Chrome 漏洞多:web 浏览器还安全吗?
Chrome 漏洞多:web 浏览器还安全吗? Kevin Townsend 代码卫士 2023-06-27 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 和所有大型应用程序一样,谷歌 Chrome 也饱受漏洞之苦。2022年期间,SecurityWeek 媒体报道发现456个漏洞(每月平均38个漏洞),其中9个0day 漏洞。需要修复的漏洞如此之多,一个简单的问题是:
继续阅读标签: RCE
CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析
CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析 原创 小透明 雷神众测 2023-06-27 15:34 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者
继续阅读上周关注度较高的产品安全漏洞(20230619-20230625)
上周关注度较高的产品安全漏洞(20230619-20230625) 国家互联网应急中心CNCERT 2023-06-26 16:51 一、境外厂商产品漏洞 1、Adobe Commerce安全绕过漏洞**** Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的数字商务解决方案。Adobe Commerce存在安全绕过漏洞,攻击者可利用该漏洞触发特制的脚本绕过安全功能。
继续阅读Fortinet 修复严重的 FortiNAC 远程命令执行漏洞
Fortinet 修复严重的 FortiNAC 远程命令执行漏洞 Bill Toulas 代码卫士 2023-06-25 17:51 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Fortinet 公司更新零信任访问解决方案 FortiNAC,修复可被用于执行代码和命令的严重漏洞CVE-2023-33299。 FortiNAC 可使组织机构管理网络访问策略、获得对设备和用户的可见性
继续阅读vCenter 服务器漏洞可导致代码执行和认证绕过
vCenter 服务器漏洞可导致代码执行和认证绕过 Sergiu Gatlan 代码卫士 2023-06-25 17:51 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 VMware 修复了位于 vCenter Server 中的多个高危漏洞,可导致攻击者获得代码执行权限并绕过未修复系统上的认证。 vCenter Server 是VMware 的 vSphere 套件控制中心,也是
继续阅读VsCode配置Wdk7600开发环境 以及 “自动编译” 和 sources文件简单介绍
VsCode配置Wdk7600开发环境 以及 “自动编译” 和 sources文件简单介绍 TkBinary 看雪学苑 2023-06-21 17:59 虽然Wdk7600已经过时,但还是有很多项目是使用Wdk7600编写的,而很多老项目配置环境有很多种方式。如配置在visual studio 中编写,配置在notepad++中编写。搜索全网也没看到有VsCode配置的方式
继续阅读研究员发现微软 Azure AD OAuth 应用中的账户接管漏洞
研究员发现微软 Azure AD OAuth 应用中的账户接管漏洞 Ryan Naraine 代码卫士 2023-06-21 16:51 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 安全创业公司 Descope 的安全研究员在微软 Azure AD OAuth 应用中发现了一个严重的配置不当问题。任何使用“通过微软登录”的企业可被暴露到完全账户接管风险中。 该漏洞被称为 “nOA
继续阅读OT:Icefall:Wago 控制器中存在多个漏洞
OT:Icefall:Wago 控制器中存在多个漏洞 Ionut Arghire 代码卫士 2023-06-21 16:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Forescout Technologies 公司详述了影响 Wago 和施耐德电气公司运营技术 (OT) 产品中的三个漏洞。 这些漏洞是 OT:Icefall 研究成果的一部分,该研究成果发现影响13家厂商100多款
继续阅读re:Inforce 2023:亚马逊云科技聚焦AI驱动的安全
re:Inforce 2023:亚马逊云科技聚焦AI驱动的安全 安全内参 2023-06-21 11:18 关注我们 带你读懂网络安全 生成式AI对安全的影响占据了re:Inforce 2023的中心位置。亚马逊云科技认为,由AI/ML驱动的安全自动化服务,可以帮助客户更好应对安全事件,促进业务连续性。 人工智能 (AI) 和机器学习 (ML) 技术成为各种规模企业的关注重点,而亚马逊云科技显然也
继续阅读原创Paper | Apache RocketMQ 远程代码执行漏洞(CVE-2023-33246)分析
原创Paper | Apache RocketMQ 远程代码执行漏洞(CVE-2023-33246)分析 原创 404实验室 知道创宇404实验室 2023-06-20 17:12 作者:Sunflower@知道创宇404实验室日期:2023年6月8日 1. 漏洞介绍 参考资料 Apache RocketMQ 存在远程命令执行漏洞(CVE-2023-33246)。RocketMQ的NameServ
继续阅读速修!Smartbi 曝身份认证绕过漏洞,可RCE
速修!Smartbi 曝身份认证绕过漏洞,可RCE 原创 微步情报局 微步在线研究响应中心 2023-06-20 16:37 01 漏洞概况**** Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析产品。近日,微步漏洞团队监测到Smartbi官方修复了一个绕过登录漏洞,在某种特定情况下存在默认用户任意登录问题,未经身份验证的攻击者通过该漏洞可获取系统中敏感信息,最终造成敏感信息泄
继续阅读可RCE速修|Smartbi内置用户登陆绕过漏洞
可RCE速修|Smartbi内置用户登陆绕过漏洞 长亭安全应急响应中心 2023-06-19 16:45 Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。近期,长亭科技监测到Smartbi发布新补丁,修复了一处登录绕过漏洞。长亭应急团队经过分析后发现该漏洞类型为登录绕过,仍有较多公网系统仍未修复漏洞。于是根据漏洞原理编写了无害化的X-PO
继续阅读【工具篇】漏洞扫描-最新版Invicti v23.6.0.40861
【工具篇】漏洞扫描-最新版Invicti v23.6.0.40861 渗透测试网络安全 2023-06-17 20:30 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 0x01 Invicti介绍Invicti可以全自动、极其准确并且是易于使用的 Web 应用程序安全扫描程序,可自动查找您的网站、Web 应用程序和 Web 服务中的安全漏洞。0x02 Invicti本次更新介绍 本次
继续阅读云渗透案例剖析 | 阿里云PostgreSQL漏洞技术细节
云渗透案例剖析 | 阿里云PostgreSQL漏洞技术细节 原创 下雨天还在翻译 关注安全技术 2023-06-17 15:19 原文:《#BrokenSesame: Accidental ‘write’ permissions to private registry allowed potential RCE to Alibaba Cloud Database Services》https:/
继续阅读漏洞风险提示|金蝶云星空远程代码执行漏洞
漏洞风险提示|金蝶云星空远程代码执行漏洞 长亭安全应急响应 黑伞安全 2023-06-16 19:31 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。近期,长亭科技监测到微步在线发布一则漏洞通告,声明金蝶云星空发布补丁修复了一处反序列化导致的远程代码执行漏洞。长亭应急团队经过分析后发现该漏洞类型为不安全的反序列化,仍有较多公网系统仍
继续阅读MOVEit 爆第三个 0day,美国多个联邦机构等受影响
MOVEit 爆第三个 0day,美国多个联邦机构等受影响 Sergiu Gatlan 代码卫士 2023-06-16 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复
继续阅读CVE-2023-3009 TeamPass漏洞复现
CVE-2023-3009 TeamPass漏洞复现 Betta 火线Zone 2023-06-16 15:25 01 简介 TeamPass 是一个密码管理器,专门用于通过在团队成员之间共享密码来以协作方式管理密码,提供大量功能,允许根据为每个用户定义的访问权限以有组织的方式管理的密码和相关数据, 是一个开源免费使用的产品,根据 OpenSource GNU GPL-3.0 分发。 02 影响版
继续阅读手把手玩转路由器漏洞挖掘系列 – 基础入门
手把手玩转路由器漏洞挖掘系列 – 基础入门 原创 B2eFly 山石网科安全技术研究院 2023-06-16 10:49 #01 「 介绍 」 路由器设备作用家用网络中最常见的设备,给人们带来便利的同时也隐藏了诸多安全漏洞。本篇文章将从漏洞环境搭建、模拟、动态与静态调试等多方面入手,手把手玩转家用路由器漏洞挖掘。 #02 「 环境搭建」 2.1 系统配置 操作系统: Ubuntu 2
继续阅读Azure Bastion SVG Exporter XSS
Azure Bastion SVG Exporter XSS 枇杷五星加强版 黑伞安全 2023-06-15 19:03 下面我们将演示精心设计的 postMessage 如何能够操纵 Azure Bastion Topology View SVG 导出器来执行 XSS。 什么是 Azure Bastion? Azure Bastion 是 Microsoft Azure 提供的一项服务,它提供了
继续阅读GitHub 上的虚假0day PoC 推送 Windows 和 Linux 恶意软件
GitHub 上的虚假0day PoC 推送 Windows 和 Linux 恶意软件 Bill Toulas 代码卫士 2023-06-15 17:44 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 黑客正在推特和 GitHub 上假冒研究员发布虚假的 0day 漏洞利用,在Window 和 Linux 设备上分发恶意软件。 这些恶意利用由虚假网络安全公司 “High Sierr
继续阅读微软 Azure Bastion 和 Container Registry 中存在两个严重漏洞
微软 Azure Bastion 和 Container Registry 中存在两个严重漏洞 Ravie Lakshmanan 代码卫士 2023-06-15 17:44 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 微软 Azure Bastion 和 Azure Container Registry 中存在两个严重该漏洞,可用于执行XSS攻击。 Orca 公司的安全研究员表示
继续阅读速修!金蝶云星空软件曝远程代码执行漏洞
速修!金蝶云星空软件曝远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-06-15 17:00 01 漏洞概况**** 金蝶云星空是一款基于云计算、大数据、社交、人工智能、物联网等前沿技术研发的新一代战略性企业管理软件。微步漏洞团队通过“X漏洞奖励计划”获取到金蝶云星空反序列化远程代码执行漏洞情报,攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。 经过分析与研判,该漏洞利
继续阅读2023年十佳开源漏洞评估工具
2023年十佳开源漏洞评估工具 布加迪 嘶吼专业版 2023-06-15 12:04 漏洞评估工具可以扫描IT资产,查找已知的漏洞、错误配置及其他缺陷。然后,这类扫描器为IT安全和应用程序开发运营(DevOps)团队生成报告,这些团队将已确定优先级的任务馈入工单和工作流系统,以修复漏洞。 开源漏洞测试工具提供了经济高效的漏洞检测解决方案。除了商业漏洞扫描工具外,许多IT团队甚至部署一个或多个开源工
继续阅读漏洞情报 | Openfire 管理控制台身份认证绕过(CVE-2023-32315)
漏洞情报 | Openfire 管理控制台身份认证绕过(CVE-2023-32315) 斗象智能安全 2023-06-14 13:51 1.1 漏洞概述 近日,斗象科技漏洞情报中心监控到公网公开披露了Openfire 管理控制台身份认证绕过(CVE-2023-32315)漏洞。 Openfire是一个基于XMPP协议的实时协作服务器,Openfire可以用来搭建聊天室、群组、视频会议等应用。Op
继续阅读漏洞风险提示|Openfire控制台权限绕过漏洞(CVE-2023-32315)
漏洞风险提示|Openfire控制台权限绕过漏洞(CVE-2023-32315) 长亭安全应急响应 黑伞安全 2023-06-14 09:24 Openfire(前身为Wildfire)是一个基于XMPP(Extensible Messaging and Presence Protocol,可扩展消息处理和呈现协议)的开源实时协作服务器,同时提供了Web管理界面。近期,长亭科技监测到Openfir
继续阅读CosMiss:Azure Cosmos DB Notebook 远程代码执行漏洞
CosMiss:Azure Cosmos DB Notebook 远程代码执行漏洞 枇杷五星加强版 黑伞安全 2023-06-13 18:51 我们最近在 Azure Cosmos DB 上发现了一个非常重要的漏洞,其中 Cosmos DB 笔记本缺少身份验证检查。 我们将其命名为“CosMiss”。 简而言之,如果攻击者知道笔记本的“forwardingId”,即笔记本工作区的 UUID,他们将
继续阅读Fortinet 修复 Fortigate SSL-VPN 设备中严重的 RCE 漏洞
Fortinet 修复 Fortigate SSL-VPN 设备中严重的 RCE 漏洞 Lawrence Abrams 代码卫士 2023-06-12 18:22 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Fortinet 发布新的 Fortigate 固件更新,修复了一个位于 SSL VPN设备中未披露的严重的预认证远程代码执行漏洞。 该修复方案在上周五 FortiOS 固件
继续阅读漏洞风险提示|畅捷通T+ SQL注入漏洞
漏洞风险提示|畅捷通T+ SQL注入漏洞 长亭安全应急响应 黑伞安全 2023-06-09 18:59 畅捷通T+是一款企业资源规划(ERP)软件,主要功能包括财务管理、销售管理、采购管理以及库存管理等,助力企业实现业务流程自动化。近期,长亭科技监测到微步在线发布一则漏洞通告,声明畅捷通T+发布新版本修复了一个RCE漏洞。长亭应急团队经过漏洞分析后,发现该漏洞类型为SQL注入,可利用其实现RCE。
继续阅读Chrome v8 Issue 1203122:IC类型混淆漏洞原理
Chrome v8 Issue 1203122:IC类型混淆漏洞原理 苏啊树 看雪学苑 2023-06-09 17:59 问题出现场景: 假设对象 A,其偏移 +10的地方有一个属性 x,这个属性为数字,同时存在一个 B对象,这个对象偏移 +10的地方是一个 Object对象地址。( v8在性能优化的时候会使用对象地址加偏移的方法来直接获取属性,比如在 IC内联缓存,还有 JIT优化以后。) 实际
继续阅读思科修复企业协作解决方案中的严重漏洞
思科修复企业协作解决方案中的严重漏洞 Ionut Arghire 代码卫士 2023-06-09 17:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周三,思科宣布修复 Expressway 序列和 TelePresence 视频通信服务器 (VCS) 企业协作和视频通信解决方案中的一个严重漏洞CVE-2023-20105,CVSS 评分为9.6。 该漏洞可导致具有“只读”
继续阅读