航旅业大地震:常旅客积分系统曝严重漏洞
航旅业大地震:常旅客积分系统曝严重漏洞 网络安全应急技术国家工程中心 2023-08-09 15:18 黑客可利用常旅客系统漏洞窃取客户隐私数据和积分,甚至控制整个系统给任何人授予无限飞行里程或酒店住宿积分。 Points.com是全球航空公司和酒店常旅客积分计划的主要数字基础设施提供商之一。近日,安全研究人员发现Points.com的API中存在可利用漏洞,攻击者可利用这些漏洞泄漏客户数据、窃取
继续阅读标签: 漏洞
2023攻防演练必修高危漏洞合集(3.0版)
2023攻防演练必修高危漏洞合集(3.0版) 漏洞情报中心 斗象智能安全 2023-08-09 11:50 今天,2023年攻防演练正式开启!斗象科技针对之前发布的《2023HW必修高危漏洞集合(1.0)》 及《2023HW必修高危漏洞集合(2.0)》 进行查漏补缺,并对近两年在攻防演练过程红队利用率比较高的漏洞做了总结汇总, 输出 《2023攻防演练必修高危漏洞合集(3.0版)》 。 与前两版报
继续阅读微软2023年8月补丁日多个产品安全漏洞风险通告
微软2023年8月补丁日多个产品安全漏洞风险通告 奇安信 CERT 2023-08-09 09:42 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2023年8月补丁日多个产品安全漏洞 影响厂商&产品 Windows Kernel、Microsoft Office、Microsoft Exchange Server等 公开时间 2023-08-09 影响对象数量级
继续阅读【安全圈】Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道
【安全圈】Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道 安全圈 2023-08-08 19:00 关键词 黑客入侵 // 近期黑客挟持企业的facebook帐号的攻击行动,有不少是通过脸书广告,打着提供生成式AI机器人应用程序的名义,散布窃资软件来进行,但最近出现了更为复杂的手法。有人透过云端CRM平台Salesforce的漏洞下手,并将钓鱼网站架设于脸书脸书内嵌应用
继续阅读漏洞通告|致远OA文件上传漏洞
漏洞通告|致远OA文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2023-08-08 16:58 01 漏洞概况**** 致远OA是一款企业级的办公自动化软件,提供全方位的企业管理解决方案。该软件包括了办公自动化、流程自动化、知识管理、文档管理、协同办公等功能模块,可以帮助企业实现信息化管理、流程优化、人力资源管理、财务管理等方面的需求。微步漏洞团队通过“X漏洞奖励计划”获取到致远OA前台
继续阅读上周关注度较高的产品安全漏洞(20230731-20230806)
上周关注度较高的产品安全漏洞(20230731-20230806) 国家互联网应急中心CNCERT 2023-08-08 16:03 一、境外厂商产品漏洞 1、Siemens SIMATIC CN 4100默认权限不正确漏洞 Siemens SIMATIC CN 4100是德国西门子(Siemens)公司的一个通信节点。Siemens SIMATIC CN 4100 2.5版本之前存在安全漏洞,该
继续阅读被别家CEO狂怼,微软火速且老实地修复了严重漏洞后……回怼
被别家CEO狂怼,微软火速且老实地修复了严重漏洞后……回怼 综合编译 代码卫士 2023-08-08 15:48 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 被 Tenable 公司的 CEO 公开批判“严重不负责任”后,微软修复了位于 Power Platform Custom Connectors 特性中的一个漏洞。该漏洞可导致未认证攻击者访问跨租户应
继续阅读Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道
Facebook企业账号危机:Salesforce漏洞成黑客入侵新通道 网络安全应急技术国家工程中心 2023-08-08 15:09 近期黑客挟持企业的facebook帐号的攻击行动,有不少是通过脸书广告,打着提供生成式AI机器人应用程序的名义,散布窃资软件来进行,但最近出现了更为复杂的手法。有人透过云端CRM平台Salesforce的漏洞下手,并将钓鱼网站架设于脸书脸书内嵌应用程序平台的域网域
继续阅读雷神众测漏洞周报2023.07.31-2023.08.06
雷神众测漏洞周报2023.07.31-2023.08.06 原创 雷神众测 雷神众测 2023-08-08 15:03 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读攻防演练收敛已知漏洞攻击面,请更新这些软件到最新版本!
攻防演练收敛已知漏洞攻击面,请更新这些软件到最新版本! 奇安信 CERT 2023-08-08 11:43 高危漏洞软件风险自查清单 (ps:文末附必修高危漏洞列表) 近日,奇安信CERT整理了2023年被利用可能性较大的软件列表。由于此类软件用户量大且历史上出现过多次高危漏洞,极有可能在2023年攻防演练期间被利用,建议受影响用户尽快参考最新版软件更新页面,将软件升级到最新版本(另外,我们也整理
继续阅读【安全圈】黑客组织Clop发动零时差漏洞攻击,近600家企业遭殃
【安全圈】黑客组织Clop发动零时差漏洞攻击,近600家企业遭殃 安全圈 2023-08-07 19:00 关键词 漏洞攻击 勒索软体黑客组织Clop发起MFT档案共享系统MOVEit Transfer零时差漏洞攻击,近六百家企业机构遭殃,亦有部分组织因IT服务供应商遭受攻击而受害,且规模持续扩大。 这起事故发生迄今快2个月,从当初指出攻击者的身份,到黑客组织坦诚犯案、公布受害组织名单,后来则有部
继续阅读PaperCut高危漏洞可使未修复服务器受RCE攻击
PaperCut高危漏洞可使未修复服务器受RCE攻击 Sergiu Gatlan 代码卫士 2023-08-07 18:15 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Horizon3.ai 公司的安全研究员从 Windows 版本的 PaperCut 打印管理软件中发现了一个新的高危漏洞 (CVE-2023-39143),在特定情况下可导致在未修复 Windows 服务器上获
继续阅读红队最爱50个高危漏洞,马了赶紧修
红队最爱50个高危漏洞,马了赶紧修 原创 微步情报局 微步在线研究响应中心 2023-08-07 18:00 盼望着,盼望着,演练来了,红队的脚步近了。 强烈建议各家蓝队负责人,自查以下50+高危漏洞的资产信息,并赶在正式开打前完成针对性处置动作。 这50多个漏洞是微步漏洞团队根据漏洞的危害、利用难易程度、影响面、实网攻击行为情况等诸多维度,从海量漏洞情报中提取出了近一年来被攻击方频繁利用、且危害
继续阅读三年内攻防演练实战总结,200+必修高危漏洞清单
三年内攻防演练实战总结,200+必修高危漏洞清单 原创 360漏洞云情报 360漏洞云 2023-08-07 17:44 2023攻防演练 必修高危漏洞合集 360数字安全集团 – 漏洞云 2023年8月 报告信息 报告名称 2023 攻防演练必修高危漏洞合集 报告类型 漏洞统计 报告日期 2023-08-01 报告编号 04T-202300801-01 联系方式 loudongyun
继续阅读【漏洞通告】通达OA SQL注入漏洞(CVE-2023-4166)
【漏洞通告】通达OA SQL注入漏洞(CVE-2023-4166) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-08-07 17:29 漏洞名称: 通达OA SQL注入漏洞(CVE-2023-4166) 组件名称: 通达OA 影响范围: 通达OA v11 < 11.10 漏洞类型: 远程代码执行 利用条件: 1、用户认证:否 2、前置条件:无 3、触发方式:远程 综合评价: <
继续阅读【技术原创】ADAudit Plus漏洞调试环境搭建
【技术原创】ADAudit Plus漏洞调试环境搭建 原创 3gstudent 嘶吼专业版 2023-08-07 12:04 0x00 前言 本文记录从零开始搭建ADAudit Plus漏洞调试环境的细节,介绍数据库用户口令的获取方法。 0x01 简介 本文将要介绍以下内容: ADAudit Plus安装 ADAudit Plus漏洞调试环境配置 数据库用户口令获取 0x02 ADAudit Pl
继续阅读腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单
腾讯安全威胁情报中心推出2023年7月必修安全漏洞清单 原创 腾讯威胁情报中心 安全攻防团队 2023-08-07 10:15 欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年7月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果
继续阅读CISA公布了2022年最常被利用的12个漏洞
CISA公布了2022年最常被利用的12个漏洞 看雪学苑 看雪学苑 2023-08-04 17:59 8月3日,美国网络安全与基础设施安全局CISA、国家安全局NSA和联邦调查局FBI,联合五眼联盟的其他各国网络安全机构,公布了2022年最常被利用的top 12漏洞。 这份联合发布的网络安全咨询公告上写道:“2022年,相比最近披露的漏洞,攻击者更倾向于利用较旧的软件漏洞,并针对未打补丁的互联网系
继续阅读CVE-2022-30887(文件上传漏洞)
CVE-2022-30887(文件上传漏洞) 原创 y@n1n 暗影安全 2023-08-04 17:45 漏洞简介 …… 多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。 该CMS中 php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。 漏洞复现
继续阅读Milesight 工业路由器受数十个RCE漏洞影响
Milesight 工业路由器受数十个RCE漏洞影响 Ionut Arghire 代码卫士 2023-08-04 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 思科 Talos 安全研究人员提醒称,数十个漏洞影响Milesight UR32L 工业路由器,可被用于执行任意代码或命令。 UR32L 是一款高性价比解决方案,提供 WCDMA 和 4G LTE 支持、以太网端
继续阅读五眼联盟发布2022年最常遭利用的12个漏洞
五眼联盟发布2022年最常遭利用的12个漏洞 Sergiu Gatlan 代码卫士 2023-08-04 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 由美国、澳大利亚、加拿大、新西兰和英国组成的五眼联盟协同 CISA、NAS和FBI联合发布2022年利用次数最高的12大漏洞。 联合安全公告提到,威胁行动者们越来越多地集中攻击过时软件的漏洞,而非最近披露的漏洞,尤其集中
继续阅读抓紧修复!2022年最常被利用漏洞清单,Fortinet五年老漏洞位列第一
抓紧修复!2022年最常被利用漏洞清单,Fortinet五年老漏洞位列第一 安全内参编译 安全内参 2023-08-04 16:28 关注我们 带你读懂网络安全 网络犯罪分子利用较旧软件漏洞的频率高于最近披露的漏洞,企业修复老漏洞的安全收益显著增加。 前情回顾·全球安全漏洞态势 – 谷歌2022年发放了8200万元漏洞赏金,平均每个漏洞近3万元 微软近一年发放了1亿元漏洞赏金:平均每个
继续阅读半数人工智能开源项目引用存在漏洞的软件包
半数人工智能开源项目引用存在漏洞的软件包 关键基础设施安全应急响应中心 2023-08-04 16:06 根据EndorLabs的数据,开源在AI技术堆栈中发挥着越来越重要的作用,但大多数项目(52%)引用了存在已知漏洞的易受攻击的依赖项。 EndorLabs在最新的《软件依赖管理状态报告》声称,在发布仅五个月后,ChatGPT的API就被超过900个npm和PyPI软件包调用,其中70%是全新的
继续阅读上周关注度较高的产品安全漏洞(20230724-20230730)
上周关注度较高的产品安全漏洞(20230724-20230730) 深信服千里目安全技术中心 2023-08-04 15:16 一、境外厂商产品漏洞 1、IBM DB2拒绝服务漏洞(CNVD-2023-58522) IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM DB2存在
继续阅读【漏洞通告】Metabase远程代码执行漏洞(CVE-2023-37470)
【漏洞通告】Metabase远程代码执行漏洞(CVE-2023-37470) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-08-04 15:16 漏洞名称: Metabase远程代码执行漏洞(CVE-2023-37470) 组件名称: Metabase 影响范围: Metabase Open Source < 0.46.6.4 Metabase Open Source < 0.
继续阅读【漏洞预警】Apache NiFi 代码注入漏洞漏洞威胁通告
【漏洞预警】Apache NiFi 代码注入漏洞漏洞威胁通告 安识科技 SecPulse安全脉搏 2023-08-04 10:02 1. 通告信息 近日, 安识科技A-Team团队 监测到一则Apache NiFi组件存在代码注入漏洞的信息,漏洞编号:CVE-2023-36542,漏洞威胁等级:中危。 该漏洞是由于 Apache NiFi 0.0.2至1.22.0版本中包含支持HTTP URL引用
继续阅读Salesforce 邮件服务0day用于钓鱼攻击活动
Salesforce 邮件服务0day用于钓鱼攻击活动 THN 代码卫士 2023-08-03 18:00 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Guardio Labs的研究员 Oleg Zaytsev 和 Nati Tal 发布报告提到,一起复杂的 Facebook 钓鱼攻击活动利用 Salesforce 邮件服务0day漏洞,通过该公司的域名和基础设施构造目标钓鱼信息
继续阅读2023攻防演练必修高危漏洞集合(2.0版)
2023攻防演练必修高危漏洞集合(2.0版) 漏洞情报中心 斗象智能安全 2023-08-03 17:50 继7月19日推出👉《2023攻防演练必修高危漏洞集合》 之后,斗象科技漏洞情报中心继续依托漏洞盒子的海量漏洞数据、情报星球社区的一手漏洞情报资源以及Freebuf安全门户的安全咨询,不断对高危漏洞进行分析整合,并于近期输出 《2023攻防演练必修高危漏洞集合(2.0版)》 。 高危风险漏洞一
继续阅读404星链计划 | 5 款全开源的免费漏洞探测工具
404星链计划 | 5 款全开源的免费漏洞探测工具 原创 404实验室 知道创宇404实验室 2023-08-03 16:43 404星链计划目前已收录60+开源项目 涵盖了甲方工具、信息收集、漏洞探测、 攻击与利用、信息分析、内网工具等多个种类 近期我们会陆续发布不同类别工具的精选专题 帮助你找到更好用更适合自己的“神兵利器” 上期回顾: 404星链计划 | 精选 10 个甲方开源安全工具 本期
继续阅读“卫星安全”背后的秘密:软件和固件均存在漏洞,几乎是“裸奔”状态
“卫星安全”背后的秘密:软件和固件均存在漏洞,几乎是“裸奔”状态 原创 nana 数世咨询 2023-08-03 16:00 ESTCube-2小卫星。德国研究人员分析了三颗卫星的安全状况,包括ESTCube-2的前身。 距地面几百上千公里的高空,数千颗人造卫星围绕地球运行,维持世界正常运转。时间系统、全球定位系统(GPS),以及各种通信技术,全都由卫星提供支持。但多年来, 安全研究人员不断发出警
继续阅读