2021-04
VMware vRealize Operations Manager多个高危漏洞预警
≥≥3月30日,VMware发布安全公告,公告中披露了vRealize Operations Manager存在服务器端请求伪造和任意文件写入漏洞,对应CVE漏洞编号:CVE-2021-21975,CVE-2021-21983。攻击者可结合两个漏洞构造恶意请求,可在无需认证的情况下执行任意代码,从而控制服务器。建议受影响用户及时更新漏洞补丁进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:上海斗象、杭州安恒信息、深信服、北京天融信
2021-03
Apache Druid远程代码执行漏洞(CVE-2021-26919)预警
≥≥3月29日,Apache发布了Apache Druid远程代码执行漏洞的风险通告,漏洞CVE编号:CVE-2021-26919。攻击者可通过构造恶意MySQL服务器,利用该漏洞在目标服务器上执行远程代码,从而控制目标服务器。该漏洞危害较大且影响范围广。建议受影响用户及时将Druid升级至0.20.2版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:杭州安恒信息、深信服、北京天融信、上海观安、上海斗象
2021-03
Cisco Jabber多个高危漏预警
≥≥近日,Cisco发布了Jabber多个高危漏洞的风险通告,相关漏洞CVE编号:CVE-2021-1411、CVE-2021-1469、CVE-2021-1417、CVE-2021-1471、CVE-2021-1418。攻击者可利用漏洞执行任意代码、获取敏感信息、执行DDoS攻击等。目前Cisco官方已发布新版本修复漏洞,建议受影响用户及时升级至最新版,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:深信服科技股份有限公司、北京奇虎科技有限公司、中国信息通信研究院
2021-03
Apple WebKit跨站脚本漏洞(CVE-2021-1879)预警
≥≥3月26日,Apple发布了针对iPhone,iPad和Apple Watch的安全更新,其中修复了WebKit存在一个零日漏洞。攻击者可通过构造恶意的web页面,利用该漏洞发起XSS攻击,从而获取敏感信息、如用户凭证、cookie会话等。目前该漏洞细节尚未披露,据称已被在野攻击利用,Apple官方强烈建议用户及时进行更新系统,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:中国信息通信研究院
2021-03
OpenSSL 拒绝服务、证书绕过漏洞预警
≥≥OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,同时确认连接者身份。这个包广泛被应用在互联网的网页服务器上。2021年03月25日,OpenSSL官方更新了漏洞披露列表,通告披露了OpenSSL组件存在拒绝服务、证书绕过漏洞,漏洞编号:CVE-2021-3449、CVE-2021-3450。...
来源:上海斗象、深信服、北京天融信
2021-03
华为CloudEngine系列某设备拒绝服务漏洞(CVE-2021-22393)预警
≥≥近日,华为发布了华为CloudEngine系列某设备存在拒绝服务漏洞,该漏洞CVE编号:CVE-2021-22393。攻击者可利用该漏洞通过发送大量特定报文造成模块拒绝服务,影响正常功能。目前华为官方已发布新版本修改该漏洞,建议受影响用户及时升级最新版本,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:中国信息通信研究院
2021-03
ntopng权限绕过与任意代码执行漏洞(CVE-2021-28073/CVE-2021-28074)
≥≥近日,国内某安全团队披露了ntopng权限绕过与任意代码执行漏洞,相关CVE编号:CVE-2021-28073/CVE-2021-28074。攻击者可在未授权的情况下请求符合漏洞利用条件的接口,并最终利用服务器端请求伪造和高危服务实现远程代码执行。ntopng官方已于2021年03月05日发布相关修复代码进行修复,因此,建议受影响用户及时升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:北京奇虎科技有限公司
2021-03
Adobe ColdFusion远程代码执行漏洞(CVE-2021-21087)预警
≥≥3月22日,Adobe发布了Adobe ColdFusion远程代码执行漏洞的风险通告,该漏洞编号:CVE-2021-21087。未经授权的攻击者通过构造恶意请求,在服务器上任意代码执行,从而控制服务器。建议受影响用户及时升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:深信服科技股份有限公司、北京天融信网络安全技术有限公司、北京奇虎科技有限公司