上周关注度较高的产品安全漏洞(20230605-20230611)
上周关注度较高的产品安全漏洞(20230605-20230611) 国家互联网应急中心CNCERT 2023-06-13 15:25 一、境外厂商产品漏洞 1 、Microsoft Windows DNS远程代码执行漏洞(CNVD-2023-44300) Microsoft Windows DNS是美国微软(Microsoft)公司的一个域名解析服务。域名系统(DNS)是包含TCP/IP的行业标准
继续阅读标签: 代码执行
【漏洞通告】Fortinet FortiOS SSL-VPN 远程代码执行漏洞CVE-2023-27997
【漏洞通告】Fortinet FortiOS SSL-VPN 远程代码执行漏洞CVE-2023-27997 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-12 20:43 漏洞名称: Fortinet FortiOS SSL-VPN 远程代码执行漏洞(CVE-2023-27997) 组件名称: FortiOS 影响范围: 6.0.0 ≤ FortiOS < 6.0.17 6.2.
继续阅读Fortinet 修复 Fortigate SSL-VPN 设备中严重的 RCE 漏洞
Fortinet 修复 Fortigate SSL-VPN 设备中严重的 RCE 漏洞 Lawrence Abrams 代码卫士 2023-06-12 18:22 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Fortinet 发布新的 Fortigate 固件更新,修复了一个位于 SSL VPN设备中未披露的严重的预认证远程代码执行漏洞。 该修复方案在上周五 FortiOS 固件
继续阅读CVE-2023-27997:Fortinet FortiOS SSL-VPN 远程代码执行漏洞通告
CVE-2023-27997:Fortinet FortiOS SSL-VPN 远程代码执行漏洞通告 原创 360CERT 三六零CERT 2023-06-12 16:58 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-215 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-12 1 漏洞简述 2023年06月12日,360CERT监测发现Forti
继续阅读雷神众测漏洞周报2023.06.05-2023.06.11
雷神众测漏洞周报2023.06.05-2023.06.11 原创 雷神众测 雷神众测 2023-06-12 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Fortinet FortiOS SSL-VPN 远程代码执行漏洞 (CVE-2023-27997) 安全风险通告
Fortinet FortiOS SSL-VPN 远程代码执行漏洞 (CVE-2023-27997) 安全风险通告 奇安信 CERT 2023-06-12 12:09 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiOS SSL-VPN 远程代码执行漏洞 漏洞编号 QVD-2023-13607、CVE-2023-27997 公开时间 2023-06-
继续阅读GeoServer CQL_FILTER SQL注入漏洞(CVE-2023-25157)
GeoServer CQL_FILTER SQL注入漏洞(CVE-2023-25157) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-10 13:44 漏洞名称: GeoServer CQL_FILTER SQL注入漏洞 组件名称: GeoServer 影响范围: GeoServer < 2.21.4 2.22.0 ≤ GeoServer < 2.22.2 漏洞类型:
继续阅读用友畅捷通Tplus远程命令执行漏洞
用友畅捷通Tplus远程命令执行漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-10 13:44 漏洞名称: 用友畅捷通Tplus远程命令执行漏洞 组件名称: 用友畅捷通Tplus 影响范围: 用友畅捷通Tplus 13.0 用友畅捷通Tplus 16.0 漏洞类型: 命令执行 利用条件: 1、用户认证:未知 2、前置条件:未知 3、触发方式:远程 综合评价: <综合评定利
继续阅读【已复现】GeoServer SQL注入漏洞(CVE-2023-25157)安全风险通告
【已复现】GeoServer SQL注入漏洞(CVE-2023-25157)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-06-09 19:01 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 GeoServer SQL注入漏洞 漏洞编号 QVD-2023-4979、CVE-2023-25157 公开时间 2023-02-21 影响对象数量级 万级 奇安信评
继续阅读Chrome v8 Issue 1203122:IC类型混淆漏洞原理
Chrome v8 Issue 1203122:IC类型混淆漏洞原理 苏啊树 看雪学苑 2023-06-09 17:59 问题出现场景: 假设对象 A,其偏移 +10的地方有一个属性 x,这个属性为数字,同时存在一个 B对象,这个对象偏移 +10的地方是一个 Object对象地址。( v8在性能优化的时候会使用对象地址加偏移的方法来直接获取属性,比如在 IC内联缓存,还有 JIT优化以后。) 实际
继续阅读尽快更新!VMware修复严重远程代码执行漏洞
尽快更新!VMware修复严重远程代码执行漏洞 看雪学苑 看雪学苑 2023-06-09 17:59 虚拟化巨头VMware于6月9日新发布了多个安全补丁,以解决VMware Aria Operations for Networks中的三个严重漏洞——未经身份验证的攻击者可利用它来远程执行任意代码、访问敏感信息。 VMware Aria Operations for Networks是一个网络可见
继续阅读思科修复企业协作解决方案中的严重漏洞
思科修复企业协作解决方案中的严重漏洞 Ionut Arghire 代码卫士 2023-06-09 17:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周三,思科宣布修复 Expressway 序列和 TelePresence 视频通信服务器 (VCS) 企业协作和视频通信解决方案中的一个严重漏洞CVE-2023-20105,CVSS 评分为9.6。 该漏洞可导致具有“只读”
继续阅读【漏洞预警】VMware Aria Operations for Networks命令注入漏洞
【漏洞预警】VMware Aria Operations for Networks命令注入漏洞 安识科技 SecPulse安全脉搏 2023-06-09 11:49 1. 通告信息 近日,安识科技 A-Team团队监测到VMware发布安全公告,修复了Aria Operations Networks 6.x中的一个命令注入漏洞(CVE-2023-20887),该漏洞的CVSSv3评分为9.8,对
继续阅读新品预告 | 漏洞数量创10年新高,一键屏蔽神器将面世
新品预告 | 漏洞数量创10年新高,一键屏蔽神器将面世 原创 青藤,让云更安全 青藤云安全 2023-06-08 18:30 【文末一键预约直播】据Statista统计,2022年发现了22,514个常见的IT安全漏洞,这是迄今报告的最高年度数字。据SecurityWeek报道,2022年出现了一些高危的零日漏洞,其中微软约占23%,谷歌Chrome占17%,苹果产品(iOS和macOS零日漏洞合
继续阅读VMware 修复 vRealize 网络分析工具中的严重漏洞
VMware 修复 vRealize 网络分析工具中的严重漏洞 Sergiu Gatlan 代码卫士 2023-06-08 17:52 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 VMware 发布了多个补丁,修复了位于 VMware Aria Operations for Networks 中的多个严重和高危漏洞,它们可导致攻击者获得远程执行或访问敏感信息的权限。 VMware
继续阅读CVE-2023-20887:VMware Aria Operations for Networks命令注入漏洞通告
CVE-2023-20887:VMware Aria Operations for Networks命令注入漏洞通告 原创 360CERT 三六零CERT 2023-06-08 16:59 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-207 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-08 1 漏洞简述 2023年06月08日,360CERT监
继续阅读【已复现】Nacos 集群Raft反序列化漏洞安全风险通告第二次更新
【已复现】Nacos 集群Raft反序列化漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-06-08 15:13 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Nacos 集群Raft反序列化漏洞 漏洞编号 QVD-2023-13065 公开时间 2023-05-25 影响对象数量级 万级 奇安信评级 高危 CVSS 3.1分数 8.1 威胁类
继续阅读最受渗透测试工程师欢迎的10款漏洞扫描工具(2023版)
最受渗透测试工程师欢迎的10款漏洞扫描工具(2023版) 安全牛 2023-06-08 13:03 漏洞扫描工具是现代企业开展渗透测试服务中必不可少的工具之一,可以帮助渗透测试工程师快速发现被测应用程序、操作系统、计算设备和网络系统中存在的安全风险与漏洞,并根据这些漏洞的危害提出修复建议。常见的漏洞扫描工具包括漏洞发现扫描、全功能扫描和合规性扫描。在实际工作中,渗透测试工程师往往会根据测试项目的需
继续阅读Nacos 反序列化漏洞通告
Nacos 反序列化漏洞通告 原创 360CERT 三六零CERT 2023-06-07 16:29 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-204 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-07 1 漏洞简述 2023年06月07日,360CERT监测发现Nacos的风险通告,漏洞等级:高危,漏洞评分:8.1。 Nacos 是一个易于构
继续阅读腾讯安全威胁情报中心推出2023年5月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年5月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-06-07 15:27 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年5月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读【漏洞通告】Nacos Raft协议反序列化代码执行漏洞
【漏洞通告】Nacos Raft协议反序列化代码执行漏洞 NS-CERT 绿盟科技CERT 2023-06-07 12:01 通告编号:NS-2023-0023 2023-06-07 TAG: Nacos、Raft、反序列化 漏洞危害: 攻击者利用漏洞可实现代码执行。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测发现到Nacos的Raft协议存在反序列化漏洞。由于Nacos集群对部分J
继续阅读OWASP发布大型语言模型漏洞威胁Top10(草案清单)
OWASP发布大型语言模型漏洞威胁Top10(草案清单) 安全牛 2023-06-07 11:18 基于大型语言模型(LLM)的生成式AI技术应用已经成为当前全球企业普遍关注的热点。作为一种创新技术,企业组织在未来数字化发展中有很多机会应用ChatGPT或类似AI工具。因此,CISO们需要提前做好准备,以避免可能出现的安全隐患和隐私泄露风险。 日前,OWASP(全球开放应用软件安全项目组织)发布了
继续阅读漏洞风险提示|Nacos Jraft Hessian反序列化漏洞
漏洞风险提示|Nacos Jraft Hessian反序列化漏洞 长亭安全应急响应 黑伞安全 2023-06-07 09:01 Nacos是一个开源的、易于使用的动态服务发现、配置和服务管理平台,适合构建云原生应用。它提供了一种统一的数据管理和服务发现解决方案。近期,长亭科技监测到Nacos发布新版本修复了一个远程代码执行漏洞。经过漏洞分析后,发现该系统应用较为广泛,且漏洞影响范围较大。应急团队根
继续阅读【漏洞通告】Google Chrome 类型混淆漏洞
【漏洞通告】Google Chrome 类型混淆漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-06 20:39 漏洞名称: Google Chrome类型混淆漏洞 组件名称: Google Chrome 影响范围: Google Chrome For Windows<114.0.5735.110 Google Chrome For Linux or Mac<114.0
继续阅读【漏洞通告】Nacos 集群Raft反序列化漏洞
【漏洞通告】Nacos 集群Raft反序列化漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-06-06 20:39 漏洞名称: Nacos 集群Raft反序列化漏洞 组件名称: Alibaba Nacos 影响范围: 1.4.0 ≤ Alibaba Nacos < 1.4.6 2.0.0 ≤ Alibaba Nacos < 2.2.3 漏洞类型: 反序列化漏洞 利用条件: 1
继续阅读CVE-2023-3079:Google V8类型混淆漏洞通告
CVE-2023-3079:Google V8类型混淆漏洞通告 原创 360CERT 三六零CERT 2023-06-06 15:30 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-201 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-06 1 漏洞简述 2023年06月06日,360CERT监测发现Google官方发布了Google Chrome
继续阅读Nacos 集群Raft反序列化漏洞安全风险通告
Nacos 集群Raft反序列化漏洞安全风险通告 奇安信 CERT 2023-06-06 11:57 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Nacos 集群Raft反序列化漏洞 漏洞编号 QVD-2023-13065 公开时间 2023-05-25 影响数量级 万级 漏洞等级 高危 漏洞评分 8.1 威胁类型 代码执行 利用可能性 中 POC状态 未发现 在野利用状态
继续阅读【安全圈】Zyxel 防火墙曝出高危安全漏洞,现已修复!
【安全圈】Zyxel 防火墙曝出高危安全漏洞,现已修复! 安全圈 2023-06-05 19:01 关键词 安全漏洞 日前,Zyxel发布了一份指南,旨在保护防火墙和VPN设备免受利用CVE-2023-28771、CVE-2023-33009和CVE-2023-33010漏洞的持续攻击。 指南中提到,该公司一直在通过多种渠道敦促用户安装补丁,比如已经给注册用户和资讯订阅者发送了多份安全资讯,通过本
继续阅读插件分享 | Headshot ⼀击即中,对指定URL进行漏洞批量扫描
插件分享 | Headshot ⼀击即中,对指定URL进行漏洞批量扫描 原创 kv2 GobySec 2023-06-05 18:14 G o b y 社 区 第 2 4 篇 插 件 分 享 文 章 全 文 共 : 2445 字 预 计 阅 读 时 间 : 7 分 钟 在⼀次真实的攻防场景中,我们发现了⼀个存在 Struts2 漏洞的地址,这个地址在我们通过 Fuzz 获得的⼆级⽬录下,这使得 G
继续阅读Splunk 企业版修复多个高危漏洞
Splunk 企业版修复多个高危漏洞 Ionut Arghire 代码卫士 2023-06-05 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 上周四,Splunk 公司发布 Splunk 企业版安全更新,修复了多个高危漏洞,其中一些影响该产品使用的第三方程序包。 其中最严重的漏洞是权限提升漏洞CVE-2023-32707,可导致具有 ‘edit_user’能力的低权限
继续阅读