【已复现】vm2 远程代码执行漏洞安全风险通告
【已复现】vm2 远程代码执行漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-04-12 14:59 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 vm2是在vm的基础上实现的沙箱,可以使用列入白名单的Node内置模块运行不受信任的代码。
继续阅读标签: POC
0day 速修!瑞友天翼应用虚拟化系统远程代码执行漏洞
0day 速修!瑞友天翼应用虚拟化系统远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-04-10 17:25 01 漏洞概况 近日,微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到
继续阅读VM2 JavaScript 沙箱库中存在严重的 RCE 漏洞
VM2 JavaScript 沙箱库中存在严重的 RCE 漏洞 Bill Toulas 代码卫士 2023-04-10 17:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门的 JavaScript 沙箱 VM2 库中存在一个严重的 RCE 漏洞 (CVE-2023-29017)。多款软件使用该哭在虚拟化环境中安全地运行代码。 该 VM2 库旨在 Node.js 服务器的隔离上下文
继续阅读Apple 多个产品高危漏洞安全风险通告
Apple 多个产品高危漏洞安全风险通告 奇安信 CERT 2023-04-10 16:07 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 IOSurfaceAccelerator是一个对象,用于管理IOSurface框架中IOSurface之间的硬件加速传输/缩放。 它仅与具有 k32BGRAPixelFormat 或 k16LE565Pixe
继续阅读2023年3月必修漏洞清单
2023年3月必修漏洞清单 原创 漏洞情报中心 斗象智能安全 2023-04-07 15:42 斗象科技漏洞情报中心推出2023年3月份必修安全漏洞清单。必修漏洞,指的是影响范围较广、企业必须立刻聚焦修复的安全漏洞。该清单上的漏洞一旦被黑客利用并发生入侵事件后,将会造成十分严重的损失。 斗象科技漏洞情报中心围绕安全漏洞的“危害、影响面、在野利用情况、POC/EXP公开情况、武器化情况、漏洞技术细节
继续阅读CVE-2023-28432 MinIO信息泄露漏洞分析及复现
CVE-2023-28432 MinIO信息泄露漏洞分析及复现 0x6270 火线Zone 2023-04-06 17:49 前言 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 如果文章中的漏洞出现敏感内容产生了部分影响,请及时联系作者及火线安全,望谅解。 一、漏洞原理 漏洞简述 MinIO是一个用Golang开发的基于Apa
继续阅读【上新】实战能力UP!从基础到入门,轻松掌握 CVE 复现技能
【上新】实战能力UP!从基础到入门,轻松掌握 CVE 复现技能 看雪课程 看雪学苑 2023-04-05 17:59 想要成为一名优秀的漏洞挖掘工程师吗? 想要掌握CVE复现能力,提升自己的实战能力吗? 想要深入了解IoT、v8、Windows等多类型漏洞挖掘基础知识和实操吗? 《CVE复现漏洞精讲-从基础到入门》带你走进漏洞挖掘的世界。 如果你想要提升自己的漏洞挖掘能力,买它! 课程简介 本课程
继续阅读3CXDesktop App 代码执行漏洞安全风险通告
3CXDesktop App 代码执行漏洞安全风险通告 奇安信 CERT 2023-03-31 14:08 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 3CXDesktop App 是一款跨平台桌面电话应用程序,适用于Linux、MacOS 和 Windows。 3CXDesktop 允许用户通过聊天、消息、视频和语音进行交互。 3CX在全球1
继续阅读全新Pwn系列课程上线!解锁二进制漏洞挖掘技巧
全新Pwn系列课程上线!解锁二进制漏洞挖掘技巧 看雪课程 看雪学苑 2023-03-30 18:02 你是否曾在参加CTF比赛时被二进制漏洞难倒? 你是否曾在挖掘二进制漏洞时手足无措? 现在,《二进制系列之Pwn篇》课程全新上线,入门到进阶带你全方位学习,掌握二进制漏洞挖掘的技能。 无论你是初学者还是已经有一定基础的学生,该课程都能够帮助你提升二进制漏洞挖掘和CTF比赛能力,让你在比赛中游刃有余,
继续阅读原创 | Spring Cloud GateWay CVE-2022-22947 SPEL RCE
原创 | Spring Cloud GateWay CVE-2022-22947 SPEL RCE 原创 Whippet SecIN技术平台 2023-03-29 18:00 点击蓝字 关注我们 漏洞简介 Spring Cloud Gateway是Spring Cloud官方推出的第二代网关框架,取代Zuul网关。网关作为流量的,在微服务系统中有着非常作用,网关常见的功能有路由转发、权限校验、限流
继续阅读404星链计划 | Pocsuite3、veinmind-tools 项目版本更新
404星链计划 | Pocsuite3、veinmind-tools 项目版本更新 404星链开发者 知道创宇404实验室 2023-03-27 17:02 Viper项目演示视频: 星际奇兵第6期:集成70+模块,红队内网渗透必备 Pocsuite3 支持 YAML 格式 PoC 等: 原创Paper | 聊聊 Nuclei YAML 语法模版及 Pocsuite3 的兼容思路 想要学习和交流开
继续阅读ChatGPT 写 PoC,拿下漏洞!
ChatGPT 写 PoC,拿下漏洞! 渊龙Sec安全团队 2023-03-24 19:51 Goby社区第 23 篇技术分享文章 全文共: 3901 字 预计阅读时间: 10 分钟 01 前言**** ChatGPT(Chat Generative Pre-trained Transformer)是当今备受瞩目的智能AI聊天机器人之一。它不仅能够实现基本的语言交流,还具备许多强大的功能,例
继续阅读Spring Framework 身份认证绕过漏洞安全风险通告
Spring Framework 身份认证绕过漏洞安全风险通告 代码卫士 2023-03-24 17:06 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Spring Framework 是一个开源应用框架,旨在降低应用程序开发的复杂度。 它是轻量级、松散耦合的,具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个有凝聚
继续阅读PHP开发服务器远程源代码泄露漏洞原理剖析
PHP开发服务器远程源代码泄露漏洞原理剖析 山石网科安全技术研究院 2023-03-24 11:39 PHP Built-in Server是PHP自带的Web服务器,多用于在研发阶段快速启动并运行一个可以执行PHP脚本的Web服务器。由于其性能及安全性并没有得到完好的保障,故PHP官方并不建议在生产环境下使用这个服务器。 01 历史问题 02 PHP 开发服务器 <= 7.4.21 &
继续阅读ChatGPT+RASP,实现CodeQL漏洞挖掘高效自动化 | 2023INSECWORLD
ChatGPT+RASP,实现CodeQL漏洞挖掘高效自动化 | 2023INSECWORLD 智安全 深信服千里目安全技术中心 2023-03-23 20:45 传统用CodeQL进行漏洞挖掘,生成的结果误报较多,影响效率;那么,如果融入ChatGPT和RASP呢? 3月21日,由Informa Markets主办的2023 INSEC WORLD 世界信息安全大会以“聚焦安全 打造多元新格局“
继续阅读MinIO 信息泄露漏洞(CVE-2023-28432)安全风险通告
MinIO 信息泄露漏洞(CVE-2023-28432)安全风险通告 奇安信 CERT 2023-03-23 18:44 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 MinIO是一个用Golang开发的基于Apache License v2.0开源协议的对象存储服务。 近日,奇安信CERT监测到 MinIO 信息泄露漏洞(CVE-2023-28
继续阅读速修复这些Netgear Orbi路由器漏洞
速修复这些Netgear Orbi路由器漏洞 Bill Toulas 代码卫士 2023-03-23 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科Talos团队发布了Netgear Orbi 740系列路由器和扩展卫星中多个漏洞的PoC exploit,其中一个漏洞是严重的远程命令执行漏洞。 Netgear Orbi 是适用于家庭用户的流行网络无线网格系统,可同时最多为5
继续阅读【技术干货】CVE-2023-21839 WebLogic Server RCE分析
【技术干货】CVE-2023-21839 WebLogic Server RCE分析 星阑科技 2023-03-23 10:39 xxhzz @PortalLab实验室 项目介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的J
继续阅读2023年2月必修漏洞清单
2023年2月必修漏洞清单 原创 漏洞情报中心 斗象智能安全 2023-03-21 16:25 斗象科技漏洞情报中心推出2023年2月份必修安全漏洞清单。必修漏洞,指的是影响范围较广、企业必须立刻聚焦修复的安全漏洞。该清单上的漏洞一旦被黑客利用并发生入侵事件后,将会造成十分严重的损失。 斗象科技漏洞情报中心围绕安全漏洞的“危害、影响面、在野利用情况、POC/EXP公开情况、武器化情况、漏洞技术细节
继续阅读全网漏洞态势研究 | 2022年度报告
全网漏洞态势研究 | 2022年度报告 奇安信威胁情报中心 2023-03-20 13:13 全网漏洞态势 奇安信CERT研究并发布《全网漏洞态势研究2022年度报告》,围绕漏洞监测、漏洞分析与研判、漏洞风险评估与处置等方面,对2022年全年发生的重大安全事件和有现实威胁的关键漏洞进行了盘点和分析。 关键词 漏洞标签、在野利用、补丁修复、漏洞情报深度运营 核心洞见 报告研究发现,目前互联网各个领域
继续阅读CVE-2023-23397:Outlook漏洞PoC
CVE-2023-23397:Outlook漏洞PoC ang010ela 嘶吼专业版 2023-03-20 12:00 俄罗斯黑客利用Outlook漏洞窃取NTLM哈希。 3月14日,微软补丁日修复了一个Outlook安全漏洞,微软对该漏洞的描述中的是:微软Office Outlook中包含一个权限提升漏洞,攻击者利用该漏洞可以发起NTLM(New technology LAN Manager
继续阅读全新Pwn系列课程上线!解锁二进制漏洞挖掘技巧,掌握操作系统底层知识
全新Pwn系列课程上线!解锁二进制漏洞挖掘技巧,掌握操作系统底层知识 看雪课程 看雪学苑 2023-03-19 17:59 你是否曾在参加CTF比赛时被二进制漏洞难倒? 你是否曾在挖掘二进制漏洞时手足无措? 现在,《二进制系列之Pwn篇》课程全新上线,入门到进阶带你全方位学习,掌握二进制漏洞挖掘的技能。 无论你是初学者还是已经有一定基础的学生,该课程都能够帮助你提升二进制漏洞挖掘和CTF比赛能力,
继续阅读Fastjson漏洞和JNDI注入的前世今生
Fastjson漏洞和JNDI注入的前世今生 Betta 火线Zone 2023-03-17 16:48 简介 Fastjson是一个Java库,它可以解析 JSON 格式的字符串,支持将 JavaBean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。复现的环境使用的是vulhub的环境,在1.2.24fastjson的反序列化利用中有两条链 –
继续阅读CVE-2023-23397:Microsoft Outlook权限提升漏洞通告
CVE-2023-23397:Microsoft Outlook权限提升漏洞通告 原创 360CERT 三六零CERT 2023-03-17 15:24 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-43 报告来源:360CERT 报告作者:360CERT 更新日期:2023-03-17 1 漏洞简述 2023年03月17日,360CERT监测发现Microsoft发布了Outl
继续阅读腾讯安全威胁情报中心推出2023年2月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年2月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-03-16 11:34 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年2月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读CISA新增3个影响IT管理系统的漏洞
CISA新增3个影响IT管理系统的漏洞 Ravie Lakshmanan 代码卫士 2023-03-09 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 在“已知遭利用漏洞”列表中新增三个漏洞。 这三个漏洞是: CVE-2022-35914(CVSS评分9.8):Teclib GLPI 远程代码执行漏洞。 CVE-2022-33891(
继续阅读Fortinet:注意这个严重的未认证RCE漏洞!
Fortinet:注意这个严重的未认证RCE漏洞! Bill Toulas 代码卫士 2023-03-09 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet 披露了影响FortiOS和FortiProxy的一个严重漏洞 (CVE-2023-25610),它可导致未认证攻击者通过特殊构造的请求,在易受攻击设备的GUI上执行拒绝服务。 该缓冲区溢出漏洞的CVSS评分为
继续阅读【漏洞通告】 Microsoft Word 远程代码执行漏洞(CVE-2023-21716)
【漏洞通告】 Microsoft Word 远程代码执行漏洞(CVE-2023-21716) 原创 NS-CERT 绿盟科技CERT 2023-03-07 20:56 通告编号:NS-2023-0011 2023-03-07 TAG: Microsoft Word、CVE-2023-21716 漏洞危害: 攻击者利用此漏洞可实现任意代码执行 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测
继续阅读【已复现】Microsoft Word 远程代码执行漏洞安全风险通告
【已复现】Microsoft Word 远程代码执行漏洞安全风险通告 代码卫士 2023-03-07 19:22 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Microsoft Office Word是微软公司的一个文字处理器应用程序。 Word给用户提供了用于创建专业而优雅的文档工具,帮助用户节省时间,并得到优雅美观的结果。 一直以来,Mic
继续阅读如何更高效的玩儿 nday 漏洞
如何更高效的玩儿 nday 漏洞 原创 myh0st 信安之路 2023-03-06 09:20 最近又重新收集了一波 src 的信息,整理了上百万的网站资产,主要步骤: 可能大家都知道互联网上存在的漏洞中,nday 漏洞占比很可观,那么针对上百万的网站如何更快,更有效的从中挖掘 nday 漏洞呢? 有的人可能会说,poc 工具一把梭就可以了,比如 nuclei、xray、goby 等一键扫描,这
继续阅读