Apache Kylin多个命令注入漏洞安全风险通告
Apache Kylin多个命令注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-01-03 18:53 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Apache Kylin 是一个开源的、分布式的分析型数据仓库,提供Hadoop或Spark之上的 SQL 查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由 e
继续阅读标签: SQL注入
12月API漏洞及相关资讯一览
12月API漏洞及相关资讯一览 星阑科技 2022-12-29 15:07 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 12月份的一些API安全漏洞报告和资讯 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 Zendesk Explore API中的SQL注入漏洞 漏洞详情:Zendesk Explore 是
继续阅读上周关注度较高的产品安全漏洞(20221219-20221225)
上周关注度较高的产品安全漏洞(20221219-20221225) 国家互联网应急中心CNCERT 2022-12-28 16:33 一、境外厂商产品漏洞 1、Siemens Teamcenter Visualization和JT2Go越界写入漏洞 Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。Siemens JT2GO是一款J
继续阅读CVE-2022-47939:Linux Kernel ksmbd UAF远程代码执行漏洞通告
CVE-2022-47939:Linux Kernel ksmbd UAF远程代码执行漏洞通告 原创 360CERT 三六零CERT 2022-12-26 17:16 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-122602 报告来源:360CERT 报告作者:360CERT 更新日期:2022-12-26 1 事件简述 2022年12月26日,360CERT监测发现Linux Ker
继续阅读【公益译文】了解、预防、修复:开源漏洞讨论框架
【公益译文】了解、预防、修复:开源漏洞讨论框架 小蜜蜂翻译组 绿盟科技研究通讯 2022-12-13 20:58 全文共4940字,阅读大约需要15分钟 2021年2月3日,谷歌安全博客(Google Security Blog)发表题为《了解、预防、修复:开源漏洞讨论框架》的文章,旨在解决开源软件漏洞问题,本文翻译了该框架内容,供广大读者参考。 一 执行摘要 开源软件的安全性引起了业界关注,这并
继续阅读【技术分享】针对比特币钱包App的三种漏洞攻击与对策
【技术分享】针对比特币钱包App的三种漏洞攻击与对策 原创 CDra90n 安全客 2022-12-12 10:00 如今,比特币是 最 受欢迎的加密货币。 随着智能手机和高速移动互联网的普及,越来越多的 用 户 开始在智能手机上访问其比特币钱包。 用户可以在智能手机上下载并安装各种比特币钱包应用程序(例如Coinbase,Luno,Bitcoin Wallet),并可以随时随地访问其比特币钱包。
继续阅读上周关注度较高的产品安全漏洞(20221128-20221204)
上周关注度较高的产品安全漏洞(20221128-20221204) 国家互联网应急中心CNCERT 2022-12-07 17:16 一、境外厂商产品漏洞 1、QEMU拒绝服务漏洞(CNVD-2022-84162) QEMU 是法国法布里斯-贝拉(Fabrice Bellard)个人开发者的一套模拟处理器软件。该软件具有速度快、跨平台等特点。QEMU 存在拒绝服务漏洞,该漏洞源于QEMU网卡模拟器
继续阅读CVE-2022-46169:Cacti命令注入漏洞
CVE-2022-46169:Cacti命令注入漏洞 360CERT 三六零CERT 2022-12-07 16:05 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-120701 报告来源:360CERT 报告作者:360CERT 更新日期:2022-12-07 1 漏洞简述 2022年12月07日,360CERT监测发现Cacti的漏洞细节在互联网公开,漏洞编号为CVE-2022-46
继续阅读Cacti命令执行漏洞 (CVE-2022-46169) 安全通告
Cacti命令执行漏洞 (CVE-2022-46169) 安全通告 安全内参 2022-12-06 20:25 Cacti项目是一个开源平台,可为用户提供强大且可扩展的操作监控和故障管理框架。 近日,奇安信CERT监测到Cacti存在命令执行漏洞(CVE-2022-46169),攻击者可通过构造恶意请求在无需登录的情况下向函数中注入命令,达到命令执行的目的。鉴于此漏洞影响范围较大,建议客户尽快做好
继续阅读Cacti命令执行漏洞(CVE-2022-46169)安全风险通告
Cacti命令执行漏洞(CVE-2022-46169)安全风险通告 原创 QAX CERT 奇安信 CERT 2022-12-06 19:37 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Cacti项目是一个开源平台,可为用户提供强大且可扩展的操作监控和故障管理框架。 近日,奇安信CERT监测到Cacti存在命令执行漏洞(CVE-2022-46
继续阅读APP漏洞挖掘之某款APP开发商通用漏洞的挖掘
APP漏洞挖掘之某款APP开发商通用漏洞的挖掘 原创 池羽 Tide安全团队 2022-12-06 17:03 0x01 前言 参加某众测项目时,测某APP时,根据信息收集+测试,发现APP的后台系统存在SQL注入、XSS、弱口令、信息泄漏等漏洞,此APP本身存在逻辑漏洞与SQL注入漏洞,再通过观察酷传搜索的结果发现此APP开发商开发了三十几个APP,猜测可能存在相同类型的漏洞,经测试猜测被证实,
继续阅读热门Java 框架Quarkus中存在严重的RCE漏洞
热门Java 框架Quarkus中存在严重的RCE漏洞 Ionut Arghire 代码卫士 2022-12-01 18:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Contrast Security 公司的安全研究员 Joseph Beeton 提醒称,热门 Quarkus 框架受严重漏洞(CVE-2022-4116,CVSS评分9.8)影响,可导致远程代码执行后果。 Quark
继续阅读思科ISE多个漏洞可用于一次点击exploit
思科ISE多个漏洞可用于一次点击exploit Sergiu Gatlan 代码卫士 2022-11-29 17:44 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科身份服务引擎 (ISE) 中存在多个漏洞,可导致远程攻击者注入任意命令、绕过已有安全防护措施,或执行跨站点脚本 (XSS) 攻击。 思科ISE是基于身份的网络访问控制 (NAC) 和策略执行系统,可使管理员控制端点访问权限
继续阅读新攻击利用Windows安全绕过 0 day 漏洞投放恶意软件
新攻击利用Windows安全绕过 0 day 漏洞投放恶意软件 关键基础设施安全应急响应中心 2022-11-29 14:36 新的网络钓鱼攻击利用Windows 0 day 漏洞投放Qbot恶意软件,而不显示Web标记安全警告。 当文件从互联网或电子邮件附件等不受信任的远程位置下载时,Windows会给文件添加一个名为“Web标记”(Mark of the Web)的特殊属性。 这个Web标记(
继续阅读【漏洞通告】Atlassian Bitbucket Server and Data Center 远程命令执行漏洞
【漏洞通告】Atlassian Bitbucket Server and Data Center 远程命令执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2022-11-23 19:11 漏洞名称: Atlassian Bitbucket Server and Data Center 远程命令执行漏洞 组件名称: Atlassian Bitbucket Server and Data Cent
继续阅读雷神众测漏洞周报2022.11.14-2022.11.20
雷神众测漏洞周报2022.11.14-2022.11.20 原创 雷神众测 雷神众测 2022-11-21 15:54 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Pcspooof:新漏洞影响航天器和飞机使用的网络技术
Pcspooof:新漏洞影响航天器和飞机使用的网络技术 布加迪 嘶吼专业版 2022-11-18 12:00 近日 研究人员披露了一种针对时间触发的以太网(TTE)的新型攻击方法,这种关键的技术被用于安全性至关重要的基础设施,可能会导致航天器和飞机的核心系统出现故障。 来自密歇根大学、宾夕法尼亚大学和美国宇航局约翰逊航天中心的一群学者和研究人员将这种攻击技术称之为PCspooF,该技术旨在违反TT
继续阅读【安全圈】全球最大BT网站曝安全漏洞400万用户信息泄露
【安全圈】全球最大BT网站曝安全漏洞400万用户信息泄露 安全圈 2022-11-14 19:01 关键词 Pirate Bay 据国外媒体周四报道,知情人士透露,全球最大BT网站海盗湾(Pirate Bay)服务器存在安全漏洞,导致400多万用户的个人信息被泄露。 阿根廷黑客查·卢索(Ch Russo)称,他和另外两名同事发现了多个SQL注入漏洞,允许黑客访问海盗湾的用户数据库。之后,黑客可以创
继续阅读精品好课!《Windows内核漏洞分析与EXP编写技巧》
精品好课!《Windows内核漏洞分析与EXP编写技巧》 看雪课程 看雪学苑 2022-11-14 17:59 内核,是一个操作系统的核心。 是基于硬件的第一层软件扩充,提供操作系统的最基本的功能,是操作系统工作的基础,它负责管理系统的进程、内存、设备驱动程序、文件和网络系统,决定着系统的性能和稳定性。 作为讲师,一直以来都想找寻一个比较简单、通俗易懂的方法将很难的东西传授给学员,但是“内核“这个
继续阅读YApi命令执行漏洞安全风险通告
YApi命令执行漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-11-11 20:24 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 YApi 是高效、易用、功能强大的 API管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护API。 近日,奇安信CERT监测到YApi命令执行漏
继续阅读速修!开源API接口管理平台YApi爆高危漏洞(附补丁链接)
速修!开源API接口管理平台YApi爆高危漏洞(附补丁链接) 原创 ThreatBook 微步在线 2022-11-11 16:52 经“X漏洞奖励计划”,微步获取到一个YApi高危漏洞信息,无需点击(0-click),无任何权限要求,即可利用。YApi在GitHub上获得超过25000颗星,包括阿里、腾讯、百度、美团等中国一大批互联网公司都在用,可谓影响广泛。目前微步TDP支持对该漏洞的检出。
继续阅读微软2022年11月补丁日多产品安全漏洞风险通告
微软2022年11月补丁日多产品安全漏洞风险通告 原创 QAX CERT 奇安信 CERT 2022-11-09 14:35 奇安信CERT 致力于 第一时间为企业级用户提供安全风险 通告 和 有效 解决方案。 通告摘要 本月,微软共发布了64个漏洞的补丁程序,修复了Microsoft Exchange Server、Visual Studio、Microsoft Office等产品中的漏洞。值得
继续阅读Azure Cosmos DB Notebook 远程代码执行漏洞
Azure Cosmos DB Notebook 远程代码执行漏洞 M1n0s 火线Zone 2022-11-09 12:15 我们最近在 Azure Cosmos DB 上发现了一个非常重要的漏洞,其中 Cosmos DB Notebooks 中缺少身份验证检查。我们将其命名为“CosMiss”。简而言之,如果攻击者知道 Notebook 的“forwardingId”,即 Notebook W
继续阅读CosMiss:Azure Cosmos DB Notebooks远程代码执行漏洞详解
CosMiss:Azure Cosmos DB Notebooks远程代码执行漏洞详解 布加迪 嘶吼专业版 2022-11-08 12:00 我们最近在Azure Cosmos DB中发现了一个很严重的漏洞,即Cosmos DB Notebooks缺少身份验证检查。我们将该漏洞命名为“CosMiss”。简而言之,如果攻击者知道Notebook的“forwardingId”(即Notebook Wo
继续阅读2022 SDC 议题回顾 | 国产智能网联汽车漏洞挖掘中的几个突破点
2022 SDC 议题回顾 | 国产智能网联汽车漏洞挖掘中的几个突破点 原创 2022 SDC 看雪学苑 2022-11-07 18:02 国产智能网联汽车进入了辅助驾驶时代,发展非常迅猛,但安全问题也随之增多。本议题讲解国产智能网联汽车漏洞挖掘中的几种特殊方法和思路,也有对应的防护建议。供汽车相关安全研究人员和车企开发者参考。 例如:渗透汽车要准备哪些合适的软件和硬件?如何找到并进入车厂隐藏的&
继续阅读腾讯安全威胁情报中心推出2022年9月必修安全漏洞清单
腾讯安全威胁情报中心推出2022年9月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2022-11-07 10:45 长按二维码关注 腾讯安全威胁情报中心 腾讯安全攻防团队A&D Team 腾讯安全 企业安全运营团队 腾讯安全威胁情报中心推出2022年9月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,不修复就意味着黑客攻击入侵后会造成十分严
继续阅读CVE-2022-30190分析
CVE-2022-30190分析 y.omicron 雷神众测 2022-11-04 15:07 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文
继续阅读上周关注度较高的产品安全漏洞(20221024-20221030)
上周关注度较高的产品安全漏洞(20221024-20221030) 原创 CNVD CNVD漏洞平台 2022-10-31 17:06 一、境外厂商产品漏洞 1、Avantune Genialcloud ProJ跨站脚本漏洞 Avantune Genialcloud ProJ是加拿大Avantune公司的一个基于云的ERP平台。Avantune Genialcloud ProJ 10版本存在跨站脚
继续阅读CVE-2022-23613复现与漏洞利用可能性尝试
CVE-2022-23613复现与漏洞利用可能性尝试 Tokameine 看雪学苑 2022-10-28 18:11 本文为看雪论坛精华文章 看雪论坛作者ID:Tokameine 因为很少做过真实场景下的漏洞复现,深感自己知识的浅薄,恰巧团里的师傅发了个洞,让我看看怎么利用,因此顺便做一个简陋的分析吧。 漏洞编号为 CVE-2022-23613,现已公开了相关信息。该漏洞作为一个运行在 root
继续阅读一个值1万美元奖励的GitHub 登录欺骗漏洞
一个值1万美元奖励的GitHub 登录欺骗漏洞 Jessica Haworth 代码卫士 2022-10-25 20:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员 Saajan Bhujel 发现了欺骗GitHub 登录接口的方法,并借此获得1万美元的漏洞奖励金。 Bhujel 发现可通过一个绕过更改该网站的CSS,从而诱骗用户登录至虚假页面。GitHub 使用开源Jav
继续阅读