- 综合排序
- 最热优先
- 最新优先
- 来自专栏绿盟科技安全情报
【漏洞通告】微软9月安全更新多个产品高危漏洞通告
通告编号:NS-2020-0050 2020-09-09 TAG: 安全更新、Windows、Office、IE、Exchange Server、Visual Studio 漏洞危害: 攻击者利用本次安全更新中的漏洞 版本: 1.0 1 漏洞概述 北京时间9月9日,微软发布9月安全更新补丁,修复了129个安全问题,涉及Microsoft Windows、Internet Explorer、Microsoft Office Microsoft SharePoint Server 无法正确识别和筛选不安全的 ASP.NET Web 控件时,存在远程代码执行漏洞(CVE-2020-1460)。 Microsoft SharePoint某些API在处理不安全的数据输入时,存在远程代码执行漏洞(CVE-2020-1595)。 4.1 补丁更新 目前微软官方已针对受支持的产品版本发布了修复以上漏洞的安全补丁,强烈建议受影响用户尽快安装补丁进行防护,官方下载链接: https://portal.msrc.microsoft.com
2.6K20发布于 2020-09-14 - 来自专栏云鼎实验室的专栏
2025年9月企业必修安全漏洞清单
腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。 当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。 腾讯云安全定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。 以下是2025年9月份必修安全漏洞清单: 一、h2o-3 JDBC 反序列化漏洞 (CVE-2025-6507) 二、 MCP inspector 远程命令执行漏洞 (CVE-2025-58444) 三 pREST SQL注入漏洞(CVE-2025-58450) 漏洞介绍及修复建议详见后文 一、 h2o-3 JDBC 反序列化漏洞 漏洞概述 腾讯云安全近期监测到关于h2o-3的风险公告,漏洞编号:TVD
12110编辑于 2026-04-09 - 来自专栏红日安全
Web安全Day9 - 文件下载漏洞实战攻防
本文由红日安全成员: Once 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。 此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。 每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Python靶场基本上三种靶场全部涵盖)-实战演练(主要选择相应CMS或者是Vulnhub 1.3 任意文件读取下载漏洞利用条件 存在读文件的函数 读取文件的路径用户可控且未校验或校验不严 输出了文件内容 任意文件读取下载漏洞测试 ## 2.1测试思路 寻找读取或下载文件的功能点,跳跃目录获取敏感文件 /etc/my.cnf /etc/httpd/conf/httpd.conf /root/.bash_history /root/.mysql_history /proc/self/fd/fd[0-9]
1.2K00发布于 2020-02-26 - 来自专栏安全攻防团队
腾讯安全威胁情报中心推出2024年9月必修安全漏洞清单
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。 当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。 腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。 影响版本: Adobe ColdFusion 2021 <= Update 15 Adobe ColdFusion 2023 <= Update 9 修复建议: 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后 通用的漏洞修复、防御方案建议 腾讯安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
1.8K10编辑于 2024-10-21 - 来自专栏安全攻防团队
腾讯安全威胁情报中心推出2023年9月必修安全漏洞清单
欢迎关注 腾讯安全威胁情报中心 腾讯安全攻防团队 A&D Team 腾讯安全 威胁情报团队 腾讯安全威胁情报中心推出2023年9月份必修安全漏洞清单,所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞 以下是2023年9月份必修安全漏洞清单详情: 一、JetBrains TeamCity 身份绕过漏洞 概述: 腾讯安全近期监测到JetBrains 官方发布了关于TeamCity的风险公告,漏洞编号为CVE https://github.com/jumpserver/jumpserver/releases 六、Internet连接共享 (ICS) 远程代码执行漏洞 概述: 2023年9月,微软发布了2023 年9月安全更新补丁,共发布了59个漏洞的补丁程序,其中包含5个严重漏洞。 03月必修安全漏洞清单 2023年02月必修安全漏洞清单 2023年01月必修安全漏洞清单 2022年12月必修安全漏洞清单 2022年11月必修安全漏洞清单 2022年10月必修安全漏洞清单 2022
1.5K20编辑于 2023-11-09 - 来自专栏Debian中国
Debian 9修复18个重要的Linux 4.9 LTS内核安全漏洞
Debian 项目近日发布了针对 Debian GNU/Linux 9 “ Stretch ” 系列操作系统新的 Linux 内核安全更新,修复了最近发现的几个漏洞 。 根据最新的 DSA 4073-1 Debian 安全通报,在 Debian GNU/Linux 9 “ Stretch ” 操作系统的 Linux 4.9 LTS 内核中,共有 18 个安全漏洞,其中包括信息泄露 window.adsbygoogle || []).push({}); 建议用户立即更新系统 为了解决所有这些问题,Debian 敦促用户尽快将运行 Linux 内核 4.9 LTS 的 Debian GNU / Linux 9 “ Stretch ” 安装更新到 4.9.65-3 + deb9u1 版本,并且在安装新内核更新后重新启动计算机。 Debian GNU/Linux 9 “ Stretch ” 是 Debian GNU/Linux 操作系统的最新稳定版本。
1.4K40发布于 2018-12-20 - 来自专栏FreeBuf
Phpcms v9漏洞分析
最近研究源码审计相关知识,会抓起以前开源的CMS漏洞进行研究,昨天偶然看见了这个PHPCMS的漏洞,就准备分析研究一番,最开始本来想直接从源头对代码进行静态分析,但是发现本身对PHPCMS架构不是很熟悉 ,导致很难定位代码的位置,最后就采用动态调试&静态分析的方式对漏洞的触发进行分析,下面进入正题。 1、漏洞触发代码定位 通过漏洞的POC(/phpcms/index.php? m=member&c=index&a=register&siteid=1 )判断,漏洞触发点的入口位于/phpcms/modules/member/index.php文件中的register()方法中, 结论就是,漏洞的触发函数在倒数6、7两行,单独截个图,如下⤵️: ?
2.2K70发布于 2018-02-24 - 来自专栏FreeBuf
《网络产品安全漏洞管理规定》将于9日1日起施行
通知如下: 各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门、网信办、公安厅(局),各省、自治区、直辖市通信管理局: 现将《网络产品安全漏洞管理规定》予以发布,自2021年9月1日起施行。 公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。 有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。 第四条任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、 鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息 第十六条本规定自2021年9月1日起施行。 精彩推荐
1.1K30编辑于 2023-03-30 - 来自专栏全栈程序员必看
web安全常见漏洞_web漏洞挖掘
常见Web安全漏洞 1、越权漏洞 不同权限账户之间的存在越权访问 检测 抓去a用户功能链接,然后登录b用户对此链接进行访问 抓去a用户功能链接,修改id为b的id,查看是否能看b的相关数据 替换不同的 检查网站有没有文件解析漏洞和文件包含漏洞。 将文件上传到单独的文件服务器,并且单独设置文件服务器的域名。 文件上传过滤和绕过–>传送门 4.1、任意文件读取/下载漏洞 检测: 通过web漏洞扫描工具对网站实施扫描可能发现任意文件读取/下载漏洞,发送一系列”…/”字符来遍历高层目录,并且尝试找到系统的配置文件或者系统中存在的敏感文件 检测 使用工具抓取关于用户的数据包 查看相关参数是否做加密处理 防范 对密码信息进行加密处理 使用加密算法 不使用易激活成功教程的加密方式 9、文件包含 注入一段用户能控制的脚本或代码,并让服务器端执行 命令执行和代码执行–>传送门 13、SSRF 由攻击者构造请求,有服务端发起请求的安全漏洞,本质是信息泄露。
2.1K50编辑于 2022-11-06 - 来自专栏囍楽云博客
bash 安全漏洞-bash代码注入的安全漏洞
你看bash 安全漏洞,一个代码注入就这样完成了。这就是bash的bug——函数体外面的代码被默认地执行了。 就像这个安全漏洞的测试脚本一样: env VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo 如果你看到了vulnerable字样说明你的bash有安全问题" OK,你应该明白这个漏洞是怎么一回事了吧。 bash漏洞的影响有多大 在网上看到好多人说这个漏洞不大,还说这个事只有那些陈旧的执行CGI脚本的网站才会有,现在已经没有网站用CGI了。我靠,这真是无知者无畏啊。 我们还知道,现在的HTTP服务器基本上都是以子进程式的bash 安全漏洞,所以,其中必然会存在export 一些环境变量的事,而有的环境变量的值是从用户端来的,比如:这样的环境变量,只由浏览器发出的。
1.5K20编辑于 2022-12-29 - 来自专栏安恒信息
安全漏洞公告
1 McAfee Email Gateway存在未明任意命令执行漏洞 2 Zend Framework代理请求处理IP地址伪造漏洞 3Cisco ASA CX安全搜索策略绕过漏洞 4 Zabbix任意命令执行漏洞 5Apache Struts config-browser/actionNames.action namespace参数反射型跨站脚本漏洞
911100发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
1 多个IBM产品SQL注入漏洞 多个IBM产品SQL注入漏洞发布时间:2014-05-28漏洞编号:BUGTRAQ ID: 67641 CVE(CAN) ID: CVE-2013-4016漏洞描述:IBM 多个IBM产品存在安全措施绕过漏洞,远程经过身份验证的攻击者可利用此漏洞绕过目标访问限制,读取通讯日志。 受影响产品如下:IBM Maximo Asset Management 7.x、SmartCloud Control Desk 7.x安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载 :目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/ 5 Apache 'mod_wsgi' 模块本地权限提升漏洞 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://modwsgi.readthedocs.org/en/latest/release-notes/version-
1.7K60发布于 2018-04-10 - 来自专栏技术博文
日常漏洞安全更新
日常漏洞安全更新 系统:CentOs7.4 1 中危NSS 安全漏洞 RHSA-2021:4904: nss 安全更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞 CVE) CVE-2021 -43527 4.8 NSS 安全漏洞 #1 查看可更新的软件nss yum list updates |grep nss #2 如果有可更新软件,则进行更新 yum -y update nss.x86 _64 2 RHSA-2021:4788: krb5 安全更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞 CVE) CVE-2021-37750 3.2 MIT Kerberos 代码问题漏洞 yum list updates |grep openssh #2 如果有可更新软件,则进行更新 yum -y update openssh-7.4p1-22.el7_9.x86_64 4 RHSA- 2021:3889: java-1.8.0-openjdk 安全和BUG修复更新 漏洞编号 影响分 漏洞公告(公告内会包含同一软件多个漏洞 CVE) CVE-2021-35550 4.5 Oracle
88010编辑于 2021-12-30 - 来自专栏安恒信息
安全漏洞公告
1 Oracle MySQL Server远程安全漏洞 Oracle MySQL Server远程安全漏洞发布时间:2014-04-17漏洞编号:BUGTRAQ ID: 66863,66872 CVE Oracle MySQL Server在MySQL Server组件的实现上存在远程安全漏洞,此漏洞可通过MySQL Server协议利用,经身份验证的远程攻击者可利用此漏洞影响受影响组件的可用性。 type=doc&id=1635913.1 2 Oracle WebLogic Server远程安全漏洞 Oracle WebLogic Server远程安全漏洞发布时间:2014-04-15漏洞编号: Oracle WebLogic Server组件在实现上存在远程安全漏洞,此漏洞可通过T3协议利用,未经身份验证的远程攻击者可利用此漏洞影响受影响组件的机密性、完整性、可用性。 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.openssl.org/ 5 WordPress多个漏洞 WordPress多个漏洞发布时间:2014
1.3K90发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Dell GoAhead Web Server在处理用户名长度大于16个字符的特制HTTP POST请求时,存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞造成受影响交换机不响应。 product-software/xenmobile-86-mdm-edition.html http://support.citrix.com/article/CTX140044 4.Zabbix安全绕过漏洞 Zabbix安全绕过漏洞发布时间:2014-02-17漏洞号:BUGTRAQ ID: 65446 CVE ID: CVE-2014-1685漏洞描述:zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案 Microsoft XML Core Services处理特制WEB站点存在安全漏洞,允许攻击者利用漏洞访问本地系统文件或读取需要验证的WEB域内容。 安全建议:用户可参考如下厂商提供的安全公告获得补丁信息: http://technet.microsoft.com/en-us/security/bulletin/MS14-005
1.4K50发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://jakarta.apache.org/tomcat/index.html [1] http://tomcat.apache.org 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://jakarta.apache.org/tomcat/index.html 3 Apache Tomcat 安全限制绕过漏洞 Apache Tomcat 安全限制绕过漏洞发布时间:2014-02-26漏洞号:BUGTRAQ ID: 65773 CVE ID: CVE-2013-4286漏洞描述:Apache 安全建议:目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.jboss.org/ 5 PostgreSQL远程栈缓冲区溢出漏洞 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.postgresql.org
1.4K80发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3 对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2 安全建议:Microsoft已经为此发布了一个安全公告(MS14-017)以及相应补丁: MS14-017:Vulnerabilities in Microsoft Word and Office Web technet.microsoft.com/security/bulletin/MS14-019 4 JBoss Enterprise Application Platform Java Security Manager Policy安全绕过漏洞 JBoss Enterprise Application Platform Java Security Manager Policy安全绕过漏洞发布时间:2014-04-09漏洞编号:BUGTRAQ Red Hat JBoss Enterprise Application Platform (JBEAP)6.2.2版本中存在安全漏洞。
1.5K60发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
Apache Struts versions 2.0.0- 2.3.16版本中存在安全漏洞,修复CVE-2014-0094漏洞的修补方案中仍然存在缺陷,可被黑客绕过。 Django 1.4.11, 1.5.6, 1.6.3, 1.7 beta 2之前版本在django.core.urlresolvers.reverse函数的实现上存在安全漏洞,远程攻击者通过用用户输入和加点 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://httpd.apache.org/ http://archiva.apache.org 安全建议:HP已经为此发布了一个安全公告(HPSBMU02988)以及相应补丁: HPSBMU02988:HP Universal Configuration Management Database, 安全建议:HP已经为此发布了一个安全公告(HPSBMU02935)以及相应补丁: HPSBMU02935:HP LoadRunner Virtual User Generator, Remote Code
1.3K50发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
安全建议:Microsoft已经为此发布了一个安全公告(MS14-033)以及相应补丁: MS14-033:Vulnerability in Microsoft XML Core Services Could Disclosure (2966061) 链接:http://technet.microsoft.com/security/bulletin/MS14-033 2 Microsoft Windows远程桌面协议安全限制绕过漏洞 Microsoft Windows远程桌面协议安全限制绕过漏洞发布时间:2014-06-11漏洞编号:BUGTRAQ ID: 67865 CVE ID: CVE-2014-0296漏洞描述:Windows PHP 5.5.13及更早版本的配置脚本中使用的acinclude.m4存在安全漏洞,可使本地用户对 /tmp/phpglibccheck文件执行符号链接攻击,从而覆盖任意文件。 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: https://bugs.php.net/bug.php?id=67390 http://git.php.net/?
1.5K40发布于 2018-04-10 - 来自专栏安恒信息
安全漏洞公告
1 Apache Sling 'AbstractAuthenticationFormServlet'开放重定向漏洞 2 Apache Commons FileUpload ‘DiskFileItem’类空字节任意文件写入漏洞 3 Red Hat JBoss JBoss EAP 身份验证安全绕过漏洞 4 Red Hat JBoss EAP会话ID信息泄露漏洞 5 F5 BIG-IP Traffic Management Microkernel 远程拒绝服务漏洞 6 IBM Domino iNotes 跨站脚本漏洞 7 SAP Sybase ASE XML外部实体注入漏洞 8 Apache mod_fcgid fcgid_header_bucket_read 函数缓冲区溢出漏洞 9 Apache 'mod_accounting'模块SQL注入漏洞 =====================================
1.5K60发布于 2018-04-10
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号