murphysec

2021年7月12日，工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》（以下简称《规定》）。《规定》旨在维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行；规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者，以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术…

漏洞类型 未授权敏感信息泄露 发现时间 2023/8/10 漏洞等级 严重 MPS编号 MPS-exyg-uhi8 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Smartbi 是一款商业智能应用，提供了数据集成、分析、可视化等功能，帮助用户理解和使用他们的数据进行决策。在 Smartbi 受影响版本中存在 Token 回调地址漏洞…

广泛使用的加密协议（如GG-18、GG-20和Lindell 17）实施中的多个0-day漏洞，被称为“BitForge”，影响了包括Coinbase、ZenGo、Binance等流行的加密货币钱包提供商。 这些漏洞可能使攻击者能够在几秒钟内窃取受影响钱包中存储的数字资产，而无需与用户或供应商进行交互。 这些漏洞是由Fireblocks密码研究团队于2023…

乌克兰警告称，许多针对国家机构的攻击正利用名为“Merlin”的开源后期渗透及命令控制框架发动。 Merlin是一个基于Go的跨平台渗透工具，可以在GitHub上免费下载。它为安全行业专家提供了详尽的操作文档，帮助他们进行红队模拟攻击测试。 这个工具包含了诸多功能，不仅帮助红队专家在网络中找到漏洞，还可能被网络攻击者利用来入侵和控制网络。 然而，正如我们在S…

前言 当你在当地的杂货店购买包装好的食品时，你可能会检查上面列出的成分列表，以了解其中含有什么，确保你不会不经意地摄入你不希望吃的成分或已知对健康有不良影响的成分。但当你购买或使用软件产品时，你是否也有这样的思考方式？你是否清楚地了解构成该软件的各个组件，并知道其中是否有任何已知的漏洞？如今的典型软件应用都是使用许多开源软件库和可重复使用的第三方代码构建的。…

漏洞类型 SQL 注入 发现时间 2023/7/29 漏洞等级 高危 MPS编号 MPS-f2j4-cs6r CVE编号 CVE-2023-38992 漏洞影响广度 广 漏洞危害 OSCS 描述 JeecgBoot 是一款开源的的低代码开发平台。受影响版本中，由于 SysDictController#loadTreeData 未对用户传入的 sql 字符进行…

漏洞类型 未授权敏感信息泄露 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-mxgn-froy CVE编号 CVE-2023-34235 漏洞影响广度 一般 漏洞危害 OSCS 描述 Strapi 是一个开源的 headless 内容管理系统，可将内容的创建与展示进行分离。Strapi 4.10.8之前版本中，由于 Knex 查询允许更改…

漏洞类型 任意文件上传 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-rkja-iwgs CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。泛微 e-cology 10.58.3之前版本存在任意文件上传漏洞，由于上传接口身份认证缺失，未经过身份验证的…

漏洞类型 竞争条件 发现时间 2023/7/27 漏洞等级 中危 MPS编号 MPS-jgni-u9se CVE编号 CVE-2023-32001 漏洞影响广度 广 漏洞危害 OSCS 描述 curl 是一个跨平台的用于数据传输的开源工具。curl 8.2.0之前版本中由于 fopen#Curl_fopen 方法中的 stat(filename, &…

漏洞类型 代码注入 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-ycmw-pl41 CVE编号 CVE-2023-37754 漏洞影响广度 一般 漏洞危害 OSCS 描述 PowerJob 是一款开源的分布式任务调度框架。由于 PowerJob 未对网关进行鉴权，4.3.3 及之前版本中，未经授权的攻击者可向 /instance/det…