CosMiss:Azure Cosmos DB Notebook 远程代码执行漏洞
CosMiss:Azure Cosmos DB Notebook 远程代码执行漏洞 枇杷五星加强版 黑伞安全 2023-06-13 18:51 我们最近在 Azure Cosmos DB 上发现了一个非常重要的漏洞,其中 Cosmos DB 笔记本缺少身份验证检查。 我们将其命名为“CosMiss”。 简而言之,如果攻击者知道笔记本的“forwardingId”,即笔记本工作区的 UUID,他们将
继续阅读标签: SQL注入
上周关注度较高的产品安全漏洞(20230605-20230611)
上周关注度较高的产品安全漏洞(20230605-20230611) 国家互联网应急中心CNCERT 2023-06-13 15:25 一、境外厂商产品漏洞 1 、Microsoft Windows DNS远程代码执行漏洞(CNVD-2023-44300) Microsoft Windows DNS是美国微软(Microsoft)公司的一个域名解析服务。域名系统(DNS)是包含TCP/IP的行业标准
继续阅读速修复MOVEit Transfer 中的这个新0day!
速修复MOVEit Transfer 中的这个新0day! Ravie Lakshmanan 代码卫士 2023-06-12 18:22 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 MOVEit Transfer 应用所属公司 Progress Software 发布补丁,修复影响该文件传输解决方案的全新 SQL 漏洞,该漏洞可导致敏感信息被盗。 Progress Softwar
继续阅读雷神众测漏洞周报2023.06.05-2023.06.11
雷神众测漏洞周报2023.06.05-2023.06.11 原创 雷神众测 雷神众测 2023-06-12 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【安全圈】好端端的“驱动神器”,怎就成了安全漏洞?
【安全圈】好端端的“驱动神器”,怎就成了安全漏洞? 安全圈 2023-06-11 19:00 关键词 驱动 如果你是一位PC玩家,你可能知道在装新电脑或进行日常升级和维护操作时,安装和升级各种硬件驱动是必不可少的步骤。 正确和最新版本的驱动通常可以提升硬件在游戏和内容创建软件中的性能,同时更好地适配新版操作系统的相关功能,并提升日常使用的稳定性。相反,过时或错误的驱动可能会影响性能,导致各种错误和
继续阅读用友畅捷通Tplus远程命令执行漏洞
用友畅捷通Tplus远程命令执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-10 13:44 漏洞名称: 用友畅捷通Tplus远程命令执行漏洞 组件名称: 用友畅捷通Tplus 影响范围: 用友畅捷通Tplus 13.0 用友畅捷通Tplus 16.0 漏洞类型: 命令执行 利用条件: 1、用户认证:未知 2、前置条件:未知 3、触发方式:远程 综合评价: <综合评定利
继续阅读GeoServer CQL_FILTER SQL注入漏洞(CVE-2023-25157)
GeoServer CQL_FILTER SQL注入漏洞(CVE-2023-25157) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-10 13:44 漏洞名称: GeoServer CQL_FILTER SQL注入漏洞 组件名称: GeoServer 影响范围: GeoServer < 2.21.4 2.22.0 ≤ GeoServer < 2.22.2 漏洞类型:
继续阅读【已复现】GeoServer SQL注入漏洞(CVE-2023-25157)安全风险通告
【已复现】GeoServer SQL注入漏洞(CVE-2023-25157)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-06-09 19:01 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GeoServer SQL注入漏洞 漏洞编号 QVD-2023-4979、CVE-2023-25157 公开时间 2023-02-21 影响对象数量级 万级 奇安信评
继续阅读漏洞风险提示|畅捷通T+ SQL注入漏洞
漏洞风险提示|畅捷通T+ SQL注入漏洞 长亭安全应急响应 黑伞安全 2023-06-09 18:59 畅捷通T+是一款企业资源规划(ERP)软件,主要功能包括财务管理、销售管理、采购管理以及库存管理等,助力企业实现业务流程自动化。近期,长亭科技监测到微步在线发布一则漏洞通告,声明畅捷通T+发布新版本修复了一个RCE漏洞。长亭应急团队经过漏洞分析后,发现该漏洞类型为SQL注入,可利用其实现RCE。
继续阅读尽快更新!VMware修复严重远程代码执行漏洞
尽快更新!VMware修复严重远程代码执行漏洞 看雪学苑 看雪学苑 2023-06-09 17:59 虚拟化巨头VMware于6月9日新发布了多个安全补丁,以解决VMware Aria Operations for Networks中的三个严重漏洞——未经身份验证的攻击者可利用它来远程执行任意代码、访问敏感信息。 VMware Aria Operations for Networks是一个网络可见
继续阅读【漏洞预警】VMware Aria Operations for Networks命令注入漏洞
【漏洞预警】VMware Aria Operations for Networks命令注入漏洞 安识科技 SecPulse安全脉搏 2023-06-09 11:49 1. 通告信息 近日,安识科技 A-Team团队监测到VMware发布安全公告,修复了Aria Operations Networks 6.x中的一个命令注入漏洞(CVE-2023-20887),该漏洞的CVSSv3评分为9.8,对
继续阅读漏洞风险提示|GeoServer SQL注入漏洞(CVE-2023-25157)
漏洞风险提示|GeoServer SQL注入漏洞(CVE-2023-25157) 长亭安全应急响应 黑伞安全 2023-06-08 19:50 GeoServer是一款开源的地理数据服务器软件,主要用于发布、共享和处理各种地理空间数据。它支持众多的地图和空间数据标准,能够使各种设备通过网络来浏览和使用这些地理信息数据。近期,长亭科技监测到GeoServer发布新版本修复了一个SQL注入漏洞。经过漏
继续阅读VMware 修复 vRealize 网络分析工具中的严重漏洞
VMware 修复 vRealize 网络分析工具中的严重漏洞 Sergiu Gatlan 代码卫士 2023-06-08 17:52 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 VMware 发布了多个补丁,修复了位于 VMware Aria Operations for Networks 中的多个严重和高危漏洞,它们可导致攻击者获得远程执行或访问敏感信息的权限。 VMware
继续阅读CVE-2023-20887:VMware Aria Operations for Networks命令注入漏洞通告
CVE-2023-20887:VMware Aria Operations for Networks命令注入漏洞通告 原创 360CERT 三六零CERT 2023-06-08 16:59 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-207 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-08 1 漏洞简述 2023年06月08日,360CERT监
继续阅读最受渗透测试工程师欢迎的10款漏洞扫描工具(2023版)
最受渗透测试工程师欢迎的10款漏洞扫描工具(2023版) 安全牛 2023-06-08 13:03 漏洞扫描工具是现代企业开展渗透测试服务中必不可少的工具之一,可以帮助渗透测试工程师快速发现被测应用程序、操作系统、计算设备和网络系统中存在的安全风险与漏洞,并根据这些漏洞的危害提出修复建议。常见的漏洞扫描工具包括漏洞发现扫描、全功能扫描和合规性扫描。在实际工作中,渗透测试工程师往往会根据测试项目的需
继续阅读OWASP发布大型语言模型漏洞威胁Top10(草案清单)
OWASP发布大型语言模型漏洞威胁Top10(草案清单) 安全牛 2023-06-07 11:18 基于大型语言模型(LLM)的生成式AI技术应用已经成为当前全球企业普遍关注的热点。作为一种创新技术,企业组织在未来数字化发展中有很多机会应用ChatGPT或类似AI工具。因此,CISO们需要提前做好准备,以避免可能出现的安全隐患和隐私泄露风险。 日前,OWASP(全球开放应用软件安全项目组织)发布了
继续阅读MOVEit Transfer 漏洞似乎被广泛利用
MOVEit Transfer 漏洞似乎被广泛利用 关键基础设施安全应急响应中心 2023-06-06 15:29 Progress Software 已在其文件传输软件 MOVEit Transfer 中发现一个漏洞,该漏洞可能导致权限提升和潜在的未经授权访问环境,该公司在一份安全公告中表示。 在 MOVEit Transfer Web 应用程序中发现了一个 SQL 注入漏洞,可能允许未经身份
继续阅读【安全圈】Zyxel 防火墙曝出高危安全漏洞,现已修复!
【安全圈】Zyxel 防火墙曝出高危安全漏洞,现已修复! 安全圈 2023-06-05 19:01 关键词 安全漏洞 日前,Zyxel发布了一份指南,旨在保护防火墙和VPN设备免受利用CVE-2023-28771、CVE-2023-33009和CVE-2023-33010漏洞的持续攻击。 指南中提到,该公司一直在通过多种渠道敦促用户安装补丁,比如已经给注册用户和资讯订阅者发送了多份安全资讯,通过本
继续阅读MOVEit 文件传输软件0day被用于窃取数据
MOVEit 文件传输软件0day被用于窃取数据 Eduard Kovacs 代码卫士 2023-06-05 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 5月31日,Progress Software 提醒称 MOVEit Transfer 管理文件传输 (MFT) 软件受一个严重的SQL注入漏洞影响,可导致未认证攻击者访问 MOVEit Transfer 数据库。
继续阅读雷神众测漏洞周报2023.05.29-2023.06.04
雷神众测漏洞周报2023.05.29-2023.06.04 雷神众测 雷神众测 2023-06-05 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读API NEWS | Money Lover爆出潜在API漏洞
API NEWS | Money Lover爆出潜在API漏洞 星阑科技 2023-06-05 14:38 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – Money Lover爆出潜在API漏洞 丰田管理运营平台的API漏洞 一篇关于标准测试遗漏的
继续阅读如何有效遏制针对通达OA漏洞利用活动
如何有效遏制针对通达OA漏洞利用活动 原创 debugeeker 奶牛安全 2023-06-05 10:17 前言 假设你是网络安全建设或防御负责人,相信针对通达 OA 的渗透测试一定是使你提心吊胆、夜不能寐且辗转反侧的原因之一。 在此篇文章中,我们将给出可以遏制针对通达 OA 进行漏洞利用的策略,及时发现并降低它可能给终端安全带来的风险。 关于通达 OA 通达 OA(Office Anywher
继续阅读RocketMQ 远程代码注入漏洞 CVE-2023-33246
RocketMQ 远程代码注入漏洞 CVE-2023-33246 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-03 11:31 漏洞名称: RocketMQ 远程代码注入漏洞 (CVE-2023-33246) 组件名称: RocketMQ 影响范围: 5.x≤RocketMQ≤5.1.04.x≤RocketMQ≤4.9.5 漏洞类型: 远程代码执行 利用条件: 1、用户认证:否 2、
继续阅读CVE-2023-22809 sudo提权漏洞
CVE-2023-22809 sudo提权漏洞 CatF1y 看雪学苑 2023-06-02 17:59 漏洞简介:Sudo中的sudoedit对处理用户提供的环境变量(如SUDO_EDITOR、VISUAL和EDITOR)中传递的额外参数存在缺陷。当用户指定的编辑器包含绕过sudoers策略的“–”参数时,拥有sudoedit访问权限的本地攻击者可通过将任意条目附加到要处理的文件列表中,最终在目
继续阅读WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞
WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞 Ravie Lakshmanan 代码卫士 2023-06-02 17:37 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 WordPress 发布自动更新,修复了位于安装在500多万个网站上的 Jetpack 插件中的一个严重漏洞。 该漏洞是在一次内部安全审计中发现的,影响2012年11月发布的 Jet
继续阅读合勤科技修复NAS 设备中的高危漏洞
合勤科技修复NAS 设备中的高危漏洞 Helga Labus 代码卫士 2023-06-02 17:37 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 合勤科技 (Zyxel) 修复了家庭用户所使用的 NAS 设备中的一个高危认证命令注入漏洞 (CVE-2023-27988)。 漏洞简述 该漏洞位于设备的 web 管理接口中。 合勤科技证实称,“具有管理员权限的认证攻击者可利用该漏
继续阅读梭子鱼邮件安全设备零日漏洞被利用长达七个月
梭子鱼邮件安全设备零日漏洞被利用长达七个月 安全内参 2023-06-02 15:56 关注我们 带你读懂网络安全 网络和电子邮件安全公司梭子鱼(Barracuda Networks)本周三透露,其10天前修补的零日漏洞已被利用至少七个月,攻击者利用该漏洞在梭子鱼的大型企业客户的网络中投放恶意软件并窃取数据。 梭子鱼于5月18日收到邮件安全网关(ESG)设备可疑流量的警报,一天后发现该零日漏洞并聘
继续阅读技嘉曝“类后门”安全漏洞,影响约 700 万台设备
技嘉曝“类后门”安全漏洞,影响约 700 万台设备 网络安全应急技术国家工程中心 2023-06-02 15:31 The Hacker News 网站披露, Eclypsium 网络安全研究员发现技嘉售出的 271 款,近 700 万片主板中存在”类似后门的“安全漏洞。设备的 UEFI 固件中“潜伏”一个 Windows 可执行文件,并以不安全的格式检索更新,以此触发隐藏的更新程序。 Eclyp
继续阅读【安全圈】技嘉曝“类后门”安全漏洞,影响约 700 万台设备
【安全圈】技嘉曝“类后门”安全漏洞,影响约 700 万台设备 安全圈 2023-06-01 19:01 关键词 安全漏洞 The Hacker News 网站披露, Eclypsium 网络安全研究员发现技嘉售出的 271 款,近 700 万片主板中存在”类似后门的“安全漏洞。设备的 UEFI 固件中“潜伏”一个 Windows 可执行文件,并以不安全的格式检索更新,以此触发隐藏的更新程序。Ecl
继续阅读黑客利用 cookie 插件漏洞攻击 150 万个 WordPress 网站
黑客利用 cookie 插件漏洞攻击 150 万个 WordPress 网站 网络安全应急技术国家工程中心 2023-06-01 14:41 持续的攻击针对名为 Beautiful Cookie Consent Banner 的 WordPress cookie 同意插件中的未经身份验证的存储跨站点脚本 (XSS) 漏洞,该插件具有超过 40,000 个活动安装。 在 XSS 攻击中,威胁参与者将
继续阅读