独家:Illumina测序仪再次爆出安全漏洞,可能导致结果篡改、泄露
独家:Illumina测序仪再次爆出安全漏洞,可能导致结果篡改、泄露 网络安全应急技术国家工程中心 2023-05-06 14:48 全球视野,深度视角 各位股东,大家早上好中午好下午好晚上好。 感谢各位股东的倾情付出,咱们MGI的文章阅读量已经突破了1w+! 这对于咱们一个创办不久的小小自媒体来说,是一个重要的里程碑。 也感谢一路走来各位股东的不离不弃,谢谢大家!希望大家在接下来的假期好好玩玩,
继续阅读标签: 漏洞
针对ChatGPT的隐私提取攻击:多步骤越狱漏洞
针对ChatGPT的隐私提取攻击:多步骤越狱漏洞 网络安全应急技术国家工程中心 2023-05-06 14:48 摘要 随着大型语言模型(LLM)的快速发展,许多下游的 NLP 任务都可以在友善的提示(即Prompt,是用户或程序向LLM AI 提供的输入或查询)下得到很好的解决。尽管模型开发人员和研究人员在对话安全性方面做了大量工作以避免从语言模型生成有害文字,但要引导 AI 生成内容 (AIG
继续阅读【安全圈】OpenAI 曝新漏洞,允许新用户“无限试用”
【安全圈】OpenAI 曝新漏洞,允许新用户“无限试用” 安全圈 2023-05-05 18:48 关键词 漏洞 通过该漏洞,用户可以免费获得无限的信用额度来测试不同的OpenAI项目,包括ChatGPT。 不久前,OpenAI 为了让用户尝试其他开放的人工智能项目,特意为新用户提供了免费的信用积分额度(约7美元)。随后网络安全公司Checkmarx表示,目前发现了一个漏洞,允许用户滥用试用,并在
继续阅读思科电话适配器易受 RCE 攻击,目前无修复方案
思科电话适配器易受 RCE 攻击,目前无修复方案 Bill Toulas 代码卫士 2023-05-05 17:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科披露了 SPA112 2-Port 电话适配器 web 管理接口中的一个漏洞 (CVE-2023-20126),它可导致未认证远程攻击者在设备上执行任意代码。 该漏洞是严重级别的漏洞,CVSS评分为9.8,是由固件升级功能中
继续阅读研究员在微软 Azure API 管理服务中发现3个漏洞
研究员在微软 Azure API 管理服务中发现3个漏洞 Ravie Lakshmanan 代码卫士 2023-05-05 17:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软 Azure API 管理服务中存在三个新漏洞,可用于获得敏感信息或后端服务的访问权限。 以色列安全公司 Ermetic 提到,在这三个漏洞中,两个是服务器端伪造 (SSRF) 漏洞,一个是位于 API 管
继续阅读【漏洞通告】Apache CouchDB信息泄露漏洞CVE-2023-26268
【漏洞通告】Apache CouchDB信息泄露漏洞CVE-2023-26268 深瞳漏洞实验室 深信服千里目安全技术中心 2023-05-04 20:22 漏洞名称: Apache CouchDB信息泄露漏洞(CVE-2023-26268) 组件名称: Apache CouchDB 影响范围: Apache CouchDB 3.3.x < 3.3.2 Apache CouchDB 3.2.
继续阅读热门的开源互联网路由协议软件中含多个漏洞,存在供应链风险
热门的开源互联网路由协议软件中含多个漏洞,存在供应链风险 Ravie Lakshmanan 代码卫士 2023-05-04 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员在 BGP 的一个软件实现中发现了三个漏洞,可被用于在易受攻击的 BGP 对等体上实现拒绝服务条件。 这三个漏洞位于适用于 Linux 和 Unix 平台的热门开源互联网路由协议套件 FRRout
继续阅读黑客正在利用 TBK DVR 设备中五年未修复的 0day
黑客正在利用 TBK DVR 设备中五年未修复的 0day Ravie Lakshmanan 代码卫士 2023-05-04 17:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 FortiGuard Labs 发布安全公告指出,威胁行动者们正在利用影响 TBK 数字化视频记录 (DVR) 设备的一个未修复漏洞 (CVE-2018-9995)。该漏洞已存在五年之久。 CVE-2018-
继续阅读英特尔CPU曝安全漏洞,攻击者大量窃取数据
英特尔CPU曝安全漏洞,攻击者大量窃取数据 网络安全应急技术国家工程中心 2023-05-04 15:25 据BleepingComputer 4月24日消息,近日在 Arxiv.org 上发表的一篇技术论文揭示了一种针对多代英特尔CPU的攻击手法——利用新的侧信道攻击,让数据通过 EFLAGS 寄存器泄露。 这一与众不同的侧信道攻击由清华大学、马里兰大学和中国教育部计算机实验室 (BUPT) 的
继续阅读雷神众测漏洞周报2023.04.24-2023.05.03
雷神众测漏洞周报2023.04.24-2023.05.03 原创 雷神众测 雷神众测 2023-05-04 15:00 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读BrokenSesame 阿里云PostgreSQL 漏洞思考 –详情见原文
BrokenSesame 阿里云PostgreSQL 漏洞思考 –详情见原文 Wiz Research 黑伞安全 2023-05-04 08:24 原文链接 :https://www.wiz.io/blog/brokensesame-accidental-write-permissions-to-private-registry-allowed-potential-r#tldr 
继续阅读Java项目第三方库漏洞兼容修复
Java项目第三方库漏洞兼容修复 原创 senu11 安全学术圈 2023-05-02 22:17 原文标题:Compatible Remediation on Vulnerabilities from Third-Party Libraries for Java Projects原文作者:Lyuye Zhang, Chengwei Liu, Zhengzi Xu, Sen Chen, Lingl
继续阅读【安全圈】黑客利用PaperCut打印机漏洞传播Clop勒索软件!
【安全圈】黑客利用PaperCut打印机漏洞传播Clop勒索软件! 安全圈 2023-05-02 19:00 关键词 勒索软件 据 微软 称,Lace Tempest 使用多个 PowerShell 命令将 TrueBot 恶意软件下载程序传送到目标系统。在之前的 攻击 中,人们观察到 Lace Tempest 使用 Fortra 的 GoAnywhere 文件传输产品 漏洞 利用和 Raspbe
继续阅读PaperCut MF SetupCompleted 远程命令执行漏洞 CVE-2023-27350
PaperCut MF SetupCompleted 远程命令执行漏洞 CVE-2023-27350 原创 PeiQi文库 PeiQi文库 2023-05-02 13:50 漏洞描述 PaperCut MF NG 中 SetupCompleted接口中存在未授权访问漏洞,攻击者通过漏洞可以获取后台管理员权限,通过配置脚本JAVA扩展类,可以达到远程命令执行控制服务器 漏洞影响 PaperCut M
继续阅读【安全圈】黑客利用PaperCut打印机漏洞传播Clop勒索软件
【安全圈】黑客利用PaperCut打印机漏洞传播Clop勒索软件 安全圈 2023-04-28 19:20 关键词 与Clop勒索软件操作相关的黑客正在利用打印管理软件PaperCut中最近披露的两个漏洞来窃取受害者的公司数据。 在周三(26日)发布的一系列推文中,微软表示,他们将这些攻击归咎于他们追踪为Lace Tempest的威胁行为者——该组织的活动与FIN11和TA505重叠。 这个以经济
继续阅读VulRepair: 基于T5的自动软件漏洞修复
VulRepair: 基于T5的自动软件漏洞修复 原创 senu11 安全学术圈 2023-04-28 18:28 原文标题:VulRepair: A T5-Based Automated Software Vulnerability Repair原文作者:Michael Fu, Chakkrit Tantithamthavorn, Trung Le, Van Nguyen, Dinh Phung
继续阅读【已复现】Windows HTTP.sys 权限提升漏洞(CVE-2023-23410)安全风险通告
【已复现】Windows HTTP.sys 权限提升漏洞(CVE-2023-23410)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-04-27 19:29 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 Microsoft Windows
继续阅读TSRC拍了拍你,全新漏洞处理和评分标准即将上线~
TSRC拍了拍你,全新漏洞处理和评分标准即将上线~ 腾讯安全应急响应中心 2023-04-27 18:08 经过了多轮的意见征集和共创,全新的《TSRC漏洞处理和评分标准》正式和大家见面啦! 新标准(V3.2)联合了腾讯各业务团队和白帽师傅们,从 资产划分、评级标准、报告奖励等方面进行了全方位升级,以期减小评分争议,提升风险处置效率。 同时,为感谢师傅们长年以来的倾情付出,新标准也提升了基础奖励,
继续阅读思科服务器管理工具中存在 XSS 0day
思科服务器管理工具中存在 XSS 0day Sergiu Gatlan 代码卫士 2023-04-27 17:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今天,思科披露称其 PCD 软件中存在一个 0day 漏洞(CVE-2023-20060),可用于XSS 攻击活动中。 该服务器管理工具可使管理员在服务器上执行缓解或升级任务。该漏洞位于思科 PCD 14 的web 管理接口中,是
继续阅读CVE-2023-20869/20870:VMware Workstation/Fusion 漏洞通告
CVE-2023-20869/20870:VMware Workstation/Fusion 漏洞通告 原创 360CERT 三六零CERT 2023-04-27 15:53 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-129 报告来源:360CERT 报告作者:360CERT 更新日期:2023-04-27 1 漏洞简述 2023年04月27日,360CERT监测发现VMwa
继续阅读【漏洞通告】Apache Superset 身份认证绕过漏洞
【漏洞通告】Apache Superset 身份认证绕过漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2023-04-26 19:56 漏洞名称: Apache Superset 身份认证绕过漏洞(CVE-2023-27524) 组件名称: Apache Superset 影响范围: Apache Superset <= 2.0.1 漏洞类型: 身份认证绕过 利用条件: 1、用户认证:否
继续阅读【安全圈】2200倍!新的SLP漏洞引发史上最大DoS放大攻击
【安全圈】2200倍!新的SLP漏洞引发史上最大DoS放大攻击 安全圈 2023-04-26 19:27 关键词 数字风险保护 服务定位协议(SLP)的被曝高严重性安全漏洞,该漏洞可被用作武器化,对目标发起体积性拒绝服务(DoS)攻击。 Bitsight和Curesec的研究人员Pedro Umbelino和Marco Lux在一份与《黑客新闻》分享的报告中说:攻击者利用这个漏洞可以发动大规模的拒
继续阅读CVE-2023-27524:Apache Superset身份认证绕过漏洞通告
CVE-2023-27524:Apache Superset身份认证绕过漏洞通告 原创 360CERT 三六零CERT 2023-04-26 18:29 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-126 报告来源:360CERT 报告作者:360CERT 更新日期:2023-04-26 1 漏洞简述 2023年04月26日,360CERT监测发现Apache发布了Supers
继续阅读Apache Superset 会话验证漏洞可导致攻击者访问未授权资源
Apache Superset 会话验证漏洞可导致攻击者访问未授权资源 Thomas Claburn 代码卫士 2023-04-26 17:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今年年初早些时候,Apache Superset 中设置了不安全的默认配置,攻击者可借此登录并接管该数据可视化应用、窃取数据并执行恶意代码。该漏洞编号是CVE-2023-27524。 Apache S
继续阅读VMware 修复在 Pwn2Own 大赛上发现的两个严重0day
VMware 修复在 Pwn2Own 大赛上发现的两个严重0day Sergiu Gatlan 代码卫士 2023-04-26 17:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VMware 发布安全更新,修复了两个0day 漏洞。攻击者可组合利用这些漏洞,在运行未修复 Workstation 和 Fusion 软件管理程序的版本上获得代码执行权限。 STAR Labs 研究人员曾
继续阅读服务定位协议(SLP)任意服务注册漏洞安全风险通告
服务定位协议(SLP)任意服务注册漏洞安全风险通告 奇安信 CERT 2023-04-26 16:52 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 服务定位协议(Service Location Protocol)是一种服务发现协议,它让计算机或其他设备可以在无需预先设置的情况下在局域网中查找服务资源。 SLP 通常用于无线局域网和物联网中,以
继续阅读VMware Workstation与Fusion 多个高危漏洞安全风险通告
VMware Workstation与Fusion 多个高危漏洞安全风险通告 奇安信 CERT 2023-04-26 16:52 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 V Mware Workstation是一款功能强大的桌面虚拟计算机软件,提供用户可在单一的桌面上同时运行不同的操作系统,和进行开发、测试 、部署新的应用程序的最佳解决方案
继续阅读【已复现】Apache Superset身份认证绕过漏洞安全风险通告
【已复现】Apache Superset身份认证绕过漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-04-26 16:52 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 A pache Superset是 一种用于数据探索和数据可视化的开
继续阅读Netty和Tomcat环境下给Spring Cloud Function Spel RCE注入冰蝎内存马
Netty和Tomcat环境下给Spring Cloud Function Spel RCE注入冰蝎内存马 黑伞安全 2023-04-25 18:34 在Spring Cloud Function SpEL RCE细节公布后,分析的文章很多,这里不再对漏洞进行分析,一直以来的习惯就是对漏洞进行包装,Java中能RCE的漏洞尽量都注入冰蝎/哥斯拉/蚁剑内存马,而不是满足于简单的回显或一句话内存马,这
继续阅读CVE复现漏洞精讲-从基础到入门:现在报名立得20元优惠券
CVE复现漏洞精讲-从基础到入门:现在报名立得20元优惠券 看雪课程 看雪学苑 2023-04-25 18:06 想要成为一名优秀的漏洞挖掘工程师吗? 想要掌握CVE复现能力,提升自己的实战能力吗? 想要深入了解IoT、v8、Windows等多类型漏洞挖掘基础知识和实操吗? 《CVE复现漏洞精讲-从基础到入门》带你走进漏洞挖掘的世界。 如果你想要提升自己的漏洞挖掘能力,买它! 课程简介 本课程属于
继续阅读