CNNVD通报Oracle多个安全漏洞
CNNVD通报Oracle多个安全漏洞 安全牛 2023-07-21 12:24 近日, CN NVD通报Oracle多个安全漏洞,其中Oracle产品本身漏洞60个,影响到Oracle产品的其他厂商漏洞247个。包括Oracle Application Express 安全漏洞(CNNVD-202307-1575、CVE-2023-21975)、Oracle Application Expres
继续阅读标签: XSS
CVE-2023-34192 —— Zimbra XSS To RCE
CVE-2023-34192 —— Zimbra XSS To RCE 原创 Skay 赛博少女 2023-07-20 15:22 一、组件概述 1.关键词 邮服、协作 2.概述 Zimbra 是一个电子邮件和协作平台,包括聊天、视频会议、日历、 联系人、任务、文件共享/编辑,并且集成了Slack、Zoom、Dropbox 等内置功能。500 多个SaaS 合作伙伴以及2000 多家经销商都在使用
继续阅读Reddit替代品 Lemmy 开源软件遭 0day 利用攻击
Reddit替代品 Lemmy 开源软件遭 0day 利用攻击 Eduard Kovacs 代码卫士 2023-07-17 17:41 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 致力于替代 Reddit 的开源软件 Lemmy 遭0day漏洞利用攻击。 Lemmy 是一款开源软件,旨在运行自托管的新闻聚合和讨论论坛。虽然每个 Lemmy 实例由不同的个体或组织机构运行,但它们之
继续阅读Zimbra 紧急提醒手动修复已遭利用的0day
Zimbra 紧急提醒手动修复已遭利用的0day Sergiu Gatlan 代码卫士 2023-07-14 17:21 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 今天,Zimbra 督促管理员手动修复已遭活跃利用于攻击 Zimbra Collaboration Suite (ZCS) 邮件服务器的 0day 漏洞。目前该漏洞尚未获得CVE编号。 ZCS 邮件服务器是使用广泛的
继续阅读严重的 TootRoot 漏洞可导致Mastodon 服务器遭劫持
严重的 TootRoot 漏洞可导致Mastodon 服务器遭劫持 Bill Toulas 代码卫士 2023-07-10 18:07 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 免费开源的去中心化社交网络平台 Mastodon 修复了四个漏洞,其中一个严重漏洞可导致黑客在使用特殊构造的媒体文件的服务器上创建任意文件。 Mastodon 拥有约880万名用户,分布在由志愿者托管的
继续阅读网络安全漏洞(风险)扫描的12种类型
网络安全漏洞(风险)扫描的12种类型 安全牛 2023-07-10 12:06 漏洞(风险)扫描是保障现代企业数字化转型安全开展过程中一个至关重要的组成部分,可以帮助企业识别数字化系统和应用中的各类安全缺陷。在实际应用时,漏洞扫描的类型需要和它们能够保护的IT环境保持一致。如果充分了解不同类型漏洞扫描技术之间的区别,企业可以提高整体网络安全防御能力,并加固系统以防范潜在威胁。本文收集整理了目前最常
继续阅读看一个经典的缓冲区溢出漏洞
看一个经典的缓冲区溢出漏洞 原创 01dGu0 白帽100安全攻防实验室 2023-07-10 12:04 点击订阅关注我哦 前 言 在当今数字化时代,软件的广泛应用为我们的生活带来了巨大的便利和效率提升。然而,随着软件规模和复杂性的不断增加,安全性问题也变得愈发突出。缓冲区溢出漏洞就是其中一种最常见和危险的安全漏洞,它可以被恶意黑客利用,导致严重的安全风险和损失。 本文将初步探讨缓冲区溢出漏洞的
继续阅读高危无补丁0day影响思科数据中心交换机,可导致加密流量遭篡改
高危无补丁0day影响思科数据中心交换机,可导致加密流量遭篡改 Sergiu Gatlan 代码卫士 2023-07-07 17:48 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 今天,思科提醒客户称某些数据中心交换机型中存在一个高危漏洞,可导致攻击者篡改加密流量。该漏洞的编号是CVE-2023-20185。 该漏洞是思科内部审计数据中心 Cisco Nexus 9000系列 F
继续阅读香港中文大学 | TChecker:用于检测PHP应用程序中的污点式漏洞的精确静态跨过程分析
香港中文大学 | TChecker:用于检测PHP应用程序中的污点式漏洞的精确静态跨过程分析 原创 1cey 安全学术圈 2023-07-03 22:53 原文标题:TChecker: Precise Static Inter-Procedural Analysis for Detecting Taint-Style Vulnerabilities in PHP Applications原文作者:
继续阅读上周关注度较高的产品安全漏洞(20230612-20230618)
上周关注度较高的产品安全漏洞(20230612-20230618) 国家互联网应急中心CNCERT 2023-06-21 16:25 一、境外厂商产品漏洞 1、Google Chrome类型混肴漏洞 Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 114.0.5735.110之前版本存在类型混肴漏洞,攻击者可利用该漏洞在系统上执行任意代码或导
继续阅读【工具篇】漏洞扫描-最新版Invicti v23.6.0.40861
【工具篇】漏洞扫描-最新版Invicti v23.6.0.40861 渗透测试网络安全 2023-06-17 20:30 由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家! 0x01 Invicti介绍Invicti可以全自动、极其准确并且是易于使用的 Web 应用程序安全扫描程序,可自动查找您的网站、Web 应用程序和 Web 服务中的安全漏洞。0x02 Invicti本次更新介绍 本次
继续阅读为了做好这件事,他们在漏洞堆里挖呀挖呀挖
为了做好这件事,他们在漏洞堆里挖呀挖呀挖 奇安信集团 奇安信 CERT 2023-06-16 18:25 “你觉得这么些年总共30万个漏洞很多吗?”奇安信威胁情报中心负责人汪列军反问道。 “应该挺多的吧。按照咱们奇安信CERT发布的数据来看,2022年收录了26000+条漏洞信息,也要十多年才能达到这个数量级。” “话是这么说,但却不是这么个算法。”汪列军解释道,“我们收录的也只是已经公开的漏洞,
继续阅读手把手玩转路由器漏洞挖掘系列 – 基础入门
手把手玩转路由器漏洞挖掘系列 – 基础入门 原创 B2eFly 山石网科安全技术研究院 2023-06-16 10:49 #01 「 介绍 」 路由器设备作用家用网络中最常见的设备,给人们带来便利的同时也隐藏了诸多安全漏洞。本篇文章将从漏洞环境搭建、模拟、动态与静态调试等多方面入手,手把手玩转家用路由器漏洞挖掘。 #02 「 环境搭建」 2.1 系统配置 操作系统: Ubuntu 2
继续阅读Azure Bastion SVG Exporter XSS
Azure Bastion SVG Exporter XSS 枇杷五星加强版 黑伞安全 2023-06-15 19:03 下面我们将演示精心设计的 postMessage 如何能够操纵 Azure Bastion Topology View SVG 导出器来执行 XSS。 什么是 Azure Bastion? Azure Bastion 是 Microsoft Azure 提供的一项服务,它提供了
继续阅读微软 Azure Bastion 和 Container Registry 中存在两个严重漏洞
微软 Azure Bastion 和 Container Registry 中存在两个严重漏洞 Ravie Lakshmanan 代码卫士 2023-06-15 17:44 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 微软 Azure Bastion 和 Azure Container Registry 中存在两个严重该漏洞,可用于执行XSS攻击。 Orca 公司的安全研究员表示
继续阅读2023年十佳开源漏洞评估工具
2023年十佳开源漏洞评估工具 布加迪 嘶吼专业版 2023-06-15 12:04 漏洞评估工具可以扫描IT资产,查找已知的漏洞、错误配置及其他缺陷。然后,这类扫描器为IT安全和应用程序开发运营(DevOps)团队生成报告,这些团队将已确定优先级的任务馈入工单和工作流系统,以修复漏洞。 开源漏洞测试工具提供了经济高效的漏洞检测解决方案。除了商业漏洞扫描工具外,许多IT团队甚至部署一个或多个开源工
继续阅读【安全圈】好端端的“驱动神器”,怎就成了安全漏洞?
【安全圈】好端端的“驱动神器”,怎就成了安全漏洞? 安全圈 2023-06-11 19:00 关键词 驱动 如果你是一位PC玩家,你可能知道在装新电脑或进行日常升级和维护操作时,安装和升级各种硬件驱动是必不可少的步骤。 正确和最新版本的驱动通常可以提升硬件在游戏和内容创建软件中的性能,同时更好地适配新版操作系统的相关功能,并提升日常使用的稳定性。相反,过时或错误的驱动可能会影响性能,导致各种错误和
继续阅读思科修复企业协作解决方案中的严重漏洞
思科修复企业协作解决方案中的严重漏洞 Ionut Arghire 代码卫士 2023-06-09 17:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周三,思科宣布修复 Expressway 序列和 TelePresence 视频通信服务器 (VCS) 企业协作和视频通信解决方案中的一个严重漏洞CVE-2023-20105,CVSS 评分为9.6。 该漏洞可导致具有“只读”
继续阅读如何有效遏制针对通达OA漏洞利用活动
如何有效遏制针对通达OA漏洞利用活动 原创 debugeeker 奶牛安全 2023-06-05 10:17 前言 假设你是网络安全建设或防御负责人,相信针对通达 OA 的渗透测试一定是使你提心吊胆、夜不能寐且辗转反侧的原因之一。 在此篇文章中,我们将给出可以遏制针对通达 OA 进行漏洞利用的策略,及时发现并降低它可能给终端安全带来的风险。 关于通达 OA 通达 OA(Office Anywher
继续阅读黑客利用 cookie 插件漏洞攻击 150 万个 WordPress 网站
黑客利用 cookie 插件漏洞攻击 150 万个 WordPress 网站 网络安全应急技术国家工程中心 2023-06-01 14:41 持续的攻击针对名为 Beautiful Cookie Consent Banner 的 WordPress cookie 同意插件中的未经身份验证的存储跨站点脚本 (XSS) 漏洞,该插件具有超过 40,000 个活动安装。 在 XSS 攻击中,威胁参与者将
继续阅读上周关注度较高的产品安全漏洞(20230522-20230528)
上周关注度较高的产品安全漏洞(20230522-20230528) 国家互联网应急中心CNCERT 2023-05-30 15:39 一、境外厂商产品漏洞 1、Adobe Substance 3D Painter越界读取漏洞(CNVD-2023-41408) Adobe Substance 3D Painter是美国奥多比(Adobe)公司的一个3D纹理处理应用程序。Adobe Substance
继续阅读泛微e-cology9 changeUserInfo信息泄漏及ofsLogin任意用户登录漏洞分析
泛微e-cology9 changeUserInfo信息泄漏及ofsLogin任意用户登录漏洞分析 原创 小透明 雷神众测 2023-05-26 16:25 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版
继续阅读上周关注度较高的产品安全漏洞(20230515-20230521)
上周关注度较高的产品安全漏洞(20230515-20230521) 原创 CNVD CNVD漏洞平台 2023-05-22 17:31 一、境外厂商产品漏洞 1、 Adobe Substance 3D Stager缓冲区溢出漏洞(CNVD-2023-37602) Adobe Substance 3D Stager 是美国奥多比( Adobe )公司的一个虚拟 3D 工作室。 Adobe Subst
继续阅读思科提醒:多款交换机存在多个RCE漏洞且利用代码已公开
思科提醒:多款交换机存在多个RCE漏洞且利用代码已公开 Sergiu Gatlan 代码卫士 2023-05-18 16:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今天,思科提醒客户称,多款 Small Business 系列交换机中存在四个严重的远程代码执行漏洞,且利用代码已遭公开。 这四个漏洞的 CVSS 评分为9.8分,如遭成功利用可导致未认证的攻击者以根权限在受攻陷设备上
继续阅读上周关注度较高的产品安全漏洞(20230508-20230514)
上周关注度较高的产品安全漏洞(20230508-20230514) 国家互联网应急中心CNCERT 2023-05-16 16:20 一、境外厂商产品漏洞 1、Linux kernel双重释放漏洞(CNVD-2023-34466) Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel存在双重释放漏洞,该漏洞源于TUN/TAP设备驱动程序中存在
继续阅读WordPress 热门插件中存在漏洞,200多万网站受影响
WordPress 热门插件中存在漏洞,200多万网站受影响 Ravie Lakshmanan 代码卫士 2023-05-08 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 热门插件 Advanced Custom Fields 中存在一个漏洞,用户需升级至版本 6.1.6。该漏洞的编号是CVE-2023-30777。 该漏洞是反射型XSS,可滥用于将任意可
继续阅读上周关注度较高的产品安全漏洞(20230424-20230507)
上周关注度较高的产品安全漏洞(20230424-20230507) 原创 CNVD CNVD漏洞平台 2023-05-08 16:01 一、境外厂商产品漏洞 1、RIOT-OS缓冲区溢出漏洞 RIOT-OS是一个支持物联网设备的操作系统,包含一个能够处理6LoWPAN帧的网络堆栈。RIOT-OS 2022.10之前的版本存在缓冲区溢出漏洞,攻击者可以利用该漏洞执行任意代码。 参考链接: https
继续阅读思科服务器管理工具中存在 XSS 0day
思科服务器管理工具中存在 XSS 0day Sergiu Gatlan 代码卫士 2023-04-27 17:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今天,思科披露称其 PCD 软件中存在一个 0day 漏洞(CVE-2023-20060),可用于XSS 攻击活动中。 该服务器管理工具可使管理员在服务器上执行缓解或升级任务。该漏洞位于思科 PCD 14 的web 管理接口中,是
继续阅读上周关注度较高的产品安全漏洞(20230417-20230423)
上周关注度较高的产品安全漏洞(20230417-20230423) 国家互联网应急中心CNCERT 2023-04-25 16:09 一、境外厂商产品漏洞 1、 ZOHO ManageEngine ADManager Plus远程命令漏洞 ZOHO ManageEngine ADManager Plus是美国卓豪(ZOHO)公司的一套为使用Windows域的企业用户设计的微软活动目录管理软件。ZO
继续阅读五大API安全漏洞及缓解措施
五大API安全漏洞及缓解措施 关键基础设施安全应急响应中心 2023-04-19 15:34 API流量约占全球互联网流量的83%,是数字经济的“关键基础设施”,同时也是最热门的攻击目标之一。 随着云计算、物联网、移动互联网和人工智能技术的快速普及,API安全已经成为当下企业和互联网面临的最严峻的网络安全挑战之一,根据Gartner的研究,2022年,超过九成Web应用程序遭到的攻击来自API,而
继续阅读