【安全圈】Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险
【安全圈】Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险 安全圈 2025-01-09 11:00 关键词 安全漏洞 在广泛使用的内存数据库Redis里,发现了两个严重漏洞,这可能使数百万系统面临拒绝服务(DoS)攻击和远程代码执行(RCE)的风险。这些漏洞被标记为CVE – 2024 – 51741和CVE – 2024 – 46981
继续阅读标签: 代码执行
《2024年度漏洞态势分析报告》重磅出炉!文末扫码下载
《2024年度漏洞态势分析报告》重磅出炉!文末扫码下载 安恒研究院 安恒信息CERT 2025-01-09 11:00 随着网络空间应用的普及,网络安全面临的挑战也日益复杂且严峻。安恒研究院基于对2024年度漏洞数据的全面统计与深入分析,倾力推出《2024年度漏洞态势分析报告》(以下简称“报告”)。 该漏洞报告全面回顾全年漏洞数据的关键特征,全方位解析网络漏洞的发展趋势以及潜在风险点。 2024年
继续阅读Ivanti提醒注意 Connect Secure 产品中的新0day
Ivanti提醒注意 Connect Secure 产品中的新0day Ryan Naraine 代码卫士 2025-01-09 10:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,Ivanti 公司提醒注意面向企业的产品中的远程可利用漏洞,并表示其中一个漏洞已遭在野利用。 这两个高危漏洞为CVE-2025-0282和CVE-2025-0283,可导致未认证的远程攻击者发动代
继续阅读SonicWall:立即修复已遭利用的SSLVPN漏洞!
SonicWall:立即修复已遭利用的SSLVPN漏洞! Bill Toulas 代码卫士 2025-01-09 10:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SonicWall 公司向客户发送邮件,督促他们升级防火墙的 SonicOS 固件,修复位于SSL VPN和SSH 管理中的一个“疑似遭真实利用的”认证绕过漏洞。 SonicWall 公司向客户发送邮件称,补丁已在当地时
继续阅读【已发现在野利用】Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)安全风险通告
【已发现在野利用】Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)安全风险通告 奇安信CERT 奇安信集团 2025-01-09 09:31 漏洞概述 漏洞名称 Ivanti 多款产品缓冲区溢出漏洞 漏洞编号 QVD-2025-1974,CVE-2025-0282 公开时间 2025-01-08 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 9.0 威胁类型 代码执行
继续阅读【漏洞通告】Ivanti Connect Secure,Policy Secure&ZTA Gateways缓冲区溢出漏洞
【漏洞通告】Ivanti Connect Secure,Policy Secure&ZTA Gateways缓冲区溢出漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2025-01-09 08:34 漏洞名称: Ivanti Connect Secure, Policy Secure & ZTA Gateways 缓冲区溢出漏洞(CVE-2025-0282) 组件名称: Ivant
继续阅读信息安全漏洞周报【第005期】
信息安全漏洞周报【第005期】 零零捌信安观察 银天信息 2025-01-09 07:35 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读从低危Blind SSRF到严重漏洞
从低危Blind SSRF到严重漏洞 白帽子左一 白帽子左一 2025-01-09 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) SSRF简介 服务器端请求伪造(SSRF)是一种Web安全漏洞,它允许攻击者使服务器端应用程序向非预期的位置发送请求。这可能导致攻击者迫使服务器连接到组织内部基础设施中仅限内部访问的
继续阅读【高危漏洞预警】Ivanti Connect Secure缓冲区溢出漏洞可导致远程代码执行
【高危漏洞预警】Ivanti Connect Secure缓冲区溢出漏洞可导致远程代码执行 cexlife 飓风网络安全 2025-01-09 03:43 漏洞描述: Ivanti发布安全公告,披露影响其Connect Secure、Policy Secure和Neurons for ZTA Gateways产品的两个安全漏洞,其中一个漏洞(CVE-2025-0282)已经存在在野利用,该漏洞可能
继续阅读黑客利用漏洞入侵美国财政部后,仍有近9000个BeyondTrust系统暴露于互联网
黑客利用漏洞入侵美国财政部后,仍有近9000个BeyondTrust系统暴露于互联网 汇能云安全 2025-01-09 01:30 1月9日,星期四,您好!中科汇能与您分享信息安全快讯: 01 黑客利用漏洞入侵美国财政部后,仍有近9000个BeyondTrust系统暴露于互联网 研究人员近日发现,在关键漏洞被披露CVE-2024-12356数周后,仍有近9000个BeyondTrust系统暴露在互
继续阅读【漏洞预警】Redis Lua 远程代码执行漏洞
【漏洞预警】Redis Lua 远程代码执行漏洞 原创 MasterC 企业安全实践 2025-01-09 01:30 一、漏洞描述 Redis 是开源的键值对存储数据库。 具有 Lua 脚本功能的 Redis 版本(2.6及以上版本)中,经过身份验证的攻击者可构造恶意的Lua脚本控制垃圾回收器,导致远程代码执行。 修复版本通过在关闭 lua VM 之前重置 GC 状态,防止用户数据被错误释放,来
继续阅读带你解锁编码新世界!–随波逐流CTF编码工具使用教程31 –Jsfuck密码
带你解锁编码新世界!–随波逐流CTF编码工具使用教程31 –Jsfuck密码 原创 长弓三皮 长弓三皮 2025-01-09 00:08 随波逐流工作室—-探索前沿科技,分享最新软件。点击标题下蓝字“长弓三皮 ”关注,我们将为您提供有深度、有价值、有意思的阅读。 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把长弓三皮“设为星标”,否则可能就看不到了啦!****
继续阅读戴尔、HPE、联发科修补其产品中的漏洞
戴尔、HPE、联发科修补其产品中的漏洞 铸盾安全 河南等级保护测评 2025-01-08 23:58 硬件制造商联发科、HPE 和戴尔周一发布公告,告知客户其产品中发现并修补的潜在严重漏洞。 台湾半导体公司联发科宣布修补十几个漏洞,其中包括数十个芯片组的调制解调器组件中一个严重漏洞,该漏洞可能导致远程代码执行 (RCE)。 该问题被标记为 CVE-2024-20154,是一种越界写入漏洞,当设备连
继续阅读大多数 Bug Hunter 忽略的简单漏洞
大多数 Bug Hunter 忽略的简单漏洞 hai dragon 安全狗的自我修养 2025-01-08 23:14 图片由 StorySet Freepik 提供 Bug Hunter 是一个迷人且具有挑战性的领域,它结合了技术技能、创造力和毅力。虽然有些漏洞有据可查且经常被利用,但有一类错误经常被忽视:简单但罕见的错误。这些漏洞相对容易利用,但很少遇到,使其成为精明的漏洞赏金猎人的宝贵目标。
继续阅读Mirai 僵尸网络变体利用四信路由器漏洞进行 DDoS 攻击
Mirai 僵尸网络变体利用四信路由器漏洞进行 DDoS 攻击 信息安全大事件 2025-01-08 12:11 自 2024 年 11 月初以来,已发现一个 Mirai 僵尸网络变体利用新披露的安全漏洞影响四信工业路由器,目的是进行分布式拒绝服务 (DDoS) 攻击。 该僵尸网络每天维护大约 15,000 个活跃 IP 地址,感染主要分布在中国、伊朗、俄罗斯、土耳其和美国。 该恶意软件利用 20
继续阅读Apache Struts 2 再曝远程代码执行漏洞 CVE-2024-53677
Apache Struts 2 再曝远程代码执行漏洞 CVE-2024-53677 看雪学苑 看雪学苑 2025-01-08 09:59 近日,Apache Struts 2框架被曝出存在一项严重的远程代码执行漏洞,漏洞编号为CVE-2024-53677。 这一漏洞对使用该框架开发的Java Web应用程序构成了巨大威胁,攻击者可能通过精心构造的请求,在受影响的服务器上远程执行任意代码,进而导致敏
继续阅读联发科芯片集存在严重的RCE漏洞,影响数百万台设备
联发科芯片集存在严重的RCE漏洞,影响数百万台设备 do son 代码卫士 2025-01-08 09:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 2025年1月份,联发科发布产品安全公告,修复了影响多款芯片集的安全漏洞。该公告详细说明了从智能手机、平板、物联网设备和智能电视等产品中发现的漏洞。 其中最严重的漏洞是CVE-2024-20154,它是位于联发科现代固件中的一个栈溢出漏
继续阅读Moxa设备曝高危漏洞,工业网络安全面临严峻挑战
Moxa设备曝高危漏洞,工业网络安全面临严峻挑战 Hankzheng 技术修道场 2025-01-08 05:30 近日,工业网络与通信设备提供商Moxa发布紧急安全公告,披露其多款蜂窝路由器、安全路由器和网络安全设备中存在两个严重漏洞,分别为CVE-2024-9138(高危)和CVE-2024-9140(严重)。这些漏洞可能导致远程攻击者获取设备的root权限并执行任意命令,进而引发任意代码执行
继续阅读新的 Mirai 僵尸网络利用0day漏洞攻击工业路由器
新的 Mirai 僵尸网络利用0day漏洞攻击工业路由器 会杀毒的单反狗 军哥网络安全读报 2025-01-08 01:00 导读 一个相对较新的基于 Mirai 的僵尸网络日益复杂,现在正在利用 0day 漏洞攻击工业路由器和智能家居设备的安全漏洞。 据监测僵尸网络发展和攻击情况的奇安信 X Lab 研究人员称,对以前未知的漏洞的利用始于 2024 年 11 月。 其中一个安全问题是 CVE-2
继续阅读漏洞预警|Redis代码执行漏洞(CVE-2024-46981)
漏洞预警|Redis代码执行漏洞(CVE-2024-46981) 威胁情报运营中心 矢安科技 2025-01-07 11:25
继续阅读4年内重复出现3次,AWS屡曝严重RCE漏洞
4年内重复出现3次,AWS屡曝严重RCE漏洞 Zicheng FreeBuf 2025-01-07 10:59 据Cyber Security News消息,因为Python 包安装过程方面的严重失误,Amazon Web Services (AWS) 在过去4年中通过其 Neuron SDK 3次引入了相同的远程代码执行 (RCE) 漏洞。 该问题于 2022 年 4 月被发现,当时 Giraf
继续阅读Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险
Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险 老布 FreeBuf 2025-01-07 10:59 在广泛使用的内存数据库Redis里发现了两个严重漏洞,这可能使数百万系统面临拒绝服务(DoS)攻击和远程代码执行(RCE)的风险。这些漏洞被标记为CVE – 2024 – 51741和CVE – 2024 – 46981,这凸显了Red
继续阅读【漏洞预警】Redis代码执行漏洞(CVE-2024-46981)
【漏洞预警】Redis代码执行漏洞(CVE-2024-46981) cexlife 飓风网络安全 2025-01-07 10:46 漏洞描述: Redis是一个高性能、灵活且易于扩展的键值存储数据库,适用于各种应用场景,可作为缓存、数据库和消息中间件等,具有出色的性能和稳定性,Redis中修复了一个代码执行漏洞(CVE-2024-46981),该漏洞的CVSS评分为7.0,Redis的Lua脚本引
继续阅读CVE-2024-43096 及更多:Android 安全更新中修复的关键 RCE 漏洞
CVE-2024-43096 及更多:Android 安全更新中修复的关键 RCE 漏洞 Ots安全 2025-01-07 10:08 2025 年 1 月的 Android 安全公告重点介绍了影响全球数百万 Android 设备的严重安全漏洞。借助 2025-01-05 安全补丁级别,Google 解决了一系列问题,涉及系统、框架、媒体框架以及高通和联发科的特定供应商硬件等组件。 系统组件被发现
继续阅读【漏洞通告】Redis代码执行漏洞(CVE-2024-46981)
【漏洞通告】Redis代码执行漏洞(CVE-2024-46981) 启明星辰安全简讯 2025-01-07 09:17 一、漏洞概述 漏洞名称 Redis代码执行漏洞 CVE ID CVE-2024-46981 漏洞类型 Use-After-Free 发现时间 2025-01-07 漏洞评分 7.0 漏洞等级 高危 攻击向量 本地 所需权限 低 利用难度 高 用户交互 无 PoC/EXP 未公
继续阅读Moxa 设备严重漏洞将工业网络暴露在攻击中
Moxa 设备严重漏洞将工业网络暴露在攻击中 Bill Toulas 代码卫士 2025-01-07 04:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 工业网络和通信提供商 Moxa 提醒称,多个蜂窝路由器、安全路由器和网络安全设备的多个机型受一个高危漏洞和一个严重漏洞影响。这两个漏洞可导致远程攻击者在易受攻击设备上获得根权限并执行任意命令,从而导致任意代码执行后果。 Moxa 路
继续阅读Nuclei 被曝高危漏洞!允许攻击者进行签名绕过和代码执行,谨慎使用陌生的YAML模板
Nuclei 被曝高危漏洞!允许攻击者进行签名绕过和代码执行,谨慎使用陌生的YAML模板 WH0sec 2025-01-07 03:30 “ Nuclei 被披露了一个高度严重的安全漏洞, CVE-2024-43405,CVSS 评分为 7.4 分。它会影响 3.0.0 之后的所有 Nuclei 版本。” Nuclei Nuclei是一种用于自动化漏洞扫描和发现的工具,它可以帮助安全研究人员和渗透
继续阅读Windows 曝9.8分漏洞,已有PoC及利用情况
Windows 曝9.8分漏洞,已有PoC及利用情况 老布-Freebuf 乌雲安全 2025-01-07 03:00 SafeBreach Labs的研究人员发布了关于Windows轻量级目录访问协议(LDAP)的一个关键漏洞的概念验证(PoC)和漏洞利用方法,该漏洞编号为CVE – 2024 – 49112。微软在2024年12月10日的补丁星期二更新中披露了此漏洞,其
继续阅读AWS在4年内出现3次重复同一个严重RCE漏洞
AWS在4年内出现3次重复同一个严重RCE漏洞 原创 何威风 祺印说信安 2025-01-07 00:10 过去四年中,亚马逊网络服务 (AWS) 通过其 Neuron SDK 三次引入相同的远程代码执行 (RCE) 漏洞,凸显其 Python 包安装过程的安全保护存在严重失误。 尽管之前已经发出警告并进行了修复,但同样的依赖混淆漏洞在其软件生态系统中随着新软件包的发布再次出现。 该问题最早是在
继续阅读暗网情报5则:涉国外赌场、金融企业、国内化工上市企业、VPN漏洞等
暗网情报5则:涉国外赌场、金融企业、国内化工上市企业、VPN漏洞等 原创 网空闲话 网空闲话plus 2025-01-06 23:16 1月7日监测暗网发现,威胁行为者活动持续猖獗,发现多起风险较高的情报信息。首先,菲律宾博彩公司Betrnk Inc的完整源代码和游戏基础设施被窃取并在暗网出售,可能导致重大财务损失和运营中断。其次,哥伦比亚金融服务公司AXA COLPATRIA的数据库泄露,约1万
继续阅读