标签： RCE

IT之家 7 月 2 日消息，OpenSSH 自 1995 年问世近 20 年来，首次出现了未经验证的远程执行（RCE）漏洞，攻击者可以提权至 root 最高权限，在不需要用户交互的情况下执行任意代码。 OpenSSH 是一套基于 Secure Shell（SSH）协议的网络实用程序，广泛用于安全远程登录、管理远程服务器，通过 scp 或 sftp 备份、远程文件传输等功能。 该漏洞于今年 5 月...

美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录（Known Exploited Vulnerabilities）中，新增了六个漏洞，并名多家联邦机构按照供应商的指示进行修复。在六个安全漏洞中，其中今年披露的仅有一个。它影响趋势科技的 Apex One 平台，用于自动检测和响应威胁。 CISA 要求联邦机构在 10 月 6 日之前修补 2010 年至 2022 年间报告的安全漏洞。...

关于大华开放网络视频接口论坛 ( ONVIF ) 标准实施中的安全漏洞的详细信息已被分享，该漏洞在被利用时可能导致控制 IP 摄像机。 被跟踪为 CVE-2022-30563（CVSS 评分：7.4），“攻击者可能会滥用该漏洞通过嗅探先前未加密的 ONVIF 交互并在对摄像头的新请求中重放凭据来破坏网络摄像头，”Nozomi Networks在周四的报告。 该问题已在 2022 年 6 月 28 ...

漏洞背景 2 月 20 日 Drupal 官方披露了一个 Drupal 的远程命令执行漏洞： https://www.drupal.org/sa-core-2019-003 漏洞的触发条件为开启了 RESTful Web Services，且允许 POST / PATCH 请求。 根据 Drupal 的配置，此漏洞可能不需要任何权限即可触发，但普适性不高。一旦该漏洞被利用，攻击者则可以直接在 We...