近日,国外安全研究员Dimitrios Roussis和 Evangelos Apostoloudis 发现joomla的ja-k2-filter-and-search组件存在SQL注入漏洞。目前,该漏洞还没有在任何国际性的网站上面被发现或发表,此外,组件开发人员也没有被告知这一关键问题。因此,该漏洞被认为是一个0Day。
这个名叫Dirty COW,也就是脏牛的漏洞,存在Linux内核中已经有长达9年的时间,也就说2007年发布的Linux内核版本中就已经存在此漏洞。Linux kernel团队已经对此进行了修复。
这个漏洞存在于高通QSEECOM驱动中,这个驱动对用户层提供了一个ioctl系统调用接口,但是没有验证ioctl传入的参数中的一些基址和偏移,攻击者可以构造特殊的参数造成信息泄露和权限提升。
IoT,在早些年,这个还略微有些陌生的名词,如今已经走向了我们生活的方方面面,比如云端监视器,网络工控设备,卫星天线设备等等。但是IoT安全也是一直令人困扰的一个问题,大部分的安全会议都会说到当今的IoT安全现状不容乐观。
近日,腾讯反病毒实验室截获到了大量通过传入特殊参数实现刷流量行为的恶意程序,经过回溯发现,这些恶意程序均是由某wifi热点共享软件下载并解密运行进行传播,感染量非常大。该恶意程序的主要功能是后台定向的流量推广等操作,目前腾讯电脑管家已全面拦截和查杀。
近期,安天AVL移动安全和猎豹移动安全实验室就监控到一个群发“钓鱼”短信散布蠕虫病毒的恶意事件,事件中的Curiosity病毒一旦进入手机将立即获取感染手机的联系人信息并群发“钓鱼”短信。
Django是Python编程语言驱动的一个开源Web应用程序框架。Django < 1 8 15、1 9 x < 1 9 10版本,cookie解析代码与Google Analytics共用在网站上,可使远程攻击者设置任意cookie,绕过目标CSRF保护机制。
近日,互联网上披露了关于Tomcat启动脚本存在本地提权漏洞(CNNVD-201609-410)的情况。在基于deb安装格式的操作系统(如Debian、Ubuntu等)下,使用Tomcat安装包生成的初始化脚本存在此漏洞,具有普通用户权限的攻击者可利用该漏洞修改主机任意文件。
* 本文原创作者:菠菜,本文属FreeBuf原创奖励计划,未经许可禁止转载 CVE-2012-0158以其良好的通用性及对多个版本word的通杀性,成为最受黑客攻击组织喜爱的office漏洞之一。今天我们详细分析一款利用CVE-2012
漏洞编号CVE-2016-8332TALOS-2016-0193影响版本OpenJpeg openjp2 2 1 1漏洞描述最近思科的Talos安全团队披露了JPEG 2000的一个零日漏洞,该漏洞可以执行任意代码。漏洞预警:JPEG 2000某漏洞可执行任意代码。
Xen发布4个重要漏洞公告。今天Xen更新了4个重要的补丁公告XSA-185、XSA-186、XSA-187、XSA-188,其中XSA-185、XSA-186、XSA-188均可造成包括PV、HVM模式在内的Xen宿主机被穿透,建议使用Xen的平台立即更新补丁。
关于zabbix存在SQL注入高危漏洞的安全公告。近日,红黑联盟收录了zabbix存在的SQL注入漏洞(CNVD-2016-06408)。攻击者利用漏洞无需授权登录即可控制zabbix管理系统,或通过script等功能直接获取zabbix服务器的操作权限,进而有可能危害到用户单位整个网络系统的运行安全。
【预警通告】IOS远程越狱APT攻击安全威胁。Pegasus在越狱之后,会用jsc的二进制代码替换掉一个名为rtbuddyd的守护进程,然后再链接到一个攻击者准备好的js文件。jsc可以让用户使用webkit来解析Javascript代码,从而再次触发漏洞。
关于Chrome V8引擎“BadKernel”漏洞情况的通报。近日,国家信息安全漏洞库(CNNVD)收到360手机卫士阿尔法团队关于Chrome V8引擎“BadKernel”漏洞的情况报送。
近日,互联网上披露了有关Zabbix存在两处基于错误回显的SQl注入漏洞(CNNVD-201608-340、CNNVD-201608-341)的情况。CNNVD:关于Zabbix漏洞情况的通报。
ZABBIX高危漏洞,无需授权登陆即可完成控制(更新利用工具)。zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。
三星智能监控摄像头被爆远程代码执行漏洞(含POC)。目前,绝大多数安全研究专家在对物联网设备进行漏洞研究时,都将研究重点集中在了如何利用这些漏洞来展开网络攻击。
北京时间8月8日早间消息,信息安全研究公司Check Point近期发现了高通处理器Android手机的4个新漏洞。通过这些漏洞,黑客可以完全控制受影响的手机。
今天Xen更新了2个重要的补丁公告XSA-182和XSA-183,其中XSA-182可以造成直接的虚拟机穿透,建议使用Xen PV模式的云平台尽快更新补丁。Xen安全公告XSA-182和XSA-183-可造成虚拟机穿透。
OwnCloud是德国OwnCloud公司的一套免费且开源的个人云存储解决方案。OwnCloud for Android是其中的一个Android版本。OwnCloud for Android 1 9 1之前的版本存在本地安全绕过漏洞。OwnCloud Android本地安全绕过漏洞。