基于Zabbix的漏洞复现
基于Zabbix的漏洞复现 原创 ROS 雷神众测 2022-06-21 15:50 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得
继续阅读标签: SQL注入
Spring Data MongoDBSpEL表达式注入漏洞安全风险通告
Spring Data MongoDBSpEL表达式注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-06-21 14:36 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980),当使用@Query或@Aggr
继续阅读上周关注度较高的产品安全漏洞(20220613-20220619)
上周关注度较高的产品安全漏洞(20220613-20220619) 原创 CNVD CNVD漏洞平台 2022-06-20 16:55 一、境外厂商产品漏洞 1、WordPress UpdraftPlus WordPress Backup plugin跨站脚本漏洞 WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网
继续阅读雷神众测漏洞周报2022.06.13-2022.06.19-4
雷神众测漏洞周报2022.06.13-2022.06.19-4 雷神众测 雷神众测 2022-06-20 16:00 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意
继续阅读腾讯安全威胁情报中心推出2022年5月必修安全漏洞清单
腾讯安全威胁情报中心推出2022年5月必修安全漏洞清单 腾讯安全威胁情报中心 2022-06-17 17:31 长按二维码关注 腾讯安全威胁情报中心 腾讯安全攻防团队A&D Team 腾讯安全 企业安全运营团队 腾讯安全威胁情报中心推出2022年5月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,不修复就意味着黑客攻击入侵后会造成十分严重的后果。 腾讯
继续阅读【技术干货】CVE-2022-26134 Confluence OGNL RCE 漏洞分析
【技术干货】CVE-2022-26134 Confluence OGNL RCE 漏洞分析 星阑科技 2022-06-16 12:06 xxhzz @PortalLab实验室 漏洞描述 最近 Confluence 官方通报了一个严重漏洞 CVE-2022-26134,远程攻击者在未经身份验证的情况下,可构造OGNL表达式进行注入,实现在Confluence Server或Data Center上执
继续阅读开源邮件平台Zimbra 出现新漏洞,用户登录凭据可被盗
开源邮件平台Zimbra 出现新漏洞,用户登录凭据可被盗 Ravie Lakshmanan 代码卫士 2022-06-15 17:58 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员发现 Zimbra 邮件套件中又出现一个高危漏洞 (CVE-2022-27924),如遭成功利用可导致未认证攻击者窃取用户明文密码且无需任何用户交互。 研究员在报告中指出,“通过对受害者邮箱后续的访问权
继续阅读CISA公布新漏洞,可以远程解锁任意门锁
CISA公布新漏洞,可以远程解锁任意门锁 关键基础设施安全应急响应中心 2022-06-14 14:52 专家发现 HID Mercury Access Controller 中的漏洞可被攻击者利用来远程解锁门。 安全公司 Trellix 的研究人员在 HID Mercury Access Controller 中发现了一些严重漏洞,攻击者可以利用这些漏洞远程解锁门。 这些缺陷影响了 LenelS
继续阅读上周关注度较高的产品安全漏洞(20220606-20220612)
上周关注度较高的产品安全漏洞(20220606-20220612) 国家互联网应急中心CNCERT 2022-06-14 14:14 一、境外厂商产品漏洞 1、Simple Real Estate Portal System SQL注入漏洞 Simple Real Estate Portal System是Carlo Montero个人开发者的一个房地产门户系统。Simple Real Estat
继续阅读热门工业访问控制系统中存在8个严重0day
热门工业访问控制系统中存在8个严重0day Ravie Lakshmanan 代码卫士 2022-06-13 18:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Carrier 的 LenelS2 HID Mercury 访问控制系统中存在多达8个0day 漏洞。该系统广泛应用于医疗、教育、交通和政府机构。 Trellix 公司的安全研究员 Steve Povolny 和 Sam Q
继续阅读两个严重的富士通云存储漏洞可用于破坏虚拟备份
两个严重的富士通云存储漏洞可用于破坏虚拟备份 Jessica Haworth 代码卫士 2022-06-13 18:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 富士通 (Fujitsu) 云存储系统的 web 接口中存在两个“严重”级别的漏洞(CVSS 评分9.8,CVE编号尚未分配完成),可导致未认证攻击者读、写并破坏备份文件。 这两个漏洞位于企业级的富士通 Eternus CS
继续阅读cgibin中与upnp协议有关的一些漏洞分析与复现
cgibin中与upnp协议有关的一些漏洞分析与复现 原创 winmt 看雪学苑 2022-06-13 18:01 本文为看雪论坛精华文章看雪论坛作者ID:winmt 一 前言 UPNP协议 UPNP,全称为:Universal Plug and Play,中文为:通用即插即用,是一套基于TCP/IP、UDP和HTTP的网络协议。 简单来说,就和它的名字一样,UPNP的目的就是为了在某个设备接入网
继续阅读浅析LuCI系统的漏洞挖掘
浅析LuCI系统的漏洞挖掘 原创 信创实验室 山石网科安全技术研究院 2022-06-10 16:39 01 摘要 Luci 系统 是基于lua 语言编写的一套开源系统,主要是介绍对其审计的一些技巧,先从准备阶段谈谈工具的使用,再讲一下从代码审计中的一些思路,希望能读完这篇文章的读 者能有所收获。 02 准备阶段 除非黑盒测试,代码审计是漏洞挖掘必不可少的过程,这个代码不仅限于我们下面要讲到的 l
继续阅读ATT&CK-Log4j2远程代码执行漏洞(CVE-2021-44228)漏洞分析
ATT&CK-Log4j2远程代码执行漏洞(CVE-2021-44228)漏洞分析 小海 雷神众测 2022-06-09 15:00 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容
继续阅读上周关注度较高的产品安全漏洞(20220530-20220605)
上周关注度较高的产品安全漏洞(20220530-20220605) 国家互联网应急中心CNCERT 2022-06-07 17:48 一、境外厂商产品漏洞 1、 微软支持诊断工具远程代码执行漏洞 微软支持诊断工具(MSDT,Microsoft Support Diagnostic Tool)是一种实用程序,用于排除故障并收集诊断数据,供专业人员分析和解决问题。Microsoft Office是由微
继续阅读CVE-2022-30190 MSDT 代码注入漏洞分析
CVE-2022-30190 MSDT 代码注入漏洞分析 原创 404实验室 知道创宇404实验室 2022-06-07 11:35 作者:HuanGMz@知道创宇404实验室时间:2022年6月7日 分析一下最近Microsoft Office 相关的 MSDT 漏洞。 1. WTP框架 文档: https://docs.microsoft.com/en-us/previous-versions
继续阅读上周关注度较高的产品安全漏洞(20220418-20220424)
上周关注度较高的产品安全漏洞(20220418-20220424) 原创 CNVD CNVD漏洞平台 2022-04-25 16:45 一、境外厂商产品漏洞 1、Zoho ManageEngine ADAudit Plus远程代码执行漏洞 Zoho ManageEngine Adaudit Plus是美国Zoho Corporation公司的用于简化审计、证明合规性和检测威胁。Zoho Manag
继续阅读雷神众测漏洞周报2022.04.18-2022.04.24-4
雷神众测漏洞周报2022.04.18-2022.04.24-4 雷神众测 雷神众测 2022-04-25 15:38 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意
继续阅读【漏洞预警】Apache Log4j SQL注入漏洞
【漏洞预警】Apache Log4j SQL注入漏洞 夜影实验室 锦行科技 2022-04-25 15:04 漏洞名称: Apache Log4j SQL注入漏洞 影响范围: Log4j v1.x 漏洞编号: CVE-2022-23305 漏洞类型: SQL注入 利用条件: 无 综合评价: <利用难度>:低 <威胁等级>: 高危 #1 漏洞描述 Apache Log4j是美
继续阅读亚马逊的 Log4j 热补丁易受提权漏洞影响
亚马逊的 Log4j 热补丁易受提权漏洞影响 Ravie Lakshmanan 代码卫士 2022-04-22 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多
继续阅读【漏洞预警】WSO2 API Manager安全漏洞
【漏洞预警】WSO2 API Manager安全漏洞 夜影实验室 锦行科技 2022-04-22 11:15 漏洞名称: WSO2 API Manager安全漏洞 影响范围: WSO2 API Manager 2.2.0 and above WSO2 Identity Server 5.2.0 and above WSO2 Identity Server Analytics 5.4.0, 5.4.
继续阅读【漏洞预警】Asciidoctor-include-ext 命令注入漏洞
【漏洞预警】Asciidoctor-include-ext 命令注入漏洞 SecPulse安全脉搏 2022-04-21 17:05 1. 通告信息 近日, 安识科技 A-Team团队 监测到一则 Asciidoctor-include-ext 组件存在命令注入漏洞的信息,漏洞编号:CVE-2022-24803,漏洞威胁等级:严重,该漏洞是由于 Asciidoctor-include-ext 处理
继续阅读“精”准把握静态分析|科恩二进制文件自动化静态漏洞检测工具正式开源
“精”准把握静态分析|科恩二进制文件自动化静态漏洞检测工具正式开源 原创 腾讯科恩实验室 腾讯科恩实验室 2022-04-20 14:10 引言 为提升静态分析在二进制文件漏洞检测领域效率和可扩展性,科恩孵化并开源二进制文件静态漏洞分析工具BinAbsInspector项目。 代码仓库地址: https://github.com/KeenSecurityLab/BinAbsInspector (⬇
继续阅读【安全风险通告】Oracle多个组件漏洞安全风险通告
【安全风险通告】Oracle多个组件漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-04-20 14:01 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Oracle 官方发布了 2022 年 4 月的关键安全补丁集合更新 CPU ( CriticalPatch Update ),修复了多个存在于 WebLogic 中的漏洞
继续阅读【漏洞预警】7-zip命令执行
【漏洞预警】7-zip命令执行 夜影实验室 锦行科技 2022-04-19 14:27 漏洞名称:7-Zip 命令执行 影响范围:v21.07 漏洞编号:CVE-2022-29072 漏洞类型:命令执行或提升权限 利用条件:无 综合评价: <利用难度>:低 <威胁等级>: 高危 能获取服务器权限 #1 漏洞描述 Windows平台 7-Zip(v21.07) 允许将扩展名为
继续阅读VMware Cloud Director 严重漏洞可使整个云基础设施遭接管
VMware Cloud Director 严重漏洞可使整个云基础设施遭接管 Bill Toulas 代码卫士 2022-04-18 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周四,VMWare 公司发布更新,修复了位于 Cloud Director 产品中的一个严重漏洞 (CVE-2022-22966),它可被用于发动远程代码执行攻击。该漏洞评分为9.1,由研究员 Ja
继续阅读上周关注度较高的产品安全漏洞(20220411-20220417)
上周关注度较高的产品安全漏洞(20220411-20220417) 原创 CNVD CNVD漏洞平台 2022-04-18 17:59 一、境外厂商产品漏洞 1、 Oracle MySQL存在逻辑缺陷漏洞 MySQL是一个关系型数据库管理系统。Oracle MySQL存在逻辑缺陷漏洞,攻击者可利用该漏洞获取明文密码。 参考链接: https://www.cnvd.org.cn/flaw/show/
继续阅读