TouchEn nxKey键盘加密应用程序出现的许多漏洞很容易使其被黑化
TouchEn nxKey键盘加密应用程序出现的许多漏洞很容易使其被黑化 luochicun 嘶吼专业版 2023-02-22 12:00 TouchEn nxKey是韩国安全软件公司Raonsecure开发的端到端加密应用程序,用于保证键盘使用时的全方位安全,目前这个应用程序主要用于韩国的金融业务,在韩国几乎所有电脑上都安装了这款软件。如果你想在韩国操作网上银行业务,就必须使用它。不过韩国人对它
继续阅读标签: 访问控制
Fortinet FortiNAC 远程代码执行漏洞安全风险通告
Fortinet FortiNAC 远程代码执行漏洞安全风险通告 奇安信 CERT 2023-02-21 12:00 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 FortiNAC(Network Access Control) 是Fortinet的一种零信任网络访问控制解决方案,可增强用户对企业网络上的物联网 (IoT) 设备的监控。 NAC
继续阅读【已复现】Joomla未授权访问漏洞(CVE-2023-23752)安全风险通告
【已复现】Joomla未授权访问漏洞(CVE-2023-23752)安全风险通告 奇安信 CERT 2023-02-21 12:00 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 XXX XXXXXX Joomla是一套全球知名的内容管理系统。Joomla是使用PHP语言加上MySQL数据库所开发的软件系统。可以在Linux、Windows、Ma
继续阅读CVE-2023-22482/22736:Argo CD 身份验证绕过漏洞通告
CVE-2023-22482/22736:Argo CD 身份验证绕过漏洞通告 原创 360CERT 三六零CERT 2023-02-01 18:42 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-020101 报告来源:360CERT 报告作者:360CERT 更新日期:2023-02-01 1 漏洞简述 2023年02月01日,360CERT监测发现Argo CD官方发布了Argo
继续阅读VMware vRealize Log Insight多个高危漏洞通告
VMware vRealize Log Insight多个高危漏洞通告 原创 360CERT 三六零CERT 2023-01-30 16:26 赶紧点击上方话题进行订阅吧! 报告编号:B6-2023-013001 报告来源:360CERT 报告作者:360CERT 更新日期:2023-01-30 1 漏洞简述 2023年01月30日,360CERT监测发现VMware官方发布了VMware vRe
继续阅读【已复现】GitLab 远程代码执行漏洞安全风险通告第二次更新
【已复现】GitLab 远程代码执行漏洞安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-01-09 17:03 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理,同时可以搭建W
继续阅读macOS漏洞可绕过安全检查
macOS漏洞可绕过安全检查 关键基础设施安全应急响应中心 2022-12-26 15:35 微软研究人员在macOS中发现一个安全漏洞,攻击者利用该漏洞可以实现安全检查绕过。 Gatekeeper是macOS中的一个安全特征,可以自动检查从互联网下载的Mac APP是经过公证的还是开发者自签名的,并要求用户在启动前进行确认或发布关于APP不可信的预警消息。 微软首席安全研究员Jonathan B
继续阅读【公益译文】了解、预防、修复:开源漏洞讨论框架
【公益译文】了解、预防、修复:开源漏洞讨论框架 小蜜蜂翻译组 绿盟科技研究通讯 2022-12-13 20:58 全文共4940字,阅读大约需要15分钟 2021年2月3日,谷歌安全博客(Google Security Blog)发表题为《了解、预防、修复:开源漏洞讨论框架》的文章,旨在解决开源软件漏洞问题,本文翻译了该框架内容,供广大读者参考。 一 执行摘要 开源软件的安全性引起了业界关注,这并
继续阅读美国CISA最新收录高危漏洞,系与甲骨文有关
美国CISA最新收录高危漏洞,系与甲骨文有关 关键基础设施安全应急响应中心 2022-12-01 16:00 近日,美国网络安全和基础设施安全局 (CISA) 将一个影响美国甲骨文(Oracle)公司融合中间件的严重漏洞跟踪为CVE-2021-35587(CVSS 3.1 基本分数 9.8)。该漏洞是由于yizhi Access Manager(Oracle融合中间件)未对HTTP请求进行有效的验
继续阅读【安全圈】三星手机组件发现三个高危漏洞
【安全圈】三星手机组件发现三个高危漏洞 安全圈 2022-11-13 19:00 关键词 三星手机 日前,谷歌Project Zero报告披露了三个三星手机漏洞,分别为CVE-2021-25337、CVE-2021-25369和CVE-2021-25370,目前已被一家监控公司利用。 这三个漏洞具体表现为: CVE-2021-25337: SMR Mar-2021第1版之前的三星移动设备中剪贴板服
继续阅读最新披露!三星手机组件发现三个高危漏洞
最新披露!三星手机组件发现三个高危漏洞 关键基础设施安全应急响应中心 2022-11-11 15:45 日前,谷歌Project Zero报告披露了三个三星手机漏洞,分别为CVE-2021-25337、CVE-2021-25369和CVE-2021-25370,目前已被一家监控公司利用。 这三个漏洞具体表现为: CVE-2021-25337: SMR Mar-2021第1版之前的三星移动设备中剪贴
继续阅读三星0day漏洞被用于监控活动
三星0day漏洞被用于监控活动 ang010ela 嘶吼专业版 2022-11-11 12:01 谷歌Project Zero研究人员发现有攻击者利用三星手机多个0day漏洞用于监控活动。 近日,谷歌Project Zero研究人员披露了三个三星手机0 day漏洞被监控公司用于监控活动,漏洞CVE编号为CVE-2021-25337、CVE-2021-25369、CVE-2021-25370: CV
继续阅读【漏洞通告】Spring Security身份认证绕过漏洞CVE-2022-31692
【漏洞通告】Spring Security身份认证绕过漏洞CVE-2022-31692 深瞳漏洞实验室 深信服千里目安全技术中心 2022-11-04 17:59 漏洞名称: Spring Security 身份认证绕过漏洞 组件名称: Spring Security 影响范围: 5.6.0 ≤ Spring Security ≤ 5.6.8 5.7.0 ≤ Spring Security ≤ 5
继续阅读【风险提示】天融信关于GitLab存在CVE-2022-2992 RCE漏洞的风险提示
【风险提示】天融信关于GitLab存在CVE-2022-2992 RCE漏洞的风险提示 原创 天融信应急响应 天融信阿尔法实验室 2022-08-31 17:37 0x00背景介绍 8月31日,天融信阿尔法实验室监测到GitLab存在RCE漏洞的相关信息,目前官方已经发布修复版本。 0x01漏洞简述 GitLab是一个利用 Ruby on Rails 开发的开源应用程序,实现一个自托管的Git项目
继续阅读GitLab修复了CE、EE版本中一个远程代码执行漏洞
GitLab修复了CE、EE版本中一个远程代码执行漏洞 网络安全应急技术国家工程中心 2022-08-26 15:01 近期,Security Affairs 网站披露,DevOps 平台 GitLab 修复了其社区版(CE)和企业版(EE)中出现的一个关键远程代码执行漏洞,该漏洞被追踪为 CVE-2022-2884(CVSS 评分 9.9)。 据悉,攻击者经过“身份验证”后,可以通过 GitHu
继续阅读GitLab存在严重漏洞,允许通过Github导入实现远程命令执行
GitLab存在严重漏洞,允许通过Github导入实现远程命令执行 看雪学苑 看雪学苑 2022-08-25 18:02 本周一,GitLab发布了其社区版(CE)和企业版(EE)的15.3.1、15.2.3、15.1.5版本,其中包含重要的安全修复程序。 在公告中,GitLab强烈建议用户立即将其GitLab升级到这些版本之一,因GitLab CE/EE中存在一个高危漏洞。 GitLab是一个使
继续阅读推特前安全主管控诉存在“令人震惊”的安全漏洞
推特前安全主管控诉存在“令人震惊”的安全漏洞 关键基础设施安全应急响应中心 2022-08-25 15:43 据《华盛顿邮报》 8月23日报道,推特前安全主管Peiter Zatko向美国证券交易委员会(SEC)、联邦贸易委员会(FTC)和司法部提交了一封举报文件。在文件中,Zatko控诉推特在安全实践中存在“令人震惊的”漏洞,在安全、隐私和内容审核方面存在“严重缺陷”。他还认为,推特高管在联邦监
继续阅读上周关注度较高的产品安全漏洞(20220801-20220807)
上周关注度较高的产品安全漏洞(20220801-20220807) 国家互联网应急中心CNCERT 2022-08-09 17:24 一、境外厂商产品漏洞 1、 Pexip Infinity输入验证错误漏洞(CNVD-2022-54746) Pexip Infinity (派视普视频会议云协作平台)是挪威派世( Pexip )公司的一款视频会议云协作平台。该产品可提供高质量安全的云会议功能。 Pe
继续阅读国家漏洞库CNNVD:关于Oracle 316个安全漏洞的通报
国家漏洞库CNNVD:关于Oracle 316个安全漏洞的通报 安全内参 2022-07-21 20:01 关注我们 带你读懂网络安全 近日, Oracle官方发布了多个安全漏洞的公告,其中 Oracle产品本身漏洞 85个,影响到 Oracle产品的其他厂商漏洞 231个。包括 Oracle PeopleSoft Enterprise PeopleTools 输入验证错误漏洞( CNNVD-20
继续阅读CNNVD | 关于Oracle多个安全漏洞的通报
CNNVD | 关于Oracle多个安全漏洞的通报 中国信息安全 2022-07-21 18:12 扫码订阅《中国信息安全》杂志 邮发代号 2-786 征订热线:010-82341063 近日,Oracle官方发布了多个安全漏洞的公告,其中Oracle产品本身漏洞85个,影响到Oracle产品的其他厂商漏洞231个。包括Oracle PeopleSoft Enterprise PeopleTool
继续阅读工业控制系统信息安全漏洞管理思考与实践
工业控制系统信息安全漏洞管理思考与实践 关键基础设施安全应急响应中心 2022-07-20 15:25 随着工业领域数字化、网络化、智能化发展加速,工业控制系统风险暴露面持续扩大,工业控制系统信息安全(以下简称工控安全)漏洞成为网络安全攻击的众矢之的,被利用风险不断攀升,产业各界高度关注工控安全漏洞管理工作。本文围绕工控安全漏洞的概念、分类及特点,立足我国产业发展实际,分析了法律政策环境,结合国家
继续阅读CNNVD | 关于微软多个安全漏洞的通报
CNNVD | 关于微软多个安全漏洞的通报 中国信息安全 2022-07-16 18:58 扫码订阅《中国信息安全》杂志 邮发代号 2-786 征订热线:010-82341063 近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞86个,影响到微软产品的其他厂商漏洞3个。包括Microsoft Windows 权限许可和访问控制问题漏洞(CNNVD-202207-1061、CVE-202
继续阅读上周关注度较高的产品安全漏洞(20220704-20220710)
上周关注度较高的产品安全漏洞(20220704-20220710) 国家互联网应急中心CNCERT 2022-07-12 17:35 一、境外厂商产品漏洞 1、 IBM App Connect Enterprise Certified Container拒绝服务漏洞 IBM App Connect Enterprise是美国IBM公司的一个操作系统。IBM App Connect Enterpri
继续阅读Fortinet 修复多个路径遍历漏洞
Fortinet 修复多个路径遍历漏洞 Adam Bannister 代码卫士 2022-07-08 17:43 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet 修复了影响多款端点安全产品的多个漏洞。 Fortinet 为全球提供超过三分之一的防火墙和统一威胁管理产品,它在7月5日发布了大量防火墙和软件更新。 Fortinet 修复的漏洞包括位于 FortiDeceptor
继续阅读攻击者利用Mitel VoIP漏洞进行勒索软件攻击
攻击者利用Mitel VoIP漏洞进行勒索软件攻击 ~阳光~ 嘶吼专业版 2022-07-08 12:00 勒索软件集团正在滥用未打补丁的基于Linux的Mitel VoIP(网络电话)应用程序,并将其作为跳板在目标系统上植入恶意软件。这个关键的远程代码执行(RCE)漏洞被追踪为CVE-2022-29499,该漏洞是Crowdstrike在4月首次报告的零日漏洞,并且现在已经打了补丁。 Mitel
继续阅读上周关注度较高的产品安全漏洞(20220627-20220703)
上周关注度较高的产品安全漏洞(20220627-20220703) 国家互联网应急中心CNCERT 2022-07-05 17:24 一、境外厂商产品漏洞 1、Fortinet FortiWAN操作系统命令注入漏洞 Fortinet FortiWan是美国Fortinet公司的一个网络设备。用于在不同网络之间执行负载平衡和容错。Fortinet FortiWAN 4.5.9之前版本存在操作系统命令
继续阅读谷歌分析2022在野0day利用后,得出令人意外的结论
谷歌分析2022在野0day利用后,得出令人意外的结论 谷歌 代码卫士 2022-07-01 19:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 2022年6月,谷歌零日项目团队 (Project Zero) 研究员 Maddle Stone在近期举办的 FIRST 会议上发表了报告《目前为止的2022年在野0day利用》分享了该团队的对2022年上半年0day利用情况的研究成果。如
继续阅读网络安全行业热议“OT:Icefall”漏洞:世界末日or见怪不怪?
网络安全行业热议“OT:Icefall”漏洞:世界末日or见怪不怪? 关键基础设施安全应急响应中心 2022-06-23 14:25 网络安全公司Forescout披露了OT:Icefall,这是在制造运营技术(OT)系统的10家公司的产品中发现的56个漏洞的集合。Forescout研究人员发现了与不安全的工程协议、弱加密或损坏的身份验证方案、不安全的固件更新机制和本机功能滥用相关的问题。 安全漏
继续阅读腾讯安全威胁情报中心推出2022年5月必修安全漏洞清单
腾讯安全威胁情报中心推出2022年5月必修安全漏洞清单 腾讯安全威胁情报中心 2022-06-17 17:31 长按二维码关注 腾讯安全威胁情报中心 腾讯安全攻防团队A&D Team 腾讯安全 企业安全运营团队 腾讯安全威胁情报中心推出2022年5月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,不修复就意味着黑客攻击入侵后会造成十分严重的后果。 腾讯
继续阅读CISA公布新漏洞,可以远程解锁任意门锁
CISA公布新漏洞,可以远程解锁任意门锁 关键基础设施安全应急响应中心 2022-06-14 14:52 专家发现 HID Mercury Access Controller 中的漏洞可被攻击者利用来远程解锁门。 安全公司 Trellix 的研究人员在 HID Mercury Access Controller 中发现了一些严重漏洞,攻击者可以利用这些漏洞远程解锁门。 这些缺陷影响了 LenelS
继续阅读