漏洞风险提示 | Smartbi 远程命令执行漏洞
漏洞风险提示 | Smartbi 远程命令执行漏洞 长亭安全应急响应中心 2023-03-02 15:11 长亭漏洞风险提示 Smartbi 远程命令执行漏洞 Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,致力于为企业客户提供一站式商业智能解决方案。Smartbi三大产品包括企业报表平台、自助分析平台、数据挖掘平台,覆盖企业从传统BI到自助BI,再到智能BI
继续阅读标签: 漏洞
谷歌2022年发放了8200万元漏洞赏金,平均每个漏洞近3万元
谷歌2022年发放了8200万元漏洞赏金,平均每个漏洞近3万元 安全内参编译 安全内参 2023-03-02 11:19 关注我们 带你读懂网络安全 703名白帽子,2022年共提交2900个有效漏洞报告,斩获超8000万元奖金,平均每人可领取约18万元。 前情回顾·漏洞奖励计划动态 – 微软近一年发放了1亿元漏洞赏金:平均每个漏洞8.5万元 新加坡政府漏洞奖励计划年度总结:半数上报漏
继续阅读【安全圈】iPhone 存在重大漏洞! 歹徒靠“偷看”搬空银行存款
【安全圈】iPhone 存在重大漏洞! 歹徒靠“偷看”搬空银行存款 安全圈 2023-03-01 19:00 关键词 漏洞 众所周知,iPhone 允许使用手机密码重置苹果帐户密码,然而这被用来方便健忘人士的贴心设计却被别有用心之人利用。 据媒体最新报道,近期,越来越多 iPhone 用户向警方报案时称,手机被盗或被抢后,很快就进不去自己的苹果帐户,银行里的钱立即被盗。 报道称,歹徒只需采用偷看等
继续阅读Smartbi远程命令执行漏洞安全风险通告
Smartbi远程命令执行漏洞安全风险通告 奇安信 CERT 2023-03-01 16:50 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,为企业客户提供一站式商业智能解决方案。 Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平
继续阅读0day 速修!Smartbi 远程命令执行漏洞
0day 速修!Smartbi 远程命令执行漏洞 原创 微步情报局 微步在线研究响应中心 2023-03-01 14:58 01 漏洞概况 近日,微步在线通过“X漏洞奖励计划”获取到Smartbi大数据分析平台远程命令执行漏洞的0day相关漏洞情报,攻击者可以通过此漏洞进行任意命令执行,导致系统被攻击与控制。Smartbi是思迈特软件推出的商业智能BI软件,满足BI产品的发展阶段。思迈特软件整合
继续阅读Windows 2000系统的一个0day漏洞发现过程
Windows 2000系统的一个0day漏洞发现过程 Qfwfq- 看雪学苑 2023-02-28 18:00 本文为看雪论坛优秀文章 看雪论坛作者ID:Qfwfq- 其实安装这个系统的本意是折腾老游戏,装点菠萝1之类的玩玩,结果找到了个漏洞。 这个漏洞位于cmd.exe,是一个缓冲区溢出漏洞,我在公开资料上没有查询到该漏洞的任何信息,也不知道是我没查到,还是确实没人公开它,如果有谁查到这个漏洞
继续阅读明天开课!系统0day安全-二进制漏洞攻防
明天开课!系统0day安全-二进制漏洞攻防 看雪课程 看雪学苑 2023-02-28 18:00 二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成软件执行了非预期的功能。由于二进制漏洞大都涉及到系统层面,所以危害程度比较高。 因此,二进制漏洞的挖掘和分析就显得尤为重要,不仅能帮助安全从业者强化解决实际问题能力,掌握高效防御技能,还能及时发现业务系统内潜在的问题,赋能企业安全! 小
继续阅读Chromium 漏洞可用于绕过安卓设备上的安全特性
Chromium 漏洞可用于绕过安卓设备上的安全特性 Ben Dickson 代码卫士 2023-02-28 17:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 最近,Chromium 项目中修复了一个漏洞,它本可导致恶意人员绕过保护安卓浏览器上敏感cookie的安全特性SameSite。 SameSite 设置可使开发人员限制对cookie的访问。例如,通过设置 SameSite=
继续阅读QNAP推出新的漏洞奖励计划,覆盖应用、云服务和OS,最高赏金2万美元
QNAP推出新的漏洞奖励计划,覆盖应用、云服务和OS,最高赏金2万美元 Ionut Arghire 代码卫士 2023-02-28 17:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 位于中国台湾省的公司 QNAP Systems 宣布,通过新推出的漏洞奖励计划提交漏洞的研究员,最高可获得2万美元的奖励。 QNAP 因网络附加存储 (NAS) 和专业的网络视频录像机 (NVR) 解决
继续阅读针对痛点修复: 2023年有效的漏洞管理
针对痛点修复: 2023年有效的漏洞管理 网络安全应急技术国家工程中心 2023-02-28 14:36 最近发布的 Security Navigator 报告数据显示,企业仍需要大约215天来修复一个报告的漏洞。即便是关键漏洞,通常也需要6个月以上的时间来修复。 良好的漏洞管理,并不在于修复漏洞方面的速度。它更在于通过漏洞优先级来将重心放在真正要紧的漏洞上,从而减少公司的攻击面。公司的数据和威胁
继续阅读山石网科获CVE漏洞编号颁发权限CNA
山石网科获CVE漏洞编号颁发权限CNA 安研院 山石网科安全技术研究院 2023-02-28 10:15 山石网科获CVE漏洞编号颁发权限 近日,山石网科通过 CNA 准入程序,正式成为 CVE 编号颁发机构CNA。 CVE全称是 Common Vulnerabilities & Exposures(通用漏洞 & 披露),是全球安全领域最知名的一个漏洞披露库,类似于中国的国家信
继续阅读上周关注度较高的产品安全漏洞(20230220-20230226)
上周关注度较高的产品安全漏洞(20230220-20230226) 国家互联网应急中心CNCERT 2023-02-27 16:44 一、境外厂商产品漏洞 1、Siemens Tecnomatix Plant Simulation越界写入漏洞(CNVD-2023-10619) Siemens Tecnomatix Plant Simulation是面向对象的、图形化的、集成的建模、仿真工具。Sie
继续阅读【TrustZone相关漏洞导读】Glitched on Earth by Humans
【TrustZone相关漏洞导读】Glitched on Earth by Humans 关键基础设施安全应急响应中心 2023-02-25 10:27 议题名称:Glitched on Earth by Humans: A Black-Box Security Evaluation of the SpaceX Starlink User Terminal (2022.08)[1] 议题视频:ht
继续阅读【火绒安全周报】谷歌支付1200万美元的漏洞赏金/动视暴雪疑似员工信息遭泄露
【火绒安全周报】谷歌支付1200万美元的漏洞赏金/动视暴雪疑似员工信息遭泄露 火绒安全 火绒安全 2023-02-24 18:00 01 谷歌向安全研究人员支付1200万美元的漏洞赏金 近期,谷歌发布了漏洞奖励计划 的统计数据,详细概述了安全研究人员如何发现安全漏洞以及获得的漏洞赏金数额。资料显示,2022年, 谷歌 为安全研究人员报告的2900多个漏洞,支付超1200万美元赏金 ,是其有 史以来
继续阅读【漏洞预警】Joomla未授权访问漏洞
【漏洞预警】Joomla未授权访问漏洞 SecPulse安全脉搏 2023-02-23 11:30 1. 通告信息 近日,安识科技 A-Team团队监测到Joomla官方发布安全公告,修复了Joomla! CMS中的一个未授权访问漏洞(CVE-2023-23752),目前该漏洞的细节及PoC/EXP已公开。 对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击
继续阅读【漏洞通告】Fortinet FortiNAC 远程代码执行漏洞(CVE-2022-39952)
【漏洞通告】Fortinet FortiNAC 远程代码执行漏洞(CVE-2022-39952) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-02-22 18:07 漏洞名称: Fortinet FortiNAC 远程代码执行漏洞(CVE-2022-39952) 组件名称: Fortinet FortiNAC 影响范围: FortiNAC 9.4.0 FortiNAC 9.2.x ≤ 9.
继续阅读【漏洞通告】Joomla未授权访问漏洞(CVE-2023-23752)
【漏洞通告】Joomla未授权访问漏洞(CVE-2023-23752) 深瞳漏洞实验室 深信服千里目安全技术中心 2023-02-22 18:07 漏洞名称: Joomla未授权访问漏洞(CVE-2023-23752) 组件名称: Joomla 影响范围: 4.0.0 ≤ Joomla ≤ 4.2.7 漏洞类型: 未授权访问 利用条件: 1、用户认证:不需要2、前置条件:无3、触发方式:远程 综合
继续阅读CVE-2016-7255提权漏洞学习笔记
CVE-2016-7255提权漏洞学习笔记 1900 看雪学苑 2023-02-22 17:59 本文为看雪论坛优秀文章 看雪论坛作者ID:1900 1.漏洞描述 该漏洞存在于win32k中的xxxNextWindow函数中,该函数没有对tagWND对象的spmenu成员的合法性进行验证,就直接将其作为合法地址进行读写,导致了BSOD的产生。通过将spmenu设置为特定的值,可以让tagWND对象
继续阅读VMware 修复严重的Carbon Black App Control漏洞
VMware 修复严重的Carbon Black App Control漏洞 Ryan Naraine 代码卫士 2023-02-22 17:19 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 虚拟化技术巨头VMware 周二推出重要安全修复方案,修复了其面向企业的Carbon Black App Control 产品中的一个严重漏洞 (CVE-2023-20858)。 VMware 公司
继续阅读苹果更新安全公告,新增三个漏洞
苹果更新安全公告,新增三个漏洞 Eduard Kovacs 代码卫士 2023-02-22 17:19 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周一,苹果公司更新了多份安全公告,新增iOS 和macOS 漏洞,其中包括几个新型漏洞。 iOS 16.3和macOS Ventura 13.2 安全公告,最初在1月23日发布,最近新增了三个漏洞。其中一个新增漏洞是CVE-2023-235
继续阅读VMware Carbon Black App Control 远程代码执行漏洞安全风险通告
VMware Carbon Black App Control 远程代码执行漏洞安全风险通告 奇安信 CERT 2023-02-22 17:13 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 VMware Carbon Black App Control(AppC),是市场上最成熟和可扩展的应用控制解决方案之一,提供应用设备控制,高级威胁检测等服
继续阅读【已复现】Fortinet FortiNAC 远程代码执行漏洞安全风险通告第二次更新
【已复现】Fortinet FortiNAC 远程代码执行漏洞安全风险通告第二次更新 奇安信 CERT 2023-02-22 17:13 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 FortiNAC(Network Access Control) 是Fortinet的一种零信任网络访问控制解决方案,可增强用户对企业网络上的物联网 (IoT) 设
继续阅读关于Joomla存在未授权访问漏洞的安全公告
关于Joomla存在未授权访问漏洞的安全公告 原创 CNVD CNVD漏洞平台 2023-02-22 15:57 安全公告编号:CNTA-2023-0005 2023年2月22日,国家信息安全漏洞共享平台(CNVD)收录了Joomla未授权访问漏洞(CNVD-2023-11024,对应CVE-2023-23752)。未经授权的攻击者可远程利用该漏洞获得服务器敏感信息。目前,该漏洞的利用细节和测试代
继续阅读TouchEn nxKey键盘加密应用程序出现的许多漏洞很容易使其被黑化
TouchEn nxKey键盘加密应用程序出现的许多漏洞很容易使其被黑化 luochicun 嘶吼专业版 2023-02-22 12:00 TouchEn nxKey是韩国安全软件公司Raonsecure开发的端到端加密应用程序,用于保证键盘使用时的全方位安全,目前这个应用程序主要用于韩国的金融业务,在韩国几乎所有电脑上都安装了这款软件。如果你想在韩国操作网上银行业务,就必须使用它。不过韩国人对它
继续阅读.NET 任意文件下载漏洞绕过
.NET 任意文件下载漏洞绕过 专攻.NET安全的 dotNet安全矩阵 2023-02-22 09:25
继续阅读热门开源代理 HAProxy 修复HTTP请求伪造漏洞
热门开源代理 HAProxy 修复HTTP请求伪造漏洞 Ben Dickson 代码卫士 2023-02-21 17:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门的开源负载均衡器和反向代理 HAProxy 修复了一个漏洞,可导致攻击者发动HTTP请求走私攻击。攻击者可发送恶意构造的HTTP请求,绕过HAProxy的过滤器并获得对后端服务器的越权访问权限。 01 被释放的标头 H
继续阅读CVE-2023-23752:Joomla未授权访问漏洞通告
CVE-2023-23752:Joomla未授权访问漏洞通告 原创 360CERT 三六零CERT 2023-02-21 16:53 赶紧点击上方话题进行订阅吧! 报告编号: 报告来源:360CERT 报告作者:360CERT 更新日期:2023-02-21 1 漏洞简述 2023年02月21日,360CERT监测发现Joomla官方发布了Joomla未授权访问漏洞的风险通告,漏洞编号为CVE-2
继续阅读CVE-2023-24998:Apache Commons FileUpload拒绝服务漏洞通告
CVE-2023-24998:Apache Commons FileUpload拒绝服务漏洞通告 原创 360CERT 三六零CERT 2023-02-21 16:53 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-022102 报告来源:360CERT 报告作者:360CERT 更新日期:2023-02-21 1 漏洞简述 2023年02月21日,360CERT监测发现Apache官方
继续阅读漏洞风险提示 | Joomla webservice 接口未授权访问漏洞(CVE-2023-23752)
漏洞风险提示 | Joomla webservice 接口未授权访问漏洞(CVE-2023-23752) 长亭安全应急响应中心 2023-02-21 16:08 长亭漏洞风险提示 Joomla webservice 接口未授权 访问漏洞(CVE-2023-23752) Joomla是一套全球知名的内容管理系统(CMS),使用PHP语言加上MySQL数据库所开发,可以在Linux、Wi
继续阅读Fortinet FortiNAC 远程代码执行漏洞安全风险通告
Fortinet FortiNAC 远程代码执行漏洞安全风险通告 奇安信 CERT 2023-02-21 12:00 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 FortiNAC(Network Access Control) 是Fortinet的一种零信任网络访问控制解决方案,可增强用户对企业网络上的物联网 (IoT) 设备的监控。 NAC
继续阅读