Tencent Security Xuanwu Lab Daily News
• Cisco IOS XE 系统 WebUI 未授权命令执行漏洞分析:
・ 最新文章分析总结了Cisco IOS XE两个严重的CVE漏洞(CVE-2023-20198,CVE-2023-20273),其中包括命令注入和未授权思科命令执行漏洞,详细介绍了漏洞原理和修复方法。
–
• Spammers abuse Google Forms’ quiz to deliver scams:
・ 近期,Cisco Talos发现了一种滥用Google Forms测验功能的垃圾邮件攻击。攻击者利用受害者的电子邮件地址回应测验,并滥用“发布成绩”功能向受害者发送垃圾邮件。由于这些垃圾邮件来自Google自身服务器,因此很容易绕过反垃圾保护措施并进入受害者的收件箱。
–
• X41 releases the audit report of Rust-VMM:
・ X41发布了Rust-VMM的审计报告,发现了一些可能会在未来代码更改中带来安全风险的问题,但没有发现任何漏洞,并称赞了Rust-VMM的安全性。
–
• NEW RESEARCH: Artificial intelligence and Machine Learning Can Be Used to Stop DAST Attacks Before they Start:
・ Rapid7的Pojan Shahrivar和Stuart Millar发表的IEEE论文介绍了如何利用AI和ML在云安全中自动检测DAST暴力攻击,有效预防94%的攻击并消除整个攻击链。
–
• CVE-2023-47246: SysAid Zero-Day Vulnerability Exploited By Lace Tempest:
・ IT服务管理公司SysAid披露了CVE-2023-47426,这是一种影响本地SysAid服务器的零日路径遍历漏洞,微软威胁情报团队表示,DEV-0950(Lace Tempest)已经在“有限攻击”中利用该漏洞,而Lace Tempest分发Cl0p勒索软件,利用CVE-2023-47246可能导致勒索软件部署和/或数据外泄
–
• How To: Modifying EV Chargers for Benchtop Experiments:
・ 本文介绍了如何安全地修改EV充电器以进行实验的方法,为研究这些设备提供了一个良好的起点。
–
• CVE-2023-5950 Rapid7 Velociraptor Reflected XSS:
・ Rapid7 Velociraptor版本0.7.0-4之前存在反射型跨站脚本漏洞,攻击者可通过错误路径注入JS代码,潜在导致未授权执行脚本。
–
* 查看或搜索历史推送内容请访问:
* 新浪微博账号:腾讯玄武实验室
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...