【已复现】Microsoft WordPad 信息泄露漏洞(CVE-2023-36563)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-11-01 17:25 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Microsoft WordPad 信息泄露漏洞 漏洞编号 QVD-2023-24196、CVE-2023-36563 公开时间 2023-10-10
继续阅读实战 | 记一次艰难的任意文件下载漏洞挖掘和总结思考 迪哥讲事 2023-10-31 12:00 0X01 前言 本文的起因是在一次渗透测试中,挖掘到了一个比较奇葩的任意文件下载漏洞,鄙人的性格又比较倔,非想着从这个任意文件下载漏洞收获一些足以打入内网的成果。于是整了半天,在这个过程中也进一步加深了对这类漏洞在利用方式上的理解。 0x02 漏洞点 在信息搜集的时候发现这样一个后台登陆入口 测试了弱
继续阅读上周关注度较高的产品安全漏洞(20231023-20231029) 原创 CNVD CNVD漏洞平台 2023-10-30 17:27 一、境外厂商产品漏洞 1、Cisco Catalyst SD-WAN Manager授权绕过漏洞 Cisco Catalyst SD-WAN Manager是美国思科(Cisco)公司的一款SD-WAN网络管理程序。Cisco Catalyst SD-WAN Ma
继续阅读Citrix Bleed 漏洞(CVE-2023-4966)POC发布 安全客 2023-10-26 18:22 CVE-2023-4966 是一个严重程度极高、可远程利用的信息泄露漏洞,Citrix 已于 10 月 10 日修复 , 该漏洞允许攻击者从易受攻击的 Citrix NetScaler ADC 和 NetScaler Gateway 设备检索身份验证会话 cookie。 今天,As
继续阅读【已复现】NetScaler ADC和NetScaler Gateway敏感信息泄露漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-10-26 16:23 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 NetScaler ADC和NetScaler Gateway敏感信息泄露漏洞 漏洞编号 QVD-2023-24045、CVE-2023-496
继续阅读VMware 修复严重的 vCenter Server 代码执行漏洞 Sergiu Gatlan 代码卫士 2023-10-26 11:44 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 今天,VMware 发布安全更新,修复了位于 vCenter Server 中的一个严重漏洞(CVE-2023-34048)。该漏洞可导致攻击者在易受攻击服务器上获得远程代码执行权限。 vCent
继续阅读研究人员发布VMware (CVE-2023-34051) POC 漏洞利用代码 安全客 2023-10-25 18:42 CVE-2023-34051(CVSS 评分 8.1)是 VMware Aria Operations for Logs 中的一个身份验证绕过漏洞。 未经身份验证的恶意行为者可以将文件注入受影响设备的操作系统中,从而导致远程代码执行 。 该漏洞由网络安全公司 Horizon3
继续阅读“三角测量行动”利用 iOS 0day漏洞(CVE-2023-32434)部署后门 安全客 2023-10-25 18:42 2023年6月,卡巴斯基曝光了一起高级持续威胁(APT)攻击——“三角测量行动”,攻击者秘密从受感染设备中窃取敏感信息。 近日,卡巴斯基再发报告,详细介绍了“三角测量行动”进一步的技术细节。 报告指出,该攻击框架的核心是一个名为TriangleDB 的后门,该植入程序包含至
继续阅读系统0day安全-Windows平台漏洞挖掘 看雪课程 看雪学苑 2023-10-25 18:03 漏洞挖掘技能是一项非常重要的技能,它可以帮助企业发现并修复系统中的漏洞,从而提高系统的安全性,保护企业的重要数据和资产。同时,它也能帮助企业降低安全风险,避免因为漏洞被攻击而导致的数据泄露、系统瘫痪等问题。 此外,漏洞挖掘技能的学习和实践可以帮助企业员工提高安全意识,增强对安全问题的认识和理解,从而
继续阅读上周关注度较高的产品安全漏洞(20231016-20231022) 国家互联网应急中心CNCERT 2023-10-24 15:25 一、境外厂商产品漏洞 1、 IBM Aspera Faspex信息泄露漏洞 IBM Aspera是美国国际商业机器(IBM)公司的一套基于IBM FASP协议构建的快速文件传输和流解决方案。IBM Aspera Faspex存在信息泄露漏洞,攻击者可利用该漏洞使用特
继续阅读八大中间件介绍以及漏洞分析 洺熙 安全客 2023-10-23 17:58 中间件是一种独立的系统软件服务程序,分布式应用软件借助这种软件在不同的技术之间共享资源,中间件位于客户机服务器的操作系统之上,管理计算资源和网络通信。 当然你也可以把它理解为一个桥梁或者调解者,它位于客户机和服务器之间,帮助它们进行通信和资源共享。就像一个桥梁连接两个岸边,中间件连接不同的技术和系统,使它们能够相互交流和合
继续阅读CVE-2023-4966:Citrix NetScaler信息泄露漏洞通告 原创 360CERT 三六零CERT 2023-10-19 17:38 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-471 报告来源:360CERT 报告作者:360CERT 更新日期:2023-10-19 1 漏洞简述 2023年10月19日,360CERT监测发现Citrix发布了NetScale
继续阅读NetScaler ADC和NetScaler Gateway 敏感信息泄露漏洞(CVE-2023-4966)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-10-19 13:35 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 NetScaler ADC和NetScaler Gateway敏感信息泄露漏洞 漏洞编号 QVD-2023-24045、CVE-20
继续阅读“HTTP/2 快速重置”零日漏洞被利用发起历史上最大规模的 DDoS 攻击 原创 何威风 祺印说信安 2023-10-15 00:21 据外媒报道,Cloudflare、谷歌和 AWS 周二透露,恶意行为者已利用名为“HTTP/2 Rapid Reset”的新零日漏洞发起互联网历史上最大规模的分布式拒绝服务 (DDoS) 攻击。 Cloudflare 于 8 月下旬开始分析攻击方法和底层漏洞。
继续阅读【漏洞复现】NocoDB任意文件读取(CVE-2023-35843) 渗透安全团队 2023-10-14 23:47 前言 由于微信公众号推送机制改变了,快来 星标 不再迷路,谢谢大家! 免责声明: 文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果
继续阅读【高危漏洞】QQ音乐存在命令执行漏洞 moon 皓月当空w 2023-10-14 17:55 皓月当空,明镜高悬 文末有图片更好保存~ 漏洞早知道 漏洞名称:QQ音乐存在命令执行漏洞 漏洞出现时间:2023年10月12日 影响等级:高危 影响版本: 最新版本 漏洞说明: QQ音乐存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。 修复方式: – 升级置最新版本
继续阅读【严重漏洞】【poc公开】vriteio/vrite中的服务器端请求伪造(SSRF) moon 皓月当空w 2023-10-14 17:55 皓月当空,明镜高悬 文末有图片更好保存~ 漏洞早知道 漏洞名称:vriteio/vrite中的服务器端请求伪造(SSRF) 漏洞出现时间:2023年10月14日 影响等级:严重 影响版本: 最新版本 漏洞说明: 0.3.0之前GitHub存储库vriteio
继续阅读CVE-2023-45648 和 CVE-2023-42795:Apache Tomcat 中的两个高严重性缺陷 Ots安全 2023-10-14 09:00 近日,Apache Tomcat 中发现了三个安全漏洞。这些漏洞可被利用导致拒绝服务、请求走私和信息泄露。 1. CVE-2023-42794(严重性:低):Apache Tomcat – 拒绝服务 Tomcat 的 DoS漏洞源于 Com
继续阅读2023年Q3季度 | 漏洞监测报告 奇安信 CERT 2023-10-14 08:02 漏洞监测报告 2023年7月1日至9月30日期间,奇安信CERT共监测到新增漏洞12870个,其中有10060条敏感信息触发了人工研判 。经研判,本季度值得重点关注的漏洞共813个,达到奇安信CERT发布安全风险通告标准的漏洞共40个(奇安信CERT对其中25个漏洞进行深度分析)。 摘要**** 代码执行是2
继续阅读腾讯安全威胁情报中心推出2023年9月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-10-13 16:18 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年9月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读微软2023年10月补丁日重点漏洞安全预警 原创 安全技术研究院 山石网科安全技术研究院 2023-10-13 15:58 补丁概述 2023年10月10日,微软官方发布了10月安全更新,针对103个 Microsoft CVE 和2个 non-Microsoft CVE 进行修复。Microsoft CVE 中,包含12个严重漏洞(Critical)和91个重要漏洞(Important)。从漏洞
继续阅读现金大奖| 2023补天通用型漏洞专项活动第四期来啦! 补天平台 2023-10-13 12:03 通用专项活动第四期 ◆ 2 0 2 3 年10 月12 日 09 点 起 至10 月 26 日 2 3 : 5 9 止 ◆ 收取范围:web通用型漏洞 0 1 活动奖励A计划 收录范围说明 漏洞实际影响 资产存在备案信息归属的独立ip数≥2500 漏洞等级 高 危 漏 洞 活动额外奖励 1.每个有效
继续阅读【安全圈】大更新!微软发布103个漏洞补丁,其中13个为严重漏洞 安全圈 2023-10-12 19:01 关键词 软件漏洞 近日,微软发布了2023年10月的补丁更新,解决了其软件中的103个漏洞。 在这103个漏洞中,有13个的评级为严重漏洞,90个被评为重要漏洞。自9月12日以来,谷歌已经解决了基于chrome的Edge浏览器的18个安全漏洞。 这些漏洞中,有两个漏洞已被积极利用,具体如下:
继续阅读美国CISA:包括(CVE-2023-21608)在内的五个高危漏洞已被利用 安全客 2023-10-12 18:35 美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中添加了 5 个新漏洞 ,其中包括Adobe Acrobat Reader 中的一个高严重性漏洞 ( CVE-2023-21608 )(CVSS 评分:7.8)。 该漏洞属于释放后使用问题,利用该漏洞,攻击者可以当前
继续阅读安全跟我学|这些网络安全“漏洞”,你堵好了吗? 网络安全和信息化 2023-10-12 16:51 对网络安全“漏洞”,每天上网的你,了解多少?知道怎样保护自己的个人信息吗?我们一起科普网络安全知识,向安全漏洞、风险隐患说“不”! 漏洞一:个人敏感信息随意外泄 一张照片就能泄露全部家庭成员信息,容易给不法人员创造行骗、行窃的机会,尤其是老人、小孩的信息,更要注意保护,包括姓名、幼儿园和学校的地址等
继续阅读信息安全漏洞周报(2023年第40期) CNNVD CNNVD安全动态 2023-10-12 16:10 点击蓝字 关注我们 根据国家信息安全漏洞库(CNNVD)统计,本周(2023年10月2日至2023年10月8日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞467个。 接报漏洞情况 本周CNNVD接报漏洞2391个,其中信息技术产品漏洞(通用型漏洞)88个,网络信息系统漏洞(事
继续阅读漏洞复现|深信服SG上网优化管理系统存在文件读取漏洞 原创 禾小盾 数字人才创研院 2023-10-12 15:51 点击上方 蓝字关注我们 BEGINNING OF SPRING 0x01 阅读须知 Reading Instructions 数字人才创研院秉承探究学习与交流的理念,一切从降低已有潜在威胁出发,所有发布的技术文章仅供参考,未经授权请勿利用文章中的技术内容对任何计算机系
继续阅读对MOVEit Transfer SQL注入漏洞的最新分析(10月4日更新) lucywang 嘶吼专业版 2023-10-12 15:12 今年5月31日,Progress Software发布了一则通知,提醒客户其MOVEit Transfer产品存在严重的结构化查询语言注入(SQLi)漏洞(CVE-2023-34362)。MOVEit Transfer是一个托管文件传输(MFT)应用程序,旨
继续阅读EasyCVR智能边缘网关未授权访问用户信息泄露漏洞 原创 安全透视镜 网络安全透视镜 2023-10-10 07:00 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 一、漏洞描述 EasyCVR智能边缘网关是TSINGSEE青犀视频旗下一
继续阅读华测监测预警系统 2.2 存在任意文件读取漏洞 附POC 原创 南风徐来 南风漏洞复现文库 2023-10-09 23:00 华测监测预警系统 2.2 存在任意文件读取漏洞 附POC 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 华
继续阅读