三万个太阳能光伏电站面临严重漏洞威胁
三万个太阳能光伏电站面临严重漏洞威胁 网络安全应急技术国家工程中心 2023-07-11 15:34 全球数万个太阳能光伏发电站所采用的太阳能发电监控系统曝出严重漏洞,远程攻击者目前正积极利用该漏洞破坏运营或在系统中驻留。 曝出漏洞的设备是日本大阪的Contec(康泰克)公司生产的SolarView太阳能发电监控系统,可帮助太阳能光伏电站内的人员监控产生、存储和配电。 Contec表示,全球大约3
继续阅读标签: SQL注入
上周关注度较高的产品安全漏洞(20230703-20230709)
上周关注度较高的产品安全漏洞(20230703-20230709) 国家互联网应急中心CNCERT 2023-07-11 15:19 一、境外厂商产品漏洞 1、Microsoft Excel代码执行漏洞(CNVD-2023-53909) Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞,攻击
继续阅读风险提示|泛微 OA e-cology 前台SQL注入漏洞
风险提示|泛微 OA e-cology 前台SQL注入漏洞 长亭安全应急响应中心 2023-07-11 13:19 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。近期,长亭科技监测到泛微官方发布了新补丁修复了一处SQL注入漏洞。长亭应急团队经过分析后发现该漏洞类型为SQL注入,仍有较多公网系统仍未修复漏洞。长亭应急响应实验室根据漏洞原理
继续阅读已复现!泛微e-cology SQL注入漏洞
已复现!泛微e-cology SQL注入漏洞 原创 微步情报局 微步在线研究响应中心 2023-07-10 20:12 01 漏洞概况**** 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。近日,微步漏洞团队监测到泛微e-cology官方修复了一个SQ
继续阅读【安全圈】Progress Software再现三个新漏洞,影响 MOVEit Transfer多个版本
【安全圈】Progress Software再现三个新漏洞,影响 MOVEit Transfer多个版本 安全圈 2023-07-10 19:00 关键词 安全漏洞 今年6月,文件共享工具MOVEit Transfer曾曝出SQL 注入漏洞,能让远程攻击者访问其数据库并执行任意代码。最近,MOVEit Transfer 母公司Progress Software又披露了三个新漏洞。 这三个漏洞分别是
继续阅读【安全圈】速看,三万个太阳能光伏电站面临严重漏洞威胁
【安全圈】速看,三万个太阳能光伏电站面临严重漏洞威胁 安全圈 2023-07-10 19:00 关键词 黑客攻击 全球数万个太阳能光伏发电站所采用的太阳能发电监控系统曝出严重漏洞,远程攻击者目前正积极利用该漏洞破坏运营或在系统中驻留。 曝出漏洞的设备是日本大阪的Contec(康泰克)公司生产的SolarView太阳能发电监控系统,可帮助太阳能光伏电站内的人员监控产生、存储和配电。Contec表示,
继续阅读【已复现】泛微E-Cology SQL注入漏洞安全风险通告
【已复现】泛微E-Cology SQL注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-07-10 16:38 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 泛微E-Cology SQL注入漏洞 漏洞编号 QVD-2023-15672 公开时间 2023-07-07 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 8.6 威胁类型 代码执
继续阅读网络安全漏洞(风险)扫描的12种类型
网络安全漏洞(风险)扫描的12种类型 安全牛 2023-07-10 12:06 漏洞(风险)扫描是保障现代企业数字化转型安全开展过程中一个至关重要的组成部分,可以帮助企业识别数字化系统和应用中的各类安全缺陷。在实际应用时,漏洞扫描的类型需要和它们能够保护的IT环境保持一致。如果充分了解不同类型漏洞扫描技术之间的区别,企业可以提高整体网络安全防御能力,并加固系统以防范潜在威胁。本文收集整理了目前最常
继续阅读太阳能监控产品存在三个RCE漏洞,影响数百家能源机构
太阳能监控产品存在三个RCE漏洞,影响数百家能源机构 Eduard Kovacs 代码卫士 2023-07-06 17:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 漏洞情报公司 VulnCheck 在本周三提醒称,日本公司 Contec 制造的太阳能监控产品受一个已遭活跃利用漏洞 (CVE-2022-29303) 的影响,导致数百家能源组织机构受牵连。 Contec 公司专
继续阅读路由器漏洞挖掘系列之未授权访问漏洞及常见绕过技巧
路由器漏洞挖掘系列之未授权访问漏洞及常见绕过技巧 原创 B2eFly 山石网科安全技术研究院 2023-07-06 10:38 #01 「 基本介绍 」 未授权访问漏洞是指攻击者利用系统或应用程序中未正确实施访问控制机制的安全弱点,以获取未经授权的数据或功能权限。这种漏洞可以被黑客利用来窃取敏感信息、篡改数据或执行未经授权的操作。 通常,未授权访问漏洞的原因包括: 1. 系统或应用程序的访问
继续阅读通用型漏洞收录|雷神众测星网计划一期全面启动
通用型漏洞收录|雷神众测星网计划一期全面启动 雷神众测 雷神众测 2023-07-04 17:14 2023年夏日,安恒信息|雷神众测全面启动星网计划! 星网计划是雷神众测 定向通用型漏洞收录计划。我们会不定期发布不同的通用型0day漏洞收录方向,主要针对可影响金融行业、通信行业、能源行业、教育行业、医疗行业、云厂商、云原生等重点行业关基相关系统及其供应链系统通用型安全漏洞及相关利用技术研究项目提
继续阅读上周关注度较高的产品安全漏洞(20230626-20230702)
上周关注度较高的产品安全漏洞(20230626-20230702) 国家互联网应急中心CNCERT 2023-07-04 15:53 一、境外厂商产品漏洞 1、 Google Android缓冲区溢出漏洞(CNVD-2023-52817) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在缓冲区溢出漏洞,攻击者可利用该
继续阅读香港中文大学 | TChecker:用于检测PHP应用程序中的污点式漏洞的精确静态跨过程分析
香港中文大学 | TChecker:用于检测PHP应用程序中的污点式漏洞的精确静态跨过程分析 原创 1cey 安全学术圈 2023-07-03 22:53 原文标题:TChecker: Precise Static Inter-Procedural Analysis for Detecting Taint-Style Vulnerabilities in PHP Applications原文作者:
继续阅读【安全圈】7月14日前完成!CISA 督促联邦机构修补 iPhone 漏洞
【安全圈】7月14日前完成!CISA 督促联邦机构修补 iPhone 漏洞 安全圈 2023-06-26 19:00 关键词 修补漏洞 Bleeping Computer 网站消息,美国网络安全与基础设施安全局(CISA)督促联邦机构尽快修补 iMessage 零点击漏洞。卡巴斯基表示这些漏洞已被黑客在野外利用,网络攻击者通过漏洞在其员工的 iPhone 上部署 Triangulation 间谍软
继续阅读上周关注度较高的产品安全漏洞(20230619-20230625)
上周关注度较高的产品安全漏洞(20230619-20230625) 国家互联网应急中心CNCERT 2023-06-26 16:51 一、境外厂商产品漏洞 1、Adobe Commerce安全绕过漏洞**** Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的数字商务解决方案。Adobe Commerce存在安全绕过漏洞,攻击者可利用该漏洞触发特制的脚本绕过安全功能。
继续阅读雷神众测漏洞周报2023.06.19-2023.06.25
雷神众测漏洞周报2023.06.19-2023.06.25 原创 雷神众测 雷神众测 2023-06-26 15:35 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【安全圈】已修复!Zyxel修复了NAS设备中的严重漏洞!
【安全圈】已修复!Zyxel修复了NAS设备中的严重漏洞! 安全圈 2023-06-21 19:00 关键词 漏洞修复 近日,Zyxel针对CVE-2023-27992 (CVSS评分:9.8)发布了安全更新,这个严重的安全漏洞影响到了其网络附加存储(NAS)设备。 该漏洞存在预认证命令注入问题,影响了V5.21(AAZF.14)C0之前的多个固件版本,其中包括Zyxel NAS326固件版本、V
继续阅读上周关注度较高的产品安全漏洞(20230612-20230618)
上周关注度较高的产品安全漏洞(20230612-20230618) 国家互联网应急中心CNCERT 2023-06-21 16:25 一、境外厂商产品漏洞 1、Google Chrome类型混肴漏洞 Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 114.0.5735.110之前版本存在类型混肴漏洞,攻击者可利用该漏洞在系统上执行任意代码或导
继续阅读re:Inforce 2023:亚马逊云科技聚焦AI驱动的安全
re:Inforce 2023:亚马逊云科技聚焦AI驱动的安全 安全内参 2023-06-21 11:18 关注我们 带你读懂网络安全 生成式AI对安全的影响占据了re:Inforce 2023的中心位置。亚马逊云科技认为,由AI/ML驱动的安全自动化服务,可以帮助客户更好应对安全事件,促进业务连续性。 人工智能 (AI) 和机器学习 (ML) 技术成为各种规模企业的关注重点,而亚马逊云科技显然也
继续阅读今年最大规模网络攻击:零日漏洞击穿防线,美国近百家大型政企遭勒索
今年最大规模网络攻击:零日漏洞击穿防线,美国近百家大型政企遭勒索 关键基础设施安全应急响应中心 2023-06-20 15:13 俄罗斯勒索软件组织Clop利用美国商业软件零日漏洞发动攻击,美国联邦地方机构纷纷被黑,海量公民数据遭勒索。 6月19日消息,美国官员15日称,俄罗斯勒索软件组织Clop利用MOVEit文件传输软件的零日漏洞发动攻击,窃取并高价售卖美国能源部在内的多个联邦机构用户数据。
继续阅读消息中间件RocketMQ命令执行漏洞分析
消息中间件RocketMQ命令执行漏洞分析 原创 HhhM 山石网科安全技术研究院 2023-06-19 11:27 RocketMQ是由阿里捐赠给Apache的一款低延迟、高并发、高可用、高可靠的分布式消息中间件。RocketMQ既可为分布式应用系统提供异步解耦和削峰填谷的能力,同时也具备互联网应用所需的海量消息堆积、高吞吐、可靠重试等特性。 0 1 漏洞分析 RocketMQ 5
继续阅读【工具篇】漏洞扫描-最新版Invicti v23.6.0.40861
【工具篇】漏洞扫描-最新版Invicti v23.6.0.40861 渗透测试网络安全 2023-06-17 20:30 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 0x01 Invicti介绍Invicti可以全自动、极其准确并且是易于使用的 Web 应用程序安全扫描程序,可自动查找您的网站、Web 应用程序和 Web 服务中的安全漏洞。0x02 Invicti本次更新介绍 本次
继续阅读云渗透案例剖析 | 阿里云PostgreSQL漏洞技术细节
云渗透案例剖析 | 阿里云PostgreSQL漏洞技术细节 原创 下雨天还在翻译 关注安全技术 2023-06-17 15:19 原文:《#BrokenSesame: Accidental ‘write’ permissions to private registry allowed potential RCE to Alibaba Cloud Database Services》https:/
继续阅读为了做好这件事,他们在漏洞堆里挖呀挖呀挖
为了做好这件事,他们在漏洞堆里挖呀挖呀挖 奇安信集团 奇安信 CERT 2023-06-16 18:25 “你觉得这么些年总共30万个漏洞很多吗?”奇安信威胁情报中心负责人汪列军反问道。 “应该挺多的吧。按照咱们奇安信CERT发布的数据来看,2022年收录了26000+条漏洞信息,也要十多年才能达到这个数量级。” “话是这么说,但却不是这么个算法。”汪列军解释道,“我们收录的也只是已经公开的漏洞,
继续阅读【漏洞通告】畅捷通T+ SQL注入漏洞
【漏洞通告】畅捷通T+ SQL注入漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-15 20:09 漏洞名称: 畅捷通T+ SQL注入漏洞 组件名称: 畅捷通T+ 影响范围: 畅捷通T+ 13.0 畅捷通T+ 16.0 漏洞类型: SQL注入 利用条件: 1、用户认证:不需要 2、前置条件:未知 3、触发方式:远程 综合评价: <综合评定利用难度>:容易,无需授权即可利
继续阅读【漏洞通告】Progress MOVEit Transfer SQL注入漏洞CVE-2023-34362
【漏洞通告】Progress MOVEit Transfer SQL注入漏洞CVE-2023-34362 深瞻情报实验室 深信服千里目安全技术中心 2023-06-15 20:09 漏洞名称: Progress MOVEit Transfer SQL注入漏洞(CVE-2023-34362) 组件名称: MOVEit Transfer 影响范围: 2021.0.0 < MOVEit Trans
继续阅读【安全通告】VMware Aria Operations for Networks代码执行漏洞(CVE-2023-20887)
【安全通告】VMware Aria Operations for Networks代码执行漏洞(CVE-2023-20887) 原创 NS-CERT 绿盟科技CERT 2023-06-15 18:02 通告编号:NS-2023-0025 2023-06-15 TAG: VMware Aria Operations for Networks、远程代码执行、CVE-2023-20887 漏洞危害: 攻
继续阅读微软 Azure Bastion 和 Container Registry 中存在两个严重漏洞
微软 Azure Bastion 和 Container Registry 中存在两个严重漏洞 Ravie Lakshmanan 代码卫士 2023-06-15 17:44 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 微软 Azure Bastion 和 Azure Container Registry 中存在两个严重该漏洞,可用于执行XSS攻击。 Orca 公司的安全研究员表示
继续阅读2023年十佳开源漏洞评估工具
2023年十佳开源漏洞评估工具 布加迪 嘶吼专业版 2023-06-15 12:04 漏洞评估工具可以扫描IT资产,查找已知的漏洞、错误配置及其他缺陷。然后,这类扫描器为IT安全和应用程序开发运营(DevOps)团队生成报告,这些团队将已确定优先级的任务馈入工单和工作流系统,以修复漏洞。 开源漏洞测试工具提供了经济高效的漏洞检测解决方案。除了商业漏洞扫描工具外,许多IT团队甚至部署一个或多个开源工
继续阅读CNNVD 通报微软多个安全漏洞
CNNVD 通报微软多个安全漏洞 安全牛 2023-06-15 12:02 近日,CNNVD( 国家信息 安全漏洞库 ) 正式通报微软多个安全漏洞,其中微软产品本身漏洞77个,影响到微软产品的其他厂商漏洞8个。包括Microsoft SharePoint 安全漏洞(CNNVD-202306-940、CVE-2023-29357)、Microsoft Windows PGM 安全漏洞(CNNVD-2
继续阅读