murphysec

2022年11月7日，市场监管总局、中央网信办、公安部网络安全局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）国家标准发布宣贯会。 标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则。从分析识别、安全防护、检测评估、监测预警、主动防御…

《信息安全技术—ICT供应链安全风险管理指南》（GB/T 36637-2018）是2019年5月1日实施的一项中国国家标准，归口于全国信息安全标准化技术委员会。 《信息安全技术—ICT供应链安全风险管理指南》（GB/T 36637-2018）规定了ICT供应链的安全风险管理过程和控制措施，适用于重要信息系统和关键信息基础设施的ICT供方和运营者对ICT供应链…

漏洞类型 从非可信控制范围包含功能例程 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-0z86-njh3 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 QQ 是一个多平台即时通信软件。QQ Windows版客户端 9.7.15之前版本中存在逻辑设计缺陷，当消息中包含引用的文件时，直接点击即完成下载和打开操作，缺…

漏洞类型 代码注入 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-5gjf-qwc6 CVE编号 CVE-2023-40477 漏洞影响广度 广 漏洞危害 OSCS 描述 WinRAR 是一款适用于 Windows 系统的压缩包管理器，其恢复卷功能用于修复损坏或丢失的压缩文件数据。 WinRAR 6.23之前版本的恢复卷功能未对用户提供…

漏洞类型 输入验证不恰当 发现时间 2023-08-21 漏洞等级 中危 MPS编号 MPS-2022-67125 CVE编号 CVE-2022-46751 漏洞影响广度 极小 漏洞危害 OSCS 描述 Apache Ivy 是一个管理基于 ANT 项目依赖关系的开源工具，文档类型定义(DTD)是一种文档类型定义语言,它用于定义XML文档中所包含的元素以及元…

漏洞类型 XSS 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-uvas-0cn2 CVE编号 CVE-2023-2318 漏洞影响广度 广 漏洞危害 OSCS 描述 MarkText 是热门的开源Markdown编辑器，覆盖Windows/Linux/MacOS平台。 MarkText 0.17.1及之前版本中的 pasteCtrl …

漏洞类型 命令注入 发现时间 2023-08-21 漏洞等级 严重 MPS编号 MPS-mw17-2f3h CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 Coremail是广东盈世计算机科技有限公司推出的一款大型企业邮件系统。在 Coremail XT5/XT6 版本中，邮件处理功能存在溢出风险，攻击者构造恶意邮件，向任意邮箱地址…

漏洞类型 代码注入 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-56ge-38z4 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Windows Server 中的 Network Policy Server (NPS) 是一种网络访问控制器，用于限制用户和设备对网络资源的访问权限，其 IAS Extensi…

先说结论 今年大型攻防演练的观感： 1. 大量的国产商业软件供应链厂商的大量商业软件0day被用来攻击（以安全产品、OA、cms、办公软件为主） 2. 社工+钓鱼又玩出了新花样（红队这帮人估计去电诈团队培训回来的？） 3. 开源软件的Nday/0day漏洞及投毒仍然很实用（更多是Nday漏洞有更成熟的利用工具用来打点和内网渗透）未来攻防趋势判断： 1. 未来…

漏洞类型 不完整的黑名单 发现时间 2023-08-19 漏洞等级 中危 MPS编号 MPS-0378-t16x CVE编号 CVE-2023-40037 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache NiFi 是一个开源的数据流处理和自动化工具。在受影响版本中，由于多个Processors和Controller Services在配置JDBC和…