北京禹宏信安科技有限公司


流行应用AddThis存在postMessage XSS漏洞漏洞,百万站点受影响

本文原创作者:鸢尾 来源:FreeBuf.COM AddThis是一款拥有超过一百万用户使用的网页分享按钮。在今年早些被发现存在XSS漏洞。在之前的一篇文章有描述到postMessage API缺陷。而本文将描述我是如何识别然后利用AddThis分享按钮中存在的这些漏洞。    当我在测试一个使用A ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞预警】广泛使用的邮件组件:PHPMailer存在远程代码执行漏洞

本文原创作者:overXsky 来源:安全客 起因 近日,波兰研究人员 Dawid Golunski 发现了一个存在于PHPMailer中的严重远程代码执行漏洞。该漏洞在昨天的legalhackers.com上公布,但漏洞利用细节的概念验证并未包括在内。 不幸的是在几个小时前,有人向exploi ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

流行开源电子邮件程序Roundcube v1.2.2命令执行漏洞分析

本文原创作者:鸢尾 来源:FreeBuf.COM 简介 Roundcube是一款被广泛使用的开源的电子邮件程序,在全球范围内有很多组织和公司都在使用。在过去的1年里,仅SourceForge上的镜像文件被下载次数就超过26万,这还仅仅是实际使用群体中的一小部分。在服务器上成功安装Roundcube之 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞预警】OpenSSH现中危漏洞,可致远程代码执行

本文原创作者:Sphinx 来源:FreeBuf.COM 漏洞编号 CVE-2016-10009 漏洞等级 中危 漏洞影响 OpenSSH 7.3及以下版本 漏洞描述 漏洞出现ssh-agent中,这个进程默认不启动、只在多主机间免密码登录时才会用到。sshd 服务器可以利用转发的 agent-s ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

McAfee VirusScan Linux企业版存在多个高危漏洞,请尽快升级

本文原创作者:bimeover 来源:FreeBuf.COM Intel Security旗下的安全产品McAfee VirusScan Linux企业版被曝受10个漏洞影响,由几个漏洞构成的攻击链可以完成以root权限远程执行代码。   几个月之前,麻省理工学院林肯实验室的安全专家Andrew F ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

雅虎邮箱存储型XSS漏洞,黑客能看任何人的邮件

本文原创作者:Sphinx 来源:FreeBuf.COM 最近来自芬兰Klikki Oy的研究员Jouko Pynnönen发表了一篇博客,其中演示了恶意攻击者如何利用XSS漏洞攻下雅虎邮箱,将受害者收件箱中的邮件发到外部站点;以及构建病毒,这个病毒可以通过向邮件签名中添加恶意脚本,附加在所有传出的 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

Netgear R7000/R6400等路由器曝远程任意命令注入漏洞,CERT建议全面暂停使用

本文原创作者:欧阳洋葱 来源:FreeBuf.COM 你在用Netgear网件的路由器吗?最近需要格外小心了,尤其是型号为R7000和R6400的用户,其他型号的用户也需要当心。因为CERT/CC(美国计算机紧急事件响应小组协调中心)上周五发出安全公告,建议用户暂停使用这两款路由器——因为这两款路由 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞预警】CVE-2016-8655:Linux内核通杀提权漏洞

本文原创作者:adlab_mickey 来源:安全客 漏洞发现人:Philip Pettersson 漏洞编号:CVE-2016-8655 漏洞危害:高危,低权限用户利用该漏洞可以在Linux系统上实现本地提权。 影响范围:Linux内核(2011年4月19日发行)开始就受影响了,直到2016年1 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞预警】Apache Tomcat多版本远程代码执行CVE-2016-8735(附POC)

本文原创作者:0c0c0f 来源:安全客 背景介绍 Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

联系我们:cert@chaosec.com