未修复漏洞可导致水泵控制器遭远程攻击
未修复漏洞可导致水泵控制器遭远程攻击 Eduard Kovacs 代码卫士 2023-03-31 18:37 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 ProPump and Controls 公司制造的一款水泵系统受多个漏洞影响,可导致黑客引发重大问题。 受影响产品是由该公司制造的 Osprey Pump Controller。该公司位于美国,专注于为大规模应用制造水泵系统和自动化控
继续阅读标签: EXP
原创Paper | parse-server 从原型污染到 RCE 漏洞(CVE-2022-39396) 分析
原创Paper | parse-server 从原型污染到 RCE 漏洞(CVE-2022-39396) 分析 原创 404实验室 知道创宇404实验室 2023-03-31 16:51 作者:billion@知道创宇404实验室日期:2023年3月31日 parse-server公布了一个原型污染的RCE漏洞,看起来同mongodb有关联,so跟进&&分析一下。 1、BSON潜在
继续阅读3CXDesktop App 代码执行漏洞安全风险通告
3CXDesktop App 代码执行漏洞安全风险通告 奇安信 CERT 2023-03-31 14:08 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 3CXDesktop App 是一款跨平台桌面电话应用程序,适用于Linux、MacOS 和 Windows。 3CXDesktop 允许用户通过聊天、消息、视频和语音进行交互。 3CX在全球1
继续阅读【恶意文件】Magniber勒索软件借助微软的漏洞实施攻击
【恶意文件】Magniber勒索软件借助微软的漏洞实施攻击 深盾研究实验室 深信服千里目安全技术中心 2023-03-30 19:33 恶意家族名称: Magniber 威胁类型: 勒索软件 简单描述: Magniber勒索家族的前身是Cerber,至少从2021年10月已经开始活跃,最初主要针对韩国,从今年年初开始,该组织日益活跃,攻击范围开始遍布全球,包括中国大陆、中国台湾、中国香港、马来西亚
继续阅读商业监控软件厂商利用多个0day 攻击安卓和 iOS 设备
商业监控软件厂商利用多个0day 攻击安卓和 iOS 设备 Ravie Lakshmanan 代码卫士 2023-03-30 18:16 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌威胁分析团队 (TAG) 披露称,商业监控软件厂商利用去年修复的多个0day 漏洞攻击安卓和 iOS 设备。 研究人员表示,这两起攻击活动影响范围有限且针对性强,利用补丁发布和部署之间的时间差发动攻击。报
继续阅读苹果修复老旧设备中的已遭利用 WebKit 0day
苹果修复老旧设备中的已遭利用 WebKit 0day Sergiu Gatlan 代码卫士 2023-03-28 19:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果发布安全更新,向后兼容上周发布的补丁,修复老旧 iPhone 和 iPad 中的已遭利用的0day 漏洞CVE-2023-23529。 该漏洞是位于 WebKit 中的类型混淆漏洞,苹果已于今年2月13日在更新版本
继续阅读JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改
JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改 taamr 火线Zone 2023-03-28 18:04 序 最近复现学习Fastjson反序列化漏洞利用的时候,用JNDIExploit注入内存马发现连接不上,得魔改冰蝎,再仔细搜索了几篇文档发现新版的冰蝎已经不用魔改也可以连接了,但是目前开源的JNDIExploit的内存马逻辑得改一改。 后面一想,魔改冰蝎还不如改一改
继续阅读Ronin 黑客计中计,你听说过扭曲攻击漏洞吗?
Ronin 黑客计中计,你听说过扭曲攻击漏洞吗? 原创 慢雾安全团队 慢雾科技 2023-03-28 17:59 By: Johan 据慢雾安全团队情报,2023 年 3 月 13 日,Ethereum 链上的借贷项目 Euler Finance 遭到攻击,攻击者获利约 2 亿美元。 黑客在攻击完 Euler 后,为了混淆视听逃避追查,转了 100 ETH 给盗取了 Ronin 6.25 亿多美金
继续阅读精品新课!系统0day安全-二进制漏洞攻防
精品新课!系统0day安全-二进制漏洞攻防 看雪课程 看雪学苑 2023-03-27 17:59 二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成软件执行了非预期的功能。由于二进制漏洞大都涉及到系统层面,所以危害程度比较高。 因此,二进制漏洞的挖掘和分析就显得尤为重要,不仅能帮助安全从业者强化解决实际问题能力,掌握高效防御技能,还能及时发现业务系统内潜在的问题,赋能企业安全! 小
继续阅读雷神众测漏洞周报2023.03.20-2023.03.26
雷神众测漏洞周报2023.03.20-2023.03.26 原创 雷神众测 雷神众测 2023-03-27 15:21 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读ChatGPT 写 PoC,拿下漏洞!
ChatGPT 写 PoC,拿下漏洞! 渊龙Sec安全团队 2023-03-24 19:51 Goby社区第 23 篇技术分享文章 全文共: 3901 字 预计阅读时间: 10 分钟 01 前言**** ChatGPT(Chat Generative Pre-trained Transformer)是当今备受瞩目的智能AI聊天机器人之一。它不仅能够实现基本的语言交流,还具备许多强大的功能,例
继续阅读GoEXP将于3月31日暂停漏洞收录通知
GoEXP将于3月31日暂停漏洞收录通知 GobySec 2023-03-24 19:36 敬爱的白帽师傅们: 春风万里,大地复苏。今年二月仲春之际,Goby团队发起GoEXP活动,召集白帽侠士共筑安全长城。 时至今日,白帽师傅们的卓越贡献使得漏洞收录任务已然圆满达成。因此,Goby团队决定提前宣告:GoEXP活动将于2023年3月31日后停止漏洞收录,取消原定于四月末的截止日期。 我们珍视白帽师
继续阅读【漏洞通告】Apache Tomcat 信息泄露漏洞CVE-2023-28708
【漏洞通告】Apache Tomcat 信息泄露漏洞CVE-2023-28708 深瞳漏洞实验室 深信服千里目安全技术中心 2023-03-24 18:08 漏洞名称: Apache Tomcat 信息泄露漏洞CVE-2023-28708 组件名称: Apache Tomcat 影响范围: 11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M2 10.1.0-M1 ≤ Apac
继续阅读Spring Framework 身份认证绕过漏洞安全风险通告
Spring Framework 身份认证绕过漏洞安全风险通告 代码卫士 2023-03-24 17:06 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Spring Framework 是一个开源应用框架,旨在降低应用程序开发的复杂度。 它是轻量级、松散耦合的,具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个有凝聚
继续阅读MinIO 信息泄露漏洞(CVE-2023-28432)安全风险通告
MinIO 信息泄露漏洞(CVE-2023-28432)安全风险通告 奇安信 CERT 2023-03-23 18:44 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 MinIO是一个用Golang开发的基于Apache License v2.0开源协议的对象存储服务。 近日,奇安信CERT监测到 MinIO 信息泄露漏洞(CVE-2023-28
继续阅读掌握系统0day安全攻防技巧,成为二进制漏洞猎手!
掌握系统0day安全攻防技巧,成为二进制漏洞猎手! 看雪课程 看雪学苑 2023-03-23 17:59 二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成软件执行了非预期的功能。由于二进制漏洞大都涉及到系统层面,所以危害程度比较高。 因此,二进制漏洞的挖掘和分析就显得尤为重要,不仅能帮助安全从业者强化解决实际问题能力,掌握高效防御技能,还能及时发现业务系统内潜在的问题,赋能企业安
继续阅读速修复这些Netgear Orbi路由器漏洞
速修复这些Netgear Orbi路由器漏洞 Bill Toulas 代码卫士 2023-03-23 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科Talos团队发布了Netgear Orbi 740系列路由器和扩展卫星中多个漏洞的PoC exploit,其中一个漏洞是严重的远程命令执行漏洞。 Netgear Orbi 是适用于家庭用户的流行网络无线网格系统,可同时最多为5
继续阅读结合图学习和自动数据收集的代码漏洞检测模型
结合图学习和自动数据收集的代码漏洞检测模型 原创 senu11 安全学术圈 2023-03-22 19:17 原文标题:Combining Graph-Based Learning With Automated Data Collection for Code Vulnerability Detection原文作者:Huanting Wang , Guixin Ye , Zhanyong Tang
继续阅读2023年2月必修漏洞清单
2023年2月必修漏洞清单 原创 漏洞情报中心 斗象智能安全 2023-03-21 16:25 斗象科技漏洞情报中心推出2023年2月份必修安全漏洞清单。必修漏洞,指的是影响范围较广、企业必须立刻聚焦修复的安全漏洞。该清单上的漏洞一旦被黑客利用并发生入侵事件后,将会造成十分严重的损失。 斗象科技漏洞情报中心围绕安全漏洞的“危害、影响面、在野利用情况、POC/EXP公开情况、武器化情况、漏洞技术细节
继续阅读利用同一漏洞,多个黑客组织入侵美国联邦机构
利用同一漏洞,多个黑客组织入侵美国联邦机构 网络安全应急技术国家工程中心 2023-03-21 15:32 近日,多个威胁行为者,包括一个民族国家组织,利用Progress Telerik中存在三年的严重安全漏洞闯入美国一个未命名的联邦实体。 该披露来自网络安全 和基础 设施安全局(CISA)、联邦调查局(FBI)和多州信息共享与分析中心(MS-ISAC)发布的联合咨询。 “利用此漏洞允 许恶意行
继续阅读SySeVR:使用深度学习的漏洞检测框架
SySeVR:使用深度学习的漏洞检测框架 原创 senu11 安全学术圈 2023-03-20 19:03 原文标题:SySeVR: A Framework for Using Deep Learning to Detect Software Vulnerabilities原文作者:Zhen Li, Deqing Zou, Shouhuai Xu, Hai Jin, Fellow, IEEE, Y
继续阅读全网漏洞态势研究 | 2022年度报告
全网漏洞态势研究 | 2022年度报告 奇安信威胁情报中心 2023-03-20 13:13 全网漏洞态势 奇安信CERT研究并发布《全网漏洞态势研究2022年度报告》,围绕漏洞监测、漏洞分析与研判、漏洞风险评估与处置等方面,对2022年全年发生的重大安全事件和有现实威胁的关键漏洞进行了盘点和分析。 关键词 漏洞标签、在野利用、补丁修复、漏洞情报深度运营 核心洞见 报告研究发现,目前互联网各个领域
继续阅读CVE-2023-23397:Outlook漏洞PoC
CVE-2023-23397:Outlook漏洞PoC ang010ela 嘶吼专业版 2023-03-20 12:00 俄罗斯黑客利用Outlook漏洞窃取NTLM哈希。 3月14日,微软补丁日修复了一个Outlook安全漏洞,微软对该漏洞的描述中的是:微软Office Outlook中包含一个权限提升漏洞,攻击者利用该漏洞可以发起NTLM(New technology LAN Manager
继续阅读谷歌在三星Exynos 芯片集中发现18个0day漏洞
谷歌在三星Exynos 芯片集中发现18个0day漏洞 Sergiu Gatlan 代码卫士 2023-03-17 17:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌零日项目组从三星的Exynos芯片集中发现并报告了18个0day漏洞,这些芯片集用于移动设备、可穿戴设备和车辆中。 这些漏洞由安全研究员在2022年年末至2023年年初期间发现。其中4个漏洞最为严重,可导致从Int
继续阅读Fastjson漏洞和JNDI注入的前世今生
Fastjson漏洞和JNDI注入的前世今生 Betta 火线Zone 2023-03-17 16:48 简介 Fastjson是一个Java库,它可以解析 JSON 格式的字符串,支持将 JavaBean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。复现的环境使用的是vulhub的环境,在1.2.24fastjson的反序列化利用中有两条链 –
继续阅读CVE-2023-23397:Microsoft Outlook权限提升漏洞通告
CVE-2023-23397:Microsoft Outlook权限提升漏洞通告 原创 360CERT 三六零CERT 2023-03-17 15:24 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-43 报告来源:360CERT 报告作者:360CERT 更新日期:2023-03-17 1 漏洞简述 2023年03月17日,360CERT监测发现Microsoft发布了Outl
继续阅读正式开课!系统0day安全-二进制漏洞攻防
正式开课!系统0day安全-二进制漏洞攻防 看雪课程 看雪学苑 2023-03-16 18:00 二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成软件执行了非预期的功能。由于二进制漏洞大都涉及到系统层面,所以危害程度比较高。 因此,二进制漏洞的挖掘和分析就显得尤为重要,不仅能帮助安全从业者强化解决实际问题能力,掌握高效防御技能,还能及时发现业务系统内潜在的问题,赋能企业安全! 小
继续阅读2023-03微软漏洞通告
2023-03微软漏洞通告 火绒安全 火绒安全 2023-03-15 18:07 微软官方发布了2023年3月的安全更新。本月更新公布了104个漏洞,包含27个远程执行代码漏洞、21个特权提升漏洞、15个信息泄露漏洞、11个身份假冒漏洞、4个拒绝服务漏洞、2个安全功能绕过漏洞,其中9个漏洞级别为“Critical”(高危),70个为“Important”(严重)。建议用户及时使用火绒安全软件(个人
继续阅读微软2023年3月补丁日多产品安全漏洞风险通告
微软2023年3月补丁日多产品安全漏洞风险通告 奇安信 CERT 2023-03-15 11:40 奇安信CERT 致力于 第一时间为企业级用户提供安全风险 通告 和 有效 解决方案。 风险通告 本月,微软共发布了73个漏洞的补丁程序,修复了Microsoft Outlook、Windows SmartScreen、Internet Control Message Protocol 、Window
继续阅读Fortinet FortiOS漏洞被用于攻击政府实体
Fortinet FortiOS漏洞被用于攻击政府实体 Ravie Lakshmanan 代码卫士 2023-03-14 17:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 未知威胁组织正在利用Fortinet FortiOS 中的一个0day漏洞 (CVE-2022-41328),攻击政府实体和大型组织机构,窃取数据并损坏操作系统和文件。 Fortinet公司的研究员 Guilla
继续阅读