- 综合排序
- 最热优先
- 最新优先
- 来自专栏小生观察室
软件供应链漏洞挖掘
image.png 视频内容 软件供应链漏洞挖掘 1080P超清版 微信公众号平台本身会对素材进行二次压缩,会导致画面出现不清晰等情况。 v=ffcQQdOhyr8 其他说明 本视频基于直播内容进行了剪辑和优化,去除多余杂音及跳帧画面 添加片头增强舒适度,提高观赏性。
79100发布于 2021-05-30 - 来自专栏火山信安实验室
【漏洞通报】DuckDB NPM包供应链投毒事件
漏洞情况近期,火山信安实验室监测发现,,DuckDB的Node.js和Wasm软件包在NPM供应链攻击中被植入恶意软件,攻击者通过劫持开发者账户发布恶意版本,利用供应链投毒手段在包中嵌入加密货币窃取后门 此次事件被追踪为CVE-2025-59037,属于高危供应链安全漏洞。 0x01漏洞利用方式攻击者通过精心策划的钓鱼邮件诱导开发者点击恶意链接,成功窃取其NPM账户控制权后,在受控账户下发布含恶意代码的DuckDB Node.js和Wasm包版本;当用户安装或运行这些受感染的包时 package.json和package-lock.json文件,确认是否引用了受影响版本的DuckDB启用NPM账户的双因素认证(2FA),防止账户被劫持引入AI异常行为检测和交易地址白名单验证,提升对供应链攻击的实时响应能力来源自
28610编辑于 2025-10-22 - 来自专栏FreeBuf
通过 Realtek SDK 漏洞攻击一窥 IoT 供应链威胁
但研究人员发现,2022 年 8 月至 2022 年 10 月间利用 Realtek Jungle SDK 远程代码执行漏洞(CVE-2021-35394)的攻击却占到了攻击总量的 40%。 截至 2022 年 12 月,研究人员一共监测到 1.34 亿次利用该漏洞的攻击,其中大约 97% 都是发生在 2022 年 8 月之后。 漏洞概述 CVE-2021-35394 漏洞于 2021 年 8 月 16 日被公开披露,由于许多 IoT 设备厂商都使用 Realtek 芯片组,该远程命令执行漏洞是一个典型的供应链安全问题。 月到 2022 年 12 月,共监测到 1.34 亿次 CVE-2021-35394 漏洞利用攻击,其中 97% 发生在 2022 年 8 月后。 分析了所有的 Payload,出现频率最高的 URL 及其攻击源如下所示: URL 频度排名 结论 通过 CVE-2021-35394 的在野攻击情况可以看出,攻击者对供应链漏洞非常感兴趣。
2K10编辑于 2023-02-24 - 来自专栏玄魂工作室
CTF实战8 SQL注入漏洞
是我们的第二个实战课程 我们还是那句话先 重要声明 该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关 SQL注入漏洞产生的原因 SQL
2K30发布于 2018-07-25 - 来自专栏FreeBuf
重大供应链威胁!这个 Java 开源框架存在严重漏洞
专家表示,这种情况可能会对未打补丁的软件构成重大供应链威胁。 CISA已将CVE-2022-36537添加到其已知已开发漏洞(KEV)目录中,该漏洞影响ZK Java Web框架9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1版本。 当该公司在90天内没有回应时,研究人员在Twitter上公布了一些关于如何利用该漏洞的细节,Huntress的研究人员利用这些细节复制了该漏洞并完善了一个概念验证(PoC)漏洞。 他们推测,该漏洞有可能影响到比这更多的机器。 供应链面临风险 当Huntress对该漏洞进行分析时,没有证据表明存在主动利用的情况。 这对攻击者来说无疑是利好的,同时这可能给供应链带来重大风险。
59410编辑于 2023-03-29 - 来自专栏Cyber Security
【漏洞复现】用友GPR-U8 slbmbygr SQL注入漏洞
一、漏洞描述 用友GRP-U8是面向政府及行政事业单位的财政管理应用。北京用友政务软件有限公司GRP-U8 SQL注入漏洞。 ! https://img-blog.csdnimg.cn/fe260ff4d6d14abeb0e576e4bbf3c385.png 二、网络空间搜索引擎搜索 fofa查询语法 app="用友-GRP-U8" 三、漏洞利用 POC:拼接/u8qx/slbmbygr.jsp? gsdm=1 访问 漏洞存在 漏洞不存在 使用SQLmap进行注入利用 sqlmap -u "http://xxxx:xxxx/u8qx/slbmbygr.jsp? gsdm=1*" 查询当前用户权限 sqlmap -u "http://xxxx:xxxx/u8qx/slbmbygr.jsp?gsdm=1*" --batch --is-dba
75410编辑于 2024-07-18 - 来自专栏火山信安实验室
【漏洞通报】Chrome V8 类型混淆远程执行漏洞
漏洞情况近期,火山信安实验室监测发现,,Google Chrome V8 JavaScript引擎存在高危类型混淆漏洞(CVE-2025-10585),该漏洞已被证实存在在野利用,攻击者可通过诱导用户访问恶意网页实现远程代码执行 0x01漏洞利用方式V8引擎在处理JavaScript对象时存在类型检查逻辑缺陷,攻击者可利用此漏洞精心构造恶意对象,使引擎错误解析对象类型并操纵浏览器内存布局,通过编写特定JavaScript代码触发内存越界读写 ,进而覆盖关键函数指针或返回地址以实现任意代码执行;攻击者通常通过钓鱼邮件、恶意广告或社交工程手段诱导用户点击包含恶意脚本的链接或访问恶意网页,当用户浏览器加载这些页面时,V8引擎在解析脚本过程中会触发该漏洞并执行攻击者注入的恶意代码
28410编辑于 2025-10-23 - 来自专栏网络安全技术点滴分享
PyPI安全审计深度解析:代码库漏洞与供应链防护
我们对PyPI的审计 - Trail of Bits博客William Woodruff 2023年11月14日 开源, 供应链, 生态系统安全, 审计本文与PyPI维护者联合发布;请在此阅读他们的公告 的权限处理第三方服务集成(GitHub密钥扫描、PyPA咨询数据库、AWS SNS邮件传递、外部对象存储)发现虽非高危但可能影响Warehouse可用性、完整性或托管分发版完整性的问题,包括一个可泄露私有账户信息的漏洞 GitHub webhook事件处理及容器构建调度逻辑容器镜像构建与编排密钥处理和日志过滤用户界面表单和路由逻辑发现可能影响cabotage及其构建容器可用性/完整性的问题,包括两个可绕过访问控制或日志过滤的漏洞
28510编辑于 2025-08-21 - 来自专栏公共互联网反网络钓鱼(APCN)
ExifTool元数据解析漏洞机制与macOS供应链防御研究
摘要随着数字取证、新闻调查及企业资产管理系统对自动化文件处理流程依赖度的加深,元数据解析库的安全性已成为软件供应链中的关键薄弱环节。 关键词:ExifTool;CVE-2026-3102;元数据注入;远程代码执行;macOS安全;供应链攻击1. 引言在当代网络安全格局中,攻击面的边界正以前所未有的速度扩张。 这一发现不仅打破了“图片文件绝对安全”的认知误区,更揭示了软件供应链中潜藏的深层风险。 攻击场景建模与实战利用分析3.1 自动化工作流中的隐蔽渗透CVE-2026-3102最具破坏力的应用场景并非针对个人用户的单次点击,而是针对企业级自动化工作流的供应链攻击。 结论与展望CVE-2026-3102漏洞的披露,再次敲响了软件供应链安全的警钟。它揭示了在高度自动化的数字工作流中,看似无害的基础设施组件(如ExifTool)可能成为攻击者突破防线的跳板。
12910编辑于 2026-03-11 - 来自专栏网络安全技术点滴分享
CVE-2024-3094:XZ Utils供应链后门漏洞深度剖析
项目概述CVE-2024-3094是一个存在于XZ Utils数据压缩库中的关键供应链后门漏洞,CVSS v3.1评分为10.0(严重)。 该漏洞通过修改构建过程在liblzma库中植入了远程代码执行后门。 主要风险 未经授权的远程访问 → 完整系统被攻陷 功能特性根据提供的代码内容分析,该项目主要涉及以下安全分析功能:供应链攻击分析:详细解析恶意代码如何通过构建过程注入到开源项目中漏洞机制剖析 return 0;} 技术深度分析该漏洞展现了高度复杂的供应链攻击技术:长期潜伏:攻击者以受信任贡献者身份长期参与项目隐蔽植入:恶意代码仅存在于发布包而非源码仓库条件触发:后门仅在特定条件下激活,避免常规检测依赖链利用 :通过系统服务的间接依赖实现权限提升这个案例强调了开源供应链安全的重要性,以及需要多层防御策略来防止类似攻击。
27800编辑于 2025-12-25 - 来自专栏API安全
2023年8月API漏洞汇总
为了更好的帮助企业保护好API资产和数据安全,避免因API安全问题给企业带来不必要的损失,星阑科技为大家整理了最新一期8月份的API漏洞报告,以便企业更好的进行查漏补缺,帮助企业建立网络安全全局观,不断强化行业自律 【漏洞】Roblox未授权信息泄露漏洞漏洞详情:据PC Gamer报道,大型在线游戏平台 Roblox(罗布乐思)近日遭遇重大数据泄露,约4000名开发者个人隐私信息被公开,其中包括 2017-2020 【漏洞】PrestaShop SQL注入漏洞漏洞详情:PrestaShop/paypal是PrestaShop网络商务生态系统的一个开源模块,提供paypal支付支持。 网站每个数据层的编码统一,建议全部使用 UTF-8 编码,上下层编码不一致有可能导致一些过滤模型被绕过。 定期运行漏洞扫描:由于攻击者总是在不停地伺机寻找未修补的漏洞,进而对目标网络实施未授权访问。因此,企业组织应定期进行漏洞扫描或选择聘请第三方专业人员,协助IT员工管理IT安全。
1.9K20编辑于 2023-09-04 - 来自专栏CNCF
【独家】K8S漏洞报告|近期多个CVE漏洞解读
输 安全漏洞CVE-2019-11247/ CVE-2019-11248/ CVE-2019-11249分析 Kubernetes v1.15+ Bug Fix数据分析 ——本期更新内容 1 安全漏洞 Kubernetes社区通过Google Group频道Kubernetes developer/contributor discussion发布了与API Server,Kubectl以及Kubelet相关的三个安全漏洞 该漏洞存在于API Server中,存在命名空间访问权限的用户,可以访问到集群范围的 CRD资源CR, 版本1.7.x-1.12.x, 1.13.0-1.13.8, 1.14.0-1.14.4, 1.15.0 该漏洞存在于Kubelet中,由于用于性能调试的“/debug/pprof“ 接口绑跟kubelet的健康检查端口“/healthz”绑定在一起,虽然“/debug/pprof”会进行安全认证,但“/ 该漏洞存在于Kubectl中,在使用 “kubectl cp”命令的时候,恶意用户可能将文件拷贝到目录文件夹之外的其他目录,版本1.0.x-1.12.x, 1.13.0-1.13.8, 1.14.0-
4.8K20发布于 2019-12-04 - 来自专栏绿盟科技安全情报
【漏洞通告】微软8月安全更新多个产品高危漏洞通告
版本: 1.0 1 漏洞概述 北京时间8月12日,微软发布8月安全更新补丁,修复了120个安全问题,涉及Microsoft Windows、Internet Explorer、Microsoft SQL 本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞共有17个,重要(Important)漏洞有103个。请相关用户及时更新补丁进行防护,详细漏洞列表请参考附录。 ,存在远程执行代码漏洞。 成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限,此漏洞已存在野外利用。 攻击者可通过诱导用户打开特制的图像文件来利用漏洞,成功利用漏洞的攻击者可以获取信息从而进一步利用受影响系统。
85530发布于 2020-08-17 - 来自专栏FreeBuf
TensorFlow机器学习框架曝严重漏洞,黑客可发起供应链攻击
在开源TensorFlow机器学习框架中发现的持续集成与持续交付(CI/CD)配置错误,可能被利用来发起供应链攻击。 Khan和John Stawinski在本周发布的一份报告中表示,这些配置错误可能被攻击者利用来“通过恶意拉取请求(pull request),在GitHub和PyPi上对TensorFlow版本实施供应链妥协 通过利用这些漏洞,攻击者可将恶意版本上传到GitHub仓库,并获得自托管GitHub运行器(runner)上的远程代码执行权限,甚至检索tensorflow-jenkins用户的GitHub个人访问令牌
59710编辑于 2024-01-20 - 来自专栏DevOps
制品可信 + 漏洞动态阻断,嘉为蓝鲸 CPack 护航软件供应链
官网原文(免费申请演示):CPack制品库:制品黑白名单,为软件供应链安全护航01.背景企业级应用中 90% 以上依赖开源组件,但开源生态存在漏洞、后门及协议风险;同时,在金融、电信等行业,需要遵从合规条例和安全法规 所以,在 DevOps 制品仓库管理平台中,制品黑白名单和漏洞黑白名单是保障软件供应链安全、控制风险的核心功能。
11900编辑于 2025-07-07 - 来自专栏CNCF
【独家】K8S漏洞报告|CVE-2019-11244漏洞解读
2019年5月,Kubernetes社区(后面简称”社区“)修复了标号为CVE-2019-11244的安全漏洞,这个修复方案似乎并不彻底,于是有人发布Issue对此提出异议,希望提供进一步修复方案。 本文先深度分析一下这个漏洞,看在什么情况下会产生安全风险,接着再探讨一下这个漏洞应该如何修复,以但给广大Kubernetes用户提供一些提示。 1 背景知识 为了能更好的理解这个漏洞,需要一些关于Linux 文件权限的基础知识。 也许你经常使用chmod命令来为某个文件设置权限,比如给某个文件设置权限:chmod 755 xxx。 1 漏洞描述 CVE-2019-11244漏洞原文描述如下: In Kubernetes v1.8.x-v1.14.x, schema info is cached by kubectl in the 1 加固方案 基于社区的修复方案,如果想进一步修复这个漏洞,可以把缓存文件的权限进一步收缩,由660变为640,即Group用户最多只能查看缓存文件内容。
1.1K20发布于 2019-12-04 供应链漏洞治理方法全解析:腾讯云VGS构筑企业安全护城河
供应链漏洞已成为威胁企业数字安全的“隐形炸弹”。 本文结合供应链漏洞治理的核心挑战,深度剖析腾讯云漏洞治理服务(VGS)的技术优势与创新实践,为企业提供从情报监测到修复落地的全链路解决方案,助力筑牢供应链安全防线。一、供应链漏洞治理为何迫在眉睫? 随着全球供应链数字化程度加深,攻击者正通过组件依赖、开源代码、第三方服务等薄弱环节发起攻击。2024年全球供应链攻击事件同比增加38%,平均每家企业需应对7.2个未修复漏洞。 二、供应链漏洞治理的“腾讯云方案”腾讯云漏洞治理服务(VGS)依托腾讯安全实验室的实战经验与全网情报网络,提供覆盖“监测-分析-修复-验证”的闭环能力,显著缩短漏洞响应时间窗口。 需部署探针,年均成本超$15万 合规适配 支持GDPR、等保2.0等国际国内标准 需二次开发对接 结语 供应链漏洞治理已进入
30110编辑于 2025-10-10- 来自专栏腾讯安全
Patch2QL:开源供应链漏洞挖掘和检测的新方向
作为软件供应链研究重点,腾讯安全云鼎实验室通过对开源上下游的典型实践的长期分析和漏洞挖掘,论证了供应链的典型威胁,特别是“同源漏洞”的风险模型。 选取8款漏洞较多的开源基础软件,将其代码置为2020年1月的版本,统计其截止到2023年10月的已知CVE数量;之后使用三款工具对这8个代码库进行扫描,统计其总报告漏洞数量(Positives)以及命中的 原理与实现Patch2QL的核心任务就是处理漏洞关键代码,使用规则条件描述漏洞语义,组成完备的规则并适当泛化。工具整体原理流程如下。漏洞语义的获取,通过对漏洞补丁前后的代码上下文分析提取。 结果揭示了开源供应链下游实践中不同程度的来由的问题,并通过向相关厂商和社区反馈,及时封堵了这些长时间存在的风险。 公开资源与规划Patch2QL是一项服务于开源供应链安全的技术,为在开源生态中发挥最大化效能,其产出已由云鼎实验室面向开源生态公开使用。
1.1K10编辑于 2024-01-31 - 来自专栏OpenSCA
供应链安全情报 | cURL最新远程堆溢出漏洞复现与修复建议
cURL在2023年10月11日下午紧急发布最新版本来修复前几日发现的高危安全漏洞,其中编号为CVE-2023-38545的漏洞是cURL客户端在处理SOCKS5协议时存在的堆内存溢出漏洞。 图片漏洞复现悬镜供应链安全实验室第一时间对该漏洞进行分析和复现,当使用存在CVE-2023-38545漏洞的curl客户端或libcurl库请求攻击者的恶意socks代理服务器时,攻击者可通过socks5 服务器返回非法的协议数据来远程触发该堆内存溢出漏洞,如果能成功利用该漏洞,受害者主机系统可能存在被攻击者远程执行任意代码的风险。 漏洞补丁cURL项目官方发布了CVE-2023-38545的漏洞补丁如下https://github.com/curl/curl/commit/fb4415d8aee6c1图片在修复补丁中,当cURL客户端发现 图片修复建议禁止使用存在漏洞版本的curl客户端或libcurl库连接不信任的socks代理服务器升级到最新版本8.4.0*ps:可以关注下容器中 cURL 的默认版本该漏洞利用难度较高,用户可酌情选择是否升级到最新版本悬镜供应链安全实验室也将持续监测和挖掘未知的开源组件安全风险
2.4K220编辑于 2023-10-12 - 来自专栏FreeBuf
SolarWinds漏洞四周年,供应链攻击已成企业「大麻烦」
更新机制劫持:供应链攻击中,更新机制劫持是一种极具破坏性的策略,威胁攻击者利用软件更新过程中的漏洞或不安全的通信渠道,将恶意代码注入到软件的更新包中,然后通过合法渠道将这些恶意更新推送给用户。 篡改源代码:篡改源代码是一种常见且危险的供应链攻击方法,通过对软件或系统的源代码进行恶意修改,来实施攻击并植入后门、恶意代码或漏洞,这种攻击方法往往利用供应链中的弱点,例如第三方软件库、开源组件或外包开发团队 ,通过实时监控和审计,可以及时发现和应对供应链中的安全风险和漏洞。 减少第三方和开源组件依赖:组织应该审查和评估其对第三方和开源组件的依赖情况,识别和分析所有使用的第三方库、框架和工具,了解其安全性和稳定性,通过对第三方和开源组件的全面审查,可以识别潜在的安全风险和漏洞 同时,建立一个集中化的组件库和更新机制,确保所有使用的组件都经过审查和更新,以修复已知的安全漏洞。
1.1K10编辑于 2024-04-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号