CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(二)
CNNVD漏洞奖励计划 | 积极促进开展漏洞预警及风险消控工作(二) 原创 本刊编辑部 中国信息安全 2023-06-01 16:12 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 编者按 国家信息安全漏洞库(CNNVD)漏洞奖励计划主要面向单位、团队、个人等社会漏洞研究和发现者。该计划以公平公正、科学择优和安全保密的原则对其发现报送的符合条件的高危通用型漏洞
继续阅读标签: 漏洞
黑客利用 cookie 插件漏洞攻击 150 万个 WordPress 网站
黑客利用 cookie 插件漏洞攻击 150 万个 WordPress 网站 网络安全应急技术国家工程中心 2023-06-01 14:41 持续的攻击针对名为 Beautiful Cookie Consent Banner 的 WordPress cookie 同意插件中的未经身份验证的存储跨站点脚本 (XSS) 漏洞,该插件具有超过 40,000 个活动安装。 在 XSS 攻击中,威胁参与者将
继续阅读【漏洞预警】WordPress Gravity Forms PHP对象注入漏洞
【漏洞预警】WordPress Gravity Forms PHP对象注入漏洞 SecPulse安全脉搏 2023-06-01 11:10 1. 通告信息 近日,安识科技 A-Team团队监测到Gravity Forms 插件中被披露存在PHP 对象注入漏洞(CVE-2023-28782),目前该漏洞的细节已经公开披露。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以
继续阅读柏林洪堡大学 | 基于深度学习的Python代码漏洞检测 (IST 2022)
柏林洪堡大学 | 基于深度学习的Python代码漏洞检测 (IST 2022) 原创 WNN 安全学术圈 2023-05-31 22:48 1 论文信息 论文题目:VUDENC: Vulnerability Detection with Deep Learning on a Natural Codebase for Python论文作者:Laura Wartschinski, Yannic Nol
继续阅读【安全圈】微软发现 macOS 漏洞可让黑客访问用户私人数据
【安全圈】微软发现 macOS 漏洞可让黑客访问用户私人数据 安全圈 2023-05-31 19:01 关键词 恶意软件 据BleepingComputer消息,苹果最近解决了一个由微软发现的macOS系统漏洞,该漏洞允许拥有 root 权限的攻击者绕过系统完整性保护 (SIP)以安装不可删除的恶意软件,并通过规避透明度同意和控制 (TCC) 安全检查来访问受害者的私人数据。 该漏洞被称为Migr
继续阅读微软发现绕过苹果 SIP 根限制的 macOS 漏洞
微软发现绕过苹果 SIP 根限制的 macOS 漏洞 Sergiu Gatlan 代码卫士 2023-05-31 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 苹果最近修复了一个漏洞,可导致具有 root 权限的攻击者绕过系统完整性防护 (SIP),安装“无法删除的”恶意软件并绕过透明度同意和管控 (TCC) 安全检查访问受害者的私密数据。 该漏洞的编号是CVE-202
继续阅读这个Sonos One 扬声器漏洞价值10.5万美元
这个Sonos One 扬声器漏洞价值10.5万美元 Ravie Lakshmanan 代码卫士 2023-05-31 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 上周,ZDI发布报告指出,Sonos One 无线扬声器中存在多个漏洞,可导致信息泄露和远程代码执行后果。 这些漏洞已经由Qrious Secure、STAR Labs 和 DEVCORE 三家公司的研究员
继续阅读黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备
黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备 Zeljka Zorz 代码卫士 2023-05-31 17:24 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 Barracuda 公司表示,黑客利用0day (CVE-2023-2868) 攻陷某些客户的 ESG 设备,并部署三种恶意软件和数据提取能力。该公司并未说明受影响组织机构的数量,但证实称,
继续阅读【已复现】Apache RocketMQ 远程代码执行漏洞(CVE-2023-33246)安全风险通告
【已复现】Apache RocketMQ 远程代码执行漏洞(CVE-2023-33246)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-05-31 16:57 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 RocketMQ是阿里巴巴在2012年开发的分布式消息中间件,专为万亿级超大规模的消息处理而设计,具有高吞吐量、低延迟、海
继续阅读12 个漏洞!与勒索软件有关联
12 个漏洞!与勒索软件有关联 网络安全应急技术国家工程中心 2023-05-31 15:38 据 Ivanti 称,2023 年 3 月,报告的违规总数高于前三年报告的总和。 勒索软 件组织不断将漏洞武器化,并将其添加到他们的武器库中,以对受害者发动破坏性和破坏性攻击。 2023 年第一季度,研究人员发现了 12 个与勒索软件相关的新漏洞。他们还更新了正在跟踪的与勒索软件相关的关键指标,为企业保
继续阅读漏洞风险提示|大华智慧园区综合管理平台远程代码执行漏洞
漏洞风险提示|大华智慧园区综合管理平台远程代码执行漏洞 长亭安全应急响应中心 2023-05-31 15:00 长亭漏洞风险提示 大华智慧园区综合管理平台 远程代码执行漏洞 “大华智慧园区综合管理平台”是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。近日,微步在线发布安全通告文章,声明
继续阅读API NEWS | 三个Argo CD API漏洞
API NEWS | 三个Argo CD API漏洞 星阑科技 2023-05-31 09:53 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – 关于三个Argo CD API漏洞的文章 Gartner对API安全的看法 分布式标识是现代API安全的
继续阅读上周关注度较高的产品安全漏洞(20230522-20230528)
上周关注度较高的产品安全漏洞(20230522-20230528) 国家互联网应急中心CNCERT 2023-05-30 15:39 一、境外厂商产品漏洞 1、Adobe Substance 3D Painter越界读取漏洞(CNVD-2023-41408) Adobe Substance 3D Painter是美国奥多比(Adobe)公司的一个3D纹理处理应用程序。Adobe Substance
继续阅读针对安卓应用,谷歌启动新的漏洞奖励计划
针对安卓应用,谷歌启动新的漏洞奖励计划 关键基础设施安全应急响应中心 2023-05-30 15:39 谷歌针对安卓应用启动新的漏洞奖励计划。 近日,谷歌启动针对其安卓应用的漏洞奖励计划——Mobile Vulnerability Rewards Program (Mobile VRP),对发现谷歌公司安卓应用中的安全漏洞的研究人员进行奖励。 Mobile VRP的目标就是加快发现谷歌开发和维护
继续阅读开源平台Expo Framework 曝出高危漏洞,攻击者可劫持海量账户
开源平台Expo Framework 曝出高危漏洞,攻击者可劫持海量账户 安全客 2023-05-30 11:52 近日,安全专家披露,Expo 框架中存在一个高危的OAuth安全漏洞( CVE-2023-28131 ,CVSS评分为9.6),可被攻击者利用来劫持窃取各类在线服务中的用户数据。 使用 Expo 的站点和应用程序如果使用的是 Google 和 Facebook 等第三方提供商为单点登
继续阅读云安全案例16: Wiz在黑帽子2021上展示亚马逊云跨租户漏洞
云安全案例16: Wiz在黑帽子2021上展示亚马逊云跨租户漏洞 原创 debugeeker 奶牛安全 2023-05-30 08:00 去年 11 月,Wiz机构 枚举了亚马逊云中允许从其他账户访问的所有服务,检查是否有任何服务可能无意中暴露客户,并在不同的亚马逊云服务中发现了3个漏洞,允许任何人读取或写入其他亚马逊云客户的账户。 亚马逊云 账户的隔离程度如何? 因此,去年 11 月,我们的研究
继续阅读【安全圈】可让攻击者在有针对性的攻击中绕过保护,三星漏洞正在被黑客利用!
【安全圈】可让攻击者在有针对性的攻击中绕过保护,三星漏洞正在被黑客利用! 安全圈 2023-05-29 19:00 关键词 黑客攻击 CISA 最近发布了一份警告,关于影响三星设备的安全问题,这个问题可以让攻击者绕过 Android 的地址空间布局随机化 (ASLR) 保护,在有针对性的攻击中绕过保护。 ASLR 是 Android 中的一项重要安全功能,它确保在设备内存中随机化加载应用程序和操作
继续阅读利用5个0day的安卓恶意软件 Predator 内部工作原理曝光
利用5个0day的安卓恶意软件 Predator 内部工作原理曝光 DAN GOODIN 代码卫士 2023-05-29 17:50 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 思科 Talos 安全团队的研究人员发现,销往全球各国政府的智能手机恶意软件Predator可秘密记录语音通话和附近音频、从各种应用如 Signal 和 WhatsApp 中收集数据,并隐藏应用或阻止它们
继续阅读雷神众测漏洞周报2023.05.22-2023.05.28
雷神众测漏洞周报2023.05.22-2023.05.28 原创 雷神众测 雷神众测 2023-05-29 15:00 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读OPC UA .NET Standard Stack 资源耗尽漏洞分析-05-26
OPC UA .NET Standard Stack 资源耗尽漏洞分析-05-26 启明星辰ADLab 关键基础设施安全应急响应中心 2023-05-29 14:37 作者 | 启明星辰ADLab 漏洞概述 OPC UA .NET Standard Stack是OPC Foundation(OPC基金会)官方维护的OPC UA协议栈的参考实现。该协议栈以.NET语言开发,包含了可移植的OPC UA
继续阅读原创 | OPC UA .NET Standard Stack 资源耗尽漏洞分析-05-26
原创 | OPC UA .NET Standard Stack 资源耗尽漏洞分析-05-26 原创 启明星辰ADLab 网络安全应急技术国家工程中心 2023-05-29 14:35 作者 | 启明星辰ADLab 漏洞概述 OPC UA .NET Standard Stack是OPC Foundation(OPC基金会)官方维护的OPC UA协议栈的参考实现。该协议栈以.NET语言开发,包含了可移
继续阅读三星漏洞正在被黑客利用
三星漏洞正在被黑客利用 walker 嘶吼专业版 2023-05-29 12:00 CISA 最近发布了一份警告,关于影响三星设备的安全问题,这个问题可以让攻击者绕过 Android 的地址空间布局随机化 (ASLR) 保护,在有针对性的攻击中绕过保护。 ASLR 是 Android 中的一项重要安全功能,它确保在设备内存中随机化加载应用程序和操作系统组件的重要内存地址。这样可以确保应用程序和操作
继续阅读【安全圈】Expo框架出现能劫持账号的OAuth重大漏洞
【安全圈】Expo框架出现能劫持账号的OAuth重大漏洞 安全圈 2023-05-28 19:01 关键词 漏洞 安全研究人员发现,用于数百线上服务的知名开发框架Expo出现可劫持账号的重大漏洞。 Expo框架主要是用于开发移动应用程序,提供一组工具、函数库及服务,让开发人员得以利用单一程序代码基础(codebase)开发iOS、Android及Web应用程序。它其中一项服务是OAuth,让开发人
继续阅读高危漏洞占比上升4%,《2022漏洞威胁分析报告》复盘三大场景漏洞趋势
高危漏洞占比上升4%,《2022漏洞威胁分析报告》复盘三大场景漏洞趋势 智安全 深信服千里目安全技术中心 2023-05-26 20:50 随着2022年度国家信息安全漏洞库(CNNVD)工作总结暨优秀支撑单位表彰大会的召开,深信服凭借卓越的漏洞挖掘和响应处置能力揽获四项荣誉。(《笃行致远,深信服揽获CNNVD多项大奖!》 点击可查看 ) 在漏洞挖掘、利用原理及利用技术分析上,深信服早已有多年沉淀
继续阅读别急着修!GitLab满分漏洞(CVE-2023-2825)实际几乎无法利用
别急着修!GitLab满分漏洞(CVE-2023-2825)实际几乎无法利用 原创 微步情报局 微步在线研究响应中心 2023-05-26 18:41 01 漏洞概况**** GitLab是美国GitLab公司的一个开源的端到端软件开发平台,具有内置的版本控制、问题跟踪、代码审查、CI/CD(持续集成和持续交付)等功能。近日,微步在线漏洞团队监测到GitLab发布了安全更新,更新了一处任意文件读取
继续阅读D-Link 修复D-Link D-View 8软件中的认证绕过和 RCE 漏洞
D-Link 修复D-Link D-View 8软件中的认证绕过和 RCE 漏洞 Bill Toulas 代码卫士 2023-05-26 17:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 D-Link 修复了位于 D-View 8 网络管理套件中的两个严重漏洞,它们可导致远程攻击者绕过认证并执行任意代码。 D-View 是由D-Link 公司开发的网络管理套件,用于规模不一的企业中
继续阅读合勤科技防火墙和VPN设备中存在多个严重漏洞
合勤科技防火墙和VPN设备中存在多个严重漏洞 Bill Toulas 代码卫士 2023-05-26 17:38 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 合勤科技公司提醒用户称,多款防火墙和VPN产品中存在两个严重漏洞,攻击者无需认证即可利用。 这两个漏洞都是缓冲区溢出漏洞,可导致拒绝服务和远程代码执行后果。合勤科技指出,“合勤科技已发布补丁,修复受多个缓冲区溢出漏洞影响的固
继续阅读泛微e-cology9 changeUserInfo信息泄漏及ofsLogin任意用户登录漏洞分析
泛微e-cology9 changeUserInfo信息泄漏及ofsLogin任意用户登录漏洞分析 原创 小透明 雷神众测 2023-05-26 16:25 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版
继续阅读漏洞情报 | GitLab 路径遍历漏洞(CVE-2023-2825)
漏洞情报 | GitLab 路径遍历漏洞(CVE-2023-2825) 斗象智能安全 2023-05-26 16:06 1.1 漏洞概述**** 近日,斗象科技漏洞情报中心监控到公网公开披露了GitLab存在路径遍历漏洞,未经身份验证的攻击者可以使用路径遍历漏洞读取服务器上的任意文件。 GitLab是由GitLab公司开发的、基于Git的集成软件开发平台。另外,GitLab且具有wiki以及在线
继续阅读CVE-2022-24521:Windows CLFS 本地提权漏洞
CVE-2022-24521:Windows CLFS 本地提权漏洞 网络安全应急技术国家工程中心 2023-05-26 14:54 CLFS是Microsoft在Windows Vista和Windows Server 2003 R2中为实现高性能而引入的日志框架,它为应用程序提供API函数来创建、存储和读取日志数据。利用此漏洞可以在计算机上执行任意代码,绕过安全限制并获得系统管理员权限。 Pa
继续阅读