漏洞风险提示 | 泛微 Ecology OA SQL 注入漏洞
漏洞风险提示 | 泛微 Ecology OA SQL 注入漏洞 长亭技术沙盒 黑伞安全 2023-04-23 18:28 长亭漏洞风险提示 泛微 Ecology OA SQL 注入漏洞# 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
继续阅读标签: SQL注入
【已复现】Apache Druid 远程代码执行漏洞安全风险通告第二次更新
【已复现】Apache Druid 远程代码执行漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-04-22 00:00 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 Apache Druid是一个高性能的实时大数据分析引擎,支持
继续阅读Apache Druid远程代码执行漏洞安全风险通告
Apache Druid远程代码执行漏洞安全风险通告 奇安信 CERT 2023-04-21 18:12 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Apache Druid是一个高性能的实时大数据分析引擎,支持快速数据摄取、实时查询和数据可视化。 它主要用于OLAP(在线分析处理)场景,能处理PB级别 的数据。 Druid具有高度可扩展、低延
继续阅读Strapi 多个高危漏洞安全风险通告
Strapi 多个高危漏洞安全风险通告 奇安信 CERT 2023-04-21 18:12 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Strapi 是下一代 headless CMS、开源、javascript,可以创建、管理内容丰富的体验并将其展示给任何数字设备。 近日,奇安信CERT监测到 Strapi 远程代码执行漏洞(CVE-2023
继续阅读0day通告!WebLogic JNDI 注入远程代码执行漏洞
0day通告!WebLogic JNDI 注入远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-04-19 16:09 01 漏洞概况 2023 年 4 月 19 日 , Oracle 发 布 安 全 补 丁 修 复 WebLogic 中 间 件 漏 洞 。其 中 CVE-2023-21931 由微步在线漏洞团队挖掘,并报告给监管和厂商。 经过分析与研判,该漏洞利用难度低,可以
继续阅读五大API安全漏洞及缓解措施
五大API安全漏洞及缓解措施 关键基础设施安全应急响应中心 2023-04-19 15:34 API流量约占全球互联网流量的83%,是数字经济的“关键基础设施”,同时也是最热门的攻击目标之一。 随着云计算、物联网、移动互联网和人工智能技术的快速普及,API安全已经成为当下企业和互联网面临的最严峻的网络安全挑战之一,根据Gartner的研究,2022年,超过九成Web应用程序遭到的攻击来自API,而
继续阅读在野0Day漏洞预警|Apache Druid远程代码执行漏洞(内附检测工具)
在野0Day漏洞预警|Apache Druid远程代码执行漏洞(内附检测工具) 长亭安全应急响应中心 2023-04-19 10:36 长亭漏洞风险提示 Apache Druid远程代码执行漏洞 Apache Druid是一个高性能的实时大数据分析引擎,支持快速数据摄取、实时查询和数据可视化。它主要用于OLAP(在线分析处理)场景,能处理PB级别的数据。Druid具有高度可扩展、低延
继续阅读上周关注度较高的产品安全漏洞(20230410-20230416)
上周关注度较高的产品安全漏洞(20230410-20230416) 国家互联网应急中心CNCERT 2023-04-18 16:43 一、境外厂商产品漏洞 1、Apache InLong反序列化漏洞(CNVD-2023-25936) Apache InLong是美国阿帕奇(Apache)基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。Apache InLong 1.1.0版
继续阅读Juniper Networks 修复多个严重的第三方组件漏洞
Juniper Networks 修复多个严重的第三方组件漏洞 Ionut Arghire 代码卫士 2023-04-17 17:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络、云和网络安全解决方案提供商 Juniper Networks 上周发布安全公告,详述了产品中出现的数十个漏洞,其中包括 Junos OS 和 STRM 第三方组件中的多个严重漏洞。 其中一份安全公告是和
继续阅读Linux提权系列23: [训练营]利用linux能力漏洞6
Linux提权系列23: [训练营]利用linux能力漏洞6 原创 debugeeker 奶牛安全 2023-04-17 08:02 这篇讲述涉及进程注入和内核模块注入的能力 CAP_SYS_PTRACE 在本实验中,python 解释器在有效集和允许集都具有 cap_sys_ptrace 功能 当运行进程的有效集有 cap_sys_ptrace 能力,它可以打开任何进程并将数据写入其内存。这意味
继续阅读Joomla Unauthorized”后”渗透到RCE
Joomla Unauthorized”后”渗透到RCE Betta 火线Zone 2023-04-14 17:06 前言 前文已经分析过了Joomla Unauthorized的漏洞成因,总的来说是由于函数array_merge()变量覆盖引起的,未授权的api接口很多。 Joomla Unauthorized RCE1 api路径 api/index.php/v1/co
继续阅读检测工具发布|瑞友天翼应用虚拟化系统远程代码执行漏洞
检测工具发布|瑞友天翼应用虚拟化系统远程代码执行漏洞 长亭技术沙盒 CT Stack 安全社区 2023-04-14 13:59 长亭漏洞风险提示 瑞友天翼应用虚拟化系统 远程代码执行漏洞 瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服
继续阅读Windows_AFD_LPE_CVE-2023-21768分析
Windows_AFD_LPE_CVE-2023-21768分析 N1ptune 看雪学苑 2023-04-13 17:59 本文为看雪论坛优秀文章 看雪论坛作者ID:N1ptune CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 本文是对exp代码的分析,完整exp : xforcered/Windo
继续阅读Apache Linkis 修复多个漏洞
Apache Linkis 修复多个漏洞 DO SON 代码卫士 2023-04-13 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache Linkis 是一款热门的计算中间件,用于弥合上层应用程序和底层引擎之间的差距,从而能够无缝访问多个引擎如 MySQL、Spark、Hive、Presto 和 Flink。然而,研究人员在 Apache Linkis 中发现多个需要
继续阅读【已复现】瑞友天翼应用虚拟化系统远程代码执行漏洞安全风险通告第二次更新
【已复现】瑞友天翼应用虚拟化系统远程代码执行漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-04-13 16:09 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主
继续阅读Sophos 修复位于 Sophos Web Appliance 设备中的三个漏洞
Sophos 修复位于 Sophos Web Appliance 设备中的三个漏洞 代码卫士 2023-04-11 17:22 聚焦源代码安全,网罗国内外最新资讯! 作者:Pierluigi Paganini 编译:代码卫士 Sophos 修复了位于 Sophos Web Appliance 中的三个漏洞,其中一个是可导致代码执行的严重漏洞 CVE-2023-1671(CVSS 评分9.8)。 C
继续阅读雷神众测漏洞周报2023.04.03-2023.04.09
雷神众测漏洞周报2023.04.03-2023.04.09 原创 雷神众测 雷神众测 2023-04-11 15:02 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读Apple发布针对间谍软件式0day漏洞的紧急修复
Apple发布针对间谍软件式0day漏洞的紧急修复 安全客 2023-04-11 11:38 Apple 发布了安全更新,以解决两个在野外被积极利用并针对 iPad、Mac 和 iPhone 的零日漏洞。 这些漏洞被跟踪为CVE-2023-28205和CVE-2023-28206。根据 Apple安全公告,这些修复解决了谷歌威胁分析小组的 Clément Lecigne 和国际特赦组织安全实验室的
继续阅读Linux提权系列14:[训练营] 利用存在漏洞的应用程序进行权限提升
Linux提权系列14:[训练营] 利用存在漏洞的应用程序进行权限提升 原创 debugeeker 奶牛安全 2023-04-08 08:14 陨落的守护程序 实验开始时,将获得一个低权限 shell,并且没有可疑的 SUID 二进制文件或 sudo 漏洞。当检查进程时,会看到一个脚本正在以 root 用户权限运行。 因为 当前用户可以读取它,所以可以看到它正在运行一些 rootkitchecke
继续阅读QNAP正在紧急修复两个0day,影响全球超8万设备
QNAP正在紧急修复两个0day,影响全球超8万设备 Becky Bracken 代码卫士 2023-04-06 17:10 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 适用于NAS 设备的多款 QNAP 操作系统中存在两个0day漏洞(CVE-2022-27597和CVE-2022-27598),影响全球8万多台设备。在受影响的4款操作系统中,仍有两款未修复。 这些操作系统漏洞由 St
继续阅读基于Drozer框架对安卓四大组件的漏洞挖掘总结
基于Drozer框架对安卓四大组件的漏洞挖掘总结 原创 之D 山石网科安全技术研究院 2023-04-06 10:56 01 前言 之前分析了安卓四大组件漏洞形成的原因,这次我们来讲一下如何通过Drozer 测试框架来挖掘。Drozer 是一个开源项目,用户可以自由下载和使用。其代码托管在GitHub 上,用户可以参与到Drozer 的开发和维护中。Drozer 的文档和教程也非常丰富,用户可以
继续阅读上周关注度较高的产品安全漏洞(20230327-20230402)
上周关注度较高的产品安全漏洞(20230327-20230402) 国家互联网应急中心CNCERT 2023-04-04 17:15 一、境外厂商产品漏洞 1、 LS ELECTRIC XBC-DN32U拒绝服务漏洞 LS ELECTRIC XBC-DN32U是韩国LS ELECTRIC公司的一款PLC可编程逻辑控制器。LS ELECTRIC XBC-DN32U存在拒绝服务漏洞,该漏洞源于访问在通
继续阅读3月这几个API安全漏洞值得注意!
3月这几个API安全漏洞值得注意! 星阑科技 2023-04-04 14:29 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 3月份的一些API安全漏洞报告 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 影子API将带来不可预知的漏洞 漏洞详情:时至今日,许多企业没有准确的API库存清单,因此导致了一种新的威
继续阅读Windows漏洞十年未修复,3CX供应链攻击影响全球60多万家企业
Windows漏洞十年未修复,3CX供应链攻击影响全球60多万家企业 Lawrence Abrams 代码卫士 2023-04-03 16:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 已存在十年之久的Windows 漏洞 (CVE-2013-3900) 遭利用,导致可执行文件看似获得合法签名。这么多年来,微软发布的修复方案仍然是“opt-in”状态。更糟糕的是,升级至 Window
继续阅读雷神众测漏洞周报2023.03.27-2023.04.02
雷神众测漏洞周报2023.03.27-2023.04.02 原创 雷神众测 雷神众测 2023-04-03 16:22 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读【安全圈】WLAN协议曝重大设计漏洞,可劫持web流量
【安全圈】WLAN协议曝重大设计漏洞,可劫持web流量 安全圈 2023-04-02 19:01 关键词 漏洞 东北大学的网络安全研究人员在IEEE 802.11无线局域网协议标准中发现了一个设计漏洞,攻击者可欺骗接入点以明文形式泄漏网络帧。 WLAN帧是由标头、数据有效负载和尾部组成的数据容器,其中包括源和目标MAC地址、控制和管理数据等信息。这些帧按队列排序受控传输,以避免碰撞冲突,并通过监视
继续阅读通过配置不当的微软app劫持Bing 搜索结果,获得4万美元漏洞奖励
通过配置不当的微软app劫持Bing 搜索结果,获得4万美元漏洞奖励 Bill Toulas 代码卫士 2023-03-31 18:37 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 一款配置不当的微软应用可使任何人登录并实时修改 Bing.com 搜索结果以及注入 XSS 攻击,攻陷 Office 365 用户的账号。 Wiz公司的研究人员发现了该问题并将其描述为“BingBang”。该
继续阅读未修复漏洞可导致水泵控制器遭远程攻击
未修复漏洞可导致水泵控制器遭远程攻击 Eduard Kovacs 代码卫士 2023-03-31 18:37 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 ProPump and Controls 公司制造的一款水泵系统受多个漏洞影响,可导致黑客引发重大问题。 受影响产品是由该公司制造的 Osprey Pump Controller。该公司位于美国,专注于为大规模应用制造水泵系统和自动化控
继续阅读Realtek Sdk CVE-2021-35392漏洞分析
Realtek Sdk CVE-2021-35392漏洞分析 原创 尖峰实验室 VLab安全实验室 2023-03-31 18:08 VLab-实验室 研究人员公开披露了Realtek公司的SDK中存在4个安全漏洞,攻击者可以未经身份验证远程利用这些漏洞,注入任意命令并以最高权限执行任意代码 或导致 设备崩溃。这些漏洞影响了至少65个不同供应商生产的近200种产品,并作为供应链漏洞,影响了数十万台
继续阅读CNNVD | 关于Apache OpenOffice参数注入漏洞情况的通报
CNNVD | 关于Apache OpenOffice参数注入漏洞情况的通报 中国信息安全 2023-03-31 17:47 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 近日,国家信息安全漏洞库(CNNVD)收到关于Apache OpenOffice 参数注入漏洞(CNNVD-202303-1952、CVE-2022-47502)情况的报送。成功利用漏洞的攻
继续阅读