上周关注度较高的产品安全漏洞(20230529-20230604)
上周关注度较高的产品安全漏洞(20230529-20230604) 国家互联网应急中心CNCERT 2023-06-06 15:50 一、境外厂商产品漏洞 1、Google Android权限提升漏洞(CNVD-2023-41886)**** Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞源于S
继续阅读标签: 敏感信息
雷神众测漏洞周报2023.05.29-2023.06.04
雷神众测漏洞周报2023.05.29-2023.06.04 雷神众测 雷神众测 2023-06-05 15:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读API NEWS | Money Lover爆出潜在API漏洞
API NEWS | Money Lover爆出潜在API漏洞 星阑科技 2023-06-05 14:38 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – Money Lover爆出潜在API漏洞 丰田管理运营平台的API漏洞 一篇关于标准测试遗漏的
继续阅读NIST发布《联邦机构漏洞披露指南建议》概述
NIST发布《联邦机构漏洞披露指南建议》概述 安全内参 2023-06-05 11:04 “ 天极按 近日 ,美国国家标准与技术研究院 发布 《 对联邦漏洞披露指南的建议 》。 本文件就建立联邦漏洞披露框架、正确处理漏洞报告以及沟通漏洞的缓解和 /或修复提出了指导建议。该框架在提供联邦监督的同时允许地方解决支持,并应适用于联邦控制下的所有软件、硬件和数字服务。 美国政府漏洞披露 每年都有数以千计的
继续阅读黑客利用 cookie 插件漏洞攻击 150 万个 WordPress 网站
黑客利用 cookie 插件漏洞攻击 150 万个 WordPress 网站 网络安全应急技术国家工程中心 2023-06-01 14:41 持续的攻击针对名为 Beautiful Cookie Consent Banner 的 WordPress cookie 同意插件中的未经身份验证的存储跨站点脚本 (XSS) 漏洞,该插件具有超过 40,000 个活动安装。 在 XSS 攻击中,威胁参与者将
继续阅读这个Sonos One 扬声器漏洞价值10.5万美元
这个Sonos One 扬声器漏洞价值10.5万美元 Ravie Lakshmanan 代码卫士 2023-05-31 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 上周,ZDI发布报告指出,Sonos One 无线扬声器中存在多个漏洞,可导致信息泄露和远程代码执行后果。 这些漏洞已经由Qrious Secure、STAR Labs 和 DEVCORE 三家公司的研究员
继续阅读API NEWS | 三个Argo CD API漏洞
API NEWS | 三个Argo CD API漏洞 星阑科技 2023-05-31 09:53 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – 关于三个Argo CD API漏洞的文章 Gartner对API安全的看法 分布式标识是现代API安全的
继续阅读云安全案例16: Wiz在黑帽子2021上展示亚马逊云跨租户漏洞
云安全案例16: Wiz在黑帽子2021上展示亚马逊云跨租户漏洞 原创 debugeeker 奶牛安全 2023-05-30 08:00 去年 11 月,Wiz机构 枚举了亚马逊云中允许从其他账户访问的所有服务,检查是否有任何服务可能无意中暴露客户,并在不同的亚马逊云服务中发现了3个漏洞,允许任何人读取或写入其他亚马逊云客户的账户。 亚马逊云 账户的隔离程度如何? 因此,去年 11 月,我们的研究
继续阅读使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管
使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管 Eduard Kovacs 代码卫士 2023-05-25 17:44 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 API安全公司 Salt Security 指出,广为使用的应用开发框架 Expo 中存在多个与 OAuth 相关的漏洞,可被用于控制用户账户。 Expo 是一款开源平台,用于为移动设备和 web 开
继续阅读蓝军视角:阿里云 RCE 战火余烬下的启示
蓝军视角:阿里云 RCE 战火余烬下的启示 原创 二喵 CT Stack 安全社区 2023-05-25 12:03 2023年4月19日,Wiz Research 在文章 Accidental ‘write’ permissions to private registry allowed potential RCE to Alibaba Cloud Database Services 中披露了被
继续阅读上周关注度较高的产品安全漏洞(20230515-20230521)
上周关注度较高的产品安全漏洞(20230515-20230521) 原创 CNVD CNVD漏洞平台 2023-05-22 17:31 一、境外厂商产品漏洞 1、 Adobe Substance 3D Stager缓冲区溢出漏洞(CNVD-2023-37602) Adobe Substance 3D Stager 是美国奥多比( Adobe )公司的一个虚拟 3D 工作室。 Adobe Subst
继续阅读Apple WebKit 多个漏洞通告
Apple WebKit 多个漏洞通告 原创 360CERT 三六零CERT 2023-05-22 16:06 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-170 报告来源:360CERT 报告作者:360CERT 更新日期:2023-05-19 1 漏洞简述 2023年05月19日,360CERT监测发现Apple发布了Safari的风险通告,漏洞编号为CVE-2023-32
继续阅读【安全圈】注意!苹果又曝 0Day漏洞,iPhoneiPadMac等全部受影响
【安全圈】注意!苹果又曝 0Day漏洞,iPhoneiPadMac等全部受影响 安全圈 2023-05-20 19:00 关键词 漏洞 Bleeping Computer 网站披露,安全研究人员在 WebKit 浏览器引擎中发现了三个零日漏洞,分别被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-3 2373,网络攻击者可以利用这些漏洞,针对 iPhone
继续阅读【安全圈】快更新!iOS 出现严重安全漏洞:黑客可直接盗取你的通讯录
【安全圈】快更新!iOS 出现严重安全漏洞:黑客可直接盗取你的通讯录 安全圈 2023-05-19 19:01 关键词 数据安全 苹果近日发布了iOS 16 /iPad OS 15的更新,主要是为了修复一系列漏洞,提高设备的安全性。这些漏洞如果不及时修复,可能会被黑客利用,造成用户的隐私泄露或数据损失。 iOS/iPadOS 15.7.6 系统修复了两个已被证明被黑客利用的 WebKit 安全漏洞
继续阅读Apple WebKit 多个高危漏洞安全风险通告
Apple WebKit 多个高危漏洞安全风险通告 奇安信 CERT 2023-05-19 16:52 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Apple WebKit 是由苹果公司开发的一款开源浏览器引擎,它是 Safari 浏览器的核心组件,也被 Google、Adobe 等公司使用在其产品中。 WebKit 引擎采用 C++ 语言编写
继续阅读苹果修复3个已遭利用的新 0day
苹果修复3个已遭利用的新 0day Sergiu Gatlan 代码卫士 2023-05-19 15:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果修复了用于攻击 iPhone、Mac 和 iPad 的三个新0day。 苹果公司在安全公告中指出,“苹果已注意到该漏洞可能遭活跃利用的报告。”这三个漏洞均位于多平台的 WebKit 浏览器引擎中,编号为CVE-2023-32409、C
继续阅读【安全头条】CVE-2023-2478:GitLab代码执行漏洞通告
【安全头条】CVE-2023-2478:GitLab代码执行漏洞通告 安全客 2023-05-19 11:33 第511期 你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、思科交换机存在严重漏洞可能允许远程攻击 近日,思科发布更新以解决
继续阅读11个严重的 RCE 漏洞影响数千款 IIoT 设备
11个严重的 RCE 漏洞影响数千款 IIoT 设备 代码卫士 2023-05-17 16:39 聚焦源代码安全,网罗国内外最新资讯! 作者:Elizabeth Montalbano 编译:代码卫士 三款工业蜂窝路由器厂商的云管理平台中存在11个漏洞,可导致运营 (OT) 网络易遭远程代码执行攻击,即使该平台未被活跃配置用于云管理。 Otorio 公司的安全研发团队主管 Eran Jacob 和安
继续阅读严重的RCE漏洞导致数以千计的工业物联网设备遭受网络攻击
严重的RCE漏洞导致数以千计的工业物联网设备遭受网络攻击 关键基础设施安全应急响应中心 2023-05-17 15:39 研究人员发现,三个工业蜂窝路由器供应商的云管理平台中的 11 个漏洞使操作技术 (OT) 网络面临远程代码执行的风险,即使该平台未主动配置为云管理也是如此。 这些漏洞非常严重,即使它们只影响来自三个供应商的设备:Sierra Wireless AirLink、Teltonika
继续阅读工业路由器曝光11个新漏洞,可远程操控数十万台设备和OT网络
工业路由器曝光11个新漏洞,可远程操控数十万台设备和OT网络 网络安全应急技术国家工程中心 2023-05-17 15:39 据悉,与三个 工业路由器供应商相关的云管理平台中披露了多个安全漏洞,这些漏洞可能会使运营技术 (OT) 网络面临外部攻击。 上周,以色列工业网络安全公司 OTORIO 在 Black Hat Asia 2023 会议上公布了调查结果。 这 11 个漏洞允许“远程执行代码并完
继续阅读【漏洞通告】宏景e-HR SQL注入漏洞 CNVD-2023-08743
【漏洞通告】宏景e-HR SQL注入漏洞 CNVD-2023-08743 深瞳漏洞实验室 深信服千里目安全技术中心 2023-05-12 18:52 漏洞名称: 宏景e-HR SQL注入漏洞 组件名称: 宏景e-HR 影响范围: 不详 漏洞类型: SQL注入 利用条件: 1、用户认证:否 2、前置条件:默认配置 3、触发方式:远程 综合评价: <综合评定利用难度>:容易,无需授权即可
继续阅读【已复现】宏景eHR SQL注入漏洞(CNVD-2023-08743)安全风险通告
【已复现】宏景eHR SQL注入漏洞(CNVD-2023-08743)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-05-12 15:49 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 宏景eHR人力资源管理软件是一款人力资源管理与数字化应
继续阅读在野1day风险提示|宏景人力系统 SQL注入漏洞(内附检测工具)
在野1day风险提示|宏景人力系统 SQL注入漏洞(内附检测工具) 长亭安全应急响应中心 2023-05-11 18:55 长亭漏洞风险提示 宏景人力系统 SQL注入漏洞 (CNVD-2023-08743) 宏景人力资源管理系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、
继续阅读【安全头条】 Linux被曝内核漏洞,攻击者可借此完全控制系统
【安全头条】 Linux被曝内核漏洞,攻击者可借此完全控制系统 安全客 2023-05-10 11:52 第506期 你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! Linux被曝内核漏洞,攻击者可借此完全控制系统 9日,Linux系统Ne
继续阅读微软2023年5月补丁日多个产品安全漏洞风险通告
微软2023年5月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2023-05-10 10:19 奇安信CERT 致力于 第一时间为企业级用户提供安 权威 漏洞情报和 有效 解决方案。 风险通告 本月,微软共发布了40个漏洞的补丁程序,修复了Windows Kernel、Microsoft Office、Visual Studio Code等产品中的漏洞,其中包含2个已被用于在野攻击的0 Da
继续阅读云安全案例11: 溯源分析黑客如何利用Oracle云基础设施Attachme漏洞无需授权访问和篡改任意租户的存储卷
云安全案例11: 溯源分析黑客如何利用Oracle云基础设施Attachme漏洞无需授权访问和篡改任意租户的存储卷 原创 debugeeker 奶牛安全 2023-05-10 08:05 2022年6 月,wiz 工程师发现并报告了Oracle云基础设施(OCI) 中的一个主要云隔离漏洞#AttachMe,促使 Oracle 在数小时内修补该漏洞,而无需客户采取行动。 – 潜在影响:在
继续阅读【安全圈】苹果数据传输面临漏洞威胁: 新的Wireshark剖析器揭开面纱
【安全圈】苹果数据传输面临漏洞威胁: 新的Wireshark剖析器揭开面纱 安全圈 2023-05-09 19:02 关键词 黑客 新的Wireshark Dissector在社区内引发了极大的兴趣和讨论,研究人员对苹果数据传输过程的安全性表示担忧。黑客可能试图抓取包含与苹果iOS和iOS用户数据相关的敏感信息的网络数据包。 这种潜在的安全风险导致了一种新的Continuity Wireshark
继续阅读CVE-2023-2478:GitLab代码执行漏洞通告
CVE-2023-2478:GitLab代码执行漏洞通告 原创 360CERT 三六零CERT 2023-05-09 18:23 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-144 报告来源:360CERT 报告作者:360CERT 更新日期:2023-05-08 1 漏洞简述 2023年05月08日,360CERT监测发现GitLab发布了CE/EE的风险通告,漏洞编号为CV
继续阅读漏洞风险提示 | Gitlab CE&EE GraphQL添加恶意Runner漏洞
漏洞风险提示 | Gitlab CE&EE GraphQL添加恶意Runner漏洞 长亭技术沙盒 黑伞安全 2023-05-09 10:18 长亭漏洞风险提示 Gitlab CE&EE GraphQL 添加恶意Runner漏洞 Gitlab是一款开源的代码管理平台,基于Ruby On Rails构建。该平台提供源代码管理、代码审核、问题跟踪、持续集成等功能。它能帮助开
继续阅读WordPress 热门插件中存在漏洞,200多万网站受影响
WordPress 热门插件中存在漏洞,200多万网站受影响 Ravie Lakshmanan 代码卫士 2023-05-08 17:48 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 WordPress 热门插件 Advanced Custom Fields 中存在一个漏洞,用户需升级至版本 6.1.6。该漏洞的编号是CVE-2023-30777。 该漏洞是反射型XSS,可滥用于将任意可
继续阅读