代码卫士

其他

OT:Icefall:Wago 控制器中存在多个漏洞

是一个不充分的会话过期漏洞。认证攻击者可利用这两个漏洞,分别通过畸形数据包或登出后特定请求使设备崩溃。在这两种情况下,将设备返回到运行状态要求手动重启。Wago
2023年6月21日
其他

谷歌警示自家员工:别使用Bard 生成的代码

Bard,称其是创意跳板,而谷歌的警示延伸至代码建议。谷歌向路透社表示,已经与爱尔兰数据保护委员会进行了细致交流,并正在解决监管机构的质询。本周二,Politico
2023年6月20日
其他

华硕紧急修复多个严重的路由器漏洞

恶意软件攻击多款华硕路由器模型以获得持久性并将其用于远程访问受陷网络。就在一个月前,2022年2月,美国和英国网络安全机构发布安全公告称,Cyclops
2023年6月20日
其他

黑客威胁公开 Reddit 被盗数据

Reddit,要求支付450万美元以删除数据但并未收到任何回应。该勒索团伙威胁称,“我在第一份邮件中告知他们我将等待他们IPO时行动,不过现在似乎是个完美机会!我们很肯定
2023年6月19日
其他

西部数据更新固件版本,修复4个漏洞

攻击(中危)。CVE-2022-36328:路径遍历漏洞,可导致认证攻击者在任意目录创建任意共享并提取敏感数据、密码、用户和设备配置(中危)。CVE-2022-29840:服务器端请求伪造
2023年6月19日
其他

新型供应链攻击利用被弃的 S3 存储桶分发恶意二进制

表示,“子域名接管的新变化为开发人员和组织机构提了个醒。被遗弃的主管存储桶或过时的子域名不仅仅是被遗忘的部件;如落入不法之徒的手中,它们将成为数据盗取和入侵的有力武器。”近一周前,Cyble
2023年6月16日
其他

微软 Azure Bastion 和 Container Registry 中存在两个严重漏洞

Fabric集群遭劫持原文链接https://thehackernews.com/2023/06/severe-vulnerabilities-reported-in.html题图:Pexels
2023年6月15日
其他

速修复MOVEit Transfer 中的这个新0day!

0day原文链接https://thehackernews.com/2023/06/new-critical-moveit-transfer-sql.html题图:Pexels
2023年6月12日
其他

本田电商平台有漏洞,客户和交易商数据被泄露

服务提供支持,该服务供交易商创建可以售卖本田产品的网站。交易商需要创建一个账户,之后可得到需要创建网站所需的所有工具,接着进行推销并处理产品订单。研究员在该平台的管理员仪表盘中发现了一个密码重置
2023年6月9日
其他

OWASP 发布2023年十大 API 安全风险清单

版本和被暴露的调试端点而言也很重要。API10:不安全的API耗尽开发人员偏向于信任从第三方API收到的数据而非用户输入,因此倾向于采用更薄弱的安全标准。为了攻陷
2023年6月8日
其他

奇安信入选全球《静态应用安全测试全景图》代表厂商

修复多个高危漏洞,获官方致谢奇安信代码卫士帮助微软修复多个高危漏洞,获官方致谢《应用软件安全编程指南》国标发布
2023年6月6日
其他

Splunk 企业版修复多个高危漏洞

解析器使用机器上所有可用的内存,从而导致守护进程崩溃或处理终止。另外一个高危漏洞是HTTP响应拆分漏洞CVE-2023-32708,可导致低权限用户访问系统上的其它
2023年6月5日
其他

MOVEit 文件传输软件0day被用于窃取数据

版本中。该产品的云版本似乎也受影响。该公司的安全公告虽然并未清楚说明该漏洞是否已遭在野利用,但告知客户称打补丁极其重要,并且提供了与相关攻击有关联的妥协指标
2023年6月5日
其他

谷歌为 Chrome 沙箱逃逸利用链提供三倍赏金

提交完整链利用的猎洞人员将获得两倍赏金。提交完整链利用,参与者可获得最高18万美元的赏金,还可能获得其它叠加赏金,而在此期间内非第一个提交完整链利用的参与人员最高可获得12万美元的赏金。Chrome
2023年6月2日
其他

WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞

Struts原文链接https://thehackernews.com/2023/06/urgent-wordpress-update-fixes-critical.html题图:Pixabay
2023年6月2日
其他

恶意 PyPI 包通过编译后的 Python 代码绕过检测

供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
2023年6月2日
其他

技嘉固件组件可被滥用为后门,影响700万台设备,易触发供应链攻击

(也可是局域网设备)的URL。其中两种文件下载方式问题重重。未加密的HTTP连接易受中间人攻击。位于同样网络或控制网络上路由器的攻击者可将系统定向一台受控制的服务器,而应用程序无法了解它是否与真实的
2023年6月1日
其他

微软发现绕过苹果 SIP 根限制的 macOS 漏洞

安全检查访问受害者的私密数据。该漏洞的编号是CVE-2023-32369,由微软安全研究团队发现并报告给苹果公司。苹果已在5月18日发布的
2023年5月31日
其他

黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备

设备,并部署三种恶意软件和数据提取能力。该公司并未说明受影响组织机构的数量,但证实称,“CVE-2023-2868遭利用的最早证据可追溯至2022年10月。”0day
2023年5月31日
其他

PyPI 强制所有软件发布者启用双因素认证机制

指出,“你能够做的最重要的事情是尽快启用账户的双因素认证机制,或者通过安全设备(推荐)或认证应用,并通过可信发布者(推荐)或API令牌上传至
2023年5月30日
其他

特斯拉100GB内部资料遭员工泄漏,内含Autopilot 和 FSD 安全投诉

GITLIN编译:代码卫士特斯拉员工将100GB特斯拉内部文件和文档泄密给德国商报。这些文件中包括超过10万名在职和离职员工的个人信息以及数千份关于自动辅助系统
2023年5月29日
其他

利用5个0day的安卓恶意软件 Predator 内部工作原理曝光

利用五个漏洞CVE-2021-37973、CVE-2021-37976、CVE-2021-38000、CVE-2021-38003和CVE-2021-1048控制目标设备,其中前四个漏洞影响
2023年5月29日
其他

合勤科技防火墙和VPN设备中存在多个严重漏洞

2中修复)合勤科技公司建议受影响用户尽快应用最新的安全更新,消除漏洞利用影响。运行以上易受攻击版本的设备用于中小企业,保护网络安全并使远程或在家办公用户使用安全的网络访问
2023年5月26日
其他

使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管

公司解释称,“该漏洞本可导致潜在攻击者诱骗用户访问恶意链接、登录至第三方认证提供商并暴露其第三方认证凭据。这是因为用于存储应用回调
2023年5月25日
其他

Barracuda 邮件网关遭 0day 漏洞利用攻击

用户接口收到我们的通知,那我们没有理由认为他们的环境目前受到影响,客户也无需采取措施。”该公司发言人并未就受影响客户的数量以及ESG设备被攻陷后客户数据是否受影响等置评。Barracuda
2023年5月25日
其他

GitLab强烈建议尽快修复 CVSS 满分漏洞

仓库,为需要远程管理代码的开发团队服务,目前已拥有约3000万名已注册用户以及100万名付费客户。该漏洞由研究员
2023年5月25日
其他

Mikrotik 终于修复 Pwn2Own 大赛上的 RouterOS 漏洞

广告守护进程中,是因为对用户所提供数据缺乏验证导致的,从而导致写越过所分配缓冲区的末尾。攻击者可利用该漏洞在
2023年5月24日
其他

谷歌推出安卓应用奖励计划,最高赏金3万美元

Fuchsia。自2010年推出首个VRP以来,谷歌已向数千名安全研究员所报告的超过1.5万个漏洞颁发超过5000万美元的赏金。2020年,谷歌共颁发1200万美元的赏金,其中由
2023年5月23日
其他

因恶意用户和恶意包过多,PyPI 暂停新用户注册和项目创建

木马包假冒流行库发动攻击451个PyPI包被指安装Chrome扩展窃取密币三个PyPI恶意包通过木马发动供应链攻击恶意PyPI
2023年5月22日
其他

苹果修复3个已遭利用的新 0day

浏览器引擎中,编号为CVE-2023-32409、CVE-2023-28204和CVE-2023-32373。CVE-2023-32409是一个沙箱逃逸漏洞,可导致远程攻击者攻破
2023年5月19日
其他

思科提醒:多款交换机存在多个RCE漏洞且利用代码已公开

利用代码已存在”,可导致攻击者攻击暴露到远程访问的易受攻击设备。不过,幸运的是,思科尚未发现漏洞遭利用的迹象。思科还在着手修复位于
2023年5月18日
其他

0day 可导致设备遭远程攻陷 贝尔金不打算修复

新缺陷影响几乎所有英特尔处理器原文链接https://www.theregister.com/2023/05/15/intel_mystery_microcode/题图:Pexels
2023年5月17日
其他

MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击

主板可能集成到了其它厂商的产品中。因此,滥用被泄密钥可能也发生在这些系统上。查看‘可能的解决方案’,获取更多受影响系统的详细信息。”目前,使用受影响硬件的用户(目前来看仅限于
2023年5月16日
其他

CISA提醒:严重的 Ruckus 漏洞被用于感染 WiFi 接入点

tcp-socket、tcp-cnc、tcp-handshake、udp-plain、udp-game、udp-ovh、udp-raw、udp-vse、udp-dstat、udp-bypass
2023年5月15日
其他

白宫联合 AI 技术巨头在DEF CON 大会举行 AI 黑客大赛

语言模型进行测试的提案。该法案是旨在限制算法偏见影响的一系列原则,赋予用户控制其数据并确保自动化系统得以安全透明地使用。目前已有用户尝试诱骗聊天机器人并强调其存在的缺陷。某些是获得企业授权,对
2023年5月12日
其他

没钱还事多:开源维护人员面临不断增长的安全需求但仍没有报酬

公司发布报告指出,确保现代组织机构所依赖的开源软件的安全性是开源维护人员的一项重大
2023年5月9日
其他

OilRig APT 组织或在中东地区发动更多 IT 供应链攻击

组织另辟思路。”研究员建议政府和企业采取如下措施,以免遭受第三方供应链攻击:投资并构建全面的、一体化网络安全措施,保护组织机构边界以外的数据和资产安全。利用威胁情报是关键所在。使用威胁情报服务能够使
2023年5月9日
其他

WordPress 热门插件中存在漏洞,200多万网站受影响

exploit原文链接https://thehackernews.com/2023/05/new-vulnerability-in-popular-wordpress.html题图:Pixabay
2023年5月8日
其他

严重的西门子 RTU 漏洞可导致电网不稳定

CPCI85固件,可被未认证攻击者用于执行远程代码。这些产品是专为能源供给行业尤其是变电站设计的远程控制和自动化的远程终端单元
2023年5月8日
其他

Fortinet 修复FortiADC 和 FortiOS 中的多个高危漏洞

FortiOS漏洞被用于攻击政府实体Fortinet:注意这个严重的未认证RCE漏洞!Fortinet修复两个严重的RCE漏洞,其中一个两年前就发现?Fortinet
2023年5月6日
其他

OpenAI 账户验证流程存在漏洞,可导致用户无限薅羊毛

字节绕过第一次检查,而这些置换不会与原始值相似,同时仍然可通过该号码进行验证,从而可能为无限数量的新账户进行验证。研究人员解释称,“后一阶段的标准化可引发大量的(如不是无限制的)不同值的集合(如
2023年5月6日
其他

思科电话适配器易受 RCE 攻击,目前无修复方案

已达生命周期,因此已经不再受支持且不会收到安全更新。同时思科并未提供相关缓解措施。思科安全通告旨在提醒用户替换受影响的电话适配器或者执行额外安全层,以免受攻击。推荐的替换型号是思科
2023年5月5日
其他

研究员在微软 Azure API 管理服务中发现3个漏洞

暴露给外部和内部客户并赋能大量联网体验。在这两个SSRF漏洞中,其中一个是绕过微软部署的类似漏洞的修复方案。另外一个漏洞位于
2023年5月5日
其他

SolarWinds 事件爆发前半年,美司法部就检测到但未重视

并在约1.8万家客户所使用的软件中插入后门。遭污染的软件之后感染了至少九家美国联邦机构,包括司法部、国防部、国土安全部以及财政部等,以及科技和安全巨头如微软、Mandiant、英特尔、思科和
2023年5月5日
其他

热门的开源互联网路由协议软件中含多个漏洞,存在供应链风险

是一种网关协议,旨在异步系统中交换路由和可达性信息,用于找到传播互联网流量的最有效路径。这三个漏洞包括:CVE-2022-40302(CVSS
2023年5月4日
其他

骚操作:为了求职,劫持十几个热门 Packagist PHP 包

中的“描述”字段,并将变更提交到已分叉的仓库中。他并未将变更融合到原始仓库中(这样做要求更多访问权限,而且很可能会引起维护人员的审查)。该研究员显然获得对维护人员
2023年5月4日
其他

RSAC创新沙盒:网络安全投资者转向保护AI培训模型

安全和信任平台”,该平台能够映射AI管道、验证安全性并监控对抗性威胁。技术巨头如微软和谷歌也开始在AI/ML领域展开竞争。微软率先推出
2023年4月28日
其他

微软 Edge 被指将用户访问的站点发送给Bing

中的“关注创建者”特性。你可能永远不知道它的存在以及永远不会使用它,因此它并非非用不可的功能。可导航至“设置”,选择“隐私、搜索和服务”标签,下拉至
2023年4月27日
其他

思科服务器管理工具中存在 XSS 0day

利用代码”,以及“该漏洞已被公开讨论。”虽然思科当时指出将在2023年1月发布补丁,但目前仍未修复。受该漏洞影响的设备包括运行7800和8800系列固件版本14.2及更早版本的思科
2023年4月27日
其他

Apache Superset 会话验证漏洞可导致攻击者访问未授权资源

存在严重漏洞,堪比Log4Shell原文链接https://www.theregister.com/2023/04/25/apache_superset_cve/题图:Pixabay
2023年4月26日