【漏洞通告】Metabase远程代码执行漏洞(CVE-2023-38646)
【漏洞通告】Metabase远程代码执行漏洞(CVE-2023-38646) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-07-28 17:06 漏洞名称: Metabase远程代码执行漏洞(CVE-2023-38646) 组件名称: Metabase 影响范围: Metabase open source 0.46 < 0.46.6.1 Metabase Enterprise 1.4
继续阅读标签: 漏洞
漏洞分析|Metabase 远程代码执行(CVE-2023-38646): H2 JDBC 深入利用
漏洞分析|Metabase 远程代码执行(CVE-2023-38646): H2 JDBC 深入利用 路人甲 GobySec 2023-07-28 15:44 G o b y 社 区 第 29 篇 技 术 分 享 文 章 全 文 共 : 10227 字 预 计 阅 读 时 间 : 2 0 分 钟 01 概述 最近 Metabase 出了一个远程代码执行漏洞(CVE-2023-38646),我们通过
继续阅读奖金累加上不封顶!BSRC启动首次隐私安全漏洞众测
奖金累加上不封顶!BSRC启动首次隐私安全漏洞众测 百度安全应急响应中心 2023-07-28 15:17 来了!BSRC启动首次隐私安全漏洞众测~ 随着个人信息滥用事件的频频发生,用户对App是否合法收集信息越来越关注。同时,监管也对App收集使用个人信息发布了认定办法。 面对互联网隐私安全问题挑战,百度安全团队肩负使命与责任,始终将保护用户隐私信息放在第一位, 努力创造一个不断完善的个人信息保
继续阅读现金奖励 | 2023补天通用型漏洞专项活动第一期来啦!
现金奖励 | 2023补天通用型漏洞专项活动第一期来啦! 快乐的 补天平台 2023-07-28 15:00 通用专项活动第一期 ◆ 2 0 2 3 年07 月14 日 0 点 起 至07 月 31 日 2 3 : 5 9 止 ◆ 收取范围:web通用型漏洞 1 活动奖励A计划 1.收录范围说明 漏 洞 影 响 并 存 在 备 案 信 息 归 属 的 资 产 独立ip数在2000+ 2.漏洞等级
继续阅读云安全漏洞管理的原则与实践
云安全漏洞管理的原则与实践 安全牛 2023-07-28 12:35 当企业组织将关键业务上云后,加强云安全防护就成为企业管理者们的重要优先事项。一旦云上的应用存在安全漏洞,那么数据泄露、业务中断、勒索威胁等灾难性事件随时都可能发生。研究数据显示,在78%的云上攻击活动中,攻击者会将已知漏洞作为初始路径。因此,定期评估云环境的风险态势并加强云安全漏洞管理,将是保障组织云应用安全的最有效途径之一。
继续阅读【技术原创】Veeam Backup & Replication漏洞调试环境搭建
【技术原创】Veeam Backup & Replication漏洞调试环境搭建 原创 3gstudent 嘶吼专业版 2023-07-28 12:01 0x00 前言 本文以CVE-2023-27532为例,介绍Veeam Backup & Replication漏洞调试环境的搭建方法。 0x01 简介 本文将要介绍以下内容: 环境搭建 调试环境搭建 数据库凭据提取 CVE-20
继续阅读漏洞通告 | 泛微 e-cology 前台文件上传漏洞
漏洞通告 | 泛微 e-cology 前台文件上传漏洞 原创 微步情报局 微步在线研究响应中心 2023-07-27 19:56 01 漏洞概况**** 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。近日,微步漏洞团队监测到泛微 e-cology
继续阅读【安全圈】TikTok未修复漏洞节省了千万美元,结果大选期间遭攻击
【安全圈】TikTok未修复漏洞节省了千万美元,结果大选期间遭攻击 安全圈 2023-07-27 19:00 关键词 黑客攻击 7月26日消息,土耳其总统埃尔多安险胜连任的几周前,TikTok代理安全主管Kim Albarella收到一条坏消息: 多达70万个土耳其TikTok账户遭到黑客攻击,攻击者能够访问用户个人信息并控制他们的账户。 根据TikTok内部电子邮件、聊天记录、文件,以及其他内部
继续阅读【安全圈】Ubuntu 曝出两个Linux漏洞,近 40% 用户受到影响
【安全圈】Ubuntu 曝出两个Linux漏洞,近 40% 用户受到影响 安全圈 2023-07-27 19:00 关键词 安全漏洞 Bleeping Computer 网站披露,Wiz 研究人员 s.Tzadik 和 s.Tamari 发现 Ubuntu 内核中存在两个 Linux 漏洞 CVE-2023-32629 和 CVE-2023-2640,没有特权的本地用户可能利用其在设备上获得更高权
继续阅读研究人员披露MikroTik RouterOS安全漏洞,数十万设备面临风险
研究人员披露MikroTik RouterOS安全漏洞,数十万设备面临风险 看雪学苑 看雪学苑 2023-07-27 18:04 近日,VulnCheck在一篇报告中披露,MikroTik RouterOS系统存在一个严重权限提升漏洞(CVE-2023-30799,CVSS分数9.1),攻击者能够利用该漏洞执行任意代码并完全控制受影响的设备,初步估算有数十万设备受到影响。 据了解,这个漏洞本质是从
继续阅读Apache Jackrabbit 中存在严重的RCE漏洞
Apache Jackrabbit 中存在严重的RCE漏洞 DO SON 代码卫士 2023-07-27 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Java 平台的开源内容仓库 Apache Jackrabbit 中存在一个严重的远程代码执行漏洞 (CVE-2023-37895),可使攻击者利用 RMI 实现中一个 Java 对象反序列化问题在易受攻击系统上远程执行
继续阅读MikroTik RouterOS 存在严重的提权漏洞
MikroTik RouterOS 存在严重的提权漏洞 THN 代码卫士 2023-07-27 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 MikroTik RouterOS 中存在一个严重的提权漏洞 (CVE-2023-30799),可被远程恶意人员用于执行任意代码并完全控制易受攻击的设备。 CVE-2023-30799的CVSS评分为9.1,它导致约50万和90万
继续阅读TETRA:BURST:热门无线通信系统中存在5个新漏洞
TETRA:BURST:热门无线通信系统中存在5个新漏洞 THN 代码卫士 2023-07-27 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 政府实体和关基行业广为使用的无线电通信陆地集群无线电 (TETRA) 标准中存在5个漏洞,其中包含被认为是故意预留的后门,可泄露敏感信息。 这些漏洞由荷兰公司 Midnight Blue在2021年发现但一直到现在才发布,它们被
继续阅读Ubuntu 内核存在多个提权漏洞,近40%的用户易受攻击
Ubuntu 内核存在多个提权漏洞,近40%的用户易受攻击 Bill Toulas 代码卫士 2023-07-27 17:33 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Ubuntu 内核中存在两个 Linux 漏洞,可导致低权限的本地用户在大量设备上提权。 Ubuntu 是使用最广泛的 Linux 发行版本之一,在美国尤为受欢迎,用户大约超过4000万名。近日,Wiz 公司的
继续阅读风险提示|Metabase远程代码执行漏洞(CVE-2023-38646)
风险提示|Metabase远程代码执行漏洞(CVE-2023-38646) 长亭安全应急响应 黑伞安全 2023-07-27 17:16 Metabase 是开源的数据分析和可视化工具,支持多种数据源连接,包括数据库、云服务和API。近期,长亭科技监测到 Metabase 官方发布新版本修复了一个远程代码执行漏洞(CVE-2023-38646)。经过分析漏洞后,发现公网仍有较多系统未修复漏洞。应急
继续阅读CVE-2023-34478:Apache Shiro 身份认证绕过漏洞通告
CVE-2023-34478:Apache Shiro 身份认证绕过漏洞通告 原创 360CERT 三六零CERT 2023-07-27 16:20 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-308 报告来源:360CERT 报告作者:360CERT 更新日期:2023-07-27 1 漏洞简述 2023年07月27日,360CERT监测发现Apache发布了Shiro的风险
继续阅读TikTok未修漏洞节省数千万美元,一年后在海外大选期间遭利用
TikTok未修漏洞节省数千万美元,一年后在海外大选期间遭利用 关键基础设施安全应急响应中心 2023-07-27 15:14 土耳其总统选举前一年多,一家英国安全机构曾警告TikTok有漏洞被利用。但是,该公司并未修复漏洞。 7月26日消息,土耳其总统埃尔多安险胜连任的几周前,TikTok代理安全主管Kim Albarella收到一条坏消息:多达70万个土耳其TikTok账户遭到黑客攻击,攻击者
继续阅读超级管理员权限提升漏洞使90万台设备面临风险
超级管理员权限提升漏洞使90万台设备面临风险 网络安全应急技术国家工程中心 2023-07-27 15:13 严重的“超级管理员”权限提升缺陷使超过 90万个 MikroTik RouterOS 路由器面临风险,可能使攻击者能够完全控制设备并且不被发现。 该漏洞 CVE-2023-30799 允许拥有现有管理员帐户的远程攻击者通过设备的 Winbox 或 HTTP 接口将其权限提升为“超级管理员”
继续阅读【漏洞预警】VMware信息泄露漏洞
【漏洞预警】VMware信息泄露漏洞 安识科技 SecPulse安全脉搏 2023-07-27 10:29 1. 通告信息 近日,安识科技 A-Team团队监测到VMware Tanzu Application Service for VMs (TAS for VMs)和Isolation Segment中存在信息泄露漏洞(CVE-2023-20891),该漏洞的CVSS评分为6.5。 对此,安识
继续阅读【已复现】Apache Shiro 身份认证绕过漏洞(CVE-2023-34478)安全风险通告
【已复现】Apache Shiro 身份认证绕过漏洞(CVE-2023-34478)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-07-26 17:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Shiro 身份认证绕过漏洞 漏洞编号 QVD-2023-16865、CVE-2023-34478 公开时间 2023-07-21 影响对象数量
继续阅读【已复现】Citrix ADC 及 Citrix Gateway 远程代码执行漏洞安全风险通告第二次更新
【已复现】Citrix ADC 及 Citrix Gateway 远程代码执行漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-07-26 17:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Citrix ADC 及 Citrix Gateway 远程代码执行漏洞 漏洞编号 QVD-2023-16711、CVE-2023-3519 公开时间
继续阅读【已复现】Metabase远程命令执行漏洞(CVE-2023-38646)安全风险通告二次更新
【已复现】Metabase远程命令执行漏洞(CVE-2023-38646)安全风险通告二次更新 原创 QAX CERT 奇安信 CERT 2023-07-26 17:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Metabase 远程命令执行漏洞 漏洞编号 QVD-2023-16920、CVE-2023-38646 公开时间 2023-07-21 影响对象数量级 万级
继续阅读别急着修!Apache Shiro 最新身份验证漏洞实际很难利用
别急着修!Apache Shiro 最新身份验证漏洞实际很难利用 原创 微步情报局 微步在线研究响应中心 2023-07-26 14:08 01 漏洞概况**** Apache Shiro是一个强大且易用的Java安全框架,用于实现身份验证、授权、密码和会话管理等功能。近日,微步漏洞团队监测到Apache Shiro中修复了一处身份验证绕过漏洞(CVE-2023-34478),由于InvalidR
继续阅读漏洞情报 | Metabase 远程代码执行漏洞(CVE-2023-38646)
漏洞情报 | Metabase 远程代码执行漏洞(CVE-2023-38646) 斗象智能安全 2023-07-26 11:16 1.1 漏洞概述 近日, 斗象科技 漏洞情报中心 监控到 metabase 发布了安全通告,修复了一个安全漏洞 。 Metabase 是一款开源的业务智能(BI)工具,可以帮助你把数据库中的数据以可视化的方式呈现给更多人,让他们自己探索数据并发现洞察。Metabase
继续阅读【安全圈】所有 AMD Zen 2 CPU 均受影响,专家发现 Zenbleed 远程执行漏洞
【安全圈】所有 AMD Zen 2 CPU 均受影响,专家发现 Zenbleed 远程执行漏洞 安全圈 2023-07-26 10:59 关键词 安全漏洞 7 月 25 日消息,谷歌信息安全研究员 Tavis Ormandy 今天发布博文,表示基于 Zen 2 的 AMD 处理器中发现了新的安全漏洞,并将其命名为 Zenbleed。 Ormandy 表示所有基于 Zen 2 的 AMD 处理器均受
继续阅读新Windows?! 苹果再修复已遭利用的新0day
新Windows?! 苹果再修复已遭利用的新0day Sergiu Gatlan 代码卫士 2023-07-26 08:48 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 苹果公司发布安全更新,修复了已被用于攻击 iPhone、Mac 和 iPad 的 0day 漏洞。这是今年以来苹果修复的第11个0day。 本月初,苹果公司在关于新一轮快速安全响应 (RSR) 更新中所修复CVE
继续阅读【漏洞通告】Apache Shiro 目录穿越漏洞CVE-2023-34478
【漏洞通告】Apache Shiro 目录穿越漏洞CVE-2023-34478 深瞳漏洞实验室 深信服千里目安全技术中心 2023-07-25 18:59 漏洞名称: Apache Shiro目录穿越漏洞CVE-2023-34478 组件名称: Apache Shiro 影响范围: Apache Shiro < 1.12.0, 2.0.0 ≤ Apache Shiro < 2.0.0-
继续阅读黑客正在利用Citrix新0day漏洞,全球超过15000个Citrix服务器易受攻击
黑客正在利用Citrix新0day漏洞,全球超过15000个Citrix服务器易受攻击 看雪学苑 看雪学苑 2023-07-25 17:59 近日,美国网络安全与基础设施安全局(CISA)警告称,黑客正在利用一个新发现的零日漏洞,针对Citrix NetScaler应用程序交付控制器(ADC)和Citrix Gateway设备实施网络攻击。 Citrix公司曾于上周提醒其客户,该漏洞(CVE-20
继续阅读好工具分享:Web漏洞fuzz神器 Arjun
好工具分享:Web漏洞fuzz神器 Arjun 枇杷五星加强版 黑伞安全 2023-07-25 17:33 Arjun HTTP Parameter Discovery Suite https://github.com/s0md3v/Arjun 我在日常src挖掘中枇杷哥常用的参数fuzz工具,参数fuzz至少赚到了几K赏金,大家可以上手试试。原理大致就是参数二分法,可以抓包看一下就懂了。 扫描单
继续阅读上周关注度较高的产品安全漏洞(20230217-20230223)
上周关注度较高的产品安全漏洞(20230217-20230223) 国家互联网应急中心CNCERT 2023-07-25 16:19 一、境外厂商产品漏洞 1、Siemens Tecnomatix Plant Simulation堆栈缓冲区溢出漏洞(CNVD-2023-56535) Siemens Tecnomatix Plant Simulation是德国西门子(Siemens)公司的工控设备,
继续阅读