- 综合排序
- 最热优先
- 最新优先
- 来自专栏API安全
6月API安全漏洞报告
为了让大家的API更加安全,致力于守护数字世界每一次网络调用,小阑给大家整理了6月份的一些API安全漏洞报告,希望大家查漏补缺及时修复自己API可能出现的漏洞。 然而,Joomla Rest API 未授权访问漏洞是指在Joomla系统中出现的安全漏洞,使得攻击者可以通过未授权的方式访问和利用Rest API接口。 • 安全审计:定期对Joomla系统和其相关组件进行安全审计,检查是否存在其他安全漏洞,并及时修复。
1.2K10编辑于 2023-06-30 - 来自专栏FreeBuf
不被PayPal待见的6个安全漏洞
最近,Cybernews分析人员称,他们发现了和PayPal相关的6个高危漏洞,攻击者利用这些漏洞可以实现:绕过PayPal登录后的双因素认证(2FA)、使用其内部智能聊天系统发送恶意代码。 以下是Cybernews就发现的6个漏洞进行的说明,抛开是非对错,我们只来围观其技术姿势就好。 漏洞6:安全问题输入中存在持久型XSS 该漏洞与漏洞5类似,原因在于PayPal未对安全问题的用户输入答案实施过滤,导致存在XSS,我们可以使用MITM代理对其抓包构造,实现XSS触发。
4K30发布于 2020-03-24 - 来自专栏云鼎实验室的专栏
2025年6月企业必修安全漏洞清单
腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。 当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。 腾讯云安全定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。 以下是2025年6月份必修安全漏洞清单: 一、Apache Kafka Client任意文件读取漏洞(CVE-2025-27817) 二、Gogs 远程代码执行漏洞(CVE-2024-56731) 三、
11810编辑于 2026-04-09 - 来自专栏Seebug漏洞平台
精选 Flexport 在 HackerOne 这一年 6 个有趣的安全漏洞
以下是 200 个报告中最有趣的 6 个漏洞。 ? 截至2017/6/27 HackerOne的统计 1 删除按钮中的XSS漏洞 当发起赏金计划时,我们没想到会收到有关 XSS 的有效报告,毕竟 React 中内置了防范这种漏洞的保护措施,不幸的是, 6 绕过 2FA 最后,我们收到了一份报告,展示了对我们 2FA 的完全绕过,这使得第二重认证完全没有起作用。攻击者所要做的就是忽略 2FA 页面并导航到另一个链接。 ?
3.3K80发布于 2018-03-30 - 来自专栏安恒信息
安全漏洞公告
PHP 5.5.13及更早版本的配置脚本中使用的acinclude.m4存在安全漏洞,可使本地用户对 /tmp/phpglibccheck文件执行符号链接攻击,从而覆盖任意文件。 p=php-src.git;a=commit;h=91bcadd85e20e50d3f8c2e9721327681640e6f16 https://bugzilla.redhat.com/show_bug.cgi id=1104978 6 OpenSSL SSL/TLS 中间人漏洞 OpenSSL SSL/TLS 中间人漏洞发布时间:2014-06-06漏洞编号:BUGTRAQ ID: 67899 CVE ID:
1.5K40发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
JBoss EAP 身份验证安全绕过漏洞 4 Red Hat JBoss EAP会话ID信息泄露漏洞 5 F5 BIG-IP Traffic Management Microkernel 远程拒绝服务漏洞 6
1.5K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
PHP 5.4.28之前版本在php-fpm.conf.in的实现上存在安全漏洞,本地攻击者可利用此漏洞获取提升的权限并执行任意代码。 另外 CookieInterceptor配置为接受所有cookie后也存在此类安全漏洞。成功利用后可使攻击者绕过某些安全限制并执行未授权操作。 Linux Kernel存在安全漏洞,在已连接的netlink套接字上调用write(2)可重配置linux上的网络。
2.3K50发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
多个思科产品存在安全漏洞,该漏洞相关OSPF LSA数据库。此漏洞可使未经身份验证的攻击者完全控制OSPF AS域路由表、黑洞流量、中间流量等。 多个思科内容网络和视频传递产品漏洞在配置为中心管理模式中运行时,Web框架内存在安全漏洞。经过身份验证的远程攻击者虽然没有权限,但可以在受影响系统上、受影响系统管理的设备上执行任意代码。
1.6K30发布于 2018-04-09 - 来自专栏安恒信息
安全漏洞公告
Apache Roller OGNL表达式注入远程代码执行漏洞发布时间:2013-11-27漏洞编号:BUGTRAQ ID: 63928 CVE(CAN) ID: CVE-2013-4212漏洞描述:Apache Roller是适合于博客站点的多用户博客群服务器。 Apache Roller 5.0.2之前版本在实现上存在OGNL注入漏洞,因为使用ActionSupport.getText方法的方式不正确,所有UIAction控制器中存在OGNL注入,远程攻击者可利用此漏洞控制服务器端对象并在
1.7K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
TLS/DTLS信息泄露漏洞发布时间:2014-06-05漏洞编号: 漏洞描述:SCADA Data Gateway是系统集成商和公共事业事业的Windows应用,可收集OPC, IEC 60870-6 SCADA Data Gateway 3.00.0635之前版本处理特制的DNP3数据包时存在安全漏洞,可使远程攻击者造成拒绝服务(过量数据处理)。 SCADA Data Gateway 3.00.0635之前版本处理串行线上特制的DNP请求时存在安全漏洞,可使物理位置接近的攻击者造成拒绝服务(过量数据处理)。 多个F-Secure产品的Online Safety及Browsing Protection功能在实现上存在安全漏洞,可导致攻击者可以读取用户文件系统内的任意文件。 Serv-U多个安全漏洞 Serv-U多个安全漏洞发布时间:2014-06-04漏洞编号: 漏洞描述:Serv-U是一种使用广泛的FTP服务器程序。
1.6K40发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Apache HTTP Server 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1在实现上存在安全漏洞,可被恶意利用造成拒绝服务。
2K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
JBoss Seam在AuthenticationFilter的日志记录实现上存在安全漏洞,成功利用后可使攻击者在受影响应用上下文中执行任意代码。 IBM Security Access Manager (ISAM) for Mobile 8.0、IBM Security Access Manager for Web 7.0、8.0版本存在安全漏洞 fid=security_advisory&pvid=secu 补丁下载:https://symantec.flexnetoperations.com/ 6 Symantec Data Insight
1.5K50发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
1 McAfee Email Gateway存在未明任意命令执行漏洞 2 Zend Framework代理请求处理IP地址伪造漏洞 3Cisco ASA CX安全搜索策略绕过漏洞 4 Zabbix任意
911100发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
1 多个IBM产品SQL注入漏洞 多个IBM产品SQL注入漏洞发布时间:2014-05-28漏洞编号:BUGTRAQ ID: 67641 CVE(CAN) ID: CVE-2013-4016漏洞描述:IBM 是全球信息产业领导企业。 多个IBM产品存在SQL注入漏洞,远程经过身份验证的攻击者可利用此漏洞通过带纯文本WHERE字句的Birt报告,利用此漏洞执行任意SQL命令。受 影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x
1.7K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
IBM WebSphere Portal WEB内容管理器UI存在安全漏洞,允许远程攻击者利用漏洞通过IFFRAME元素注入恶意脚本或HTML代码,当恶意数据被查看时可获取敏感信息或者劫持用户会话。 安全建议:IBM Lotus iNotes 8.5.3 Fix Pack 6或9.0.1已经修复该漏洞,建议用户下载更新: http://www.ibm.com/support/docview.wss
1.5K120发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.symantec.com/business/security_response/ 6
1.6K70发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Cisco NX-OS在处理BGP更新消息时BGP实现存在安全漏洞,允许未验证远程攻击者使设备上所有BGP会话重置。 攻击者通过提交构建特定的BGP标记更新消息可触发该漏洞,可使配置了V**v4, V**v6, or 标记了单播地址族的IPv6的Cisco NX-OS设备上所有BGP会话重置。
1.5K70发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Xen 4.1-4.4.x版本的HVMOP_set_mem_type控件在实现上存在安全漏洞,本地客户端HVM管理员利用另外一个qemu-dm漏洞触发未指定内存页类型的无效页面表转换,然后利用此漏洞可造成拒绝服务或执行任意代码
1.7K70发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
1 Oracle MySQL Server远程安全漏洞 Oracle MySQL Server远程安全漏洞发布时间:2014-04-17漏洞编号:BUGTRAQ ID: 66863,66872 CVE Oracle MySQL Server在MySQL Server组件的实现上存在远程安全漏洞,此漏洞可通过MySQL Server协议利用,经身份验证的远程攻击者可利用此漏洞影响受影响组件的可用性。 type=doc&id=1635913.1 2 Oracle WebLogic Server远程安全漏洞 Oracle WebLogic Server远程安全漏洞发布时间:2014-04-15漏洞编号: Oracle WebLogic Server组件在实现上存在远程安全漏洞,此漏洞可通过T3协议利用,未经身份验证的远程攻击者可利用此漏洞影响受影响组件的机密性、完整性、可用性。 F5 ARX Series 6.0.0-6.4.0版本内使用的网络时间协议NTP的monlist功能存在安全漏洞,monlist在较老的NTP(4.2.7p26之前版本)中 默认的开启的,该命令位于
1.3K90发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Dell GoAhead Web Server在处理用户名长度大于16个字符的特制HTTP POST请求时,存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞造成受影响交换机不响应。 Microsoft XML Core Services处理特制WEB站点存在安全漏洞,允许攻击者利用漏洞访问本地系统文件或读取需要验证的WEB域内容。
1.4K50发布于 2018-04-10
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号