-
预警Nexus Repository Manger 2&3 Shiro身份验证绕过漏洞
2020年10月15日,本站安全专题监测到 sonatype官方 发布了 Nexus Repository Manger 2&3 Shiro验证绕过漏洞。漏洞描述Sonatype Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。近日Sonatype官方发布安全公告披露了在Nexus Repository Manager 2 &…- 120
- 0
-
预警Apache Shiro < 1.6.0 权限绕过漏洞(CVE-2020-13933)
2020年8月17日,本站安全专题监测到Apache Shiro官方发布安全更新,修复了一个最新权限绕过漏洞。攻击者利用该漏洞可以绕过验证访问到后台功能,风险较高。漏洞描述Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。近日,shiro被爆出Apache Shiro 身份验证绕过漏洞 (CVE-2020-11989),攻击者可以使用包含payload的恶意请求绕过Shiro的…- 13
- 0
-
预警VMware vCenter任意文件读取漏洞
2020年10月14日,本站安全专题监测到VMware vCenter特定版本存在任意文件读取漏洞,攻击者通过构造特定的请求,可以读取服务器上任意文件。漏洞描述VMware vCenter 服务器是一种高级服务器管理软件,提供一个用于控制 VMware vSphere 环境的集中式平台。VMware vCenter特定版本存在任意文件读取漏洞,攻击者通过构造特定的请求,可以读取服务器上任意文件。本…- 11
- 0
-
预警Apache Struts远程代码执行漏洞(S2-059、CVE-2019-0230)
2020年8月13日,本站安全专题监测到Apache Struts 官方发布安全公告,披露 S2-059 Struts 远程代码执行漏洞。漏洞描述Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年8月13日披露 S2-059 Struts 远程代码执行漏洞(CVE-2019-0230),在使用某些tag等情况下可能存在OGN…- 6
- 0
-
预警Windows TCP/IP远程执行代码漏洞(CVE-2020-16898)
2020年10月13日,本站安全专题监测到微软发布补丁修复了TCP/IP远程执行代码漏洞(CVE-2020-16898),官方评级严重。目前微软官方已提供相应的月度安全补丁以修复该漏洞。漏洞描述微软官方于10月13日发布安全更新,其中修复了一个TCP/IP远程执行代码漏洞(CVE-2020-16898),攻击者通过构造并发送恶意的ICMPv6(路由通告)数据包,从而控制目标主机。同时,微软10月补…- 18
- 0
-
预警Windows NetLogon权限提升漏洞(CVE-2020-1472)
2020年8月12日,本站安全专题监测到微软发布补丁修复了NetLogon权限提升漏洞(CVE-2020-1472),CVSS评分10,官方评级严重。目前微软官方已提供相应的月度安全补丁以修复该漏洞。漏洞描述微软官方于8月12日发布安全更新,其中修复了一个修复了NetLogon权限提升漏洞(CVE-2020-1472),攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时…- 23
- 0
-
预警Apache Solr configset upload文件上传漏洞(CVE-2020-13957)
2020年10月13日,本站安全专题监测到Apache Solr发布安全更新,其中修复了CVE-2020-13957 Apache Solr configset upload文件上传漏洞。攻击者通过构造特定的请求,成功利用该漏洞可直接获取服务器权限。漏洞描述Apache Solr是一个开源的搜索服务,使用Java语言开发。Apache Solr Configset Api上传功能存在未授权漏洞。在…- 25
- 0
-
预警Nexus Repository Manager 3.x 远程代码执行漏洞(CVE-2020-15871)
2020年8月3日,本站安全专题监测到Nexus Repository Manager 3.x 版本存在远程代码执行漏洞。漏洞描述Sonatype Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。近日Sonatype官方发布安全公告披露了在Nexus Repository Manager 3.x 版本中存在远程代码执行漏洞(CVE-2…- 21
- 0
-
预警Linux内核AF_PACKET内存破坏导致权限提升漏洞(CVE-2020-14386)
近日,本站安全专题监测到Openwall社区披露一个Linux内核AF_PACKET原生套接字内存破坏漏洞,该漏洞出现在net/packet/af_packet.c中,由整数溢出导致越界写,可以通过它进行权限提升。该漏洞危害评级为高,编号为CVE-2020-14386。漏洞描述Linux发行版高于4.6的内核版本net/packet/af_packet.c中,在处理AF_PACKET时存在整数溢出…- 8
- 0
-
预警WebSphere远程代码执行漏洞(CVE-2020-4450)
近日,本站安全专题监测到国外某安全研究团队披露关于CVE-2020-4450 WebSphere 远程代码执行漏洞相关分析详情。漏洞描述WebSphere Application Server 是一款由IBM 公司开发的高性能的 Java 应用服务器,可用于构建、运行、集成、保护和管理内部部署和/或外部部署的动态云和 Web 应用。2020年6月5日IBM官方发布安全补丁,修复了CVE-2020-…- 8
- 0
-
预警FastAdmin 远程代码执行0day漏洞
2020年9月22日,本站安全专题监测到FastAdmin爆发远程代码执行0day漏洞,黑客登录前台会员中心,即可远程GetShell,风险极大。漏洞描述FastAdmin是一款基于ThinkPHP和Bootstrap的后台开发框架、开放会员中心的站点,上传特定文件可直接GetShell。本站安全专题提醒FastAdmin用户尽快采取安全措施阻止漏洞攻击。影响版本全版本(截止2020年9月22日官…- 28
- 0
-
柳红主任赴泉州开展卫生健康重点工作调研
.TRS_Editor P{margin-top:5px;margin-bottom:5px;line-height:1.5;}.TRS_Editor DIV{margin-top:5px;margin-bottom:5px;line-height:1.5;}.TRS_Editor TD{margin-top:5px;margin-bottom:5px;line-height:1.5;}.TRS_…- 97
- 0
-
高通骁龙芯片存在 400 多个漏洞,影响全球超 40% 机型
网络安全供应商 Check Point 表示,该公司在一项代号为“Achilles”研究中,对高通骁龙的数字信号处理( Digital Signal Processing,DSP)芯片进行了广泛的安全性评估。结果发现,该芯片中存在 400 多个易受攻击的代码段。 这意味着,全球市场上有超过 40% 的设备(涉及谷歌、三星、LG、小米、一加等安卓手机)将受到该漏洞影响,面临被黑客入侵的风险。DSP …- 168
- 0
-
Debian 10.5 发布,修复”BootHole”安全漏洞
Debian 10.5 已发布,这是 Debian 10 "Buster" 的第五个稳定版更新,修复了部分安全问题和 bug。 其中最值得关注的是,此版本提供了必要的补丁来解决最近的 GRUB2 UEFI SecureBoot "BootHole" 安全漏洞。因此现在 BootHole 应该可以在 Debian 10.5 中得到解决,同时也不会出现当时缓解漏…- 98
- 0
-
Debian 10.5 发布,修复”BootHole”安全漏洞
文章转载开源中国 Debian 10.5 已发布,这是 Debian 10 "Buster" 的第五个稳定版更新,修复了部分安全问题和 bug。 其中最值得关注的是,此版本提供了必要的补丁来解决最近的 GRUB2 UEFI SecureBoot "BootHole" 安全漏洞。因此现在 BootHole 应该可以在 Debian 10.5 中得到解决,同时也…- 131
- 0
-
北斗正式开通!安全感直接上涨!
北斗正式开通!外交部:北斗已覆盖二百多个国家地区,服务中国更服务世界 7月31日,外交部发言人汪文斌主持例行记者会。 有记者问:今天上午,中国北斗三号全球卫星导航系统正式开通,有媒体认为这是北京增强对海外高科技影响力行动的部分,你对此怎么看? 汪文斌表示:今天是一个让中国人民深感骄傲和振奋的日子。习近平主席今天上午出席了北斗三号全球卫星导航系统的建成暨开通仪式,宣布这一中方自主建设、独立运行的全球…- 158
- 0
-
存在严重安全漏洞,Rust 团队决定撤销 Crates package API 密钥
文章转载开源中国 Rust 安全响应工作组发布了一个安全公告称,其在调查有关影响 crates.io Web 应用程序中令牌生成的安全问题时,发现了另一个影响 crates.io API 令牌的漏洞。因此,出于谨慎考虑,该团队决定撤销所有现有的 API 密钥。 想要在实践中利用这两个漏洞是非常不切实际的,而且我们也还没有发现该漏洞已被利用的证据。但出于谨慎考虑,我们…- 81
- 0
-
存在严重安全漏洞,Rust 团队决定撤销 Crates package API 密钥
文章转载开源中国 Rust 安全响应工作组发布了一个安全公告称,其在调查有关影响 crates.io Web 应用程序中令牌生成的安全问题时,发现了另一个影响 crates.io API 令牌的漏洞。因此,出于谨慎考虑,该团队决定撤销所有现有的 API 密钥。 想要在实践中利用这两个漏洞是非常不切实际的,而且我们也还没有发现该漏洞已被利用的证据。但出于谨慎考虑,我们…- 87
- 0
-
Google 开源漏洞扫描系统 Tsunami
文章转载开源中国 谷歌已宣布将其内部使用的 Tsunami 漏洞扫描程序进行开源,以帮助其他组织保护用户数据。Tsunami 将不会成为谷歌的正式品牌产品,而是由开源社区以类似于管理 Kubernetes(另一种谷歌内部工具)的方式来维护。 “我们已经向开源社区发布了 Tsunami 安全扫描引擎。我们希望该引擎可以帮助其他组织保护其…- 124
- 0
-
预警WebLogic多个高危漏洞
2020年7月15日,本站安全专题监测到Oracle官方发布安全公告,披露WebLogic服务器存在多个高危漏洞,包括反序列化等。黑客利用漏洞可能可以远程获取WebLogic服务器权限,风险较大。漏洞描述在此次披露的多个高危漏洞(CVE-2020-14625、CVE-2020-14644、CVE-2020-14645 、CVE-2020-14687 等)中,未经授权的攻击者可以利用Internet…- 116
- 0
-
预警XStream < 1.4.14 远程代码执行高危漏洞(CVE-2020-26217)
2020年11月16日,本站安全专题监测到XStream官方发布安全更新,修复了 CVE-2020-26217 XStream远程代码执行漏洞。漏洞描述XStream是一个常用的Java对象和XML相互转换的工具。近日XStream官方发布安全更新,修复了 CVE-2020-26217 XStream远程代码执行漏洞。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而…- 88
- 0
-
预警fastjson < 1.2.67 反序列化和SSRF漏洞
近日,本站安全专题监测到fastjson官方git披露fastjson存在最新反序列化远程代码执行漏洞攻击Gadgets,利用该最新的Gadgets,攻击者可以造成远程命令执行,或者造成SSRF漏洞,风险较大。官方已发布最新版本1.2.67修复该漏洞,请使用到fastjson的用户尽快升级至安全版本。漏洞描述fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的可攻击的反序列…- 479
- 0
-
预警F5 BIG-IP TMUI 远程代码执行漏洞(CVE-2020-5902)
2020年7月3日,本站安全专题监测到 CVE-2020-5902 F5 BIG-IP TMUI 远程代码执行漏洞。漏洞描述F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2020年7月1日,F5官方公布流量管理用户界面(TMUI)存在 前台远程执行代码(RCE)漏洞(CVE-2020-5902)。攻击者利用该漏洞,构造恶意请求,在未…- 80
- 0
-
预警Qemu 虚拟机逃逸漏洞(CVE-2020-14364)
ISC2020第八届互联网安全大会上,QEMU-KVM虚拟机的0day漏洞(虚拟机逃逸)被公开。该漏洞可越界读写某一个堆之后0xffffffff(4 GB内存)的内容,可实现完整的虚拟机逃逸。安全已于2019年12月完成该漏洞的修复,云上主机已不受该漏洞影响。2020年8月24日,qemu 官方更新了安全补丁修复该漏洞,漏洞编号:CVE-2020-14364,https://xenbits.xen…- 266
- 0
幸运之星正在降临...
点击领取今天的签到奖励!
恭喜!您今天获得了{{mission.data.mission.credit}}积分
我的优惠劵
-
¥优惠劵使用时效:无法使用使用时效:
之前
使用时效:永久有效优惠劵ID:×
没有优惠劵可用!