Python
Java
PHP
IOS
Android
Nodejs
JavaScript
Html5
Windows
Ubuntu
Linux
Spring 新版本修复远程命令执行漏洞(CVE-2022-22965),墨菲安全开源工具可应急排查
漏洞简述 3月31日 spring 官方通报了 Spring 相关框架存在远程代码执行漏洞 并在 5 3 18 和 5 2 20 RELEASE 中修复了该漏洞 漏洞评级 严重 影响组件 org springframework spring
软件供应链安全
墨菲安全实验室漏洞预警
web安全
安全
Java
中路对线发现正在攻防演练中投毒的红队大佬
背景 2023年8月14日晚 墨菲安全实验室发布 首起针对国内金融企业的开源组件投毒攻击事件 NPM投毒事件分析文章 紧接着我们在8月17日监控到一个新的npm投毒组件包 hreport preview 该投毒组件用来下载木马文件的域名地址
墨菲安全实验室漏洞预警
网络安全
安全
投毒
【高危】 Zoom Desktop Client for Windows <5.14.5 权限升级漏洞
漏洞描述 Zoom 是一种用于视频会议 在线会议和远程协作的软件平台 Zoom Desktop Client for Windows 5 14 5 之前版本由于对数据的真实性验证不足 经过身份验证的攻击者可通过网络访将权限升级为 SYSTE
墨菲安全实验室漏洞预警
安全
网络安全
zoom
Jeecg-boot JDBC任意代码执行漏洞
漏洞描述 JeecgBoot是一款开源的企业级低代码平台 提供了表单 视图 流程等一键生成代码功能 目前在GitHub具有 35 5k star 在V3版本中 由于未对JDBC连接字符串进行限制 未授权的攻击者可配置恶意的连接字符串 通过发
软件供应链安全
墨菲安全实验室漏洞预警
Maven
安全
网络安全
【高危】Google Chrome V8 类型混淆漏洞(CVE-2023-2033)
漏洞描述 Google Chrome V8是Google开源的JavaScript和WebAssembly引擎 被用在Chrome和Node js等浏览器和平台中 该项目受影响版本存在类型混淆漏洞 攻击者可通过诱导用户打开恶意链接来触发此漏
墨菲安全实验室漏洞预警
Chrome
前端
javascript
网络安全
【高危】企业微信私有化2.5-2.6.93版本后台API未授权访问漏洞
漏洞描述 企业微信私有化2 5 x版本及2 6 930000版本以下后台中存在接口未授权访问漏洞 攻击者通过访问 cgi bin gateway agentinfo接口可获得Secret 从而利用开放API获取企业通讯录等敏感信息及企业微信
墨菲安全实验室漏洞预警
企业微信
网络安全
安全
【高危】 Microsoft Teams 远程代码执行漏洞
漏洞描述 Microsoft Teams 是微软推出的一款团队协作平台 提供了聊天 通话 在线会议 文件共享等功能 Microsoft Teams 受影响版本中 当用户加入攻击者设置的恶意 Microsoft Teams 会议时 攻击者可远
墨菲安全实验室漏洞预警
Microsoft
网络安全
安全
【严重】Smartbi未授权设置Token回调地址获取管理员权限
漏洞描述 Smartbi是一款商业智能应用 提供了数据集成 分析 可视化等功能 帮助用户理解和使用他们的数据进行决策 在 Smartbi 受影响版本中存在Token回调地址漏洞 未授权的攻击者可以通过向目标系统发送POST请求 smartb
墨菲安全实验室漏洞预警
网络安全
安全
网络
【严重】vm2 <3.9.18 沙箱逃逸漏洞(存在POC)
漏洞描述 vm2 是一个基于 Node js 的沙箱环境 可以使用列入白名单的 Node 内置模块运行不受信任的代码 代理对象用于拦截并重定义宿主对象的各种操作 vm2 3 9 18之前版本中 由于 prepareStackTrace 函数
墨菲安全实验室漏洞预警
网络安全
OSCS开源安全周报第 55 期:JeecgBoot 远程代码执行漏洞
本周安全态势综述 OSCS 社区共收录安全漏洞 11 个 公开漏洞值得关注的是 JeecgBoot 远程代码执行漏洞 企业微信私有化后台API未授权访问漏洞 WPS Office 存在代码执行漏洞 MPS 3pcb l4mv Microso
墨菲安全实验室漏洞预警
软件供应链安全
安全
网络安全
网络
开源无国界?vue-cli、node-ipc被投毒事件分析
简述 近日我们监测到 Vue js 生态中的 vue cli 包遭遇供应链投毒 而被投毒的 node ipc 包在 npm 上每周下载量超百万 影响非常广泛 被投毒的情况如下 vue cli是Vue js 开发的标准工具 该工具被广泛应用于
软件供应链安全
墨菲安全实验室漏洞预警
vuejs
前端
javascript
【风险预警】Confluence Wiki OGNL注入漏洞(CVE-2022-26134)
简述 6月4日 墨菲安全实验室监测发现Atlassian修复了Confluence Server 和 Confluence Data Center 中的OGNL注入漏洞 Atlassian Confluence是企业常用的wiki系统 攻击
墨菲安全实验室漏洞预警
Java
安全
漏洞预警
网络安全