Aggregator

MiSRC活动时间:10.1-10.13

MiSRC活动时间:10.1-10.13

Исследование показало, что многие образовательные платформы запрашивают чувствительные данные.

美国地方法院法官 Colleen McMahon 以故意侵犯版权和无视投诉为由命令 Library Genesis (Libgen) 向出版商赔偿 3000 万美元。但问题是没人知道谁在运营 Libgen，因此赔偿金可能永远也无法兑现。2017 年 Libgen 曾被勒令向出版商赔偿 1500 万美元。法官 McMahon 在最新裁决中批准了一项范围广泛的禁令，所有积极关注和参与 Libgen 的人都被禁止共享版权内容，禁止任何人托管、注册 Libgen 域名或提供云存储、文件共享或广告服务等。该禁令甚至禁止使用工具显示 Libgen 链接或链接到 Libgen 的浏览器扩展。

A vulnerability was found in JBlog. It has been declared as critical. This vulnerability affects unknown code of the file recherche.php. The manipulation of the argument theme leads to basic cross site scripting. This vulnerability was named CVE-2007-3973. The attack can be initiated remotely. Furthermore, there is an exploit available.

A vulnerability, which was classified as critical, has been found in Codewidgets Real Estate listing website application template. This issue affects some unknown processing of the component Logging. The manipulation of the argument Password leads to sql injection. The identification of this vulnerability is CVE-2007-4111. The attack may be initiated remotely. Furthermore, there is an exploit available.

The U.S. government on Thursday sanctioned two cryptocurrency exchanges and unsealed an indictment against a Russian national for his alleged involvement in the operation of several money laundering services that were offered to cybercriminals. The virtual currency exchanges, Cryptex and PM2BTC, have been alleged to facilitate the laundering of cryptocurrencies possibly obtained through

据多方资料不完全统计，2024年8月共记录到全球网络安全行业投融资事件26起，与上月相比减少19起。其中国内4起，国外22起。

爆炸行动集成动能战、网络战和心理战，将开启网络战新篇章

"安全有你，心在一起"

文末可免费获取报告全文

A vulnerability classified as critical was found in JBlog 1.0. Affected by this vulnerability is an unknown functionality of the file index.php. The manipulation of the argument search leads to basic cross site scripting. This vulnerability is known as CVE-2007-3973. The attack can be launched remotely. Furthermore, there is an exploit available.

本文分享了 SaaS 多租户自动化渗透平台在数据安全隔离方面的设计思路、代码实践步骤、以及因数据库框架默认特性导致“跨租户数据越权访问”安全问题的排查和解决过程

A vulnerability classified as critical has been found in ESET NOD32 Antivirus, Internet Security, Smart Security Premium, Security Ultimate, Small Business Security, Safe Server, Endpoint Antivirus, Endpoint Security for Windows, Server Security for Windows Server, Mail Security for Microsoft Exchange Server, Mail Security for IBM Domino, Security for Microsoft SharePoint Server and File Security for Microsoft Azure up to 1250 on Windows. This affects an unknown part. The manipulation leads to insecure operation on windows junction / mount point. This vulnerability is uniquely identified as CVE-2024-7400. Local access is required to approach this attack. There is no exploit available.

A vulnerability was found in RCMS Pro RGameScript Pro 0. It has been rated as very critical. Affected by this issue is some unknown functionality of the file page.php. The manipulation of the argument id leads to file inclusion. This vulnerability is handled as CVE-2007-3980. The attack may be launched remotely. Furthermore, there is an exploit available.

A vulnerability was found in AYS AI ChatBot with ChatGPT and Content Generator Plugin up to 2.0.x on WordPress. It has been rated as problematic. Affected by this issue is some unknown functionality of the component Open AI API Key Handler. The manipulation leads to information disclosure. This vulnerability is handled as CVE-2024-7713. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

A vulnerability was found in AYS AI ChatBot with ChatGPT and Content Generator Plugin up to 2.0.x on WordPress. It has been declared as critical. Affected by this vulnerability is the function AYS_chatgpt_disconnect/AYS_chatgpt_connect/AYS_chatgpt_save_feedback. The manipulation leads to improper access controls. This vulnerability is known as CVE-2024-7714. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.

一位研究人员声称发现了一个十年前的漏洞，评级为 9.9，该漏洞影响了所有 GNU/Linux 系统，使攻击者能够控制易受攻击的设备。该漏洞正在调查中，预计将于下周全面披露。 网络安全研究员和 Linux 开发人员 Simone Margaritelli 发现了一个关键的 Linux 漏洞，该漏洞可能允许攻击者完全控制易受攻击的系统。此 Linux 漏洞会影响 GNU/Linux 系统，特别是针对 Linux 远程代码执行。如果得到证实，它可能是历史上最严重的漏洞之一。 十年前的缺陷： 据报道，该漏洞已经存在了十多年，影响了所有 GNU/Linux 系统。虽然具体细节仍处于保密状态，但 Canonical 和 Red Hat 等主要 Linux 分销商确认的严重性评分为 9.9 分（满分 10 分），这表明如果被利用，可能会造成巨大的损害。 争议： 尽管问题严重，但尚未分配通用漏洞和披露 （CVE） 标识符，开发人员仍在争论漏洞的某些方面是否构成安全风险。这种分歧导致延迟解决问题，并导致安全研究人员感到沮丧。 Margaritelli 公开表达了他对披露处理方式的失望。他声称已经提供了概念验证漏洞，但开发人员更专注于讨论漏洞的影响，而不是努力寻找解决方案。 因此，他决定不进行负责任的披露，而是完全披露缺陷。虽然他的决定可能会加速修复竞赛，但如果不采取迅速的对策，也会使数百万个 Linux 系统面临恶意攻击。 供您参考，Simone Margaritelli，又名 evilsocket，是一位著名的网络安全专家，他为世界各地的专业人士和研究人员创造了许多工具。他最显着的贡献之一是 Bettercap，这是一个专为中间人 （MITM） 黑客攻击和网络渗透测试而设计的开源工具。 该漏洞可能会影响已知暴露的服务（如 OpenSSH）和可能的过滤服务（如 Net Filter），尽管没有迹象表明哪些服务可能会受到影响，这些只是假设。 根据最新更新，该漏洞最初将于 9 月 30 日披露到 Openwall 安全邮件列表，然后在 10 月 6 日完全公开披露。建议 Linux 用户在补丁可用时立即了解官方更新和补丁系统。 * 未经身份验证的 RCE 与 3 周前披露的所有 GNU/Linux 系统（以及其他系统）的对比。 * 在 2 周内完成完全披露（与开发人员达成协议）。 * 仍然没有分配 CVE（至少应该有 3 个，可能是 4 个，最好是 6 个）。 * 仍然没有有效的修复。 * Canonical、RedHat 和…pic.twitter.com/N2d1rm2VeR — 西蒙娜·玛格丽特利 （@evilsocket） September 23， 2024 软件安全平台 Sonatype 的首席技术官兼开源安全基金会管理委员会成员 Brian Fox 发现，此漏洞与 Log4j/Log4Shell 漏洞 （CVE-2021-44228） 之间存在相似之处。Fox 正在与 Sonatype 的研究团队和开源安全社区密切合作，以了解问题的严重性和可能的缓解方法。 “虽然我们还没有技术细节，但 9.9 CVSS 的漏洞表明利用的复杂性较低，并且有迹象表明系统核心存在缺陷。考虑到这是 Linux，这个漏洞的范围很广，成功利用可能是毁灭性的——从 wifi 路由器到保持灯亮的网格，一切都在 Linux 上运行，“Brain 解释说。 “他进一步补充道：”这种低复杂性和高使用率的组合让人想起 Log4Shell，尽管这里的使用规模要大得多。我理解逐步取消披露的逻辑，因为这个漏洞需要时间来发现和修复，但是，我们也应该预料到威胁行为者会仔细检查提交历史并寻找可以利用的线索。 “在我们等待更多细节公布的同时，企业安全团队必须搜索他们的环境和 SBOM，以了解他们可能容易受到攻击的地方并准备好修补。取消你的假期，因为在 10 月 6 日，这可能是一场与攻击者的赛跑，“Brian 强调说。       转自安全客，原文链接：https://www.anquanke.com/post/id/300491 封面来源于网络，如有侵权请联系删除

我们精选了本周知识大陆公开发布的10条优质资源，一起看看吧。