SolarWinds 平台修复两个高危漏洞
SolarWinds 平台修复两个高危漏洞 Ionut Arghire 代码卫士 2023-04-25 17:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SolarWinds 平台修复了两个高危漏洞,它们可分别导致命令执行和权限提升后果。 其中较为严重的是CVE-2022-36963(CVSS评分8.8),是位于 SolarWinds 的基础设施监控和管理解决方案中的命令注入漏洞。
继续阅读标签: 漏洞
施耐德电气 UPS 软件中存在严重的未认证 RCE 漏洞
施耐德电气 UPS 软件中存在严重的未认证 RCE 漏洞 Bill Toulas 代码卫士 2023-04-25 17:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 施耐德电气公司旗下的 Easy UPS 在线监控软件易受未认证任意远程代码执行漏洞影响,可导致黑客接管设备;在最糟糕情况下可禁用其功能。 不间断电源供应 (UPS) 设备在保护数据中心、服务器机房和更小的网络基础设施中发
继续阅读上周关注度较高的产品安全漏洞(20230417-20230423)
上周关注度较高的产品安全漏洞(20230417-20230423) 国家互联网应急中心CNCERT 2023-04-25 16:09 一、境外厂商产品漏洞 1、 ZOHO ManageEngine ADManager Plus远程命令漏洞 ZOHO ManageEngine ADManager Plus是美国卓豪(ZOHO)公司的一套为使用Windows域的企业用户设计的微软活动目录管理软件。ZO
继续阅读雷神众测漏洞周报2023.04.17-2023.04.23
雷神众测漏洞周报2023.04.17-2023.04.23 原创 雷神众测 雷神众测 2023-04-25 15:01 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读vm2再爆沙箱逃逸漏洞
vm2再爆沙箱逃逸漏洞 ang010ela 嘶吼专业版 2023-04-25 12:01 vm2再爆沙箱逃逸漏洞,CVSS评分9.8。 VM2是nodejs 实现的一个沙箱环境,一般用于测试不受信任的 JavaScript 代码。允许代码部分执行,可以预防对系统资源和外部数据的非授权访问。VM2通过NPM的月下载量超过1600万,被广泛应用于IDE、代码编辑器、FaaS解决方案、渗透测试框架、安全
继续阅读【已复现】Strapi 多个高危漏洞安全风险通告第二次更新
【已复现】Strapi 多个高危漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-04-24 20:08 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 Strapi 是下一代 headless CMS、开源、javascript,
继续阅读【已复现】泛微Ecology SQL注入漏洞安全风险通告
【已复现】泛微Ecology SQL注入漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-04-24 20:08 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流
继续阅读VRepair:修复c语言安全漏洞的神经迁移学习
VRepair:修复c语言安全漏洞的神经迁移学习 原创 senu11 安全学术圈 2023-04-24 19:51 原文标题:Neural Transfer Learning for Repairing Security Vulnerabilities in C Code原文作者:Zimin Chen , Steve Kommrusch , Martin Monperrus原文链接:https:/
继续阅读同程黑盒漏洞扫描系统 – 飞刃(nextscan)正式发布
同程黑盒漏洞扫描系统 – 飞刃(nextscan)正式发布 原创 lysrc 同程旅行安全应急响应中心 2023-04-24 18:22 1 Part.1 简介 黑盒漏洞扫描器作为企业安全建设中重要的一环,同程在此过程中也试用过业界很多扫描器,但是都无法很好满足我们扫描需求,比如无法支持分布式部署、扫描目标来源单一、没有限速容易扫挂业务、想自己添加漏洞插件,不支持,不方便? 基于上述原
继续阅读在阿里云PostgreSQL数据库中发现安全漏洞
在阿里云PostgreSQL数据库中发现安全漏洞 ang010ela 嘶吼专业版 2023-04-24 12:51 研究人员在阿里云PostgreSQL数据库中发现2个安全漏洞。 ApsaraDB RDS for PostgreSQL和AnalyticDB for PostgreSQL是阿里的两个云服务。ApsaraDB RDS是管理数据库托管服务,具有自动监控、备份、灾备功能。ApsaraDB
继续阅读Weblogic T3 (IIOP)协议漏洞分析(三)
Weblogic T3 (IIOP)协议漏洞分析(三) 深蓝 bluE0x00 2023-04-23 22:18 前言 最近在看一些其他东西,加上工作内容有些变动,原本的Weblogic分析拖了很久才发出来。时间隔得有点久了,若是文章中有借鉴了其他师傅的内容忘了标注,请指出。之前做复现时顺手挖了3个洞,oracle只收了一个,并且不回复原因…不知道啥情况,待补丁发布之后再另出文章分析吧
继续阅读【安全圈】美国CISA最新收录三大漏洞,涉及谷歌和ChatGPT!
【安全圈】美国CISA最新收录三大漏洞,涉及谷歌和ChatGPT! 安全圈 2023-04-23 20:00 关键词 勒索软件 上周五,美国网络安全和基础设施安全局(CISA)在其漏洞(KEV)目录中新增三个安全漏洞,具体如下: CVE-2023-28432 (CVSS评分- 7.5)- MinIO信息泄露漏洞 CVE-2023-27350 (CVSS评分- 9.8)-剪纸MF/NG不当访问控制漏
继续阅读漏洞风险提示 | 泛微 Ecology OA SQL 注入漏洞
漏洞风险提示 | 泛微 Ecology OA SQL 注入漏洞 长亭技术沙盒 黑伞安全 2023-04-23 18:28 长亭漏洞风险提示 泛微 Ecology OA SQL 注入漏洞# 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
继续阅读GhostToken 漏洞导致恶意应用隐藏在谷歌云平台中
GhostToken 漏洞导致恶意应用隐藏在谷歌云平台中 Ravie Lakshmanan 代码卫士 2023-04-23 16:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员披露了谷歌云平台 (GCP) 中一个已修复 0day 的详情。该漏洞可导致攻击者在受害者的谷歌账户中披露不可删除的恶意应用程序。以色列安全公司Astrix Security 将该漏洞称为 “Gho
继续阅读阿里云数据库曝出两个严重漏洞,全球公有云漏洞层出不穷
阿里云数据库曝出两个严重漏洞,全球公有云漏洞层出不穷 网络安全应急技术国家工程中心 2023-04-23 15:19 美国云安全公司Wiz发现一组阿里云数据库漏洞,可用于突破租户隔离保护机制,访问其他客户的敏感数据。 注:本文报道的漏洞已得到修复或缓解。 4月21日消息,阿里云数据库ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreSQL曝出一
继续阅读黑入AI:通过MLflow漏洞接管系统和云
黑入AI:通过MLflow漏洞接管系统和云 关键基础设施安全应急响应中心 2023-04-23 15:19 CVE-2023-1177:MLflow中的LFI/RFI LFI/RFI导致系统和云帐户被接管 所有CVE在版本2.2.2中已经被修复 已发布了漏洞利用工具和扫描工具 机器学习系统领域最流行的工具之一是MLflow(月下载量超过1300万人次,且这个数字还在增长),它用于管理端到端机器学
继续阅读Netatalk CVE-2018-1160 复现及漏洞利用思路
Netatalk CVE-2018-1160 复现及漏洞利用思路 Cx1ng 看雪学苑 2023-04-22 17:59 本文为看雪论坛精华文章 看雪论坛作者ID:Cx1ng Netatalk 是一个 Apple Filing Protocol (AFP) 的开源实现。它为 Unix 风格系统提供了与 Macintosh 文件共享的功能。AFP的数据流量包格式为DSI(Data Stream In
继续阅读【已复现】Apache Druid 远程代码执行漏洞安全风险通告第二次更新
【已复现】Apache Druid 远程代码执行漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-04-22 00:00 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 Apache Druid是一个高性能的实时大数据分析引擎,支持
继续阅读漏洞通告:Google Chrome Skia整数溢出漏洞 CVE-2023-2136
漏洞通告:Google Chrome Skia整数溢出漏洞 CVE-2023-2136 深瞳漏洞实验室 深信服千里目安全技术中心 2023-04-21 19:26 漏洞名称: Google Chrome Skia整数溢出漏洞 CVE-2023-2136 组件名称: Google Chrome 影响范围: Google Chrome < 112.0.5615.137 漏洞类型: 沙箱逃逸 利用
继续阅读【安全圈】现已修复!阿里云SQL 数据库曝两个关键漏洞
【安全圈】现已修复!阿里云SQL 数据库曝两个关键漏洞 安全圈 2023-04-21 19:02 关键词 漏洞 近日,The Hacker News 网站披露,阿里云 ApsaraDB RDS for PostgreSQL 和 AnalyticDB for PostgreQL 数据库爆出两个关键漏洞。潜在攻击者能够利用这两个漏洞破坏租户隔离保护,访问其它客户的敏感数据。 云安全公司 Wiz 在与
继续阅读Apache Druid远程代码执行漏洞安全风险通告
Apache Druid远程代码执行漏洞安全风险通告 奇安信 CERT 2023-04-21 18:12 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Apache Druid是一个高性能的实时大数据分析引擎,支持快速数据摄取、实时查询和数据可视化。 它主要用于OLAP(在线分析处理)场景,能处理PB级别 的数据。 Druid具有高度可扩展、低延
继续阅读Strapi 多个高危漏洞安全风险通告
Strapi 多个高危漏洞安全风险通告 奇安信 CERT 2023-04-21 18:12 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Strapi 是下一代 headless CMS、开源、javascript,可以创建、管理内容丰富的体验并将其展示给任何数字设备。 近日,奇安信CERT监测到 Strapi 远程代码执行漏洞(CVE-2023
继续阅读VMware 修复严重的 vRealize 反序列化漏洞,可导致任意代码执行
VMware 修复严重的 vRealize 反序列化漏洞,可导致任意代码执行 Sergiu Gatlan 代码卫士 2023-04-21 16:30 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VMware 公司修复了一个严重的 vRealize Log Insight 漏洞 (CVE-2023-20864),可导致远程攻击者在易受攻击的设备上执行代码。 VRealize Log Ins
继续阅读罗克韦尔控制器身份认证漏洞CVE-2018-17924分析复现
罗克韦尔控制器身份认证漏洞CVE-2018-17924分析复现 网络安全应急技术国家工程中心 2023-04-21 15:15 Rockwell Automation是全球最大的自动化和信息化公司之一,拥有众多的产品,涵盖高级过程控制、变频器、运动控制、HMI、马达控制中心、分布式控制系统、可编程控制器等。 Part1 漏洞状态 Part2 漏洞描述 测试设备: AB1756 Part3 漏洞分析
继续阅读谷歌修复今年的第二个已遭利用 Chrome 0day
谷歌修复今年的第二个已遭利用 Chrome 0day Bill Toulas 代码卫士 2023-04-20 17:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布 Chrome 安全更新,修复了今年以来已遭利用的第二个 0day 漏洞CVE-2023-2136。 谷歌在安全公告中指出,“谷歌已发现在野的CVE-2023-2136 exploit。”本次发布的Chrome 版本
继续阅读【漏洞预警】Oracle WebLogic 4月份补丁日安全通告
【漏洞预警】Oracle WebLogic 4月份补丁日安全通告 SecPulse安全脉搏 2023-04-20 11:55 1. 通告信息 近日, 安识科技 A-Team团队监测 到一则 Oracle WebLogic官方发布安全补丁的通告,其中包含4个高危漏洞的信息。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。 2. 漏洞概述 1、Oracle
继续阅读漏洞风险提示 | WebLogic多个高危漏洞
漏洞风险提示 | WebLogic多个高危漏洞 长亭安全应急响应中心 2023-04-20 11:45 长亭漏洞风险提示 WebLogic多个高危漏洞 Oracle 官方在 4 月 19 日发布了重要补丁更新 CPU(Critical Patch Update),其中修复了存在于 Oracle WebLogic Server 中的多个高危漏洞:https://www.oracle.c
继续阅读Weblogic CVE-2023-21931 漏洞挖掘技巧:后反序列化利用
Weblogic CVE-2023-21931 漏洞挖掘技巧:后反序列化利用 原创 14m3ta7k GobySec 2023-04-20 09:39 G o b y 社 区 第 2 篇 漏 洞 分 析 文 章 全 文 共 : 6 856 字 预 计 阅 读 时 间 : 1 8 分 钟 01概述 近些年,Weblogic 反序列化漏洞一直围绕着反序列化的触发点进行漏洞挖掘,事实上还有很多存在反序列
继续阅读谷歌联合网络安全公司创建漏洞挖掘基金,为保护白帽黑客免受法律追究
谷歌联合网络安全公司创建漏洞挖掘基金,为保护白帽黑客免受法律追究 看雪学苑 看雪学苑 2023-04-19 18:11 据外媒报道,Google和多家网络安全公司联合创建了一个旨在为白帽黑客提供支持的基金。该基金将为网络安全研究及渗透测试人员提供法律援助,以帮助他们避免因好心替企业挖漏洞而受到不公正的追究。 “白帽黑客”:善意的漏洞排查,以黑客技术,行维护安全之事。 “黑帽黑客”:非法入侵系统,进
继续阅读系统0day安全-二进制漏洞攻防
系统0day安全-二进制漏洞攻防 看雪课程 看雪学苑 2023-04-19 18:11 二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成软件执行了非预期的功能。由于二进制漏洞大都涉及到系统层面,所以危害程度比较高。 因此,二进制漏洞的挖掘和分析就显得尤为重要,不仅能帮助安全从业者强化解决实际问题能力,掌握高效防御技能,还能及时发现业务系统内潜在的问题,赋能企业安全! 小班教学,
继续阅读