【漏洞通告】Apache Linkis多个安全漏洞通告
【漏洞通告】Apache Linkis多个安全漏洞通告 深瞳漏洞实验室 深信服千里目安全技术中心 2023-04-12 20:08 漏洞名称: Apache Linkis多个安全漏洞 组件名称: Apache Linkis 安全公告链接: https://github.com/apache/linkis/releases https://linkis.apache.org/download/rel
继续阅读标签: RCE
【安全通告】瑞友天翼应用虚拟化系统远程代码执行漏洞通告
【安全通告】瑞友天翼应用虚拟化系统远程代码执行漏洞通告 原创 NS-CERT 绿盟科技CERT 2023-04-12 18:14 通告编号:NS-2023-0018 2023-04-12 TAG: 远程代码执行、瑞友天翼应用虚拟化系统 漏洞危害: 攻击者利用漏洞可实现远程代码执行 版本: 1.0 1 漏洞概述 近日,绿盟科技 CERT 监测发现网上公开了一个瑞友天翼应用虚拟化系统远程代码执行漏洞。
继续阅读原创 | 缓冲区溢出漏洞那些事:验证与危害判定篇(文末福利)
原创 | 缓冲区溢出漏洞那些事:验证与危害判定篇(文末福利) 原创 梦幻的彼岸 SecIN技术平台 2023-04-12 18:00 点击蓝字 关注我们 环境信息 系统:kali、Windows 11 工具:x64dbg、ERC.Xdbg插件、python、msfvenom、ncat、Code with Mu 发现 测试代码 import socket from struct import pac
继续阅读【漏洞预警】Apache Linkis多个安全漏洞
【漏洞预警】Apache Linkis多个安全漏洞 安识科技 SecPulse安全脉搏 2023-04-12 13:48 1. 通告信息 近日,安识科技 A- Team团队监测到Apache官方发布安全公告,修复了Linkis中的多个安全漏洞,这些漏洞可能导致文件上传、身份验证绕过和远程代码执行。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。 2.
继续阅读Sophos 修复位于 Sophos Web Appliance 设备中的三个漏洞
Sophos 修复位于 Sophos Web Appliance 设备中的三个漏洞 代码卫士 2023-04-11 17:22 聚焦源代码安全,网罗国内外最新资讯! 作者:Pierluigi Paganini 编译:代码卫士 Sophos 修复了位于 Sophos Web Appliance 中的三个漏洞,其中一个是可导致代码执行的严重漏洞 CVE-2023-1671(CVSS 评分9.8)。 C
继续阅读VM2 JavaScript 沙箱库中存在严重的 RCE 漏洞
VM2 JavaScript 沙箱库中存在严重的 RCE 漏洞 Bill Toulas 代码卫士 2023-04-10 17:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门的 JavaScript 沙箱 VM2 库中存在一个严重的 RCE 漏洞 (CVE-2023-29017)。多款软件使用该哭在虚拟化环境中安全地运行代码。 该 VM2 库旨在 Node.js 服务器的隔离上下文
继续阅读Operation $mercenary$:弥漫在东欧平原的战争迷雾
Operation $mercenary$:弥漫在东欧平原的战争迷雾 原创 威胁情报中心 奇安信威胁情报中心 2023-04-10 14:00 概述 奇安信威胁情报中心在去年发布了《Operation(верность) mercenary:陷阵于东欧平原的钢铁洪流》介绍Conti Group在2022年上半年的渗透攻击活动。 值得一提的是,我们在有些现场发现了Karakurt Group留下的勒
继续阅读Nexx 智能设备存在多个漏洞可使黑客打开车库门等,无修复方案
Nexx 智能设备存在多个漏洞可使黑客打开车库门等,无修复方案 BILL TOULAS 代码卫士 2023-04-07 17:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Nexx 公司的智能设备中存在多个漏洞,可被用于控制车库门、禁用家用报警器或智能插座等。这些被公开的漏洞共计五个,严重程度从中危到严重不一而足,该厂商尚未证实和修复这些漏洞。 其中最严重的问题是该厂商使用在固件中硬
继续阅读惠普将在90天内修复这个严重的 LaserJet 打印机漏洞
惠普将在90天内修复这个严重的 LaserJet 打印机漏洞 Bill Toulas 代码卫士 2023-04-07 17:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,惠普发布安全公告称,将在90天内修复影响某些企业级打印机固件的一个严重漏洞 (CVE-2023-1707)。该漏洞影响约50款 HP Enterprise LaserJet 和 HP LaserJet Mana
继续阅读2023年3月必修漏洞清单
2023年3月必修漏洞清单 原创 漏洞情报中心 斗象智能安全 2023-04-07 15:42 斗象科技漏洞情报中心推出2023年3月份必修安全漏洞清单。必修漏洞,指的是影响范围较广、企业必须立刻聚焦修复的安全漏洞。该清单上的漏洞一旦被黑客利用并发生入侵事件后,将会造成十分严重的损失。 斗象科技漏洞情报中心围绕安全漏洞的“危害、影响面、在野利用情况、POC/EXP公开情况、武器化情况、漏洞技术细节
继续阅读QNAP正在紧急修复两个0day,影响全球超8万设备
QNAP正在紧急修复两个0day,影响全球超8万设备 Becky Bracken 代码卫士 2023-04-06 17:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 适用于NAS 设备的多款 QNAP 操作系统中存在两个0day漏洞(CVE-2022-27597和CVE-2022-27598),影响全球8万多台设备。在受影响的4款操作系统中,仍有两款未修复。 这些操作系统漏洞由 St
继续阅读影响上千万网站,WordPress插件曝高危漏洞
影响上千万网站,WordPress插件曝高危漏洞 网络安全应急技术国家工程中心 2023-04-06 14:47 黑客正在积极利用流行的Elementor Pro WordPress插件中的高危漏洞,该插件已被超过1200万个网站使用。 Elementor Pro是一款WordPress页面构建器插件,允许用户轻松构建专业外观的网站而无需了解编码知识,具有拖放、主题构建、模板集合、自定义小部件支持
继续阅读【漏洞预警】WordPress Elementor Pro插件访问控制漏洞
【漏洞预警】WordPress Elementor Pro插件访问控制漏洞 安识科技 SecPulse安全脉搏 2023-04-04 11:45 1. 通告信息 近日,安识科技 A-Team团队监测到WordPress Elementor Pro 插件中修复了一个访问控制漏洞,其CVSSv3评分为8.8。经过身份验证的用户可利用该漏洞更改站点设置,甚至完全控制网站,目前该漏洞的细节已经公开,且已发
继续阅读Windows漏洞十年未修复,3CX供应链攻击影响全球60多万家企业
Windows漏洞十年未修复,3CX供应链攻击影响全球60多万家企业 Lawrence Abrams 代码卫士 2023-04-03 16:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 已存在十年之久的Windows 漏洞 (CVE-2013-3900) 遭利用,导致可执行文件看似获得合法签名。这么多年来,微软发布的修复方案仍然是“opt-in”状态。更糟糕的是,升级至 Window
继续阅读【技术分享】shiro550漏洞复现与研究
【技术分享】shiro550漏洞复现与研究 pony686 安全客 2023-04-03 09:59 前言:就像雨总会停,雾总会散,同样地没有谁会一直失败。 1 漏洞描述 1.shiro概述 Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。Shiro框架直观、易用,同时也能提供健壮的安全性。 2.漏洞原理 Apache Shiro框架提供了记住密码
继续阅读原创Paper | parse-server 从原型污染到 RCE 漏洞(CVE-2022-39396) 分析
原创Paper | parse-server 从原型污染到 RCE 漏洞(CVE-2022-39396) 分析 原创 404实验室 知道创宇404实验室 2023-03-31 16:51 作者:billion@知道创宇404实验室日期:2023年3月31日 parse-server公布了一个原型污染的RCE漏洞,看起来同mongodb有关联,so跟进&&分析一下。 1、BSON潜在
继续阅读3CXDesktop App 代码执行漏洞安全风险通告
3CXDesktop App 代码执行漏洞安全风险通告 奇安信 CERT 2023-03-31 14:08 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 3CXDesktop App 是一款跨平台桌面电话应用程序,适用于Linux、MacOS 和 Windows。 3CXDesktop 允许用户通过聊天、消息、视频和语音进行交互。 3CX在全球1
继续阅读原创 | Spring Cloud GateWay CVE-2022-22947 SPEL RCE
原创 | Spring Cloud GateWay CVE-2022-22947 SPEL RCE 原创 Whippet SecIN技术平台 2023-03-29 18:00 点击蓝字 关注我们 漏洞简介 Spring Cloud Gateway是Spring Cloud官方推出的第二代网关框架,取代Zuul网关。网关作为流量的,在微服务系统中有着非常作用,网关常见的功能有路由转发、权限校验、限流
继续阅读苹果修复老旧设备中的已遭利用 WebKit 0day
苹果修复老旧设备中的已遭利用 WebKit 0day Sergiu Gatlan 代码卫士 2023-03-28 19:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果发布安全更新,向后兼容上周发布的补丁,修复老旧 iPhone 和 iPad 中的已遭利用的0day 漏洞CVE-2023-23529。 该漏洞是位于 WebKit 中的类型混淆漏洞,苹果已于今年2月13日在更新版本
继续阅读JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改
JNDI注入- JNDIExploit 改写内存马适配冰蝎3.0以及魔改 taamr 火线Zone 2023-03-28 18:04 序 最近复现学习Fastjson反序列化漏洞利用的时候,用JNDIExploit注入内存马发现连接不上,得魔改冰蝎,再仔细搜索了几篇文档发现新版的冰蝎已经不用魔改也可以连接了,但是目前开源的JNDIExploit的内存马逻辑得改一改。 后面一想,魔改冰蝎还不如改一改
继续阅读OpenAI:ChatGPT支付数据泄露系开源库漏洞
OpenAI:ChatGPT支付数据泄露系开源库漏洞 关键基础设施安全应急响应中心 2023-03-28 15:08 Redis开源库漏洞引发ChatGPT支付数据泄露。 事件回顾 3月20日,多名ChatGPT订阅用户称在其订阅页面看到了其他用户的邮箱地址。 图 推特原文 随后,OpenAI将ChatGPT下线并调查了这一问题,但并未说明ChatGPT停止服务的原因。 图 ChatGPT停止服务
继续阅读Redis客户端开源库漏洞导致ChatGPT泄漏支付卡信息等
Redis客户端开源库漏洞导致ChatGPT泄漏支付卡信息等 Lawrence Abrams 代码卫士 2023-03-27 17:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OpenAI 公司指出,Redis 客户端开源库漏洞是上周一ChatGPT服务中断以及数据泄露的元凶。该攻击使用户能够看到其他人的个人信息和聊天查询。 ChatGPT 在侧边栏展示用户所提的历史查询,可使用户
继续阅读ChatGPT 写 PoC,拿下漏洞!
ChatGPT 写 PoC,拿下漏洞! 渊龙Sec安全团队 2023-03-24 19:51 Goby社区第 23 篇技术分享文章 全文共: 3901 字 预计阅读时间: 10 分钟 01 前言**** ChatGPT(Chat Generative Pre-trained Transformer)是当今备受瞩目的智能AI聊天机器人之一。它不仅能够实现基本的语言交流,还具备许多强大的功能,例
继续阅读三星Exynos芯片集中发现18个0 day漏洞,影响三星、vivo设备
三星Exynos芯片集中发现18个0 day漏洞,影响三星、vivo设备 ang010ela 嘶吼专业版 2023-03-24 12:00 谷歌研究人员在三星Exynos芯片集中发现18个0 day漏洞。 漏洞概述 谷歌Project Zero安全研究人员在三星Exynos芯片集中发现18个0 day漏洞,影响手机、可穿戴设备和汽车等电子设备。 这18个漏洞是在2022年底到2023年初发现和报告
继续阅读速修复这些Netgear Orbi路由器漏洞
速修复这些Netgear Orbi路由器漏洞 Bill Toulas 代码卫士 2023-03-23 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科Talos团队发布了Netgear Orbi 740系列路由器和扩展卫星中多个漏洞的PoC exploit,其中一个漏洞是严重的远程命令执行漏洞。 Netgear Orbi 是适用于家庭用户的流行网络无线网格系统,可同时最多为5
继续阅读CISA提醒修复这些严重的ICS漏洞
CISA提醒修复这些严重的ICS漏洞 Ravie Lakshmanan 代码卫士 2023-03-23 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 周二,美国CISA发布八份ICS安全公告,提醒注意影响台达电子 (Delta Electronics) 公司和罗克韦尔自动化 (Rockewell Automation) 公司设备的严重漏洞。 台达电子公司的实时设备监控软件 In
继续阅读【技术干货】CVE-2023-21839 WebLogic Server RCE分析
【技术干货】CVE-2023-21839 WebLogic Server RCE分析 星阑科技 2023-03-23 10:39 xxhzz @PortalLab实验室 项目介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的J
继续阅读微步成为国家信息安全漏洞库(CNNVD)一级技术支撑单位
微步成为国家信息安全漏洞库(CNNVD)一级技术支撑单位 ThreatBook 微步在线 2023-03-21 17:32 近日,微步在线成为国家信息安全漏洞库(CNNVD)漏洞信息共享合作单位,并荣获中国信息安全测评中心颁发的“国家信息安全漏洞库(CNNVD)技术支撑单位等级(一级)证书”,成为该领域最高级别的技术支撑单位之一。 面对日益复杂严峻的网络安全形势,“共筑防线、共享安全”已成为业界共
继续阅读2023年2月必修漏洞清单
2023年2月必修漏洞清单 原创 漏洞情报中心 斗象智能安全 2023-03-21 16:25 斗象科技漏洞情报中心推出2023年2月份必修安全漏洞清单。必修漏洞,指的是影响范围较广、企业必须立刻聚焦修复的安全漏洞。该清单上的漏洞一旦被黑客利用并发生入侵事件后,将会造成十分严重的损失。 斗象科技漏洞情报中心围绕安全漏洞的“危害、影响面、在野利用情况、POC/EXP公开情况、武器化情况、漏洞技术细节
继续阅读春春欲洞 | 漏洞翻倍奖励,暖心好礼迎春
春春欲洞 | 漏洞翻倍奖励,暖心好礼迎春 X社区 微步在线 2023-03-20 19:31 “ 各位白帽师傅: 春意盎然,万物复苏,X漏洞奖励计划 · 暖春季活动来啦! 这次活动准备了翻倍奖励和暖心礼品,邀请你一起来肝洞! 放心去肝,你的肝,我来守护! 活动时间: 2023/3/20~2023/3/31 漏洞提交入口: 登录X情报社区(x.threatbook.com)- 导航栏“奖励计划” &
继续阅读