Jenkins 出现严重漏洞,可导致代码执行攻击
Jenkins 出现严重漏洞,可导致代码执行攻击 Ravie Lakshmanan 代码卫士 2023-03-09 17:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 开源自动化服务器 Jenkins 中存在两个严重漏洞(CVE-2023-27898和CVE-2023-27905),可导致攻击者在目标系统上执行代码。 这两个漏洞影响 Jenkins 服务器和Update Center
继续阅读标签: 代码
漏洞通告:Apache Http Server请求走私漏洞CVE-2023-25690
漏洞通告:Apache Http Server请求走私漏洞CVE-2023-25690 深瞳漏洞实验室 深信服千里目安全技术中心 2023-03-09 15:21 漏洞名称: Apache Http Server 请求走私漏洞 CVE-2023-25690 组件名称: Apache Http Server 影响范围: 2.4.0≤Apache HTTP Server≤2.4.55 漏洞类型: 请求
继续阅读漏洞风险提示 | FortiOS、FortiProxy 管理界面远程代码执行漏洞(CVE-2023-25610)
漏洞风险提示 | FortiOS、FortiProxy 管理界面远程代码执行漏洞(CVE-2023-25610) 长亭安全应急响应中心 2023-03-09 15:19 长亭漏洞风险提示 FortiOS、FortiProxy 管理界面远程代码执行漏洞 (CVE-2023-25610) Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络
继续阅读TPM 2.0安全漏洞可窃取加密密钥
TPM 2.0安全漏洞可窃取加密密钥 网络安全应急技术国家工程中心 2023-03-09 15:02 TPM TPM(Trusted Platform Module,可信平台模块)是一种基于硬件的安全技术,可以为操作系统提供抗修改的安全加密功能。TPM可以用来保存加密密钥、密码和其他重要数据。TPM对部分Windows安全特征来说是必须的,比如Measured Boot、Device Encryp
继续阅读CVE-2022-25365在内的多个 Docker漏洞,通过攻击命名管道实现权限升级
CVE-2022-25365在内的多个 Docker漏洞,通过攻击命名管道实现权限升级 xiaohui 嘶吼专业版 2023-03-08 12:00 通过攻击命名管道实现权限升级是我研究Windows Docker时发现的,它需要安装 Docker Desktop for Windows,我在其中发现很多Docker进程。由于其中一些进程是保密的,因此我进行了进一步探索。分析发现,这些进程使用命名
继续阅读【漏洞通告】 Microsoft Word 远程代码执行漏洞(CVE-2023-21716)
【漏洞通告】 Microsoft Word 远程代码执行漏洞(CVE-2023-21716) 原创 NS-CERT 绿盟科技CERT 2023-03-07 20:56 通告编号:NS-2023-0011 2023-03-07 TAG: Microsoft Word、CVE-2023-21716 漏洞危害: 攻击者利用此漏洞可实现任意代码执行 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测
继续阅读【已复现】Microsoft Word 远程代码执行漏洞安全风险通告
【已复现】Microsoft Word 远程代码执行漏洞安全风险通告 代码卫士 2023-03-07 19:22 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Microsoft Office Word是微软公司的一个文字处理器应用程序。 Word给用户提供了用于创建专业而优雅的文档工具,帮助用户节省时间,并得到优雅美观的结果。 一直以来,Mic
继续阅读【安全圈】研究机构披露某购物平台利用漏洞,非法获取竞对信息,阻止用户卸载 APP
【安全圈】研究机构披露某购物平台利用漏洞,非法获取竞对信息,阻止用户卸载 APP 安全圈 2023-03-07 19:00 关键词 系统漏洞 近日,研究机构 “DarkNavy” 发文披露某国产 APP 恶意利用系统漏洞,非法提权获取用户隐私及争对手商业信息,远程遥控用户设备,并阻止用户卸载自身 APP。 文章中提到,该 APP 利用 Android 系统的 Parcel
继续阅读NIST抗量子密码算法被爆安全漏洞
NIST抗量子密码算法被爆安全漏洞 ang010ela 嘶吼专业版 2023-03-07 12:00 研究人员发现在NIST选定的抗量子密码算法中发现安全漏洞。 2022年7月,美国国家标准和技术研究所(NIST)宣布选定的4个抗量子加密算法,其中CRYSTALS-Kyber用于通用加密,CRYSTALS-Dilithium、FALCON和SPHINCS+用于数字签名。CRYSTALS-Kyber
继续阅读Sysdig报告解读:配置不当和漏洞是云安全的两大风险
Sysdig报告解读:配置不当和漏洞是云安全的两大风险 布加迪 嘶吼专业版 2023-03-07 12:00 据Sysdig的报告显示,两个最大的云安全风险依然是配置不当和漏洞,漏洞日益通过软件供应链被引入。 虽然零信任是当务之急,但数据显示,零信任架构的基础:最小特权访问权限并未得到妥善执行。报告特别指出,几乎90%的已授权限并未被使用,这就给窃取凭据的攻击者留下了很多机会。 以上数据来自分析S
继续阅读.NET 调用Expression表达式树执行命令(5)
.NET 调用Expression表达式树执行命令(5) 专攻.NET安全的 dotNet安全矩阵 2023-03-07 11:40
继续阅读上周关注度较高的产品安全漏洞(20230227-20230305)
上周关注度较高的产品安全漏洞(20230227-20230305) 原创 CNVD CNVD漏洞平台 2023-03-06 18:04 一、境外厂商产品漏洞 1、Google Chrome V8类型混淆漏洞(CNVD-2023-12021) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 110.0.5481.77之前版本存在类型混淆漏洞,该
继续阅读雷神众测漏洞周报2023.02.27-2023.03.05
雷神众测漏洞周报2023.02.27-2023.03.05 原创 雷神众测 雷神众测 2023-03-06 16:00 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读如何更高效的玩儿 nday 漏洞
如何更高效的玩儿 nday 漏洞 原创 myh0st 信安之路 2023-03-06 09:20 最近又重新收集了一波 src 的信息,整理了上百万的网站资产,主要步骤: 可能大家都知道互联网上存在的漏洞中,nday 漏洞占比很可观,那么针对上百万的网站如何更快,更有效的从中挖掘 nday 漏洞呢? 有的人可能会说,poc 工具一把梭就可以了,比如 nuclei、xray、goby 等一键扫描,这
继续阅读如何以一种意外的方式发现并找到 WinIO 内核驱动栈溢出漏洞
如何以一种意外的方式发现并找到 WinIO 内核驱动栈溢出漏洞 关键基础设施安全应急响应中心 2023-03-03 14:37 研究人员在OEM厂商的外围设备中发现了多个漏洞,这影响了这些OEM厂商(Razer、EVGA、MSI、AMI)的许多用户。这些漏洞源于一个众所周知的易受攻击的驱动程序,通常被称为WinIO/WinRing0。 本文会重点介绍一个有趣的TOCTOU漏洞案例(CVE-2022
继续阅读1&2月份重点关注的API安全漏洞一览
1&2月份重点关注的API安全漏洞一览 星阑科技 2023-03-02 16:12 为了让大家的API更加安全 致力于守护数字世界每一次网络调用 小阑公司 PortalLab实验室的同事们 给大家整理了 1&2月份的一些API安全漏洞报告 希望大家查漏补缺 及时修复自己API可能出现的漏洞 No.1 一个允许远程控制现代和创世纪车辆的API关键漏洞 漏洞详情:近期,研究人员披露了现
继续阅读【安全圈】iPhone 存在重大漏洞! 歹徒靠“偷看”搬空银行存款
【安全圈】iPhone 存在重大漏洞! 歹徒靠“偷看”搬空银行存款 安全圈 2023-03-01 19:00 关键词 漏洞 众所周知,iPhone 允许使用手机密码重置苹果帐户密码,然而这被用来方便健忘人士的贴心设计却被别有用心之人利用。 据媒体最新报道,近期,越来越多 iPhone 用户向警方报案时称,手机被盗或被抢后,很快就进不去自己的苹果帐户,银行里的钱立即被盗。 报道称,歹徒只需采用偷看等
继续阅读Smartbi远程命令执行漏洞安全风险通告
Smartbi远程命令执行漏洞安全风险通告 奇安信 CERT 2023-03-01 16:50 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,为企业客户提供一站式商业智能解决方案。 Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平
继续阅读0day 速修!Smartbi 远程命令执行漏洞
0day 速修!Smartbi 远程命令执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-03-01 14:58 01 漏洞概况 近日,微步在线通过“X漏洞奖励计划”获取到Smartbi大数据分析平台远程命令执行漏洞的0day相关漏洞情报,攻击者可以通过此漏洞进行任意命令执行,导致系统被攻击与控制。Smartbi是思迈特软件推出的商业智能BI软件,满足BI产品的发展阶段。思迈特软件整合
继续阅读Windows 2000系统的一个0day漏洞发现过程
Windows 2000系统的一个0day漏洞发现过程 Qfwfq- 看雪学苑 2023-02-28 18:00 本文为看雪论坛优秀文章 看雪论坛作者ID:Qfwfq- 其实安装这个系统的本意是折腾老游戏,装点菠萝1之类的玩玩,结果找到了个漏洞。 这个漏洞位于cmd.exe,是一个缓冲区溢出漏洞,我在公开资料上没有查询到该漏洞的任何信息,也不知道是我没查到,还是确实没人公开它,如果有谁查到这个漏洞
继续阅读明天开课!系统0day安全-二进制漏洞攻防
明天开课!系统0day安全-二进制漏洞攻防 看雪课程 看雪学苑 2023-02-28 18:00 二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成软件执行了非预期的功能。由于二进制漏洞大都涉及到系统层面,所以危害程度比较高。 因此,二进制漏洞的挖掘和分析就显得尤为重要,不仅能帮助安全从业者强化解决实际问题能力,掌握高效防御技能,还能及时发现业务系统内潜在的问题,赋能企业安全! 小
继续阅读Chromium 漏洞可用于绕过安卓设备上的安全特性
Chromium 漏洞可用于绕过安卓设备上的安全特性 Ben Dickson 代码卫士 2023-02-28 17:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 最近,Chromium 项目中修复了一个漏洞,它本可导致恶意人员绕过保护安卓浏览器上敏感cookie的安全特性SameSite。 SameSite 设置可使开发人员限制对cookie的访问。例如,通过设置 SameSite=
继续阅读QNAP推出新的漏洞奖励计划,覆盖应用、云服务和OS,最高赏金2万美元
QNAP推出新的漏洞奖励计划,覆盖应用、云服务和OS,最高赏金2万美元 Ionut Arghire 代码卫士 2023-02-28 17:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 位于中国台湾省的公司 QNAP Systems 宣布,通过新推出的漏洞奖励计划提交漏洞的研究员,最高可获得2万美元的奖励。 QNAP 因网络附加存储 (NAS) 和专业的网络视频录像机 (NVR) 解决
继续阅读山石网科获CVE漏洞编号颁发权限CNA
山石网科获CVE漏洞编号颁发权限CNA 安研院 山石网科安全技术研究院 2023-02-28 10:15 山石网科获CVE漏洞编号颁发权限 近日,山石网科通过 CNA 准入程序,正式成为 CVE 编号颁发机构CNA。 CVE全称是 Common Vulnerabilities & Exposures(通用漏洞 & 披露),是全球安全领域最知名的一个漏洞披露库,类似于中国的国家信
继续阅读【TrustZone相关漏洞导读】Glitched on Earth by Humans
【TrustZone相关漏洞导读】Glitched on Earth by Humans 关键基础设施安全应急响应中心 2023-02-25 10:27 议题名称:Glitched on Earth by Humans: A Black-Box Security Evaluation of the SpaceX Starlink User Terminal (2022.08)[1] 议题视频:ht
继续阅读【火绒安全周报】谷歌支付1200万美元的漏洞赏金/动视暴雪疑似员工信息遭泄露
【火绒安全周报】谷歌支付1200万美元的漏洞赏金/动视暴雪疑似员工信息遭泄露 火绒安全 火绒安全 2023-02-24 18:00 01 谷歌向安全研究人员支付1200万美元的漏洞赏金 近期,谷歌发布了漏洞奖励计划 的统计数据,详细概述了安全研究人员如何发现安全漏洞以及获得的漏洞赏金数额。资料显示,2022年, 谷歌 为安全研究人员报告的2900多个漏洞,支付超1200万美元赏金 ,是其有 史以来
继续阅读【漏洞预警】Joomla未授权访问漏洞
【漏洞预警】Joomla未授权访问漏洞 SecPulse安全脉搏 2023-02-23 11:30 1. 通告信息 近日,安识科技 A-Team团队监测到Joomla官方发布安全公告,修复了Joomla! CMS中的一个未授权访问漏洞(CVE-2023-23752),目前该漏洞的细节及PoC/EXP已公开。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击
继续阅读【漏洞通告】Fortinet FortiNAC 远程代码执行漏洞(CVE-2022-39952)
【漏洞通告】Fortinet FortiNAC 远程代码执行漏洞(CVE-2022-39952) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-02-22 18:07 漏洞名称: Fortinet FortiNAC 远程代码执行漏洞(CVE-2022-39952) 组件名称: Fortinet FortiNAC 影响范围: FortiNAC 9.4.0 FortiNAC 9.2.x ≤ 9.
继续阅读CVE-2016-7255提权漏洞学习笔记
CVE-2016-7255提权漏洞学习笔记 1900 看雪学苑 2023-02-22 17:59 本文为看雪论坛优秀文章 看雪论坛作者ID:1900 1.漏洞描述 该漏洞存在于win32k中的xxxNextWindow函数中,该函数没有对tagWND对象的spmenu成员的合法性进行验证,就直接将其作为合法地址进行读写,导致了BSOD的产生。通过将spmenu设置为特定的值,可以让tagWND对象
继续阅读VMware 修复严重的Carbon Black App Control漏洞
VMware 修复严重的Carbon Black App Control漏洞 Ryan Naraine 代码卫士 2023-02-22 17:19 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 虚拟化技术巨头VMware 周二推出重要安全修复方案,修复了其面向企业的Carbon Black App Control 产品中的一个严重漏洞 (CVE-2023-20858)。 VMware 公司
继续阅读