高危无补丁0day影响思科数据中心交换机,可导致加密流量遭篡改
高危无补丁0day影响思科数据中心交换机,可导致加密流量遭篡改 Sergiu Gatlan 代码卫士 2023-07-07 17:48 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 今天,思科提醒客户称某些数据中心交换机型中存在一个高危漏洞,可导致攻击者篡改加密流量。该漏洞的编号是CVE-2023-20185。 该漏洞是思科内部审计数据中心 Cisco Nexus 9000系列 F
继续阅读标签: 代码
年审发现2万个关键漏洞且迟迟不修,这家政府机构遭通报
年审发现2万个关键漏洞且迟迟不修,这家政府机构遭通报 安全内参编译 安全内参 2023-07-07 17:41 关注我们 带你读懂网络安全 美国环保局回应,未能按照联邦规定时间表修补系统,原因是安全资源不足、关键漏洞过多。 前情回顾·美国政府网络安全研究 – 美国政府如何管控供应商数据安全?以国土安全领域为例 美国政府推进收敛互联网攻击面:网络设备管理必须上零信任 美国联邦政府近三年采
继续阅读nginxWebUI runCmd 未授权远程代码执行
nginxWebUI runCmd 未授权远程代码执行 GoTTY 火线Zone 2023-07-07 17:40 01 漏洞简介 之前对 nginxWebUI 进行过搭建和审计,但是当时仅仅关注到了后台的一些命令执行漏洞,最近爆出了未授权远程代码执行,再一次进行搭建环境和分析。 02 环境搭建 https://github.com/cym1102/nginxWebUI/releases/down
继续阅读【安全圈】警惕!仍有33万台FortiGate防火墙尚未修补CVE-2023-27997漏洞
【安全圈】警惕!仍有33万台FortiGate防火墙尚未修补CVE-2023-27997漏洞 安全圈 2023-07-06 19:01 关键词 安全漏洞 此前,Fortinet在今年的6月8日更新FortiOS作业系统,以修补旗下防火墙设备FortiGate的多个安全漏洞,其中风险最高的CVE-2023-27997在修补当时已遭到黑客利用,而根据另一个网络安全公司Bishop Fox的调查, 在全
继续阅读太阳能监控产品存在三个RCE漏洞,影响数百家能源机构
太阳能监控产品存在三个RCE漏洞,影响数百家能源机构 Eduard Kovacs 代码卫士 2023-07-06 17:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 漏洞情报公司 VulnCheck 在本周三提醒称,日本公司 Contec 制造的太阳能监控产品受一个已遭活跃利用漏洞 (CVE-2022-29303) 的影响,导致数百家能源组织机构受牵连。 Contec 公司专
继续阅读联发科漏洞影响智能手机、平板、WiFi 等芯片集
联发科漏洞影响智能手机、平板、WiFi 等芯片集 Guru Baran 代码卫士 2023-07-05 17:23 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 联发科在2023年7月产品安全公告中披露了24个漏洞,影响适用于智能手机、平板、AIoT、智能展示、OTT和 WiFi 的芯片集。其中,CVE-2023-20754和CVE-2023-20755被评级为“高危”漏洞。 高危
继续阅读超30万Fortinet防火墙仍未修复严重漏洞
超30万Fortinet防火墙仍未修复严重漏洞 网络安全应急技术国家工程中心 2023-07-05 15:22 根据攻击性安全公司Bishop Fox的最新报告,虽然Fortinet已经发布安全更新一个多月,但仍有数十万个FortiGate防火墙的严重漏洞(CVE-2023-27997)未得到修补。 该漏洞是一个远程代码执行漏洞,严重性评分高达9.8分,是由FortiOS中堆栈缓冲区溢出问题造成的
继续阅读Smartbi 多个高危漏洞通告
Smartbi 多个高危漏洞通告 原创 360CERT 三六零CERT 2023-07-04 17:14 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-257 报告来源:360CERT 报告作者:360CERT 更新日期:2023-07-04 1 漏洞简述 2023年07月04日,360CERT监测发现Smartbi发布了Smartbi的补丁更新,漏洞分别为Smartbi远程代码
继续阅读上周关注度较高的产品安全漏洞(20230626-20230702)
上周关注度较高的产品安全漏洞(20230626-20230702) 国家互联网应急中心CNCERT 2023-07-04 15:53 一、境外厂商产品漏洞 1、 Google Android缓冲区溢出漏洞(CNVD-2023-52817) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在缓冲区溢出漏洞,攻击者可利用该
继续阅读MOVEit Transfer漏洞成肉鸡收割机–受害者遍及20多个国家10多个行业
MOVEit Transfer漏洞成肉鸡收割机–受害者遍及20多个国家10多个行业 关键基础设施安全应急响应中心 2023-07-04 15:23 流行的文件传输工具MOVEit Transfer中的漏洞引发了广泛的后利用攻击,导致网络安全形势岌岌可危。黑客利用这一安全漏洞发起了一系列攻击,影响了政府、金融、IT服务、能源、大学等多个行业的众多组织,受害者遍布美国、英国、加拿大、法国、
继续阅读【漏洞预警】Parse Server远程代码执行漏洞威胁通告
【漏洞预警】Parse Server远程代码执行漏洞威胁通告 安识科技 SecPulse安全脉搏 2023-07-04 12:13 1. 通告信息 近日,安识科技 A-Team团队监测到Parse Server中修复了一个远程代码执行漏洞(CVE-2023-36475),其CVSSv3评分为9.8。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。 2.
继续阅读香港中文大学 | TChecker:用于检测PHP应用程序中的污点式漏洞的精确静态跨过程分析
香港中文大学 | TChecker:用于检测PHP应用程序中的污点式漏洞的精确静态跨过程分析 原创 1cey 安全学术圈 2023-07-03 22:53 原文标题:TChecker: Precise Static Inter-Procedural Analysis for Detecting Taint-Style Vulnerabilities in PHP Applications原文作者:
继续阅读【漏洞通告】Parse Server远程代码执行漏洞(CVE-2023-36475)
【漏洞通告】Parse Server远程代码执行漏洞(CVE-2023-36475) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-07-03 20:22 漏洞名称: Parse Server远程代码执行漏洞(CVE-2023-36475) 组件名称: Parse Server 影响范围: Parse Server < 5.5.2 6.0.0 ≤ Parse Server <
继续阅读0day速修|Smartbi 远程代码执行漏洞
0day速修|Smartbi 远程代码执行漏洞 长亭安全应急响应中心 2023-07-03 19:01 Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。近期,长亭科技安全研究员发现并上报了Smartbi的一个远程代码执行漏洞。该漏洞类型为逻辑绕过漏洞,可实现RCE,而目前仍有较多公网系统仍未修复漏洞。根据漏洞原理编写了无害化的X-POC远
继续阅读黑客利用WordPress 插件中的提权0day攻陷网站
黑客利用WordPress 插件中的提权0day攻陷网站 Bill Toulas 代码卫士 2023-07-03 17:37 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 黑客利用 “Ultimate Member” WordPress 插件中的 0day 漏洞 (CVE-2023-3460),通过绕过安全措施和注册恶意管理员账户,攻陷网站。 Ultimate Member 是一款
继续阅读Smartbi 登录代码逻辑漏洞安全风险通告
Smartbi 登录代码逻辑漏洞安全风险通告 奇安信 CERT 2023-07-03 16:54 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Smartbi 登录代码逻辑漏洞 漏洞编号 QVD-2023-15129 公开时间 2023-07-03 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 7.5 威胁类型 信息泄露 利用可能性 中 POC状态 未公开 在
继续阅读雷神众测漏洞周报2023.06.26-2023.07.02
雷神众测漏洞周报2023.06.26-2023.07.02 原创 雷神众测 雷神众测 2023-07-03 16:48 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【安全通告】Smartbi商业智能软件登录代码逻辑漏洞
【安全通告】Smartbi商业智能软件登录代码逻辑漏洞 原创 NS-CERT 绿盟科技CERT 2023-07-03 15:28 通告编号:NS-2023-0029 2023-07-03 TAG: Smartbi、登录代码逻辑漏洞 漏洞危害: 攻击者利用此漏洞可造成敏感信息泄露 版本: 1.0 1 漏洞概述 近日,绿盟科技 CERT 监测到 Smartbi 官方修复了一个登录代码逻辑漏洞,由于 S
继续阅读在野0day捕获|nginxWebUI runCmd远程命令执行漏洞
在野0day捕获|nginxWebUI runCmd远程命令执行漏洞 长亭安全应急响应中心 2023-06-27 20:42 nginxWebUI是一款图形化管理nginx配置的工具,能通过网页快速配置nginx的各种功能,包括HTTP和TCP协议转发、反向代理、负载均衡、静态HTML服务器以及SSL证书的自动申请、续签和配置,配置完成后可以一键生成nginx.conf文件,并控制nginx使用此
继续阅读漏洞分析|死磕Jenkins漏洞回显与利用效果
漏洞分析|死磕Jenkins漏洞回显与利用效果 原创 14m3ta7k@ GobySec 2023-06-27 18:29 G o b y 社 区 第 2 8 篇 技 术 分 享 文 章 全 文 共 : 9135 字 预 计 阅 读 时 间 : 20 分 钟 01 背景 近期我们发起了一个 Goby 漏洞挑战赛的活动,在活动期间收到了大量的反馈信息,延伸出一系列在编写 PoC 漏洞检测与利用中考虑
继续阅读转发先知社区《SRC中的SSRF漏洞挖掘笔记1.0》
转发先知社区《SRC中的SSRF漏洞挖掘笔记1.0》 先知社区 黑伞安全 2023-06-27 18:03 原文地址:https://xz.aliyun.com/t/12227 SRC中的SSRF小记 ssrf – 漏洞简介 SSRF全称:Server-Side Request Forgery,即 服务器端请求伪造。是一个由攻击者构造请求,在目标服务端执行的一个安全漏洞。攻击者可以利用
继续阅读Chrome 漏洞多:web 浏览器还安全吗?
Chrome 漏洞多:web 浏览器还安全吗? Kevin Townsend 代码卫士 2023-06-27 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 和所有大型应用程序一样,谷歌 Chrome 也饱受漏洞之苦。2022年期间,SecurityWeek 媒体报道发现456个漏洞(每月平均38个漏洞),其中9个0day 漏洞。需要修复的漏洞如此之多,一个简单的问题是:
继续阅读CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析
CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析 原创 小透明 雷神众测 2023-06-27 15:34 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者
继续阅读VMware vCenter Server多个漏洞通告
VMware vCenter Server多个漏洞通告 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-26 21:12 漏洞名称: VMware vCenter Server多个漏洞 组件名称: VMware vCenter Server 安全公告链接: https://www.vmware.com/security/advisories/VMSA-2023-0014.html 官方解
继续阅读【安全圈】7月14日前完成!CISA 督促联邦机构修补 iPhone 漏洞
【安全圈】7月14日前完成!CISA 督促联邦机构修补 iPhone 漏洞 安全圈 2023-06-26 19:00 关键词 修补漏洞 Bleeping Computer 网站消息,美国网络安全与基础设施安全局(CISA)督促联邦机构尽快修补 iMessage 零点击漏洞。卡巴斯基表示这些漏洞已被黑客在野外利用,网络攻击者通过漏洞在其员工的 iPhone 上部署 Triangulation 间谍软
继续阅读【漏洞通告】VMware vCenter Server多个高危漏洞通告
【漏洞通告】VMware vCenter Server多个高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2023-06-26 18:09 通告编号:NS-2023-0027 2023-06-26 TAG: vCenter Server、Cloud Foundation、CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、C
继续阅读CISA 必修清单新增6个已遭利用的0day
CISA 必修清单新增6个已遭利用的0day Ravie Lakshmanan 代码卫士 2023-06-26 18:04 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 美国网络安全基础设施安全局 (CISA) 在“已知已遭利用漏洞”分类表中新增了6个漏洞。 这6个漏洞分别是苹果公司在本周修复的3个漏洞(CVE-2023-32434、CVE-2023-32435和CVE-2023-
继续阅读上周关注度较高的产品安全漏洞(20230619-20230625)
上周关注度较高的产品安全漏洞(20230619-20230625) 国家互联网应急中心CNCERT 2023-06-26 16:51 一、境外厂商产品漏洞 1、Adobe Commerce安全绕过漏洞**** Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的数字商务解决方案。Adobe Commerce存在安全绕过漏洞,攻击者可利用该漏洞触发特制的脚本绕过安全功能。
继续阅读CVE-2023-33299:FortiNAC 反序列化漏洞通告
CVE-2023-33299:FortiNAC 反序列化漏洞通告 原创 360CERT 三六零CERT 2023-06-26 16:46 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-239 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-26 1 漏洞简述 2023年06月26日,360CERT监测发现Fortinet发布了FortiNAC的风险通
继续阅读施耐德智能电表曝出严重漏洞
施耐德智能电表曝出严重漏洞 网络安全应急技术国家工程中心 2023-06-26 14:46 本周三,Infosecurity Europe披露了施耐德电气ION数字电表和PowerLogic功率计中的一个高危漏洞:设备在每条消息中都以明文形式传输用户ID和密码。 该漏洞的CVSS漏洞严重性评级为8.8(满分10),攻击者可通过被动拦截获取明文传送的凭据、对ION/TCP工程接口(以及SSH和HTT
继续阅读