复盘|Balancer 漏洞分析
复盘|Balancer 漏洞分析 原创 慢雾安全团队 慢雾科技 2023-10-09 18:13 背景 8 月 22 号,Balancer 官方发布公告表示收到影响多个 V2 Boost 池的严重漏洞报告,只有 1.4% 的 TVL 受影响,多个池子已暂停,并通知用户尽快提取流动性 LP。 [1] [2] 8 月 27 号,慢雾 MistEye 系统发现疑似 Balancer 漏洞被利用的攻击交易
继续阅读标签: vx
Atlassian 紧急修复已遭利用的 Confluence 0day
Atlassian 紧急修复已遭利用的 Confluence 0day Sergiu Gatlan 代码卫士 2023-10-09 18:04 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 澳大利亚软件公司 Atlassian 紧急修复了位于 Cofluence Data Center and Server 软件中的一个严重的已遭利用的 0day 漏洞CVE-2023-22515,
继续阅读开源代码库 TorchServe 中存在多个严重漏洞,影响大量AI模型代码
开源代码库 TorchServe 中存在多个严重漏洞,影响大量AI模型代码 Bill Toulas 代码卫士 2023-10-09 18:04 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 开源的AI模型服务工具TorchServe 中存在多个被统称为 “ShellTorch” 的严重漏洞,影响数千个被暴露在互联网中的服务器,其中一些服务器归大型组织机构所有。 TorchServe
继续阅读注意!开源命令行工具Curl 中存在严重漏洞
注意!开源命令行工具Curl 中存在严重漏洞 JONATHAN GREIG 代码卫士 2023-10-09 18:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多元,复杂
继续阅读信息安全漏洞周报(2023年第39期)
信息安全漏洞周报(2023年第39期) CNNVD CNNVD安全动态 2023-10-09 17:20 点击蓝字 关注我们 根据国家信息安全漏洞库(CNNVD)统计,本周(2023年9月25日至2023年10月1日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞577个。 接报漏洞情况 本周CNNVD接报漏洞4329个,其中信息技术产品漏洞(通用型漏洞)138个,网络信息系统漏洞(
继续阅读记一次内部系统渗透测试:小漏洞组合拳
记一次内部系统渗透测试:小漏洞组合拳 jin16879 黑客白帽子 2023-10-09 16:32 感谢师傅 · 关注我们 由于,微信公众号推送机制改变,现在需要设置为星标才能收到推送消息。大家就动动发财小手设置一下呗!啾咪~~~ a 纯技术交流群(blacklove(无备注不通过, 进群)杜绝一切形式广告群哦!) 前言 这篇文章主要说的是我在这次内部测试的任务中,如何一步步获取应用系统最高权限
继续阅读Exim 代码执行漏洞(CVE-2023-42115)安全风险通告
Exim 代码执行漏洞(CVE-2023-42115)安全风险通告 奇安信 CERT 2023-10-09 16:04 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Exim 代码执行漏洞 漏洞编号 QVD-2023-23327、CVE-2023-42115 公开时间 2023-10-01 影响对象数量级 百万级 奇安信评级 高危 CVSS 3.1分数 9.8 威胁类型 代码
继续阅读Jumpserver安全一窥:Sep系列漏洞深度解析
Jumpserver安全一窥:Sep系列漏洞深度解析 格格巫和蓝精灵 2023-10-09 15:55 Jumpserver是中国国内公司开发的一个开源项目,在开源堡垒机领域一家独大。在2023年9月官方集中修复了一系列安全问题,其中涉及到如下安全漏洞: – JumpServer 重置密码验证码可被计算推演的漏洞,CVE编号为CVE-2023-42820 JumpServer 重置密码
继续阅读雷神众测漏洞周报2023.09.25-2023.10.08
雷神众测漏洞周报2023.09.25-2023.10.08 原创 雷神众测 雷神众测 2023-10-09 15:48 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【安全圈】最新消息,单个漏洞利用链最高近1.5亿元,零日漏洞采购价格暴涨
【安全圈】最新消息,单个漏洞利用链最高近1.5亿元,零日漏洞采购价格暴涨 安全圈 2023-10-08 19:00 关键词 零日漏洞 一家收购并出售零日漏洞的公司出价2000万美元(约合人民币1.46亿元),向安全研究人员购买黑客工具,帮助该公司的客户入侵iPhone和安卓设备。 这家名为Operation Zero的公司总部位于俄罗斯,于2021年成立。 9月底,Operation Zero在T
继续阅读思科紧急修复 Emergency Responder 系统中的严重漏洞
思科紧急修复 Emergency Responder 系统中的严重漏洞 THN 代码卫士 2023-10-08 17:51 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 思科发布更新,修复了影响 Emergency Responder 的一个严重漏洞。该漏洞可导致未认证的远程攻击者利用硬编码凭据登录可疑系统。 该漏洞的编号是CVE-2023-20101(CVSS评分9.8),因用于
继续阅读【漏洞通告】GNU C Library缓冲区溢出漏洞CVE-2023-4911
【漏洞通告】GNU C Library缓冲区溢出漏洞CVE-2023-4911 深瞳漏洞实验室 深信服千里目安全技术中心 2023-10-08 17:50 漏洞名称: GNU C Library缓冲区溢出漏洞(CVE-2023-4911) 组件名称: GNU C Library 影响范围: 2.34 ≤ GNU C Library <2.38 漏洞类型: 权限提升 利用条件: 1、用户认证
继续阅读CVE-2023-42824:Apple iOS/iPadOS 本地权限提升漏洞通告
CVE-2023-42824:Apple iOS/iPadOS 本地权限提升漏洞通告 原创 360CERT 三六零CERT 2023-10-08 16:55 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-445 报告来源:360CERT 报告作者:360CERT 更新日期:2023-10-08 1 漏洞简述 2023年10月08日,360CERT监测发现Apple发布了iOS和i
继续阅读单个漏洞利用链最高近1.5亿元!零日漏洞采购价格暴涨
单个漏洞利用链最高近1.5亿元!零日漏洞采购价格暴涨 安全内参编译 安全内参 2023-10-08 16:37 关注我们 带你读懂网络安全 一家俄罗斯公司发布公告,将以最高2000万美元的价格收购iOS和安卓系统的零日漏洞利用链,并拒绝对北约国家销售。 前情回顾·零日漏洞市场 – 商业间谍软件猖獗!2022年底至少使用5个零日漏洞,安卓苹果设备通杀 2021年至少7个零日漏洞被商业化!
继续阅读Marvin攻击:存在25年的RSA解密漏洞
Marvin攻击:存在25年的RSA解密漏洞 关键基础设施安全应急响应中心 2023-10-08 15:22 据悉,1998年发现的SSL服务器PKCS #1 v1.5填充相关漏洞仍然影响多个服务器。 1998年,安全研究人员发现攻击者利用PKCS #1 v1.5填充的错误引发的SSL服务器的错误信息可以发起选择密文攻击,当与RSA解密同时使用时可以完全破解TLS解密的机密性;2018年,Hann
继续阅读请立即修复!服务器巨头核心固件曝7个高危漏洞
请立即修复!服务器巨头核心固件曝7个高危漏洞 网络安全应急技术国家工程中心 2023-10-08 15:22 超微(Supermicro)底板管理控制器 (BMC) 的智能平台管理接口 (IPMI) 固件中存在多个安全漏洞,这些漏洞可能导致权限升级,并在受影响的系统上执行恶意代码。 据Binarly称,从CVE-2023-40284到CVE-2023-40290,这七个漏洞的危险系数不等,可使未经
继续阅读弗吉尼亚理工大学 | 利用 ChatGPT 生成漏洞利用代码
弗吉尼亚理工大学 | 利用 ChatGPT 生成漏洞利用代码 原创 童话 安全学术圈 2023-10-08 11:14 原文标题:How well does LLM generate security tests?原文作者:YING ZHANG, WENJIA SONG, ZHENGJIE JI, DANFENG (DAPHNE) YAO, NA MENG原文链接:https://browse.a
继续阅读【安全圈】超微公司的 BMC 固件存在多个高危漏洞,目前并未发现被利用
【安全圈】超微公司的 BMC 固件存在多个高危漏洞,目前并未发现被利用 安全圈 2023-10-07 19:01 关键词 安全漏洞 超微(Supermicro )底板管理控制器 (BMC) 的智能平台管理接口 (IPMI) 固件中存在多个安全漏洞,这些漏洞可能导致权限升级,并在受影响的系统上执行恶意代码。 据Binarly称,从CVE-2023-40284到CVE-2023-40290,这七个漏洞
继续阅读苹果再次紧急修复两个0day漏洞
苹果再次紧急修复两个0day漏洞 Sergiu Gatlan 代码卫士 2023-10-07 15:02 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 苹果在上周三紧急修复了两个已遭利用的0day 漏洞(CVE-2023-42824和CVE-2023-5217)。 苹果公司发布安全公告指出,“苹果注意到报告称该漏洞被用于 iOS 16.6之前的版本。”第一个漏洞CVE-2023-4
继续阅读CVE-2023-41064一个被严重低估的核弹漏洞
CVE-2023-41064一个被严重低估的核弹漏洞 原创 暗影安全 暗影安全 2023-10-07 15:00 最近开源软件又爆出一个十级漏洞,该漏洞冲击范围巨大,涉及数百万不同的应用程序,其中也包括 iOS、Android 应用程序以及使用 Electron 构建的跨平台应用程序。 这个漏洞两周前就已经被苹果和谷歌发现,但苹果和谷歌在披露漏洞时缺乏关键信息,造成了“巨大的盲点”,导致全球范围内
继续阅读TorchServe 服务端请求伪造漏洞(CVE-2023-43654)安全风险通告
TorchServe 服务端请求伪造漏洞(CVE-2023-43654)安全风险通告 奇安信 CERT 2023-10-07 13:44 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 TorchServe 服务端请求伪造漏洞 漏洞编号 QVD-2023-23201、CVE-2023-43654 公开时间 2023-09-28 影响对象数量级 万级 奇安信评级 高危 CVSS
继续阅读【安全圈】Arm 发布安全公告:修复 Mali GPU 数据泄露漏洞
【安全圈】Arm 发布安全公告:修复 Mali GPU 数据泄露漏洞 安全圈 2023-10-06 19:00 关键词 数据泄露 漏洞 Arm 于 10 月 2 日发布安全公告,表示 Mali GPU 驱动程序中存在漏洞,现有证据表明已经有黑客利用该漏洞发起攻击。 该漏洞目前追踪编号为 CVE-2023-4211,由 Google 威胁分析小组(TAG)和 Project Zero 的研究人员发现
继续阅读【安全圈】微软更新 Edge、Teams 及 Skype 软件,修复 Chromium 零日漏洞
【安全圈】微软更新 Edge、Teams 及 Skype 软件,修复 Chromium 零日漏洞 安全圈 2023-10-06 19:00 关键词 漏洞 微软日前宣布,正更新旗下 Edge、Teams、Skype 软件及 Webp Image Extensions 扩展程序,以修补 Chromium 的两个零日漏洞 CVE-2023-4863 与 CVE-2023-5217。 ▲ 图源 微软 IT
继续阅读Atlassian Confluence Data Center and Server 权限提升漏洞安全风险通告
Atlassian Confluence Data Center and Server 权限提升漏洞安全风险通告 奇安信 CERT 2023-10-05 21:23 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Atlassian Confluence Data Center and Server 权限提升漏洞 漏洞编号 QVD-2023-23602、CVE-2023-225
继续阅读【安全圈】谷歌为 libwebp 漏洞分配新的 CVE 编号,CVSS 评分 10 分。
【安全圈】谷歌为 libwebp 漏洞分配新的 CVE 编号,CVSS 评分 10 分。 安全圈 2023-10-05 19:00 关键词 漏洞 谷歌为 libwebp 漏洞分配新的 CVE 编号,CVSS 评分 10 分。 Libwebp 是一个用于处理 WebP 格式图像编解码的开源库。9 月 6 日,苹果公司安全工程和架构(SEAR)部门和加拿大多伦多大学研究人员在 libwebp 库中发现
继续阅读国庆充电不停!系统0day安全-Windows平台漏洞挖掘
国庆充电不停!系统0day安全-Windows平台漏洞挖掘 看雪课程 看雪学苑 2023-09-30 17:59 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问题的认
继续阅读关于libwebp开源库存在远程代码执行漏洞的安全公告
关于libwebp开源库存在远程代码执行漏洞的安全公告 网络安全应急技术国家工程中心 2023-09-29 11:08 安全公告编号:CNTA-2023-0016 2023年9月27日,国家信息安全漏洞共享平台(CNVD)收录了libwebp开源库远程代码执行漏洞( CNVD-2023-73247 ,对应CVE-2023-5129、CVE-2023-4863)。攻击者利用该漏洞可以在目标主机设备执
继续阅读CNCERT:关于libwebp开源库存在远程代码执行漏洞的安全公告
CNCERT:关于libwebp开源库存在远程代码执行漏洞的安全公告 安全内参 2023-09-28 19:58 安全公告编号:CNTA-2023-0016 2023年9月27日,国家信息安全漏洞共享平台(CNVD)收录了libwebp开源库远程代码执行漏洞( CNVD-2023-73247 ,对应CVE-2023-5129、CVE-2023-4863)。攻击者利用该漏洞可以在目标主机设备执行任意
继续阅读风险提示|JumpServer 密码重置漏洞(CVE-2023-42820)
风险提示|JumpServer 密码重置漏洞(CVE-2023-42820) 长亭安全应急响应中心 2023-09-28 18:29 JumpServer 是广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。近期,长亭科技监测到JumpServer官方发布了新版本修复了一处重置密码验证码被预测导致账号劫持漏洞(CVE-2023-42820)。长亭应急团队经过分析后发现该漏洞是利用相关
继续阅读Google Chrome libvpx 堆缓冲区溢出漏洞(CVE-2023-5217)安全风险通告
Google Chrome libvpx 堆缓冲区溢出漏洞(CVE-2023-5217)安全风险通告 奇安信 CERT 2023-09-28 18:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome libvpx 堆缓冲区溢出漏洞 漏洞编号 QVD-2023-23147、CVE-2023-5217 公开时间 2023-09-28 影响对象数量级 千
继续阅读