- 博客(2135)
- 收藏
- 关注
RSS订阅转载 AI Python 包中存在缺陷 “Llama Drama” ,威胁软件供应链
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Checkmarx 公司的安全团队在报告中提到,看似可信的AI模型在安装后门。该漏洞被称为“LIama drama”,影响 llama_cpp_python 包,可能导致攻击者执行任意代码并攻陷数据和操作。该漏洞影响可信平台如 Hugging Face 上的6000多个AI模型,凸显AI平台和开发人员解决供应链安全挑战的必要性。值得注意的是,该漏...
2024-05-23 17:31:59
4
转载 GitHub 企业服务器中存在严重漏洞,可导致认证绕过
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士GitHub 修复了位于GitHub 企业服务器 (GHES) 中的一个CVSS满分漏洞CVE-2024-4985,它可导致攻击者绕过认证防护措施。CVE-2024-4985可使攻击者在无需提前认证的情况下,越权访问实例。该公司发布安全公告提到,“使用SAML单点登录认证的实例如具有可选的加密断言特性,则攻击者可伪造SAML响应以及/或者获得对具...
2024-05-22 17:39:18
6
转载 Veeam:Backup Enterprise Manager 中存在严重的认证绕过漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Veeam 提醒客户称修复一个严重漏洞,它可导致未认证攻击者通过 Veeam Backup Enterprise Manager (VBEM) 登录任何账户。VBEM 是一款基于 web 的平台,可使管理员通过单一 web 控制台管理 Veeam Backup & Replication 安装。它有助于在组织机构的备份基础设施和大规模部署...
2024-05-22 17:39:18
3
转载 Fluent Bit 严重漏洞影响所有主流云提供商
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Fluent Bit 中存在一个严重漏洞,可被用于拒绝服务和远程代码执行攻击中,影响所有主流云提供商和很多技术巨头。Fluent Bit 是一款极其热门的日志和度量解决方案,适用于主流Kubernetes 发行版本内嵌的 Windows、Linux 和 macOS 系统,包括Amazon AWS、Google GCP 和Microsoft Azu...
2024-05-21 17:32:22
16
转载 CISA紧急通告:NextGen Healthcare Mirth Connect正遭攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国网络安全和基础设施安全局 (CISA) 将影响 NextGen Healthcare Mirth Connect 的一个漏洞新增至必修清单,说明该漏洞已遭活跃利用。该漏洞的编号是CVE-2023-43208,是由另外一个严重漏洞CVE-2023-37679(CVSS评分 9.8)的补丁不完整导致的未认证远程代码执行漏洞。该漏洞的详情率先由 H...
2024-05-21 17:32:22
16
转载 CISA提醒修复严重的Chrome 和 D-Link漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国网络安全和基础设施局 (CISA) 将三个漏洞添加至必修清单,其中一个影响谷歌 Chrome 浏览器,另外两个影响某些D-Link 路由器。CISA 提醒联邦机构和企业这些漏洞正遭利用,应部署安全更新或缓解措施。联邦机构应在6月6日前替换受影响设备或执行防御措施,降低或消减攻击风险。遭活跃利用的缺陷Chrome 中的漏洞是CVE-2024-4...
2024-05-20 17:37:23
19
转载 英特尔披露 AI 模型压缩软件中的严重漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士英特尔称用于AI模型压缩的 Intel Neural Compressor 某些版本中存在一个CVSS评分为10分的严重漏洞 CVE-2024-22476。该漏洞可导致未认证攻击者在运行受影响软件的英特尔系统上执行任意代码。该漏洞是英特尔公司上周所披露的十几个漏洞中最为严重的。输入验证不当英特尔公司表示,该漏洞是因为输入验证不当(或用户输入清洁不...
2024-05-20 17:37:23
28
转载 通用电气HealthCare 超声设备存在11个缺陷
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员从 GE HealthCare Vivid 超声产品家族中发现了11个安全缺陷,可被恶意人员用户篡改患者数据,在某些情况下甚至能够安装勒索软件。运营技术安全厂商 Nozomi Networks 在技术报告中提到,“这些缺陷造成的影响是多方面的:可在超声设备上植入勒索软件、访问并操纵存储在易受攻击设备上的患者数据等不一而足。”这些缺陷影响...
2024-05-17 17:58:34
39
转载 WiFi 标准中存在漏洞 可导致 SSID 混淆攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士比利时鲁汶大学的研究人员在 IEEE 802.11 WiFi 标准中发现了一个设计缺陷,可导致攻击者诱骗受害者连接到安全性弱的无线网络而非原来的预期网络。VPN 审计网站 Top10VPN 和鲁汶大学的研究人员提到,这类攻击可导致受害者面临更高的流量拦截和操纵风险,漏洞详情已发布。设计缺陷该缺陷的编号是CVE-2023-52424,影响所有操作系...
2024-05-17 17:58:34
15
转载 谷歌紧急修复周内第3个已遭利用的0day
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Chrome 发布紧急 Chrome 安全更新,修复了一周内已遭利用的第3个 0day 漏洞。谷歌在本周三的安全公告中提到,“谷歌发现 CVE-2024-4947的一个在野利用。” 谷歌发布125.0.6422.60/.61 Mac/Windows版和 125.0.6422.60 Linux版,修复了这个漏洞。这些新版本将在未来几周内向 Stab...
2024-05-16 11:38:08
33
转载 VMware 修复Workstation 和 Fusion 产品中的多个漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士VMware Workstation 和 Fusion 产品中存在多个漏洞,可被威胁行动者用于访问敏感信息、触发拒绝服务条件并在某些条件下执行代码。这四个漏洞影响 Workstation 17.x 和 Fusion 13.x,修复方案已分别在17.5.2和13.5.2中发布。这四个漏洞的简述如下:CVE-2024-22267:CVSS 9.3,是...
2024-05-16 11:38:08
38
转载 RSAC 2024观察:软件供应链安全进入AI+时代
网络安全行业备受关注的RSAC 2024刚刚落下帷幕,今年大会的创新沙盒比赛打破了之前五年均有软件供应链安全初创公司进入10强的惯例,但这并未影响软件供应链安全议题成为大会必选项,并引发广大从业者极大兴趣的状况。本文就来盘点一下今年RSAC会议上软件供应链安全议题的特点、趋势及启示。一、RSAC2024软件供应链安全议题内容分析1、软件物料清单(SBOM)成为热门话题这一现象与SBOM近年来的研...
2024-05-15 18:00:30
16
转载 微软五月补丁星期二值得关注的3个0day及其它
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士五月补丁星期二,微软共计修复59个CVE漏洞,加上第三方CVE漏洞,则五月共修复63个漏洞。和四月补丁日一致,微软仍未修复Pwn2Own 大赛上披露的多个漏洞。在所修复的漏洞中,只有1个被评级为“严重”等级,57个是“重要”级别,1个是“中危”级别。两个CVE漏洞被标记为已遭活跃利用,另外一个为公开已知。微软并未提供关于攻击规模的任何信息,但CW...
2024-05-15 18:00:30
13
转载 PyPI 恶意包假冒合法包,在PNG文件中隐藏后门
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危...
2024-05-14 17:34:48
35
转载 严重的Cacti漏洞可导致攻击者执行远程代码
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士广泛使用的网络监控工具 Cacti 最近发布重要安全更新,修复了一系列漏洞,其中最严重的是CVE-2024-25641,CVSS评分为9.1。严重的RCE漏洞CVE-2024-25641可导致拥有“导入模板”权限的认证用户在托管 Cacti 应用的服务器上执行任意PHP代码。该漏洞是因为对函数 import_package() 中所上传的 XML...
2024-05-14 17:34:48
53
转载 Dell API 遭滥用 逾4900万客户记录被攻陷
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士攻陷戴尔 (Dell) 数据的威胁行动者称,他们以虚假公司的身份访问了一家合作伙伴的门户 API,4900万名客户的信息遭泄露。戴尔公司目前正在发送通知,提醒客户数据已被盗。被盗数据包括客户订单数据如保证信息、服务标记、客户姓名、安装位置、客户号码和订单号码等。4月28日,名为 Menelik 的威胁行动者在 Breached 黑客论坛上出售这些...
2024-05-13 18:11:11
13
转载 CISA提出的安全设计承诺无实际约束力吗?
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士在2024年RSA 大会上,微软、亚马逊 Web Service (AWS)、IBM等企业达成一致,认为应采取多种措施实现由CISA定义的七个目标。该协议是自愿的,不具备法律效力且可灵活应用于公司所有或其中一款产品或服务。不过,签署企业认为,该协议或有助于推动良好的安全实践和行业投资。Claroty 公司是签署方之一,其首席隐私官 Grant G...
2024-05-13 18:11:11
13
转载 工业物联网设备中广为使用的调制解调器易受SMS攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Telit 公司的Cinterion蜂窝调制解调器中存在多个漏洞,可导致远程攻击者通过短信 (SMS) 执行任意代码。该调制解调器广泛应用于多种行业,包括工业、医疗和电信等。在这八个漏洞中,其中7个的编号为CVE-2023-47610至CVE-2023-47616,还有1个未被分配CVE编号。它们由卡巴斯基 ICS CERT团队的安全研究人员在去...
2024-05-11 17:33:24
18
转载 谷歌修复今年第五个 Chrome 0day漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌发布 Chrome 安全更新,修复了今年以来遭利用的第5个 0day 漏洞 (CVE-2024-4671)。该高危漏洞是位于 Visuals 组件中的“释放后使用”漏洞,负责处理渲染和在浏览器上展示内容。该漏洞由一名匿名研究人员发现并报送,谷歌表示可能已遭活跃利用。谷歌在安全公告中表示,“谷歌发现 CVE-2024-4671遭在野利用。”当程...
2024-05-11 17:33:24
73
转载 Citrix 提醒管理员手动缓解 PuTTY SSH 客户端漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Citrix 公司本周提醒客户手动缓解一个 PuTTY SSH 客户端漏洞 (CVE-2024-31497),它可导致攻击者窃取 XenCenter 管理员的SSH 私钥。XenCenter 有助于管理 Windows 桌面的 Ctrix Hypervisor 环境,包括部署和监控虚拟机。该漏洞影响XenCenter for Citrix Hyp...
2024-05-10 17:22:56
16
转载 Veeam 修复备份管理平台中的RCE漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Veeam 修复了位于 Veeam Service Provider Console (VSPC) 中的一个高危漏洞 (CVE-2024-29212),督促客户执行该补丁。CVE-2024-29212 简述VSPC 是供管理服务提供商 (MSPs) 和企业用于管理和监控数据备份操作的云平台。该公司解释称,“服务提供商可部署 VSPC 交付 Vee...
2024-05-09 17:23:48
54
转载 BIG-IP Next Central Manager 新漏洞可导致设备遭接管
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士F5 修复了位于 BIG-IP Next Central Manager 中的两个高危漏洞,它们可被用于获取管理控制权限并在任意管理资产上创建隐藏的恶意账号。Next Central Manager 可使管理员通过统一的管理用户接口,控制本地或云 BIG-IP Next 实例和服务。这些漏洞是位于 BIG-IP Next Central Mana...
2024-05-09 17:23:48
69
转载 CISA的KEV清单加快漏洞修复速度了吗?
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士CISA在2021年推出“已知遭利用漏洞 (KEV)” 清单的目的是为了提醒政府机构和企业关注最具风险的在野威胁。美国前国会议员 Jim Langevin 是创建KEV清单的CISA绑定运营指令立法22-01推动者,他解释称KEV清单的目的是向企业提供与政府机构分享的关于哪些漏洞风险最大因此应当优先修复的信息。联邦政府被要求缓解增加至 KEV 清...
2024-05-08 17:56:02
18
转载 超5万台 Tinyproxy 服务器易受严重RCE漏洞影响
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士近5.2万台暴露在互联网的 Tinyproxy 实例易受CVE-2023-49606 漏洞的影响。该漏洞是一个严重的RCE漏洞,CVSS v3评分为9.8。Tinyproxy 是一款开源的HTTP 和HTTPS 代理服务器,旨在成为快速、小型和轻量的服务器,专为 UNIX 类的操作系统定制,常用于小型企业、公共WiFi提供商和家庭用户。本月初,思...
2024-05-08 17:56:02
44
转载 NSA提醒称朝鲜黑客正在利用薄弱的DMARC邮件策略
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士NSA和FBI提醒称,和朝鲜存在关联的黑客组织 APT43 利用薄弱的DMARC 策略实施鱼叉式钓鱼攻击。NSA和FBI 联合美国国务院提醒称,攻击者滥用配置不当的 DMARC 策略发送遭欺骗的邮件,而这些邮件似乎源自可信来源如记者、学术界和其它东亚事务专家。NSA提到,“朝鲜利用这些鱼叉式钓鱼攻击,通过获得对目标私密文档、研究和通信的非法访问权...
2024-05-07 17:48:00
21
转载 Citrix悄悄修复相似度极高但严重性不及CitrixBleed的高危漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Citrix 公司悄悄修复了位于 ADC 和 Gateway 设备中的一个漏洞,它可导致远程未认证攻击者从受影响系统的内存中获得潜在的敏感信息。该漏洞与 CitrixBleed (CVE-2024-4966) 极其相似但严重性不及。CitrixBleed 同样位于ADC和Gateway 中,是Citrix 去年披露的一个 0day。本文所述新漏洞...
2024-05-07 17:48:00
21
转载 CISA督促软件维护人员修复路径遍历漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士CISA和FBI督促软件企业审计产品并在交付前修复路径遍历漏洞。攻击者可利用路径遍历漏洞(也被称为目录遍历漏洞)创建或覆写用于执行代码或绕过安全机制如认证的重要文件。这类安全缺陷可导致威胁行动者访问敏感数据如凭据可用于暴力破解业已存在的账户以攻陷目标系统。另外一个可能的场景是拿下或阻止对易受攻击系统的访问权限,这些系统可被覆写、删除或损坏用于认证...
2024-05-06 17:52:24
22
转载 谷歌安卓应用的RCE漏洞最高赏金45万美元
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌大幅增加了赏金猎人能通过从谷歌所开发和维护的安卓应用中找到漏洞能获得的赏金。谷歌信息安全工程师 Kristoffer Blasiak 指出,“我们对某些类别内的赏金额最高增加到原来的10倍(如第一级别应用中的远程任意代码执行漏洞的赏金从3万美元增加到30万美元)。”谷歌还准备为高质量漏洞报告支付更高赏金,助力移动漏洞奖励计划团队更快做出决策。...
2024-05-06 17:52:24
28
转载 R语言中的新漏洞可导致项目易受供应链攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士R编程语言中存在一个漏洞,可被威胁行动者用于创建一个恶意RDS(R数据序列化)文件,从而在加载和引用时导致代码执行后果。AI应用安全公司 HiddenLayer 在报告中提到,该漏洞的编号是CVE-2024-27322,“涉及使用R中的 promise 对象和惰性评估。” RDS类似于Python 中的 pickle,是一种用于对R中数据结构或对...
2024-04-30 16:13:36
206
转载 开源的Judge0 中存在多个沙箱逃逸漏洞,可导致系统遭完全接管
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开源的在线代码执行系统中存在三个严重漏洞,可用于在目标系统上执行代码。澳大利亚网络安全公司 Tanto 在报告中提到,这三个漏洞都属于严重级别,可导致“具有充分访问权限的对手执行沙箱逃逸并获得主机机器的 root 权限。”Judge0维护人员表示,该项目是“健壮、可扩展和开源的在线代码执行系统”,可用于构建需要在线代码执行特性的应用程序如候选评估...
2024-04-30 16:13:36
233
转载 SBOMs是网络攻击者的金库?
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士越来越多的政府和安全敏感企业要求软件厂商提供软件物料清单(SBOMs),但如落入攻击者手中,则这些构成应用程序的组件清单将成为利用代码的蓝图。Finite State公司的产品安全研究兼分析总监 Larry Pesce 提到,攻击者判断出目标企业正在运行的软件,检索到相关联的SBOM,分析该应用程序所包含组件中的弱点,在此过程中一个数据包都不用发...
2024-04-29 17:32:25
43
转载 数千台 Qlik Sense 服务器易受 Cactus 勒索软件攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士就在安全研究员提醒称 Cactus 勒索团伙利用 Qlik Sense 数据分析和商业情报平台中的三个漏洞的近5个月后,很多组织机构仍然易受攻击。去年8月和9月,Qlik 披露了这些漏洞。该公司在8月份披露了多个 Qlik Sense Enterprise for Windows 中的两个漏洞CVE-2023-41266和CVE-2023-412...
2024-04-29 17:32:25
52
转载 Okta提醒客户注意“史无前例”的凭据填充攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Okta公司提醒称,针对其身份和访问管理解决方案的凭据填充攻击数量“前所未有”地急剧增长,其中一些客户的账户遭攻陷。威胁行动者通过凭据填充,即自动尝试通常是从网络犯罪分子手中购买的用户名和密码列表,攻陷用户账户。Okta公司发布安全公告指出,攻击的来源基础设施与思科Talos团队此前报道的暴力破解和密码喷射攻击中所使用的一样。Okta公司在所有的...
2024-04-28 17:38:14
32
转载 NPM恶意包利用招聘诱骗开发人员安装恶意软件
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全公司 Securonix 指出,一起社工活动正在通过npm 恶意包以招聘为由攻击软件开发人员,诱骗他们下载 Python 后门。这起活动被称为 “DEV#POPPER”,被指与朝鲜威胁行动者有关。安全研究员 Den luzvyk、Tim Peck 和 Oleg Kolesnikov 表示,“在这些欺诈性面试活动中,开发人员通常被要求执行多...
2024-04-28 17:38:14
31
转载 iMessage 零点击RCE利用被曝现身黑客论坛
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士据称,针对苹果 iMessage 的零点击远程代码执行 (RCE) 利用在多个黑客论坛上传播。该利用可导致黑客在无需用户交互的情况下控制 iPhone,从而对全球数百万 iMessage 用户带来严重风险。零点击利用这一网络安全威胁,无需受害者点击链接、下载文件或采取任何措施触发。这导致零点击利用尤为危险和有效,因为在用户不知情的情况下可静默攻陷...
2024-04-26 17:25:29
310
转载 19个月之后,博通终于修复了这些 SANnav漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员 Pierre Barre 指出,经过19个月与博通就 SANnav 管理应用中的多个漏洞进行沟通后,博通终于在今年4月份修复了这些漏洞,距离首次证实漏洞已过去了11个月。Barre 在一篇博客文章中指出,在所发现的18个漏洞中,3个可导致攻击者发送恶意数据并拦截以明文形式拦截的凭据,从而攻陷整个 SANnav Fibre Channe...
2024-04-26 17:25:29
284
转载 速修复Progress Flowmon中的这个CVSS满分漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士用于监控网络性能和可见性的工具Progess Flowmon中,存在一个严重漏洞,其PoC 利用代码已发布。Progress Flowmon 具有性能追踪、诊断及网络检测和响应特性,客户遍布全球1500多家企业,包括 SEGA、起亚、TDK、大众、Orange和Tietoevry等。该漏洞的编号是CVE-2024-2389,CVSS评分为10分,...
2024-04-25 17:28:07
338
转载 国家黑客组织利用思科两个0day攻击政府网络
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科提醒称,自2023年11月起国家黑客组织一直在利用位于 ASA 和 FTD 防火墙中的两个0day漏洞攻陷全球政府网络。这些黑客被思科 Talos 称为 “UAT4356”,微软称为 “STORM-1849”,他们自2023年11月开始发动网络间谍活动 ArcaneDoor,渗透易受攻击的边缘设备。尽管思科尚未发现初始攻击向量,但发现并修复了...
2024-04-25 17:28:07
155
转载 WordPress 插件 Forminator 中存在严重漏洞,影响30多万站点
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士50多万个站点都在使用的WordPress 插件 Forminator 易受严重漏洞CVE-2024-28890(CVSS评分9.8)的影响,可导致恶意人员将不受限制的文件上传到服务器中。Forminator 由 WPMU DEV 创建,是一款适用于 WordPress 站点的自定义联系、反馈、测试、调查和支付表单构建器,提供拖放功能、广泛的第三...
2024-04-24 17:33:16
87
转载 微软:APT28 利用由NSA报送的 Windows 漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士微软提醒称,俄罗斯 APT28 威胁组织利用 Windows Print Spooler 漏洞 (CVE-2022-38028),通过此前未知的黑客工具 GooseEgg提升权限,窃取凭据和数据。APT 28 黑客组织被指“至少从2020年6月,甚至早在2019年4月就开始”利用CVE-2022-38028。该漏洞由美国国家安全局 (NSA) 报...
2024-04-24 17:33:16
62
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人