murphysec

漏洞类型 代码注入 发现时间 2023/7/31 漏洞等级 严重 MPS编号 MPS-s5nj-29cx CVE编号 CVE-2023-37470 漏洞影响广度 广 漏洞危害 OSCS 描述 Metabase 是一个开源的数据分析和可视化工具。由于 CVE-2023-38646 的补丁（从H2 JDBC连接字符串中删除INIT脚本以防止命令注入）修复不完全，…

漏洞类型 未授权敏感信息泄露 发现时间 2023/8/5 漏洞等级 中危 MPS编号 MPS-gxew-hdmv CVE编号 CVE-2023-38494 漏洞影响广度 小 漏洞危害 OSCS 描述 在 webapp、standalone 版本中使用了 commons-beanutils 组件来进行对象反序列化。由于commons-beanutils中存在一…

漏洞类型 代码注入 发现时间 2023/7/29 漏洞等级 高危 MPS编号 MPS-h7gi-f1vl CVE编号 CVE-2023-36542 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache NiFi 是一个开源的数据流处理和自动化工具。Apache NiFi 1.23.0之前版本中包含使用 HTTP URL 进行远程资源检索的 Process…

漏洞类型 通过用户控制密钥绕过授权机制 发现时间 2023/8/1 漏洞等级 严重 MPS编号 MPS-el01-w76v CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Smartbi 是一款商业智能应用，提供了数据集成、分析、可视化等功能，帮助用户理解和使用他们的数据进行决策。在 Smartbi 受影响版本中存在权限绕过问题，未授…

漏洞类型 访问控制不当 发现时间 2023/8/5 漏洞等级 严重 MPS编号 MPS-2vhe-kp7q CVE编号 CVE-2023-39508 漏洞影响广度 一般 漏洞危害 OSCS 描述 Airflow 是一个开源的工作流自动化平台，它允许用户定义、调度和监视工作流任务的执行。Run Task 是通过Airflow的Web界面或命令行工具。在 Air…

随着业界日益增长的安全担忧，CrowdStrike的2023年报告显示了针对云的基于身份的网络入侵攻击的增长。 CrowdStrike宣布发布了其2023年的CrowdStrike威胁狩猎报告，其中揭示了基于身份入侵的大幅增加。这些报告涵盖了CrowdStrike的精英威胁猎人和情报分析师所观察到的攻击趋势和“对手手法”。 报告显示，针对云的更为复杂的网络攻…

Rhysida 勒索软件活动由于连续攻击医疗机构而引起了关注，导致政府机构和网络安全公司加强了对其操作的关注。美国卫生与公众服务部(HHS)、CheckPoint、Cisco Talos和Trend Micro均发布了有关Rhysida的报告，聚焦于威胁行为者操作的不同方面。之前在6月，Rhysida因从智利军队窃取的文件泄露而首次引起关注。初始分析显示其加…

SBOM（软件构建物料清单）还不足够：开发人员需要通过使用二进制源验证的过程深入了解软件的构建方式。 美国黑帽 – 拉斯维加斯 – 8月9日星期三，开源OWASP的依赖检查项目的创始人和负责人提出了一种解决软件供应链安全问题的方法，使用了一种名为二进制源验证的新颖过程。 长期从事软件开发的ServiceNow首席工程师和OWASP专家…

黑客利用了Salesforce电子邮件服务和SMTP服务器中的一个 0day 漏洞，发起了一场针对高价值Facebook账户的精密钓鱼攻击。 攻击者利用一个被称为“PhishForce”的漏洞，绕过了Salesforce的发件人验证保护措施，以及Facebook网络游戏平台中的一些特殊性，大量发送钓鱼邮件。 使用像Salesforce这样有信誉的电子邮件网关…

作者：Taylor Lehmann、Seth Rosenblatt 诊断和治疗慢性疼痛可能是复杂的、困难的，对患者和医生来说充满了不确定性。根据患者的状况和医生的知识水平，做出正确的诊断需要时间，可能还需要尝试不同的治疗方法。 这种反复试验的过程可能使患者陷入痛苦和困惑的境地，直到能够开出最佳的药方。这种情况类似于许多当今安全运营团队所面临的日常挑战。 站在…