【漏洞预警】Parse Server远程代码执行漏洞威胁通告
【漏洞预警】Parse Server远程代码执行漏洞威胁通告 安识科技 SecPulse安全脉搏 2023-07-04 12:13 1. 通告信息 近日,安识科技 A-Team团队监测到Parse Server中修复了一个远程代码执行漏洞(CVE-2023-36475),其CVSSv3评分为9.8。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。 2.
继续阅读标签: vx
香港中文大学 | TChecker:用于检测PHP应用程序中的污点式漏洞的精确静态跨过程分析
香港中文大学 | TChecker:用于检测PHP应用程序中的污点式漏洞的精确静态跨过程分析 原创 1cey 安全学术圈 2023-07-03 22:53 原文标题:TChecker: Precise Static Inter-Procedural Analysis for Detecting Taint-Style Vulnerabilities in PHP Applications原文作者:
继续阅读【漏洞通告】Parse Server远程代码执行漏洞(CVE-2023-36475)
【漏洞通告】Parse Server远程代码执行漏洞(CVE-2023-36475) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-07-03 20:22 漏洞名称: Parse Server远程代码执行漏洞(CVE-2023-36475) 组件名称: Parse Server 影响范围: Parse Server < 5.5.2 6.0.0 ≤ Parse Server <
继续阅读0day速修|Smartbi 远程代码执行漏洞
0day速修|Smartbi 远程代码执行漏洞 长亭安全应急响应中心 2023-07-03 19:01 Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。近期,长亭科技安全研究员发现并上报了Smartbi的一个远程代码执行漏洞。该漏洞类型为逻辑绕过漏洞,可实现RCE,而目前仍有较多公网系统仍未修复漏洞。根据漏洞原理编写了无害化的X-POC远
继续阅读【安全圈】WordPress爆高危漏洞插件!可被用来创建非法管理员帐户
【安全圈】WordPress爆高危漏洞插件!可被用来创建非法管理员帐户 安全圈 2023-07-03 19:01 关键词 安全漏洞 WordPress网站的终极会员插件中有多达20万个未修补的关键安全漏洞,如今面临着很高的攻击风险。 该漏洞被追踪为CVE-2023-3460 (CVSS得分:9.8),影响所有版本的Ultimate Member插件,包括2023年6月29日发布的最新版本(2.6.
继续阅读黑客利用WordPress 插件中的提权0day攻陷网站
黑客利用WordPress 插件中的提权0day攻陷网站 Bill Toulas 代码卫士 2023-07-03 17:37 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 黑客利用 “Ultimate Member” WordPress 插件中的 0day 漏洞 (CVE-2023-3460),通过绕过安全措施和注册恶意管理员账户,攻陷网站。 Ultimate Member 是一款
继续阅读Smartbi 登录代码逻辑漏洞安全风险通告
Smartbi 登录代码逻辑漏洞安全风险通告 奇安信 CERT 2023-07-03 16:54 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Smartbi 登录代码逻辑漏洞 漏洞编号 QVD-2023-15129 公开时间 2023-07-03 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 7.5 威胁类型 信息泄露 利用可能性 中 POC状态 未公开 在
继续阅读雷神众测漏洞周报2023.06.26-2023.07.02
雷神众测漏洞周报2023.06.26-2023.07.02 原创 雷神众测 雷神众测 2023-07-03 16:48 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【安全通告】Smartbi商业智能软件登录代码逻辑漏洞
【安全通告】Smartbi商业智能软件登录代码逻辑漏洞 原创 NS-CERT 绿盟科技CERT 2023-07-03 15:28 通告编号:NS-2023-0029 2023-07-03 TAG: Smartbi、登录代码逻辑漏洞 漏洞危害: 攻击者利用此漏洞可造成敏感信息泄露 版本: 1.0 1 漏洞概述 近日,绿盟科技 CERT 监测到 Smartbi 官方修复了一个登录代码逻辑漏洞,由于 S
继续阅读【安全圈】用户账户信息遭泄露!WordPress 社交登录插件曝出漏洞
【安全圈】用户账户信息遭泄露!WordPress 社交登录插件曝出漏洞 安全圈 2023-07-01 19:00 关键词 安全漏洞 The Hacker News 网站消息,miniOrange 的 WordPress 社交登录和注册插件中出现了一个关键安全漏洞,该漏洞可能使潜在网络攻击者登录用户帐户。(任何用户提供的有关电子邮件地址信息都是已知的) 据悉,漏洞被追踪为 CVE-2023-2982
继续阅读在野0day捕获|nginxWebUI runCmd远程命令执行漏洞
在野0day捕获|nginxWebUI runCmd远程命令执行漏洞 长亭安全应急响应中心 2023-06-27 20:42 nginxWebUI是一款图形化管理nginx配置的工具,能通过网页快速配置nginx的各种功能,包括HTTP和TCP协议转发、反向代理、负载均衡、静态HTML服务器以及SSL证书的自动申请、续签和配置,配置完成后可以一键生成nginx.conf文件,并控制nginx使用此
继续阅读漏洞分析|死磕Jenkins漏洞回显与利用效果
漏洞分析|死磕Jenkins漏洞回显与利用效果 原创 14m3ta7k@ GobySec 2023-06-27 18:29 G o b y 社 区 第 2 8 篇 技 术 分 享 文 章 全 文 共 : 9135 字 预 计 阅 读 时 间 : 20 分 钟 01 背景 近期我们发起了一个 Goby 漏洞挑战赛的活动,在活动期间收到了大量的反馈信息,延伸出一系列在编写 PoC 漏洞检测与利用中考虑
继续阅读Azure 机器学习服务上已验证的 SSRF 漏洞
Azure 机器学习服务上已验证的 SSRF 漏洞 枇杷五星加强版 黑伞安全 2023-06-27 18:03 我们如何发现 SSRF 漏洞 首先,我们通过https://ml.azure.com 端点在 Azure 机器学习服务中创建了一个新工作区 – 创建后,我们导航到“数据” 仪表板,将各种资产上传到我的工作区。 我们单击左侧窗格菜单中的数据仪表板,然后选择“创建” – 在 C
继续阅读转发先知社区《SRC中的SSRF漏洞挖掘笔记1.0》
转发先知社区《SRC中的SSRF漏洞挖掘笔记1.0》 先知社区 黑伞安全 2023-06-27 18:03 原文地址:https://xz.aliyun.com/t/12227 SRC中的SSRF小记 ssrf – 漏洞简介 SSRF全称:Server-Side Request Forgery,即 服务器端请求伪造。是一个由攻击者构造请求,在目标服务端执行的一个安全漏洞。攻击者可以利用
继续阅读Chrome 漏洞多:web 浏览器还安全吗?
Chrome 漏洞多:web 浏览器还安全吗? Kevin Townsend 代码卫士 2023-06-27 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 和所有大型应用程序一样,谷歌 Chrome 也饱受漏洞之苦。2022年期间,SecurityWeek 媒体报道发现456个漏洞(每月平均38个漏洞),其中9个0day 漏洞。需要修复的漏洞如此之多,一个简单的问题是:
继续阅读CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析
CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析 原创 小透明 雷神众测 2023-06-27 15:34 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者
继续阅读Grafana 身份认证绕过漏洞CVE-2023-3128
Grafana 身份认证绕过漏洞CVE-2023-3128 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-26 21:12 漏洞名称: Grafana 身份认证绕过漏洞(CVE-2023-3128) 组件名称: Grafana 影响范围: 10.0.0 <= Grafana < 10.0.1, 9.5.0 <= Grafana < 9.5.5, 9.4.0 &
继续阅读VMware vCenter Server多个漏洞通告
VMware vCenter Server多个漏洞通告 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-26 21:12 漏洞名称: VMware vCenter Server多个漏洞 组件名称: VMware vCenter Server 安全公告链接: https://www.vmware.com/security/advisories/VMSA-2023-0014.html 官方解
继续阅读【安全圈】7月14日前完成!CISA 督促联邦机构修补 iPhone 漏洞
【安全圈】7月14日前完成!CISA 督促联邦机构修补 iPhone 漏洞 安全圈 2023-06-26 19:00 关键词 修补漏洞 Bleeping Computer 网站消息,美国网络安全与基础设施安全局(CISA)督促联邦机构尽快修补 iMessage 零点击漏洞。卡巴斯基表示这些漏洞已被黑客在野外利用,网络攻击者通过漏洞在其员工的 iPhone 上部署 Triangulation 间谍软
继续阅读只有1%漏洞值得投入,但如何处理好这1%?
只有1%漏洞值得投入,但如何处理好这1%? 网安人的智囊团 青藤智库 2023-06-26 18:19 2022 年 “网络战”硝烟四起,漏洞已成威胁国家关键信息基础设施的新型关键武器,亦是各国争相管控和利用的“现代军火”。2022年5月26日,美国商务部工业与安全局(BIS)通过修订《出口管制条例(EAR)》发布了酝酿 7 年的“网络安全物项”出口限制策略,以“国家安全”和“反恐”为出发点,加强
继续阅读【安全通告】Grafana身份认证绕过漏洞(CVE-2023-3128)通告
【安全通告】Grafana身份认证绕过漏洞(CVE-2023-3128)通告 原创 NS-CERT 绿盟科技CERT 2023-06-26 18:09 通告编号:NS-2023-0028 2023-06-26 TAG: Grafana、CVE-2023-3128、身份认证绕过 漏洞危害: 攻击者利用此漏洞可绕过身份验证接管目标用户的账户 版本: 1.0 1 漏洞概述 近日,绿盟科技 CERT 监测
继续阅读【漏洞通告】VMware vCenter Server多个高危漏洞通告
【漏洞通告】VMware vCenter Server多个高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2023-06-26 18:09 通告编号:NS-2023-0027 2023-06-26 TAG: vCenter Server、Cloud Foundation、CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、C
继续阅读CISA 必修清单新增6个已遭利用的0day
CISA 必修清单新增6个已遭利用的0day Ravie Lakshmanan 代码卫士 2023-06-26 18:04 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 美国网络安全基础设施安全局 (CISA) 在“已知已遭利用漏洞”分类表中新增了6个漏洞。 这6个漏洞分别是苹果公司在本周修复的3个漏洞(CVE-2023-32434、CVE-2023-32435和CVE-2023-
继续阅读上周关注度较高的产品安全漏洞(20230619-20230625)
上周关注度较高的产品安全漏洞(20230619-20230625) 国家互联网应急中心CNCERT 2023-06-26 16:51 一、境外厂商产品漏洞 1、Adobe Commerce安全绕过漏洞**** Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的数字商务解决方案。Adobe Commerce存在安全绕过漏洞,攻击者可利用该漏洞触发特制的脚本绕过安全功能。
继续阅读CVE-2023-3128:Grafana 身份认证绕过漏洞通告
CVE-2023-3128:Grafana 身份认证绕过漏洞通告 原创 360CERT 三六零CERT 2023-06-26 16:46 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-240 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-26 1 漏洞简述 2023年06月26日,360CERT监测发现Grafana发布了Grafana的风险通告,
继续阅读CVE-2023-33299:FortiNAC 反序列化漏洞通告
CVE-2023-33299:FortiNAC 反序列化漏洞通告 原创 360CERT 三六零CERT 2023-06-26 16:46 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-239 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-26 1 漏洞简述 2023年06月26日,360CERT监测发现Fortinet发布了FortiNAC的风险通
继续阅读雷神众测漏洞周报2023.06.19-2023.06.25
雷神众测漏洞周报2023.06.19-2023.06.25 原创 雷神众测 雷神众测 2023-06-26 15:35 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读施耐德智能电表曝出严重漏洞
施耐德智能电表曝出严重漏洞 网络安全应急技术国家工程中心 2023-06-26 14:46 本周三,Infosecurity Europe披露了施耐德电气ION数字电表和PowerLogic功率计中的一个高危漏洞:设备在每条消息中都以明文形式传输用户ID和密码。 该漏洞的CVSS漏洞严重性评级为8.8(满分10),攻击者可通过被动拦截获取明文传送的凭据、对ION/TCP工程接口(以及SSH和HTT
继续阅读Win32k的内部结构以及可能出现的漏洞
Win32k的内部结构以及可能出现的漏洞 xiaohui 嘶吼专业版 2023-06-26 12:01 2022年1月下旬,一个新的微软Windows特权升级漏洞(CVE-2022-21882)被发现,经分析,这是Win32k用户模式回调函数xxxClientAllocWindowClassExtraBytes中的一个漏洞。早在2021年,微软报告了一个非常类似的漏洞(CVE-2021-1732)
继续阅读Grafana 身份认证绕过漏洞(CVE-2023-3128)安全风险通告
Grafana 身份认证绕过漏洞(CVE-2023-3128)安全风险通告 奇安信 CERT 2023-06-25 18:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Grafana 身份认证绕过漏洞 漏洞编号 QVD-2023-14458、CVE-2023-3128 公开时间 2023-06-22 影响对象数量级 十万级 奇安信评级 高危 CVSS 3.1分数 9.4
继续阅读