标签： 漏洞

快科技11月18日消息，微软近日发布安全公告，紧急修补了ASP.NET Core中的一个关键漏洞，该漏洞（CVE-2025-55315）CVSS评分达到9.9分（满分10分），成为微软漏洞库中评分最高的漏洞。 该漏洞存在于ASP.NET Core 10.0、9.0、8.0版本以及Kestrel包的2.x版本中，它允许具备一定权限的攻击者，通过利用HTTP请求和响应的不一致解析，来绕过一项重要的网络...

1 月 20 日消息，Red Hat 产品安全工程师 Nick Tait 发文，公布了 Unix 和 Linux 操作系统中常见的开源文件同步工具 rsync 存在的 6 项漏洞，目前 Rsync 已发布 3.4.0 版本修复了相关漏洞。 据 Nick Tait 介绍，6 项漏洞中最严重的是 CVE-2024-12084，CVSS 风险评分为 9.8 分（满分 10 分），该漏洞存在于 3.2.7...

一、CVE 1、什么是CVE CVE (Common Vulnerabilities and Exposures)（常见漏洞与暴露）是一个标准化的命名系统，用于识别和描述公开披露的网络安全漏洞。CVE 的目的是为漏洞提供唯一的标识符，使安全专家、软件供应商和用户能够统一参考和讨论同一个漏洞。 每个CVE由CVE编号（例如，CVE-2024-7567）和详细的漏洞描述组成，描述了漏洞的类型、影响范围...

IT之家 4 月 10 日消息，美国网络安全审查委员会（CSRB）近日发布了 34 页安全报告，点名批评微软安全措施不够到位，导致来自美国 22 个组织、影响 500 多人的电子邮件被泄露。 该安全事件可以追溯到 2021 年，黑客组织 Storm-0558 获取了微软账户（MSA）加密密钥，用来伪造身份验证令牌，监视美国政府机构的电子邮件账户。 微软于 2023 年 7 月发布安全公告，在博文中...

在发现攻击者利用新的关键零日漏洞攻击其客户网络后，安全软件公司 Sophos 发布了其防火墙产品的补丁更新。 该问题跟踪为CVE-2022-3236（CVSS 评分：9.8），影响 Sophos Firewall v19.0 MR1 (19.0.1) 及更早版本，并涉及用户门户和 Web 管理组件中的代码注入漏洞，该漏洞可能导致远程代码执行。 该公司表示，它“已经观察到该漏洞被用于针对一小部分特定...

美国网络安全和基础设施安全局 (CISA) 周四将Zoho ManageEngine 中最近披露的一个安全漏洞添加到其已知被利用漏洞 ( KEV ) 目录中，并引用了积极利用的证据。 “Zoho ManageEngine PAM360、Password Manager Pro 和 Access Manager Plus 包含一个未指明的漏洞，允许远程执行代码，”该机构在一份通知中说。 跟踪为CVE...

一、Elastix VoIP系统被黑客攻击以提供 Web shell（7.21） 一个大规模的活动一直在针对Elastix VoIP电话服务器来安装 PHP Web Shell。在短短三个月内已经发现了超过50万个恶意软件样本。 详细情况 滥用Elastix VoIP系统 攻击者被认为是在滥用Elastix VoIP系统中用于FreePBX的Digium电话模块的RCE漏洞（CVE-2021-45...

近日，Atlassian官方发布了一则安全更新，通告了一个严重且已在野利用的远程代码执行漏洞CVE-2022-26134，攻击者利用该漏洞，无需任何条件即可在Confluence中执行任意命令。 该漏洞利用难度极低，影响范围广泛，同时利用方式已经公开，接下来将会有更多在野利用事件发生。悬镜建议企业自查，如使用Confluence，请及时采取安全措施。此外，悬镜云鲨RASP对该漏洞天然免疫防护。 一...

发现漏洞就可以获得奖金，不少厂商都通过这种奖励措施，鼓励白帽子帮助自己发现系统的漏洞。而最近，著名的白帽黑客，也是iOS越狱软件Cydia的开发者弗里曼就发现了一项以太坊系统的关键漏洞，从而获得了高达200万美元的巨额奖金。 据弗里曼个人在社交网络上的分享，该漏洞允许黑客在Optimism账户的余额中创建任意数量的ETH。不过好在，根据Optimism团队的声明，截至目前，该漏洞并没有被利用。 在...

央广网北京9月2日消息（记者 明艳）9月1日，工信部网络安全管理局发布公告，为落实《网络产品安全漏洞管理规定》有关要求，工业和信息化部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台（下称“平台”）（https://www.nvdb.org.cn）正式上线运行。 根据《网络产品安全漏洞管理规定》，网络产品提供者应当及时向平台报送相关漏洞信息，鼓励漏洞收集平台和其他发现漏洞的组织...

承影安全是齐安科技旗下安全研究团队专门负责的一个平台，专注于安全类攻防研究，会不定期输出一些相关的技术类文章，欢迎大家订阅！ XXL-JOB描述 XXL-JOB是一个轻量级分布式任务调度平台，其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线，开箱即用。 官方文档：https://www.xuxueli.com/xxl-job/ 1. 漏洞详情 此次漏洞核心...

前言 伴随计算机和网络技术的日益普及，互联网飞速发展，计算机应用数量也在迅速增加，高质量、高效率的信息系统给企业的经营管理带来了巨大的经济效益，提高了工作效率并提升了企业竞争力。但随之而来的信息安全问题也在困扰着用户。隐藏在其中的恶意软件，如木马和蠕虫病毒也随之而来，对企业可持续健康发展带来了严重威胁，因此对企业信息安全提出了更高的要求。 对此现状，我国成立了国家信息安全漏洞共享平台，简称CNVD...

一位研究人员在四家楼宇管理与访问控制系统供应商的产品中发现了100多个漏洞。攻击者可以利用这些漏洞完全控制被入侵的产品，并操纵与其关联的系统。 大约一年前，工业网络安全公司Applied Risk的研究员Gjoko Krstic开始分析来自Nortek，Prima Systems，Optergy和Computrols的楼宇管理（BMS），楼宇自动化（BAS）和门禁控制产品。产品包括Computro...

在享誉全球成为必备装机软件的同时，过去19年以来WinRAR也深受各种严重安全漏洞的负面影响。根据安全公司Check Point研究人员披露的细节，在WinRAR的UNACEV2.dll代码库中发现严重安全漏洞，而该库自2005年以来就一直没有被主动使用过。WinRAR在打开“booby-trapped”（诡雷代码）文件之后允许技术娴熟的攻击者执行“任意恶意代码”。 观看视频：https://pl...

根据Embedi安全研究专家Denis Selianin今天披露的报告，Marvell Avastar 88W8897无线芯片组固件存在安全漏洞，导致全球数十亿台使用该芯片的笔记本、智能手机、游戏设备、路由器和物联网设备存在安全隐患。 在报告中，Selianin描述了如何在不需要用户任何交互的情况下，利用88W8897无线芯片组上安装的ThreadX固件来执行恶意代码。ThreadX是一种实时操作...