【漏洞预警】IIS 6.0曝远程代码执行漏洞CVE-2017-7269
漏洞描述
微软方面也已经确认了该漏洞:Windows Server 2003R2版本IIS6.0的WebDAV服务中的ScStoragePathFromUrl函数存在缓存区溢出漏洞,远程攻击者通过以“If: <http://”开头的长header PROPFIND请求,执行任意代码。该漏洞自 ...
阅读全文
LastPass密码管理器再曝严重漏洞,基于浏览器的密码管理器还能用吗?
没有使用密码软件前,大家容易忘记密码;使用密码软件后,大家“无奈地”泄露了所有密码。LastPass,最受欢迎的密码管理软件之一,近日再次爆出安全漏洞。安全人员发现在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三个漏洞,可能会导致用户在使用该组件的过程中泄露密码 ...
阅读全文
【漏洞预警】GitLab曝高危漏洞,可致private token等敏感信息泄露
GitLab于昨日发布了8.17.4、8.16.8和8.15.8版本(社区版和企业版),修复多个高危漏洞,包含一个针对关键信息泄露漏洞的更新补丁,针对SSRF攻击的防护,以及针对可导致Atom源中私有邮件地址泄露漏洞的补丁,ElasticSearch中私有库数据泄露的补丁等。
GitLab特别在其 ...
阅读全文
微软Application Verifier曝0day漏洞,影响趋势科技、卡巴斯基、赛门铁克在内的大量安全产品
近日,Cybellum公司发现了一个0-day漏洞,可完全控制大多数安全产品。此漏洞称为“DoubleAgent”(双面间谍),多家安全厂商受到DoubleAgent的影响,包括Avast,AVG,Avira,Bitdefender,趋势科技,Comodo科摩多,ESET,F-Secure,卡巴斯基 ...
阅读全文
潜伏7年的Linux内核漏洞CVE-2017-2636曝光,可本地提权
又一个古老的Linux内核漏洞被曝光!这次的漏洞可以追溯到2009年,影响的linux发行版包括Red Hat、Debian、Fedora、OpenSUSE和Ubuntu。
这个Linux漏洞编号为CVE-2017-2636,根据CVSS v3标准漏洞评分为7.8分。漏洞在Linux内核已经存在7 ...
阅读全文
Drupal 7.X服务模块从反序列化到远程命令执行
前言
Ambionics团队在审计Drupal的服务模块后发现unserialize()的不安全使用造成了严重的漏洞。这个漏洞允许特权升级,SQL注入,最后造成远程代码执行。
服务模块
Drupal的服务模块是一种构建API的标准化解决方案,以便外部客户端可以与Drupal通信。它允许任何人构建S ...
阅读全文
关于Apache Struts2(S2-045)漏洞情况的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts2 (S2-045)远程代码执行漏洞(CNNVD-201703-152)的情况报送。由于该漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:
一、 漏洞简介
Apache Struts是美 ...
阅读全文
云出血:经典缓冲区溢出漏洞卷土重来
本文原创作者:nana
来源:安全牛
谷歌研究人员披露云服务商Cloudflare漏洞,致多家著名网站将用户隐私会话密钥及个人信息泄露至陌生人浏览器。
Cloudflare帮助公司企业推广网站和在线服务。由于一个编程错误,几个月来,Cloudflare的系统在特定条件下会将服务器内存中的内容随机泄 ...
阅读全文
【漏洞预警】潜伏11年的Linux内核提权漏洞曝光
本文原创作者:kuma
来源:FreeBuf.COM
漏洞编号
CVE-2017-6074
漏洞概述
Linux内核近日又曝出权限提升漏洞,该漏洞可追溯至2005年,漏洞影响Linux操作系统主要发行版本,包括Redhat、Debian、OpenSUSE和Ubuntu。利用该漏洞,攻击者可以从低权 ...
阅读全文
新曝WordPress REST API内容注入漏洞详解
本文原创作者:华为未然实验室
来源:FreeBuf.COM
近日,来自Sucuri的研究人员发现WordPress存在重大漏洞,漏洞在于WordpressREST API,成功利用该漏洞可删除页面或修改页面内容。官方很快发布了升级版Wordpress,但很多管理员没有及时升级,以至于被篡改的网页从最 ...
阅读全文