【漏洞通告】Progress Software LoadMaster远程命令执行漏洞(CVE-2024-7591) 启明星辰安全简讯 2024-09-09 17:55 一、漏洞概述 漏洞名称 Progress Software LoadMaster远程命令执行漏洞 CVE ID CVE-2024-7591 漏洞类型 命令执行 发现时间 2024-09-06 漏洞评分 10.0 漏洞等级 高危
继续阅读CISA提醒注意百特、三菱产品中的多个ICS 漏洞 Jai Vijayan 代码卫士 2024-09-09 17:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,美国网络安全和基础设施安全局(CISA)提醒注意,位于广泛用于医疗和关键制造业中的两个ICS漏洞易遭利用。 这些漏洞影响 Baxter(百特)的Connex Health Portal 和 Mitsubishi(三菱)电
继续阅读或致防火墙崩溃!SonicWall SonicOS 管理访问和 SSLVPN 中存在访问控制不当漏洞 安全客 2024-09-09 15:07 SonicWall 透露,最近修补的一个影响 SonicOS 的关键安全漏洞可能已被利用,敦促用户尽快应用补丁。 该漏洞被跟踪为 CVE-2024-40766,CVSS 评分为9.3分。 SonicWall 在更新的公告中表示:“在 SonicWall S
继续阅读中控智慧终端漏洞:黑客可访问受限区域 网络研究观 网络研究观 2024-09-07 22:00 卡巴斯基实验室专家谈到了制造商中控智慧生物识别终端中发现的众多漏洞。 这些问题可用于绕过访问控制系统并物理进入受保护区域,以及窃取生物识别数据、更改数据库以及安装后门。 研究人员研究的生物识别阅读器广泛应用于世界各地的各个行业,从核电站和制造业到办公室和医疗机构。 该设备支持四种用户身份验证方式:生物识
继续阅读【漏洞复现】Apache OFBiz远程代码执行漏洞(CVE-2024-45195) 启明星辰安全简讯 2024-09-06 18:32 一、漏洞概述 漏洞名称 Apache OFBiz远程代码执行漏洞 CVE ID CVE-2024-45195 漏洞类型 RCE 发现时间 2024-09-04 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/
继续阅读齐向东:“数据三角”的安全体系各自为战,是网络安全最大漏洞 奇安信集团 2024-09-04 18:22 9月4日,第二届网络空间安全(天津)论坛在天津举行。 开幕仪式由天津市副市长,市公安局党委书记、局长王瑛玮主持,天津市委副书记、市长张工,公安部党委委员、副部长陈思源,中央网信办、国家网信办总工程师孙蔚敏,工业和信息化部总工程师赵志国出席并致辞。中国工程院院士邬江兴、中国科学院院士郑建华、卡巴
继续阅读【漏洞通告】某海云eHR系统pc.mob接口SQL注入漏洞 原创 常行安服团队 常行科技 2024-08-30 21:20 某海 eHR 系统,聚焦人力资源管理痛点,打破传统 eHR 系统各功能模块数据割裂局限,为企业打造数据一体化、流程一体化、终端一体化的智能互联人力资源管理解决方案,构建业务闭环流畅、全局数据贯通、系统高度集成、权限规范可控的一站式人力资源管理数字化平台。 漏洞概述 漏洞名称
继续阅读【漏洞复现】Google Chrome V8类型混淆漏洞(CVE-2024-5274) 启明星辰安全简讯 2024-08-30 18:37 一、漏洞概述 **** 漏洞名称 Google Chrome V8类型混淆漏洞 CVE ID CVE-2024-5274 漏洞类型 类型混淆 发现时间 2024-05-24 漏洞评分 8.8 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低
继续阅读【漏洞通告】Ivanti Avalanche XXE漏洞(CVE-2024-38653) 启明星辰安全简讯 2024-08-30 18:37 一、漏洞概述 漏洞名称 Ivanti Avalanche XXE漏洞(CVE-2024-38653) CVE ID CVE-2024-38653 漏洞类型 XXE 发现时间 2024-08-14 漏洞评分 8.2 漏洞等级 高危 攻击向量 网络
继续阅读SonicWall 提醒注意严重的SonicOS 访问控制漏洞 Bill Toulas 代码卫士 2024-08-28 17:26 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SonicWall 公司的 SonicOS 产品易受一个严重的访问能控制漏洞(CVE-2024-40766) 影响,可导致攻击者获得对资源的越权访问权限或导致防火墙崩溃。 该漏洞的CVSS v3评分为9.3,其攻击
继续阅读审计发现FBI的数据存储管理存在重大漏洞 关键基础设施安全应急响应中心 2024-08-27 15:37 据The Hacker News消息,美国司法部监察长办公室 (OIG) 的一项审计发现, FBI 在库存管理和处置涉及机密数据的电子存储媒体方面存在「重大漏洞」。 OIG 的审计显示,FBI 对包含敏感但未分类 (SBU) 、存储机密国家安全信息 (NSI) 的电子介质库存管理存在三大主要问
继续阅读2024 年第 2 季度的漏洞利用和漏洞 卡巴斯基威胁情报 2024-08-24 15:00 2024 年第 2 季度是多事之秋,因为应用程序和操作系统出现了新的有趣的漏洞和利用技术。通过易受攻击的驱动程序进行的攻击已成为操作系统中权限提升的一种通用手段。此类攻击值得注意,因为漏洞不一定是最新的,因为攻击者本身会向系统提供未打补丁的驱动程序。本报告考虑了网络犯罪分子可用于攻击目标系统的公开研究的统
继续阅读【漏洞通告】WordPress LiteSpeed Cache权限提升漏洞(CVE-2024-28000) 启明星辰安全简讯 2024-08-23 18:07 一、漏洞概述 漏洞名称 WordPress LiteSpeed Cache权限提升漏洞 CVE ID CVE-2024-28000 漏洞类型 权限提升 发现时间 2024-08-22 漏洞评分 9.8 漏洞等级 高危 攻击向量 网络
继续阅读警惕!工业企业生产网核心系统接口发现漏洞,生产设备可被操控 盛邦安全WebRAY 2024-08-19 19:15 近日,盛邦安全技术团队在为某工业企业进行网络安全保障过程中,发现其生产控制区域监管调度系统存在API接口漏洞,可能导致其生产数据发生泄露,甚至可能出现生产设备被控的严重风险,盛邦安全第一时间为用户进行了风险评估,并采用专用的API安全防护设备强化了监测与防护方案。此次事件为用户敲响了
继续阅读上周关注度较高的产品安全漏洞(20240805-20240811) 国家互联网应急中心CNCERT 2024-08-13 15:06 一、境外厂商产品漏洞 1、 Mozilla Firefox和Thunderbird代码执行漏洞(CNVD-2024-34597)**** Mozilla Firefox是一款开源Web浏览器。Mozilla Thunderbird是一套从Mozilla Applic
继续阅读【漏洞通告】FreeBSD OpenSSH远程代码执行漏洞(CVE-2024-7589) 启明星辰安全简讯 2024-08-12 17:44 一、漏洞概述 漏洞名称 FreeBSD OpenSSH远程代码执行漏洞 CVE ID CVE-2024-7589 漏洞类型 竞争条件 发现时间 2024-08-12 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 高 用户交互
继续阅读【8/7特辑】热点漏洞速递 安恒研究院 安恒信息CERT 2024-08-07 17:36 漏洞导览 · 用友 U8-Cloud 存在SQL注入漏洞 · 用友 U8-Cloud 存在SQL注入漏洞 · 金和OA存在SQL注入漏洞 · 浪潮云财务系统存在远程命令执行漏洞 漏洞概况 在当前网络攻防演练中,安恒信息CERT正紧密关注近期曝光的安全漏洞,持续进行监测和深入梳理。我们将对监测到的每一个漏洞进
继续阅读CVE-2024-38856:Apache OFBiz 存在未经授权的代码执行漏洞 flyme 独眼情报 2024-08-05 11:38 Apache OFBiz 是广泛采用的开源企业资源规划 (ERP) 平台,最近发现一个漏洞,由于可能存在未经授权的代码执行,因此引发了紧急安全警告。该漏洞的编号为 CVE-2024-38856 ,级别为“ 重要 ”,但安全专家警告各组织应立即采取行动,因为 E
继续阅读Calibre 电子书软件存在严重安全漏洞 flyme 独眼情报 2024-08-05 11:38 Calibre 是一款流行的跨平台电子书管理软件,存在三个重大安全漏洞。STAR Labs SG Pte. Ltd. 的研究人员发现这些漏洞可能会使数百万用户面临各种网络威胁。 图片:Starlabs 第一个漏洞被追踪为 CVE-2024-7008 (CVSS 5.3) ,它 使 攻击者能够将恶意
继续阅读身份危机:Delinea 本地特权升级漏洞的奇怪案例 Ots安全 2024-07-27 16:39 在最近的一次客户接触中,CyberArk Red Team 发现并利用了 Delinea 权限管理器(以前称为 Thycotic 权限管理器)中的特权提升 (EoP) 漏洞 ( CVE-2024-39708 )。此漏洞允许非特权用户以 SYSTEM 身份执行任意代码。作为我们致力于为安全社区做出贡献
继续阅读CVE-2024-39676:Apache Pinot 存在敏感数据泄露漏洞 flyme 独眼情报 2024-07-27 11:27 Apache Pinot 是一个实时分析开源平台,可提供闪电般的洞察力、轻松的扩展和具有成本效益的数据驱动决策,最近披露了一个严重的安全漏洞 (CVE-2024-39676)。此漏洞可能允许未经授权的参与者访问敏感的系统信息,从而可能导致数据泄露和安全漏洞。 该漏洞
继续阅读LangChain曝关键漏洞,数百万AI应用面临攻击风险 疯狂冰淇淋 FreeBuf 2024-07-27 09:31 左右滑动查看更多 LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日,来自Palo
继续阅读【安全圈】LangChain曝关键漏洞,数百万AI应用面临攻击风险 安全圈 2024-07-26 19:00 关键词 安全漏洞 LangChain是一个流行的开源生成式人工智能框架,其官网介绍,有超过一百万名开发者使用LangChain框架来开发大型语言模型(LLM)应用程序。LangChain的合作伙伴包括云计算、人工智能、数据库和其他技术开发领域的许多知名企业。 近日,来自Palo Alto
继续阅读【安全圈】某些版本的 Docker Engine 存在一个关键漏洞,在特定情况下可被利用来绕过授权插件 (AuthZ)。 安全圈 2024-07-26 19:00 关键词 安全漏洞 在某些版本的 Docker 引擎中,被跟踪为 CVE-2024-41110(CVSS 评分为 10.0)的漏洞可允许攻击者在特定情况下绕过授权插件 (AuthZ)。 Moby Project 维护者发布的公告中写道:
继续阅读探讨非 http 供应链产品漏洞防范与不停业务之策| 总第255周 原创 群秘 君哥的体历 2024-07-26 16:00 0x1本周话题 话题: 已知某非 http 的供应链产品存在漏洞,自己在用,并面向互联网提供服务,漏洞利用条件未知。已知这个资产一旦被入侵,必须停业务。大家觉得做到怎样了,才可以不把这个业务停了。 A1:对供应链提安全要求,修复漏洞呗。安全owner业务,要业务
继续阅读Docker紧急修复已存在6年且可导致系统接管的CVSS满分严重漏洞 Edward Kovacs 代码卫士 2024-07-25 19:53 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Docker 发布紧急安全公告,修复了位于 Docker Engine 某些版本中的一个严重漏洞 (CVE-2024-41110),它在一定条件下可绕过授权插件 (AuthZ)。 该漏洞的CVSS评分为满
继续阅读专题·漏洞治理 | 软件安全研发成熟度模型研究与实践 原创 王滨 中国信息安全 2024-07-24 17:14 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 杭州海康威视数字技术股份有限公司 王滨 物联网已经渗透到社会经济的方方面面,构建出一个全新的智能化世界。然而,物联网设备的快速增长加剧了网络的开放性和复杂性,由此带来的日益严峻的安全挑战成为制约
继续阅读神漏洞!远程篡改红绿灯时间,制造交通堵塞事故 安全内参编译 安全内参 2024-07-22 17:41 关注我们 带你读懂网络安全 虽然无法切换红灯绿灯,但通过篡改信号时长,依然可以制造出交通堵塞事故; 研究员已发现数十个公网暴露的Intelight X-1交通信号灯。 前情回顾·无所不能的漏洞 – 神漏洞!GE医疗超声设备感染勒索软件,设备停摆、数据遭篡改 神漏洞!热门扳手感染勒索软
继续阅读【已复现】Nacos 后台 removal 接口 SQL 执行致远程代码执行漏洞 长亭安全应急响应中心 2024-07-19 20:19 Nacos是一个开源的服务发现和配置管理平台,专门为微服务架构设计,用于帮助构建动态服务发现、服务配置管理、服务元数据及流量管理。2024年7月,互联网披露了一个Nacos的漏洞利用。经分析,攻击者可利用该漏洞获取操作系统权限,建议受影响的客户尽快修复漏洞。 漏
继续阅读98%企业存NDay漏洞超5年,风险高端局得怎样打? 云科安信Antira 2024-07-19 18:07 漏洞|IT资产中能被威胁所利用的弱点 通常指的是计算机系统安全方面的缺陷,使得系统或其应用数据的保密性、完整性、可用性、访问控制等面临威胁。 最知名的“0Day”漏洞,指的是系统在知晓并发布相关补丁前就被掌握或者公开的漏洞信息,可以说是黑客的最爱、安全工程师的阴影、组织的风险“黑洞”……
继续阅读