murphysec

漏洞类型 输入验证不恰当 发现时间 2023-08-17 漏洞等级 高危 MPS编号 MPS-w0kg-9vl7 CVE编号 CVE-2023-40272 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Airflow Spark Provider是Apache Airflow项目的一个插件，用于在Airflow中管理和调度Apache Spar…

漏洞类型 未授权敏感信息泄露 发现时间 2023-08-18 漏洞等级 中危 MPS编号 MPS-st3c-aw5x CVE编号 CVE-2023-36106 漏洞影响广度 一般 漏洞危害 OSCS 描述 PowerJob 是一款开源的分布式任务调度框架。在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做…

简述 2023年8月9日，墨菲监控到用户名为 snugglejack_org (邮件地址：SnuggleBearrxx@hotmail.com）的用户发布到 NPM 仓库中的 ws-paso-jssdk 组件包具有发向 https://ql.rustdesk[.]net 的可疑流量，经过确认该组件包携带远控脚本，从攻击者可控的 C2 服务器接收并执行系统命令…

背景 2023年8月14日晚，墨菲安全实验室发布《首起针对国内金融企业的开源组件投毒攻击事件》NPM投毒事件分析文章，紧接着我们在8月17日监控到一个新的npm投毒组件包 hreport-preview，该投毒组件用来下载木马文件的域名地址竟然是 img.murphysec-nb.love(如下图1)，且该域名注册时间就是8月14号，投毒者使用的注册邮箱同样…

2022年3月7日，为进一步规范医疗器械网络安全的管理，国家药监局器审中心组织制定了《医疗器械网络安全注册审查指导原则(2022年修订版)》 附件下载链接： https://pan.baidu.com/s/1VbMjfWPnDn-4vhboNMgeWQ 提取码: b8o4

中国人民银行办公厅 中央网络安全和信息化委员会办公室秘书局 工业和信息化部办公厅 中国银行保险监督管理委员会办公厅 中国证券监督管理委员会办公厅关于规范金融业开源技术应用与发展的意见 近年来，开源技术在金融业各领域得到广泛应用，在推动金融机构科技创新和数字化转型方面发挥着积极作用，但也面临安全可控等诸多挑战。为规范金融机构合理应用开源技术，提高应用水平和自主…

2022年9月30日，全国信息安全标准化技术委员会归口的国家标准《信息安全技术 软件供应链安全要求》现已形成标准征求意见稿。 本文件给出了软件供应链安全保护目标，规定了软件供应链组织管理和供应活动管理的安全要求。 标准文本下载：https://pan.baidu.com/s/1NvAjVmrUMUjOyu-YOCTVSA 提取码: 324a

2021年7月12日，工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》（以下简称《规定》）。《规定》旨在维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行；规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者，以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术…

漏洞类型 未授权敏感信息泄露 发现时间 2023/8/10 漏洞等级 严重 MPS编号 MPS-exyg-uhi8 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Smartbi 是一款商业智能应用，提供了数据集成、分析、可视化等功能，帮助用户理解和使用他们的数据进行决策。在 Smartbi 受影响版本中存在 Token 回调地址漏洞…

广泛使用的加密协议（如GG-18、GG-20和Lindell 17）实施中的多个0-day漏洞，被称为“BitForge”，影响了包括Coinbase、ZenGo、Binance等流行的加密货币钱包提供商。 这些漏洞可能使攻击者能够在几秒钟内窃取受影响钱包中存储的数字资产，而无需与用户或供应商进行交互。 这些漏洞是由Fireblocks密码研究团队于2023…