微软2023年7月补丁日多个产品安全漏洞风险通告
微软2023年7月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2023-07-12 10:31 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2023年7月补丁日多个产品安全漏洞 影响厂商&产品 Microsoft Visual Studio 2022、Microsoft Office、Microsoft SharePoint Server等 公开时间 20
继续阅读标签: 权限绕过
雷神众测漏洞周报2023.07.03-2023.07.09
雷神众测漏洞周报2023.07.03-2023.07.09 原创 雷神众测 雷神众测 2023-07-10 15:01 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读云上跨租户漏洞攻击面分析-RSAC议题解读
云上跨租户漏洞攻击面分析-RSAC议题解读 geekby.site 渗透测试网络安全 2023-07-08 19:00 1 相关概念 1.1 多租户技术 多租户技术是一种在云计算环境中广泛使用的架构设计方法,用于在单个应用程序或服务中同时支持多个独立的租户或用户。 在传统的单租户架构中,每个应用程序或服务只为一个租户提供服务。而在多租户架构中,应用程序或服务被设计成可以同时为多个租户提供服务,而且
继续阅读上周关注度较高的产品安全漏洞(20230626-20230702)
上周关注度较高的产品安全漏洞(20230626-20230702) 国家互联网应急中心CNCERT 2023-07-04 15:53 一、境外厂商产品漏洞 1、 Google Android缓冲区溢出漏洞(CNVD-2023-52817) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在缓冲区溢出漏洞,攻击者可利用该
继续阅读雷神众测漏洞周报2023.06.26-2023.07.02
雷神众测漏洞周报2023.06.26-2023.07.02 原创 雷神众测 雷神众测 2023-07-03 16:48 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读在野0day捕获|nginxWebUI runCmd远程命令执行漏洞
在野0day捕获|nginxWebUI runCmd远程命令执行漏洞 长亭安全应急响应中心 2023-06-27 20:42 nginxWebUI是一款图形化管理nginx配置的工具,能通过网页快速配置nginx的各种功能,包括HTTP和TCP协议转发、反向代理、负载均衡、静态HTML服务器以及SSL证书的自动申请、续签和配置,配置完成后可以一键生成nginx.conf文件,并控制nginx使用此
继续阅读上周关注度较高的产品安全漏洞(20230619-20230625)
上周关注度较高的产品安全漏洞(20230619-20230625) 国家互联网应急中心CNCERT 2023-06-26 16:51 一、境外厂商产品漏洞 1、Adobe Commerce安全绕过漏洞**** Adobe Commerce是美国奥多比(Adobe)公司的一种面向商家和品牌的数字商务解决方案。Adobe Commerce存在安全绕过漏洞,攻击者可利用该漏洞触发特制的脚本绕过安全功能。
继续阅读雷神众测漏洞周报2023.06.19-2023.06.25
雷神众测漏洞周报2023.06.19-2023.06.25 原创 雷神众测 雷神众测 2023-06-26 15:35 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读Apple多个产品高危漏洞安全风险通告
Apple多个产品高危漏洞安全风险通告 奇安信 CERT 2023-06-22 15:12 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apple多个产品高危漏洞 漏洞编号 QVD-2023-14375、CVE-2023-32434 QVD-2023-14376、CVE-2023-32439 公开时间 2023-06-21 影响对象数量级 万级 奇安信评级 高危 CVSS
继续阅读CVE-2023-1829:Linux Kernel 权限提升漏洞通告
CVE-2023-1829:Linux Kernel 权限提升漏洞通告 原创 360CERT 三六零CERT 2023-06-21 17:40 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-234 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-21 1 漏洞简述 2023年06月21日,360CERT监测发现Linux发布了Kernel的风险通告,
继续阅读【已复现】Linux Kernel 权限提升漏洞 (CVE-2023-1829) 安全风险通告
【已复现】Linux Kernel 权限提升漏洞 (CVE-2023-1829) 安全风险通告 原创 QAX CERT 奇安信 CERT 2023-06-20 15:40 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Linux Kernel 权限提升漏洞 漏洞编号 QVD-2023-8960、CVE-2023-1829 公开时间 2023-04-12 影响对象数量级 千万级
继续阅读2023-06 补丁日: 微软多个漏洞安全更新通告
2023-06 补丁日: 微软多个漏洞安全更新通告 原创 360CERT 三六零CERT 2023-06-14 16:49 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-221 报告来源:360CERT 报告作者:360CERT 更新日期:2023-06-14 1 漏洞简述 2023年06月14日,360CERT监测发现Microsoft发布了2023年6月安全更新,事件等级:严
继续阅读微软2023年6月补丁日多个产品安全漏洞风险通告
微软2023年6月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2023-06-14 11:12 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2023年6月补丁日多个产品安全漏洞 影响厂商&产品 Microsoft Windows Kernel、Microsoft Office、Windows Hyper-V 等 公开时间 2023-06-14 影响对象数量
继续阅读漏洞风险提示|Openfire控制台权限绕过漏洞(CVE-2023-32315)
漏洞风险提示|Openfire控制台权限绕过漏洞(CVE-2023-32315) 长亭安全应急响应 黑伞安全 2023-06-14 09:24 Openfire(前身为Wildfire)是一个基于XMPP(Extensible Messaging and Presence Protocol,可扩展消息处理和呈现协议)的开源实时协作服务器,同时提供了Web管理界面。近期,长亭科技监测到Openfir
继续阅读Win32k 特权提升漏洞PoC公布
Win32k 特权提升漏洞PoC公布 ang010ela 嘶吼专业版 2023-06-13 12:03 研究人员发布了CVE-2023-29336 Win32k 特权提升漏洞的PoC代码。 近日,研究人员发布了CVE-2023-29336 Win32k 特权提升漏洞的PoC代码。 Win32k子系统(Win32k.sys kernel driver)负责管理操作系统的窗口管理器、屏幕输入、输出,同
继续阅读openfire鉴权绕过漏洞原理解析
openfire鉴权绕过漏洞原理解析 原创 HhhM 山石网科安全技术研究院 2023-06-13 10:53 Openfire是根据开放源 Apache 许可获得许可的实时协作(RTC)服务器。它使用唯一被广泛采用的用于即时消息的开放协议 XMPP(也称为 Jabber)。Openfire 的设置和管理非常简单,但是却提供了坚实的安全性和性能。 Openfire存在鉴权绕过漏洞,允许未经身份验证
继续阅读【已复现】Windows Win32k 权限提升漏洞 (CVE-2023-29336) 安全风险通告
【已复现】Windows Win32k 权限提升漏洞 (CVE-2023-29336) 安全风险通告 原创 QAX CERT 奇安信 CERT 2023-06-09 19:01 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows Win32k 权限提升漏洞 漏洞编号 QVD-2023-11002、CVE-2023-29336 公开时间 2023-05-09 影响对象
继续阅读漏洞风险提示|畅捷通T+ SQL注入漏洞
漏洞风险提示|畅捷通T+ SQL注入漏洞 长亭安全应急响应 黑伞安全 2023-06-09 18:59 畅捷通T+是一款企业资源规划(ERP)软件,主要功能包括财务管理、销售管理、采购管理以及库存管理等,助力企业实现业务流程自动化。近期,长亭科技监测到微步在线发布一则漏洞通告,声明畅捷通T+发布新版本修复了一个RCE漏洞。长亭应急团队经过漏洞分析后,发现该漏洞类型为SQL注入,可利用其实现RCE。
继续阅读思科修复企业协作解决方案中的严重漏洞
思科修复企业协作解决方案中的严重漏洞 Ionut Arghire 代码卫士 2023-06-09 17:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 本周三,思科宣布修复 Expressway 序列和 TelePresence 视频通信服务器 (VCS) 企业协作和视频通信解决方案中的一个严重漏洞CVE-2023-20105,CVSS 评分为9.6。 该漏洞可导致具有“只读”
继续阅读本田电商平台有漏洞,客户和交易商数据被泄露
本田电商平台有漏洞,客户和交易商数据被泄露 Eduard Kovacs 代码卫士 2023-06-09 17:56 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 研究员披露了从本田设备销售电商平台上发现的多个严重漏洞,它们可被攻击者用于访问客户和交易商信息。 这些漏洞和数据泄露情况是由美国安全研究员 Eaton Zveare 在今年早些时候发现的。他在3月中旬将问题告知本田,后者立
继续阅读腾讯安全威胁情报中心推出2023年5月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年5月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-06-07 15:27 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年5月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读上周关注度较高的产品安全漏洞(20230529-20230604)
上周关注度较高的产品安全漏洞(20230529-20230604) 国家互联网应急中心CNCERT 2023-06-06 15:50 一、境外厂商产品漏洞 1、Google Android权限提升漏洞(CNVD-2023-41886)**** Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞源于S
继续阅读MOVEit Transfer 漏洞似乎被广泛利用
MOVEit Transfer 漏洞似乎被广泛利用 关键基础设施安全应急响应中心 2023-06-06 15:29 Progress Software 已在其文件传输软件 MOVEit Transfer 中发现一个漏洞,该漏洞可能导致权限提升和潜在的未经授权访问环境,该公司在一份安全公告中表示。 在 MOVEit Transfer Web 应用程序中发现了一个 SQL 注入漏洞,可能允许未经身份
继续阅读Splunk 企业版修复多个高危漏洞
Splunk 企业版修复多个高危漏洞 Ionut Arghire 代码卫士 2023-06-05 17:43 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 上周四,Splunk 公司发布 Splunk 企业版安全更新,修复了多个高危漏洞,其中一些影响该产品使用的第三方程序包。 其中最严重的漏洞是权限提升漏洞CVE-2023-32707,可导致具有 ‘edit_user’能力的低权限
继续阅读CVE-2023-22809 sudo提权漏洞
CVE-2023-22809 sudo提权漏洞 CatF1y 看雪学苑 2023-06-02 17:59 漏洞简介:Sudo中的sudoedit对处理用户提供的环境变量(如SUDO_EDITOR、VISUAL和EDITOR)中传递的额外参数存在缺陷。当用户指定的编辑器包含绕过sudoers策略的“–”参数时,拥有sudoedit访问权限的本地攻击者可通过将任意条目附加到要处理的文件列表中,最终在目
继续阅读【安全圈】微软发现 macOS 漏洞可让黑客访问用户私人数据
【安全圈】微软发现 macOS 漏洞可让黑客访问用户私人数据 安全圈 2023-05-31 19:01 关键词 恶意软件 据BleepingComputer消息,苹果最近解决了一个由微软发现的macOS系统漏洞,该漏洞允许拥有 root 权限的攻击者绕过系统完整性保护 (SIP)以安装不可删除的恶意软件,并通过规避透明度同意和控制 (TCC) 安全检查来访问受害者的私人数据。 该漏洞被称为Migr
继续阅读微软发现绕过苹果 SIP 根限制的 macOS 漏洞
微软发现绕过苹果 SIP 根限制的 macOS 漏洞 Sergiu Gatlan 代码卫士 2023-05-31 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 苹果最近修复了一个漏洞,可导致具有 root 权限的攻击者绕过系统完整性防护 (SIP),安装“无法删除的”恶意软件并绕过透明度同意和管控 (TCC) 安全检查访问受害者的私密数据。 该漏洞的编号是CVE-202
继续阅读上周关注度较高的产品安全漏洞(20230522-20230528)
上周关注度较高的产品安全漏洞(20230522-20230528) 国家互联网应急中心CNCERT 2023-05-30 15:39 一、境外厂商产品漏洞 1、Adobe Substance 3D Painter越界读取漏洞(CNVD-2023-41408) Adobe Substance 3D Painter是美国奥多比(Adobe)公司的一个3D纹理处理应用程序。Adobe Substance
继续阅读D-Link 修复D-Link D-View 8软件中的认证绕过和 RCE 漏洞
D-Link 修复D-Link D-View 8软件中的认证绕过和 RCE 漏洞 Bill Toulas 代码卫士 2023-05-26 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 D-Link 修复了位于 D-View 8 网络管理套件中的两个严重漏洞,它们可导致远程攻击者绕过认证并执行任意代码。 D-View 是由D-Link 公司开发的网络管理套件,用于规模不一的企业中
继续阅读CVE-2022-24521:Windows CLFS 本地提权漏洞
CVE-2022-24521:Windows CLFS 本地提权漏洞 网络安全应急技术国家工程中心 2023-05-26 14:54 CLFS是Microsoft在Windows Vista和Windows Server 2003 R2中为实现高性能而引入的日志框架,它为应用程序提供API函数来创建、存储和读取日志数据。利用此漏洞可以在计算机上执行任意代码,绕过安全限制并获得系统管理员权限。 Pa
继续阅读