2021-04
Oracle WebLogic多个高危漏洞预警
≥≥近日,Oracle官方发布4月份安全补丁更新公告,修复了WebLogic Server,Business Intelligence Enterprise Edition等多款产品存在的390个漏洞,其中WebLogic Server存在多个高危漏洞,相应CVE编号:CVE-2021-2136、CVE-2021-2135、CVE-2021-2157。漏洞利用复杂度低,影响较大。建议受影响用户及时更新官方发布的安全补丁,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:奇安信、绿盟科技、深信服、北京天融信、奇虎科技
2021-04
Pulse Connect Secure远程代码执行漏洞(CVE-2021-22893)预警
≥≥Pulse Connect Secure(简称PCS)是美国Pulse Secure公司的一套SSL VPN解决方案。 近日,监测发现PulseSecure发布了Pulse Connect Secure远程代码执行的风险通告,CVE漏洞编号:CVE-2021-22893。未经身份验证的远程攻击者通过向目标设备发送恶意的HTTP请求,利用该漏洞能够在目标设备网关上执行任意代码。建议受影响用户将PCS升级至9.1R.11.4版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:北京奇虎科技有限公司
2021-04
Apache Tapestry远程执行代码漏洞(CVE-2021-27850)预警
≥≥Apache Tapestry是一种基于Java的Web应用程序框架。Tapestry采用了组件的概念。程序员可以应用现有的组建或自定义应用程序相关的组建来构建应用程序。近日,Apache官方披露了一个Apache Tapestry的未经身份验证的远程执行代码漏洞,漏洞编号:CVE-2021-27850。攻击者通过精心构造的URL,可利用该漏洞成功执行任意代码。建议受影响用户及时升级至安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:上海斗象信息科技有限公司
2021-04
微信Windows客户端远程代码执行漏洞预警
≥≥近日,监测发现微信(Windows客户端)存在一个高危的在野0day漏洞,该漏洞是微信内置浏览器调用了V8引擎解析JavaScript代码,并关闭沙盒模式(--no-sandbox参数),导致漏洞利用难度降低,影响较大。攻击者利用该漏洞,通过构造恶意的钓鱼链接发送至目标用户,当目标用户打开该链接时,触发漏洞,最终获取用户PC控制权限。目前,厂商已发布新版本完成修复,建议广大用户及时将微信(Windows客户端)升级到3.2.1.141及以上版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:杭州安恒信息技术股份有限公司、北京奇虎科技有限公司
2021-04
Apache Solr多个高危漏洞预警
≥≥近日,Apache官方发布Apache Solr安全更新公告,修复了Apache Solr存在的服务器端请求伪造漏洞、敏感信息漏洞以及数据集读写漏洞,对应CVE漏洞编号:CVE-2021-27905,CVE-2021-27262,CVE-2021-27905。其中Apache Solr服务器端请求伪造漏洞(CVE-2021-27905)的PoC已在互联网公开,漏洞影响较大。建议受影响用户将Solr升级至8.8.2或更高版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:杭州安恒信息技术股份有限公司、奇安信科技集团股份有限公司
2021-04
微软4月份补丁日重点漏洞预警
≥≥4月14日,微软发布4月安全更新公告,修复了Exchange Server、Office、Edge、Windows Win32K、Windows DNS等多款产品组件或软件存在的漏洞。攻击者可利用漏洞绕过安全功能限制,获取敏感信息,提升权限,执行远程代码,或发起拒绝服务攻击等。建议广大用户及时下载并安装修复补丁进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:深信服、杭州安恒信息、北京天融信、奇安信、北京奇虎科技
2021-04
Google Chrome远程代码执行漏洞预警
≥≥Google Chrome是由美国谷歌(Google)公司开发的一款Web浏览工具。 近日,监测到国外安全研究人员披露了Google Chrome远程代码执行漏洞的PoC(漏洞验证代码)详情。攻击者可通过构造特殊的web页面,并诱导目标用户访问该页面,从而实现远程代码执行。该漏洞为0day漏洞,目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复,而Chrome正式版( 89.0.4389.114)仍受漏洞影响。建议受影响用户及时关注官方Chrome正式版更新,及时修补漏洞进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:北京奇虎科技、斗象科技、奇安信、深信服、北京天融信、安恒信息
2021-04
Exchange 多个蠕虫级远程命令执行漏洞预警
≥≥近日,监测发现Microsoft发布了Exchange 安全更新通告,本次安全更新修复了四个蠕虫级别的远程命令执行漏洞,漏洞编号为CVE-2021-28480,CVE-2021-28481,CVE-2021-28482,CVE-2021-28483。攻击者利用此漏洞,可绕过Exchange身份验证,达到命令执行的效果。目前微软官方已发布针对该漏洞的补丁更新,建议受影响用户及时更新进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:北京奇虎科技、深信服、神州绿盟科技、 北京天融信