工控补丁星期二:西门子、施耐德电气等修复50个漏洞
工控补丁星期二:西门子、施耐德电气等修复50个漏洞 Eduard Kovacs 代码卫士 2023-07-12 17:08 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周二,西门子和施耐德电气公司发布九份安全公告,修复了影响其工业产品的50个漏洞。 西门子 西门子发布五份安全公告,通知客户修复40多个漏洞。 西门子修复了 Simatic CN 4100 通信系统中的一个严重漏洞
继续阅读标签: 代码执行
微软7月补丁星期二修复132个漏洞:5个已遭利用0day且1个无补丁
微软7月补丁星期二修复132个漏洞:5个已遭利用0day且1个无补丁 综合编译 代码卫士 2023-07-12 17:08 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 微软7月补丁星期二修复了132个漏洞,其中5个是已遭活跃利用的0day,37个是远程代码执行漏洞。在这37个RCE漏洞中,微软仅将其中9个列为“严重”级别,不过其中1个仍未修复且已遭利用。这是过去几年来看到的修复量
继续阅读【安全更新】微软7月安全更新多个产品高危漏洞
【安全更新】微软7月安全更新多个产品高危漏洞 原创 NS-CERT 绿盟科技CERT 2023-07-12 14:10 通告编号:NS-2023-0030 2023-07-12 TAG: 安全更新、ADV230001、Microsoft SharePoint Server、Windows Pragmatic General Multicast (PGM)、Windows MSHTML、Micros
继续阅读微软2023年7月补丁日多个产品安全漏洞风险通告
微软2023年7月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2023-07-12 10:31 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2023年7月补丁日多个产品安全漏洞 影响厂商&产品 Microsoft Visual Studio 2022、Microsoft Office、Microsoft SharePoint Server等 公开时间 20
继续阅读【安全圈】出现了今年第十个零日漏洞,苹果发布紧急更新
【安全圈】出现了今年第十个零日漏洞,苹果发布紧急更新 安全圈 2023-07-11 19:00 关键词 安全漏洞 苹果于7月10日发布了新一轮快速安全响应 (RSR) 更新,以解决在攻击中利用的一个新零日漏洞。 苹果在iOS和macOS的更新公告中引用了一位匿名安全专家对该漏洞(CVE-2023-37450)的描述,表示“苹果已获悉有关此漏洞可能已被积极利用的报告”。苹果在更新公告中也表示这是一个
继续阅读【安全圈】安卓程序出现高危漏洞,CISA 要求联邦政府尽快修复
【安全圈】安卓程序出现高危漏洞,CISA 要求联邦政府尽快修复 安全圈 2023-07-11 19:00 关键词 安全漏洞 近日,CISA要求联邦机构尽快修补一个高危的内核驱动特权升级漏洞Arm Mali GPU,该漏洞已被列入到其积极处理的漏洞列表中,并在本月的安卓安全更新中得到解决。 该漏洞(被追踪为CVE-2021-29256)是一种在释放后使用的漏洞,通过允许对GPU内存的不正当操作,让攻
继续阅读苹果紧急修复已遭利用的 0day
苹果紧急修复已遭利用的 0day Sergiu Gatlan 代码卫士 2023-07-11 17:40 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 苹果发布新一轮快速安全响应 (RSR) 更新,修复了一个已遭利用的 0day (CVE-2023-37450),影响完全打补丁的 iPhone、Mac 和 iPad。 苹果在 iOS 和 macOS 安全通告中指出,该漏洞由一名匿名
继续阅读CISA要求联邦政府尽快修复影响安卓程序的高危漏洞
CISA要求联邦政府尽快修复影响安卓程序的高危漏洞 网络安全应急技术国家工程中心 2023-07-11 15:34 近日,CISA要求联邦机构尽快修补一个高危的内核驱动特权升级漏洞Arm Mali GPU,该漏洞已被列入到其积极处理的漏洞列表中,并在本月的安卓安全更新中得到解决。 该漏洞(被追踪为CVE-2021-29256)是一种在释放后使用的漏洞,通过允许对GPU内存的不正当操作,让攻击者升级
继续阅读上周关注度较高的产品安全漏洞(20230703-20230709)
上周关注度较高的产品安全漏洞(20230703-20230709) 国家互联网应急中心CNCERT 2023-07-11 15:19 一、境外厂商产品漏洞 1、Microsoft Excel代码执行漏洞(CNVD-2023-53909) Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞,攻击
继续阅读原创Paper | 从入门 .NET 到分析金蝶反序列化漏洞学习笔记
原创Paper | 从入门 .NET 到分析金蝶反序列化漏洞学习笔记 原创 404实验室 知道创宇404实验室 2023-07-11 11:19 作者: Sunflower@知道创宇404实验室日期:2023年7月10日 1.前言 参考资料 由于金蝶云星空能够使用 format 参数指定数据格式为二进制,攻击者可以通过发送由 BinaryFormatter 恶意序列化后的数据让服务端进行危险的 B
继续阅读Apple WebKit 远程代码执行漏洞(CVE-2023-37450)安全风险通告
Apple WebKit 远程代码执行漏洞(CVE-2023-37450)安全风险通告 奇安信 CERT 2023-07-11 10:53 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apple WebKit 远程代码执行漏洞 漏洞编号 QVD-2023-15798、CVE-2023-37450 公开时间 2023-07-10 影响对象数量级 百万级 奇安信评级 高危 CV
继续阅读严重的 TootRoot 漏洞可导致Mastodon 服务器遭劫持
严重的 TootRoot 漏洞可导致Mastodon 服务器遭劫持 Bill Toulas 代码卫士 2023-07-10 18:07 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 免费开源的去中心化社交网络平台 Mastodon 修复了四个漏洞,其中一个严重漏洞可导致黑客在使用特殊构造的媒体文件的服务器上创建任意文件。 Mastodon 拥有约880万名用户,分布在由志愿者托管的
继续阅读CVE-2023-24941 Windows NFS 远程代码执行漏洞分析
CVE-2023-24941 Windows NFS 远程代码执行漏洞分析 原创 天元实验室 M01N Team 2023-07-10 18:00 简介 NFS(Network File System)是一种用于服务器和客户机之间文件访问和共享的通信协议,通过它,客户机可以远程访问存储设备上的数据。CVE-2023-24941是微软在2023年5月份补丁日修复的一个位于Windows网络文件系统中
继续阅读【已复现】泛微E-Cology SQL注入漏洞安全风险通告
【已复现】泛微E-Cology SQL注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-07-10 16:38 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 泛微E-Cology SQL注入漏洞 漏洞编号 QVD-2023-15672 公开时间 2023-07-07 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 8.6 威胁类型 代码执
继续阅读雷神众测漏洞周报2023.07.03-2023.07.09
雷神众测漏洞周报2023.07.03-2023.07.09 原创 雷神众测 雷神众测 2023-07-10 15:01 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读【安全圈】2万个关键漏洞!这家政府机构迟迟不修遭通报
【安全圈】2万个关键漏洞!这家政府机构迟迟不修遭通报 安全圈 2023-07-08 19:00 关键词 安全漏洞 7月7日消息,一份最新监察报告显示,美国环保局(EPA)未能跟踪、修补数千个涉及环境和辐射数据的关键漏洞。这一安全缺陷可能对公共健康构成重大风险。 美国环保局监察长办公室周三发布的报告称,根据联邦命令,环保局应在规定时间内解决辐射数据分析系统(ARaDS)的已知漏洞,然而,环保局未能做
继续阅读高危无补丁0day影响思科数据中心交换机,可导致加密流量遭篡改
高危无补丁0day影响思科数据中心交换机,可导致加密流量遭篡改 Sergiu Gatlan 代码卫士 2023-07-07 17:48 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 今天,思科提醒客户称某些数据中心交换机型中存在一个高危漏洞,可导致攻击者篡改加密流量。该漏洞的编号是CVE-2023-20185。 该漏洞是思科内部审计数据中心 Cisco Nexus 9000系列 F
继续阅读年审发现2万个关键漏洞且迟迟不修,这家政府机构遭通报
年审发现2万个关键漏洞且迟迟不修,这家政府机构遭通报 安全内参编译 安全内参 2023-07-07 17:41 关注我们 带你读懂网络安全 美国环保局回应,未能按照联邦规定时间表修补系统,原因是安全资源不足、关键漏洞过多。 前情回顾·美国政府网络安全研究 – 美国政府如何管控供应商数据安全?以国土安全领域为例 美国政府推进收敛互联网攻击面:网络设备管理必须上零信任 美国联邦政府近三年采
继续阅读nginxWebUI runCmd 未授权远程代码执行
nginxWebUI runCmd 未授权远程代码执行 GoTTY 火线Zone 2023-07-07 17:40 01 漏洞简介 之前对 nginxWebUI 进行过搭建和审计,但是当时仅仅关注到了后台的一些命令执行漏洞,最近爆出了未授权远程代码执行,再一次进行搭建环境和分析。 02 环境搭建 https://github.com/cym1102/nginxWebUI/releases/down
继续阅读腾讯安全威胁情报中心推出2023年6月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年6月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-07-07 16:50 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年6月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读超30万Fortinet防火墙仍未修复严重漏洞
超30万Fortinet防火墙仍未修复严重漏洞 网络安全应急技术国家工程中心 2023-07-05 15:22 根据攻击性安全公司Bishop Fox的最新报告,虽然Fortinet已经发布安全更新一个多月,但仍有数十万个FortiGate防火墙的严重漏洞(CVE-2023-27997)未得到修补。 该漏洞是一个远程代码执行漏洞,严重性评分高达9.8分,是由FortiOS中堆栈缓冲区溢出问题造成的
继续阅读Smartbi 多个高危漏洞通告
Smartbi 多个高危漏洞通告 原创 360CERT 三六零CERT 2023-07-04 17:14 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-257 报告来源:360CERT 报告作者:360CERT 更新日期:2023-07-04 1 漏洞简述 2023年07月04日,360CERT监测发现Smartbi发布了Smartbi的补丁更新,漏洞分别为Smartbi远程代码
继续阅读上周关注度较高的产品安全漏洞(20230626-20230702)
上周关注度较高的产品安全漏洞(20230626-20230702) 国家互联网应急中心CNCERT 2023-07-04 15:53 一、境外厂商产品漏洞 1、 Google Android缓冲区溢出漏洞(CNVD-2023-52817) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在缓冲区溢出漏洞,攻击者可利用该
继续阅读【漏洞预警】Parse Server远程代码执行漏洞威胁通告
【漏洞预警】Parse Server远程代码执行漏洞威胁通告 安识科技 SecPulse安全脉搏 2023-07-04 12:13 1. 通告信息 近日,安识科技 A-Team团队监测到Parse Server中修复了一个远程代码执行漏洞(CVE-2023-36475),其CVSSv3评分为9.8。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。 2.
继续阅读【漏洞通告】Parse Server远程代码执行漏洞(CVE-2023-36475)
【漏洞通告】Parse Server远程代码执行漏洞(CVE-2023-36475) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-07-03 20:22 漏洞名称: Parse Server远程代码执行漏洞(CVE-2023-36475) 组件名称: Parse Server 影响范围: Parse Server < 5.5.2 6.0.0 ≤ Parse Server <
继续阅读0day速修|Smartbi 远程代码执行漏洞
0day速修|Smartbi 远程代码执行漏洞 长亭安全应急响应中心 2023-07-03 19:01 Smartbi是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。近期,长亭科技安全研究员发现并上报了Smartbi的一个远程代码执行漏洞。该漏洞类型为逻辑绕过漏洞,可实现RCE,而目前仍有较多公网系统仍未修复漏洞。根据漏洞原理编写了无害化的X-POC远
继续阅读漏洞分析|死磕Jenkins漏洞回显与利用效果
漏洞分析|死磕Jenkins漏洞回显与利用效果 原创 14m3ta7k@ GobySec 2023-06-27 18:29 G o b y 社 区 第 2 8 篇 技 术 分 享 文 章 全 文 共 : 9135 字 预 计 阅 读 时 间 : 20 分 钟 01 背景 近期我们发起了一个 Goby 漏洞挑战赛的活动,在活动期间收到了大量的反馈信息,延伸出一系列在编写 PoC 漏洞检测与利用中考虑
继续阅读转发先知社区《SRC中的SSRF漏洞挖掘笔记1.0》
转发先知社区《SRC中的SSRF漏洞挖掘笔记1.0》 先知社区 黑伞安全 2023-06-27 18:03 原文地址:https://xz.aliyun.com/t/12227 SRC中的SSRF小记 ssrf – 漏洞简介 SSRF全称:Server-Side Request Forgery,即 服务器端请求伪造。是一个由攻击者构造请求,在目标服务端执行的一个安全漏洞。攻击者可以利用
继续阅读CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析
CVE-2023-32315 Openfire管理控制台认证绕过漏洞分析 原创 小透明 雷神众测 2023-06-27 15:34 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者
继续阅读【安全圈】7月14日前完成!CISA 督促联邦机构修补 iPhone 漏洞
【安全圈】7月14日前完成!CISA 督促联邦机构修补 iPhone 漏洞 安全圈 2023-06-26 19:00 关键词 修补漏洞 Bleeping Computer 网站消息,美国网络安全与基础设施安全局(CISA)督促联邦机构尽快修补 iMessage 零点击漏洞。卡巴斯基表示这些漏洞已被黑客在野外利用,网络攻击者通过漏洞在其员工的 iPhone 上部署 Triangulation 间谍软
继续阅读