从美国CISA KEV项目看海量漏洞管理方法
从美国CISA KEV项目看海量漏洞管理方法 安全内参 2023-01-18 18:06 现状与难点 01 新形势下漏洞管理重要性凸显 在信息科技高速发展的时代背景下,信息技术产品供应链愈发庞大,网络威胁形势不断变化,网络运营者面临高水平的安全运营需求,漏洞管理已经成为安全运营中最直接、最关键的组成部分。各国政府、产业界均在不断探索完善科学、规范的漏洞管理机制,围绕此焦点的新政策、新要求、新机制、
继续阅读标签: POC
用 Goby 通过反序列化漏洞一键打入内存马【利用篇】
用 Goby 通过反序列化漏洞一键打入内存马【利用篇】 原创 su18 GobySec 2023-01-16 11:03 Goby社区第 22 篇技术分享文章 全文共: 3734 字 预计阅读时间: 10 分钟 01 前言**** 在上一篇 《 Shell 中的幽灵王者-JAVAWEB 内存马【认知篇】 》 中,我从理念上介绍了很多内存马的东西,并给出了我的判断: “大势所趋下,内存马技术
继续阅读思科不打算修复SMB路由器中严重的认证绕过漏洞
思科不打算修复SMB路由器中严重的认证绕过漏洞 Tara Seals 代码卫士 2023-01-13 17:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科SMB路由器中存在两个严重的漏洞(CVE-2023-20025和CVE-2023-20026),可导致未认证攻击者完全控制目标设备,以root权限运行命令。遗憾的是,即使已存在在野PoC exploit,思科仍然不打算修复。 漏
继续阅读PowerShell 远程代码执行漏洞(CVE-2022-41076)安全风险通告二次更新
PowerShell 远程代码执行漏洞(CVE-2022-41076)安全风险通告二次更新 原创 QAX CERT 奇安信 CERT 2023-01-13 10:32 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到互联网上公开PowerShell 远程代码执行漏洞(CVE-2022-41076)技术细节及PoC,国外厂商
继续阅读【已复现】禅道项目管理系统远程命令执行漏洞安全风险通告
【已复现】禅道项目管理系统远程命令执行漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-13 10:32 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 禅道项目管理软件是国产的开源项目管理软件,专注研发项目管理,内置需求管理、任务管理、bug管理、缺陷管理、用例管理、计划发布等功能,完整覆盖了研发项目管理的核心流程。 近
继续阅读CVE-2023-21752:Windows Backup Service权限提升漏洞通告
CVE-2023-21752:Windows Backup Service权限提升漏洞通告 原创 360CERT 三六零CERT 2023-01-12 16:51 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-011201 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-12 1 漏洞简述 2023年01月12日,360CERT监测发现Windows Bac
继续阅读Fortinet FortiADC 命令注入漏洞(CVE-2022-39947)安全风险通告
Fortinet FortiADC 命令注入漏洞(CVE-2022-39947)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-09 17:03 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Fortinet(飞塔)是一家全球知名的网络安全产品和安全解决方案提供商,其产品包括防火墙、防病毒软件、入侵防御系统和终端安全组件等
继续阅读【已复现】GitLab 远程代码执行漏洞安全风险通告第二次更新
【已复现】GitLab 远程代码执行漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-01-09 17:03 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理,同时可以搭建W
继续阅读Notional Double Counting Free Collateral 分析和复现
Notional Double Counting Free Collateral 分析和复现 ghostmazeW 看雪学苑 2023-01-05 18:03 本文为看雪论坛优秀文章 看雪论坛作者ID:ghostmazeW Notional( https://notional.finance/portfolio/ ) 简单说来就是一个固定周期,固定利率的借贷池,主要支持Borrow,lend以及P
继续阅读研究人员发现Google 智能扬声器中的多个漏洞,获奖超10万美元
研究人员发现Google 智能扬声器中的多个漏洞,获奖超10万美元 Ionut Arghire 代码卫士 2023-01-04 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员 Matt Kunze 表示,谷歌因他负责任地提交了Google Home Mini智能扬声器中的多个漏洞,而获得10.7万美元的奖励。 Kunze 表示,这些漏洞可被在无线范围内的攻击者在设备上
继续阅读Apache Kylin多个命令注入漏洞安全风险通告
Apache Kylin多个命令注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-03 18:53 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Apache Kylin 是一个开源的、分布式的分析型数据仓库,提供Hadoop或Spark之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 e
继续阅读《58集团漏洞标准V4.2》
《58集团漏洞标准V4.2》 58安全应急响应中心 2023-01-03 18:14 本标准将于2023年1月4日0:00起生效 基本原则 58集团非常重视自身产品和业务的安全,我们承诺对每一份报告都有专人及时跟进处理,给出漏洞评定结果以及原因,并给予白帽子与之匹配的利益。 58SRC非常希望您在提交漏洞前认真阅读平台《58SRC漏洞评分标准》、《58SRC漏洞审核策略》以及《白帽子常见FAQ》,
继续阅读Google Home智能音箱漏洞可监听用户会话
Google Home智能音箱漏洞可监听用户会话 关键基础设施安全应急响应中心 2023-01-03 15:48 漏洞概述 2016年,谷歌发布Google Home智能音箱产品。2021年,安全研究人员Matt在Google Home智能音箱设备中发现了一个安全漏洞,攻击者利用该漏洞可以在受害者设备中安装后门装好,并通过互联网远程发送命令给受害者设备、访问麦克风数据量、在受害者网络中发起任意HT
继续阅读重磅福利 | X情报社区全面开放漏洞情报能力!
重磅福利 | X情报社区全面开放漏洞情报能力! 微步在线 2022-12-28 19:21 漏洞,是入侵目标最有效的方法之一。 因此,在如今漏洞满天飞的攻防形势下,只有及时掌握最关键/活跃的漏洞情报信息,才能不陷于被动 。 最近流行的漏洞是什么? 这些漏洞利用有什么特征? 谁在用这些漏洞搞事情? 这些漏洞的解决方案是什么? …… …… 你都知道吗? 为了帮助大家快速找到答案,快速应对漏洞威胁,
继续阅读【已复现】Microsoft Exchange Server “OWASSRF” 漏洞安全风险通告
【已复现】Microsoft Exchange Server “OWASSRF” 漏洞安全风险通告 代码卫士 2022-12-26 17:38 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Microsoft Exchange Server是微软公司的一套电子邮件服务组件。 除传统的电子邮件的存取、储存、转发功能外,在新版
继续阅读macOS漏洞可绕过安全检查
macOS漏洞可绕过安全检查 关键基础设施安全应急响应中心 2022-12-26 15:35 微软研究人员在macOS中发现一个安全漏洞,攻击者利用该漏洞可以实现安全检查绕过。 Gatekeeper是macOS中的一个安全特征,可以自动检查从互联网下载的Mac APP是经过公证的还是开发者自签名的,并要求用户在启动前进行确认或发布关于APP不可信的预警消息。 微软首席安全研究员Jonathan B
继续阅读【技术分享】针对比特币钱包App的三种漏洞攻击与对策
【技术分享】针对比特币钱包App的三种漏洞攻击与对策 原创 CDra90n 安全客 2022-12-12 10:00 如今,比特币是 最 受欢迎的加密货币。 随着智能手机和高速移动互联网的普及,越来越多的 用 户 开始在智能手机上访问其比特币钱包。 用户可以在智能手机上下载并安装各种比特币钱包应用程序(例如Coinbase,Luno,Bitcoin Wallet),并可以随时随地访问其比特币钱包。
继续阅读ThinkPHP开发框架曝高危漏洞,需紧急修复!
ThinkPHP开发框架曝高危漏洞,需紧急修复! 原创 微步情报局 微步在线研究响应中心 2022-12-09 16:40 01 漏洞概况 微步在线通过“X漏洞奖励计划”获取到ThinkPHP开发框架命令执行漏洞的0day相关漏洞情报,攻击者可以通过此漏洞实现任意命令执行,导致系统被攻击与控制。该漏洞已在9月25日的V6.0.14被修复。ThinkPHP 是一个免费开源的,快速、简单的面向对象的
继续阅读能写漏洞PoC?网红人工智能ChatGPT的十大妙用
能写漏洞PoC?网红人工智能ChatGPT的十大妙用 安全内参 2022-12-06 20:25 关注我们 带你读懂网络安全 2022年最后一个季度人工智能内容生成技术取得了可怕的进步!从精确发现代码中的安全漏洞到随心所欲地写一篇思路缜密论据详实的文章,或开发一段完整的功能代码块,OpenAI最近推出的ChatGPT测试版本彻底改变了游戏规则,它展现出的高成熟度的文本表达和代码实现能力让无数科技大
继续阅读Cacti命令执行漏洞 (CVE-2022-46169) 安全通告
Cacti命令执行漏洞 (CVE-2022-46169) 安全通告 安全内参 2022-12-06 20:25 Cacti项目是一个开源平台,可为用户提供强大且可扩展的操作监控和故障管理框架。 近日,奇安信CERT监测到Cacti存在命令执行漏洞(CVE-2022-46169),攻击者可通过构造恶意请求在无需登录的情况下向函数中注入命令,达到命令执行的目的。鉴于此漏洞影响范围较大,建议客户尽快做好
继续阅读Cacti命令执行漏洞(CVE-2022-46169)安全风险通告
Cacti命令执行漏洞(CVE-2022-46169)安全风险通告 原创 QAX CERT 奇安信 CERT 2022-12-06 19:37 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Cacti项目是一个开源平台,可为用户提供强大且可扩展的操作监控和故障管理框架。 近日,奇安信CERT监测到Cacti存在命令执行漏洞(CVE-2022-46
继续阅读【安全圈】黑客正在销售最新Fortinet漏洞的访问方式
【安全圈】黑客正在销售最新Fortinet漏洞的访问方式 安全圈 2022-12-01 19:00 关键词 Fortinet 安全厂商发现,稍早发现的Fortinet网络设备软件漏洞已经有黑客公开销售访问的方法。 10月间Fortinet修补了零时差漏洞CVE-2022-40684,它是HTTP/HTTPS管理接口的验证绕过漏洞,可被远程滥用,风险值列为9.6,属于重大风险。这项漏洞影响多项产品,
继续阅读热门Java 框架Quarkus中存在严重的RCE漏洞
热门Java 框架Quarkus中存在严重的RCE漏洞 Ionut Arghire 代码卫士 2022-12-01 18:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Contrast Security 公司的安全研究员 Joseph Beeton 提醒称,热门 Quarkus 框架受严重漏洞(CVE-2022-4116,CVSS评分9.8)影响,可导致远程代码执行后果。 Quark
继续阅读美国CISA最新收录高危漏洞,系与甲骨文有关
美国CISA最新收录高危漏洞,系与甲骨文有关 关键基础设施安全应急响应中心 2022-12-01 16:00 近日,美国网络安全和基础设施安全局 (CISA) 将一个影响美国甲骨文(Oracle)公司融合中间件的严重漏洞跟踪为CVE-2021-35587(CVSS 3.1 基本分数 9.8)。该漏洞是由于yizhi Access Manager(Oracle融合中间件)未对HTTP请求进行有效的验
继续阅读利用solidity与EVM本身的漏洞进行攻击(上)
利用solidity与EVM本身的漏洞进行攻击(上) 原创 核心基础实验室 山石网科安全技术研究院 2022-11-30 11:01 编译与执行 solidity是一种高级语言,由人类来编写,语法上类似JavaSrcipt。solidity的源代码可以由编译器编译成以太坊虚拟机(EVM)的字节码,字节码可以在EVM上运行。EVM有许多种版本的实现,但这里我们主要考虑go-ethereum的实现。
继续阅读思科ISE多个漏洞可用于一次点击exploit
思科ISE多个漏洞可用于一次点击exploit Sergiu Gatlan 代码卫士 2022-11-29 17:44 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科身份服务引擎 (ISE) 中存在多个漏洞,可导致远程攻击者注入任意命令、绕过已有安全防护措施,或执行跨站点脚本 (XSS) 攻击。 思科ISE是基于身份的网络访问控制 (NAC) 和策略执行系统,可使管理员控制端点访问权限
继续阅读Google Chrome GPU堆溢出漏洞安全风险通告
Google Chrome GPU堆溢出漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-11-25 11:53 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到Google官方发布Google Chrome GPU堆溢出漏洞(CVE-2022-4135)通告,Google Chrome GPU进程存在
继续阅读【技术干货】CVE-2022-42889 Apache Commons Text RCE漏洞分析
【技术干货】CVE-2022-42889 Apache Commons Text RCE漏洞分析 星阑科技 2022-11-25 10:32 xxhzz @PortalLab实验室 前言 最近一直在对刚研发出来的自动化Web/API漏洞Fuzz的命令行扫描工具进行维护更新(工具地址:https://github.com/StarCrossPortal/scalpel),目前扫描工具已更新至第三个版
继续阅读速修!Smartbi软件高危命令执行漏洞,影响超4000家企业
速修!Smartbi软件高危命令执行漏洞,影响超4000家企业 原创 微步情报局 微步在线 2022-11-23 20:29 漏洞概况 近日,微步在线通过“X漏洞奖励计划”获取到Smartbi商业智能软件命令执行漏洞的相关漏洞情报, 微步TDP已经于2022年9月起支持对该0day漏洞的检测 。 据微步X企业版资产测绘信息来看,目前至少有超过100个IP地址(企业)受此漏洞影响,据Smartbi官
继续阅读0Click RCE:攻击VMWare Workspace ONE Access
0Click RCE:攻击VMWare Workspace ONE Access 原创 应用安全实验室 山石网科安全技术研究院 2022-11-22 11:32 IAM 介绍 00 身份和访问管理(IAM)全称Identity and Access Management,IAM 是提供用户用来管理用户对 AWS 资源的访问权限及其身份验证的服务。基本上的特性有: IAM账户使用者可以分为根使用者
继续阅读