- 综合排序
- 最热优先
- 最新优先
- 来自专栏绿盟科技安全情报
【漏洞通告】微软5月安全更新多个产品高危漏洞通告
通告编号:NS-2020-0032 2020-05-13 TAG:安全更新、Windows、IE、Office、Edge、Visual Studio漏洞危害:攻击者利用本次安全更新中的漏洞,可造成信息泄露 版本:1.0 1 漏洞概述 北京时间5月13日,微软发布5月安全更新补丁,修复了111个安全问题,涉及Microsoft Windows、Internet Explorer、Microsoft Edge 声明 本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。 由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。 绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。
1.4K20发布于 2020-05-25 - 来自专栏安恒信息
Spring Framework 5月多个安全漏洞预警
漏洞安全公告 2018年5月9日,Pivotal发布了Spring Framework存在多个安全漏洞的公告: (1)通过spring-messaging模块提供的基于WebSocket的STOMP代理存在拒绝服务漏洞 漏洞公告链接:https://pivotal.io/security/cve-2018-1260 (5)spring-integration-zip存在任意文件写入漏洞 对应CVE编号:CVE-2018 Framework的5. CVE-2018-1258漏洞:Spring Framework的5. 安全开发生命周期(SDL)建议:Spring组件历史上已经报过多个安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。
1.4K20发布于 2018-07-24 - 来自专栏绿盟科技安全情报
【安全更新】微软5月安全更新多个产品高危漏洞通告
通告编号:NS-2021-0021 2021-05-12 TAG: 安全更新、Windows、Office、Exchange、IE、Visual Studio 漏洞危害: 攻击者利用本次安全更新中的漏洞 版本: 1.0 1 漏洞概述 5月12日,微软发布5月安全更新补丁,修复了55个安全漏洞,涉及Windows、Microsoft Office、Exchange Server、Visual Studio Exchange Server 安全功能绕过漏洞 Moderate END 作者:绿盟科技威胁对抗能力部 ? 声明 本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。 绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。
1.6K20发布于 2021-05-14 - 来自专栏云鼎实验室的专栏
2025年5月企业必修安全漏洞清单
腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。 当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。 腾讯云安全定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。 以下是2025年5月份必修安全漏洞清单: 一、Ivanti Endpoint Manager Mobile代码执行漏洞 (CVE-2025-4428) 二、 vLLM PyNcclPipe pickle 7-5 八、 kkfileview fileUpload 文件上传漏洞 漏洞概述 腾讯云安全近期监测到关于kkfileview的风险公告,漏洞编号为TVD-2025-15174 (CVE编号:CVE-2025
11310编辑于 2026-04-09 - 来自专栏API安全
5月这几个API安全漏洞值得注意!
5月份的一些API安全漏洞报告希望大家查漏补缺及时修复自己API可能出现的漏洞No.1 微软.NET Core漏洞漏洞详情:微软官方发布公告称,其.NET Core 2.1、3.1和5.0版本中存在一个漏洞 鉴于该漏洞的重要性,小阑建议您评估系统是否需要进行安全审核,以确认是否存在其他相关漏洞。 No.3 Wordle在线谜题API漏洞漏洞详情:一位安全专家在《纽约时报》的在线游戏Wordle中发现了一个安全漏洞。 No.5 Strapi身份验证绕过漏洞漏洞详情:Strapi是一种灵活的、开放源码的无头CMS,开发者可以自由选择自己喜欢的工具和框架,编辑器也可以轻松地管理和分发内容。 :Twitter API漏洞泄露了5万用户数据,包括他们的电子邮件地址、电话号码和Twitter ID,致使多达2亿用户受到影响。
1.4K30编辑于 2023-06-02 - 来自专栏安全攻防团队
腾讯安全威胁情报中心推出2024年5月必修安全漏洞清单
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。 腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。 以下是2024年5月份必修安全漏洞清单: 一、Confluence Data Center and Server 远程代码执行漏洞 二、Sonatype Nexus Repository 3 路径遍历漏洞 四、F5 BIG-IP Next Central Manager SQL注入漏洞 概述: 腾讯安全近期监测到F5官方发布了关于BIG-IP Next Central Manager的风险公告,漏洞编号为 F5 BIG-IP Next Central Manager是一款集中式管理解决方案,用于监控和管理F5 BIG-IP应用交付平台的整个生命周期。
1.4K20编辑于 2024-06-26 - 来自专栏全栈程序员必看
web安全常见漏洞_web漏洞挖掘
常见Web安全漏洞 1、越权漏洞 不同权限账户之间的存在越权访问 检测 抓去a用户功能链接,然后登录b用户对此链接进行访问 抓去a用户功能链接,修改id为b的id,查看是否能看b的相关数据 替换不同的 检测 对注入点进行测试, 单引号,双引号–>报错 And 1=1 and 1=2 ‘or ‘1’ = ‘1 ‘or ‘1’ = ‘2 两次web服务器响应不同 时间延时 sleep(5) 延迟响应 4用户下载文件之前需要进行权限判断 5 用户下载时需提交对应ID 6不允许提供目录遍历服务。 5、目录遍历攻击 网站存在配置缺陷,导致网站目录可以被任意浏览,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以为进一步入侵网站做准备。 命令执行和代码执行–>传送门 13、SSRF 由攻击者构造请求,有服务端发起请求的安全漏洞,本质是信息泄露。
2.1K50编辑于 2022-11-06 - 来自专栏囍楽云博客
bash 安全漏洞-bash代码注入的安全漏洞
你看bash 安全漏洞,一个代码注入就这样完成了。这就是bash的bug——函数体外面的代码被默认地执行了。 就像这个安全漏洞的测试脚本一样: env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo 如果你看到了vulnerable字样说明你的bash有安全问题" OK,你应该明白这个漏洞是怎么一回事了吧。 bash漏洞的影响有多大 在网上看到好多人说这个漏洞不大,还说这个事只有那些陈旧的执行CGI脚本的网站才会有,现在已经没有网站用CGI了。我靠,这真是无知者无畏啊。 我们还知道,现在的HTTP服务器基本上都是以子进程式的bash 安全漏洞,所以,其中必然会存在export 一些环境变量的事,而有的环境变量的值是从用户端来的,比如:这样的环境变量,只由浏览器发出的。
1.5K20编辑于 2022-12-29 - 来自专栏安恒信息
安全漏洞公告
1 McAfee Email Gateway存在未明任意命令执行漏洞 2 Zend Framework代理请求处理IP地址伪造漏洞 3Cisco ASA CX安全搜索策略绕过漏洞 4 Zabbix任意命令执行漏洞 5Apache Struts config-browser/actionNames.action namespace参数反射型跨站脚本漏洞
911100发布于 2018-04-10 - 来自专栏技术博文
日常漏洞安全更新
日常漏洞安全更新 系统:CentOs7.4 1 中危NSS 安全漏洞 RHSA-2021:4904: nss 安全更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞 CVE) CVE-2021 _64 2 RHSA-2021:4788: krb5 安全更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞 CVE) CVE-2021-37750 3.2 MIT Kerberos 代码问题漏洞 #1 查看可更新的软件krb5 yum list updates |grep krb5 #2 如果有可更新软件,则进行更新 yum -y update krb5-libs.x86_64 3 RHSA -2021:4782: openssh 安全更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞 CVE) CVE-2021-41617 4.1 OpenSSH权限提升漏洞(CVE-2021- 如果有可更新软件,则进行更新 yum -y update java-1.8.0-openjdk.x86_64 5 RHSA-2021:4785: rpm 安全更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞
88010编辑于 2021-12-30 - 来自专栏安恒信息
安全漏洞公告
1 多个IBM产品SQL注入漏洞 多个IBM产品SQL注入漏洞发布时间:2014-05-28漏洞编号:BUGTRAQ ID: 67641 CVE(CAN) ID: CVE-2013-4016漏洞描述:IBM 多个IBM产品存在安全措施绕过漏洞,远程经过身份验证的攻击者可利用此漏洞绕过目标访问限制,读取通讯日志。 受影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载 :目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/ 5 Apache 'mod_wsgi' 模块本地权限提升漏洞 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://modwsgi.readthedocs.org/en/latest/release-notes/version-
1.7K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
ARX Series NTP拒绝服务及GnuTLS欺骗漏洞 F5 ARX Series NTP拒绝服务及GnuTLS欺骗漏洞发布时间:2014-04-15漏洞编号:CVE(CAN) ID: CVE-2013 -5211漏洞描述:F5 ARX系列是智能文件虚拟化解决方案。 F5 ARX Series 6.0.0-6.4.0版本内使用的网络时间协议NTP的monlist功能存在安全漏洞,monlist在较老的NTP(4.2.7p26之前版本)中 默认的开启的,该命令位于 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ntp.org/downloads.html http://support.f5 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.openssl.org/ 5 WordPress多个漏洞 WordPress多个漏洞发布时间:2014
1.3K90发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Dell GoAhead Web Server在处理用户名长度大于16个字符的特制HTTP POST请求时,存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞造成受影响交换机不响应。 product-software/xenmobile-86-mdm-edition.html http://support.citrix.com/article/CTX140044 4.Zabbix安全绕过漏洞 Zabbix安全绕过漏洞发布时间:2014-02-17漏洞号:BUGTRAQ ID: 65446 CVE ID: CVE-2014-1685漏洞描述:zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.zabbix.com/rn2.0.11rc1.php 5.Microsoft XML Core Services Microsoft XML Core Services处理特制WEB站点存在安全漏洞,允许攻击者利用漏洞访问本地系统文件或读取需要验证的WEB域内容。
1.4K50发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Tomcat 8.0.0-RC1 - 8.0.0-RC5、7.0.0 - 7.0.47、6.0.0 - 6.0.37版本的XML(例如:web.xml, context.xml, *.tld, *.tagx 安全限制绕过漏洞 Apache Tomcat 安全限制绕过漏洞发布时间:2014-02-26漏洞号:BUGTRAQ ID: 65773 CVE ID: CVE-2013-4286漏洞描述:Apache Tomcat 8.0.0-RC1 - 8.0.0-RC5、7.0.0 - 7.0.47、6.0.0 - 6.0.37版本存在漏洞CVE-2005-2090修复不完整问题,远程攻击者可利用此漏洞对Web缓存投毒 安全建议:目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.jboss.org/ 5 PostgreSQL远程栈缓冲区溢出漏洞 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.postgresql.org
1.4K80发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
安全建议:Microsoft已经为此发布了一个安全公告(MS14-017)以及相应补丁: MS14-017:Vulnerabilities in Microsoft Word and Office Web technet.microsoft.com/security/bulletin/MS14-019 4 JBoss Enterprise Application Platform Java Security Manager Policy安全绕过漏洞 JBoss Enterprise Application Platform Java Security Manager Policy安全绕过漏洞发布时间:2014-04-09漏洞编号:BUGTRAQ Red Hat JBoss Enterprise Application Platform (JBEAP)6.2.2版本中存在安全漏洞。 / 5 IBM Lotus Notes Sametime信息泄露漏洞 IBM Lotus Notes Sametime信息泄露漏洞发布时间:2014-04-09漏洞编号:OSVDB:103266漏洞描述
1.5K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Apache Struts versions 2.0.0- 2.3.16版本中存在安全漏洞,修复CVE-2014-0094漏洞的修补方案中仍然存在缺陷,可被黑客绕过。 Django 1.4.11, 1.5.6, 1.6.3, 1.7 beta 2之前版本在django.core.urlresolvers.reverse函数的实现上存在安全漏洞,远程攻击者通过用用户输入和加点 安全建议:HP已经为此发布了一个安全公告(HPSBMU02988)以及相应补丁: HPSBMU02988:HP Universal Configuration Management Database, docId=emr_na-c04220407 补丁下载: https://hpln.hp.com/node/11274/contentfiles 5 HP LoadRunner Virtual User T.db8O.8AdM.bW89MQ%5f%5fDQBKFTe0 补丁下载: http://support.openview.hp.com/ selfsolve/document/KM00731150
1.3K50发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
安全建议:Microsoft已经为此发布了一个安全公告(MS14-033)以及相应补丁: MS14-033:Vulnerability in Microsoft XML Core Services Could Disclosure (2966061) 链接:http://technet.microsoft.com/security/bulletin/MS14-033 2 Microsoft Windows远程桌面协议安全限制绕过漏洞 Microsoft Windows远程桌面协议安全限制绕过漏洞发布时间:2014-06-11漏洞编号:BUGTRAQ ID: 67865 CVE ID: CVE-2014-0296漏洞描述:Windows Information Disclosure (2969258) 链接: http://technet.microsoft.com/security/bulletin/MS14-032 5 PHP acinclude.m4 PHP 5.5.13及更早版本的配置脚本中使用的acinclude.m4存在安全漏洞,可使本地用户对 /tmp/phpglibccheck文件执行符号链接攻击,从而覆盖任意文件。
1.5K40发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
1 Apache Sling 'AbstractAuthenticationFormServlet'开放重定向漏洞 2 Apache Commons FileUpload ‘DiskFileItem’类空字节任意文件写入漏洞 3 Red Hat JBoss JBoss EAP 身份验证安全绕过漏洞 4 Red Hat JBoss EAP会话ID信息泄露漏洞 5 F5 BIG-IP Traffic Management Microkernel 远程拒绝服务漏洞 6 IBM Domino iNotes 跨站脚本漏洞 7 SAP Sybase ASE XML外部实体注入漏洞 8 Apache mod_fcgid fcgid_header_bucket_read 函数缓冲区溢出漏洞 9 Apache 'mod_accounting'模块SQL注入漏洞 =====================================
1.5K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
PHP 5.4.28之前版本在php-fpm.conf.in的实现上存在安全漏洞,本地攻击者可利用此漏洞获取提升的权限并执行任意代码。 ClassLoader篡改安全措施绕过漏洞 Apache Struts ClassLoader篡改安全措施绕过漏洞发布时间:2014-04-30漏洞号:BUGTRAQ ID: 67121 CVE(CAN 攻击者可利用此漏洞绕过某些安全限制并执行未授权操作。 'getClass()'方法安全限制绕过漏洞 Apache Struts 'getClass()'方法安全限制绕过漏洞发布时间:2014-04-29漏洞号:BUGTRAQ ID: 67081 CVE patchid=894&pr odidx=20&osidx=0&intidx=0&versionidx=0 参考:http://www.kb.cert.org/vuls/id/568252 5 Linux
2.3K50发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: 3 Apache CloudStack多个跨站脚本漏洞 发布时间:2013-08-06 漏洞编号:BUGTRAQ ID: 61650 /html/Release_Notes/index.html 4 多个思科产品远程安全限制绕过漏洞 发布时间:2013-08-01 漏洞编号:BUGTRAQ ID: 61566 CVE(CAN) ID: 多个思科产品存在安全漏洞,该漏洞相关OSPF LSA数据库。此漏洞可使未经身份验证的攻击者完全控制OSPF AS域路由表、黑洞流量、中间流量等。 链接: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130801-lsaospf 5 多个思科内容网络和视频传递产品漏洞在配置为中心管理模式中运行时,Web框架内存在安全漏洞。经过身份验证的远程攻击者虽然没有权限,但可以在受影响系统上、受影响系统管理的设备上执行任意代码。
1.6K30发布于 2018-04-09
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号