD通报关于苹果的多个安全漏洞情况
安全头条 |2022年中国网络文明大会主论坛在天津举行;CNNVD通报关于苹果的多个安全漏洞情况 安全牛 2022-08-29 12:13 点击蓝字·关注我们 AQNIU 上周安全热点回顾 • 2022年中国网络文明大会主论坛在天津举行 • 工信部等七部门印发《信息通信行业绿色低碳发展行动计划(2022-2025年)》 • 《公路水路关键信息基础设施安全保护管理办法》公开征求意见 • 广东省邮政管
继续阅读原创Paper | Cisco RV340 wfapp 命令注入漏洞(CVE-2022-20827)分析
原创Paper | Cisco RV340 wfapp 命令注入漏洞(CVE-2022-20827)分析 原创 404实验室 知道创宇404实验室 2022-08-29 09:50 作者:Rivaille@知道创宇404实验室日期:2022年8月29日 漏洞原理 这个漏洞是cisco RV340 和cisco RV160 系列中存在的一个命令注入漏洞,命令注入发生在wfapp 中,漏洞原理如下。
继续阅读GitLab修复了CE、EE版本中一个远程代码执行漏洞
GitLab修复了CE、EE版本中一个远程代码执行漏洞 网络安全应急技术国家工程中心 2022-08-26 15:01 近期,Security Affairs 网站披露,DevOps 平台 GitLab 修复了其社区版(CE)和企业版(EE)中出现的一个关键远程代码执行漏洞,该漏洞被追踪为 CVE-2022-2884(CVSS 评分 9.9)。 据悉,攻击者经过“身份验证”后,可以通过 GitHu
继续阅读GitLab存在严重漏洞,允许通过Github导入实现远程命令执行
GitLab存在严重漏洞,允许通过Github导入实现远程命令执行 看雪学苑 看雪学苑 2022-08-25 18:02 本周一,GitLab发布了其社区版(CE)和企业版(EE)的15.3.1、15.2.3、15.1.5版本,其中包含重要的安全修复程序。 在公告中,GitLab强烈建议用户立即将其GitLab升级到这些版本之一,因GitLab CE/EE中存在一个高危漏洞。 GitLab是一个使
继续阅读超过8万台海康威视摄像头受漏洞影响
超过8万台海康威视摄像头受漏洞影响 网络安全应急技术国家工程中心 2022-08-25 15:43 概述 安全研究人员发现有超过8万台海康威视摄像头受到CVE-2021-36260漏洞的影响。CVE-2021-36260漏洞是一个命令注入漏洞,攻击者利用该漏洞可以发送伪造的消息给有漏洞的web服务器以实现命令注入。海康威视已于2021年9月通过固件更新修复了该漏洞。 但CYFIRMA研究人员发现分
继续阅读微软公开披露关键 ChromeOS 漏洞的细节
微软公开披露关键 ChromeOS 漏洞的细节 网络安全应急技术国家工程中心 2022-08-25 15:43 微软分享了一个关键的 ChromeOS 漏洞的技术细节,该漏洞可被利用来触发 DoS 条件或远程代码执行。被跟踪为 CVE-2022-2587(CVSS 得分为 9.8)的关键 ChromeOS 漏洞的详细信息。该漏洞是 OS Audio Server 中的一个越界写入问题,可被利用来触
继续阅读2022上半年XIoT安全态势-XIoT环境下信息物理系统的漏洞披露和补救措施
2022上半年XIoT安全态势-XIoT环境下信息物理系统的漏洞披露和补救措施 关键基础设施安全应急响应中心 2022-08-25 15:43 工业网络安全公司Claroty当地时间24日透露,物联网漏洞、供应商自我披露以及完全或部分修复的固件漏洞有所增加。该公司分析了今年前六个月影响扩展物联网(XIoT)环境的漏洞披露和补救措施。它指出,要评估这些关键部门的风险,决策者必须对脆弱性环境有一个完整
继续阅读【技术干货】CVE-2022-0540 Jira身份验证绕过漏洞分析
【技术干货】CVE-2022-0540 Jira身份验证绕过漏洞分析 星阑科技 2022-08-25 11:07 xxhzz @PortalLab实验室 前言 在上篇分析CVE-2022-26135Atlassian Jira Mobile Plugin SSRF漏洞 之后,发现在此之前,jira也曾爆出过身份验证绕过漏洞,CVE编号为cve-2022-0540。趁着环境还热乎,对其产生的原理和代
继续阅读GitLab远程代码执行漏洞 (CVE-2022-2884) 安全风险通告
GitLab远程代码执行漏洞 (CVE-2022-2884) 安全风险通告 安全内参 2022-08-24 19:07 近日,奇安信CERT监测到GitLab官方发布GitLab远程代码执行漏洞(CVE-2022-2884)通告,经过身份认证的远程攻击者可通过GitHub导入功能实现远程代码执行。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。 漏洞名称 GitLab 远程代码执行漏洞 公开时
继续阅读2022最危险的五个API安全漏洞
2022最危险的五个API安全漏洞 关键基础设施安全应急响应中心 2022-08-24 14:56 API安全漏洞仍然是企业的眼中钉,访问控制漏洞几乎成了高危漏洞的代名词。 API作为系统功能之间的关键通信方法,在网络服务中扮演着关键作用,已经成为网络攻击的热门目标。 根据API安全公司Wallarm最新发布的“2022年一季度API漏洞”报告,第一季度共发现并报告了48个与API相关的漏洞(下图
继续阅读CNNVD | 关于苹果多个安全漏洞情况的通报
CNNVD | 关于苹果多个安全漏洞情况的通报 中国信息安全 2022-08-23 19:48 扫码订阅《中国信息安全》杂志 邮发代号 2-786 征订热线:010-82341063 近日,国家信息安全漏洞库(CNNVD)收到关于Apple macOS Monterey安全漏洞(CNNVD-202208-3348、 CVE-2022-32894 )和Apple macOS Monterey安全漏洞
继续阅读微软详述严重的 ChromeOS 漏洞
微软详述严重的 ChromeOS 漏洞 综合编译 代码卫士 2022-08-23 17:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周五,微软详述了ChromeOS 中严重漏洞 (CVE-2022-2587) 的详情。该漏洞可用于执行拒绝服务 (DoS) 攻击,并在一些情况下可导致远程代码执行后果。 CVE-2022-2587是一个界外写漏洞,CVSS评分为9.8,由微软 365
继续阅读苹果曝严重漏洞冲上热搜第一,黑客或可完全接管设备
苹果曝严重漏洞冲上热搜第一,黑客或可完全接管设备 看雪学苑 看雪学苑 2022-08-22 17:58 近日 ,一则关于“苹果曝出严重安全漏洞”的话题登上了微博热搜第一。 据悉,苹果公司发现其存在两个零日漏洞,影响范围涵盖几乎所有苹果产品,而黑客能够利用这些漏洞执行任意代码,从而获得设备的“完全管理权限”并运行其上的任何应用软件。 其中一个漏洞是内核错误(CVE-2022-32894),它同时存在
继续阅读雷神众测漏洞周报2022.8.15-2022.8.21
雷神众测漏洞周报2022.8.15-2022.8.21 原创 雷神众测 雷神众测 2022-08-22 15:51 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读微软修复”DogWalk “0 day漏洞和其他的17个关键性的漏洞
微软修复”DogWalk “0 day漏洞和其他的17个关键性的漏洞 网络安全应急技术国家工程中心 2022-08-22 15:33 微软正在敦促用户修补一个名为Dogwalk的0 day漏洞,该漏洞目前在野外一直被大量攻击利用。该漏洞(CVE-2022-34713)与微软Windows支持诊断工具有关,它允许远程攻击者在有漏洞的系统上执行任意代码。 该警告是在8月大规模补
继续阅读精品新课!Windows内核漏洞分析与EXP编写技巧
精品新课!Windows内核漏洞分析与EXP编写技巧 看雪课程 看雪学苑 2022-08-21 17:59 内核,是一个操作系统的核心。 是基于硬件的第一层软件扩充,提供操作系统的最基本的功能,是操作系统工作的基础,它负责管理系统的进程、内存、设备驱动程序、文件和网络系统,决定着系统的性能和稳定性。 作为讲师,一直以来都想找寻一个比较简单、通俗易懂的方法将很难的东西传授给学员,但是“内核“这个知识
继续阅读关于Apple操作系统越界写入漏洞和Apple WebKit越界写入漏洞的安全公告
关于Apple操作系统越界写入漏洞和Apple WebKit越界写入漏洞的安全公告 原创 CNVD CNVD漏洞平台 2022-08-21 17:52 安全公告编号:CNTA-2022-0021 2022年8月21日,国家信息安全漏洞共享平台(CNVD)收录了Apple操作系统越界写入漏洞(CNVD-2022-58457,对应CVE-2022-32894)和Apple WebKit越界写入漏洞(C
继续阅读Apple 多个高危漏洞安全风险通告
Apple 多个高危漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-08-21 17:00 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到 Apple WebKit 代码执行漏洞(CVE-2022-32893)、Apple Kernel 权限提升漏洞(CVE-2022-32894)。 Apple W
继续阅读英特尔新型CPU漏洞可致敏感数据泄露
英特尔新型CPU漏洞可致敏感数据泄露 网络安全应急技术国家工程中心 2022-08-19 14:49 研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏(CVE-2022-21233)是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。 ÆP
继续阅读