漏洞情报 - 腾讯云开发者社区

文章/答案/技术大牛

发布

漏洞情报 | SaltStack多个高危漏洞风险通告

2021年2月26日，SaltStack发布安全更新，修复了由腾讯安全云鼎实验室安全攻防团队发现的多个安全漏洞。通过利用这些漏洞，最严重可导致未授权远程代码执行。...本次披露的漏洞主要为以下几个： CVE-2021-25281（高危）: salt-api未校验wheel_async客户端的eauth凭据，受此漏洞影响攻击者可远程调用master上任意wheel模块。...2、使用安全产品进行防护与检测腾讯T-Sec主机安全（云镜）漏洞库日期2021-1-22之后的版本，已支持SaltStack多个高危漏洞进行检测。...腾讯T-Sec漏洞扫描服务漏洞特征库日期2021-1-22之后的版本，已支持检测全网资产是否存在SaltStack多个高危漏洞并提醒用户修复。...关注云鼎实验室，获取更多安全情报 ?

1.3K2 0

漏洞情报｜微软Exchange多个高危漏洞风险通告

近日，腾讯云安全运营中心监测到，微软发布了Exchange多个高危漏洞的风险通告，涉及漏洞编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021...漏洞详情在此次公告中披露了以下漏洞： CVE-2021-26855：为Exchange中的一个服务器端请求伪造（SSRF）漏洞，它使攻击者能够发送任意HTTP请求并通过Exchange Server...利用此漏洞，攻击者可以在Exchange服务器上以SYSTEM身份运行代码。这需要管理员权限或组合利用其他漏洞。...如果攻击者可以通过Exchange服务器的身份验证，则他们可以使用此漏洞将文件写入服务器上的任何路径。...关注云鼎实验室，获取更多安全情报 ?

8941 0

您找到你想要的搜索结果了吗？

是的

没有找到

漏洞情报｜Exchange 多个严重远程命令执行漏洞通告

近日，腾讯云安全运营中心监测到，微软近日发布了Exchange 安全更新的通告，更新修复了四个蠕虫级别的远程命令执行漏洞，攻击者可利用上述漏洞绕过Exchange身份验证，无需用户交互，即可达到命令执行的效果...漏洞详情微软近日发布了Exchange 安全更新的通告，更新修复了四个蠕虫级别的远程命令执行漏洞。...漏洞编号分别如下： CVE-2021-28480 CVE-2021-28481 CVE-2021-28482 CVE-2021-28483 攻击者可利用上述漏洞绕过Exchange身份验证，被利用可在内网的...风险等级严重级别漏洞风险漏洞被利用可导致远程代码执行，进而在内网横向利用影响版本 Microsoft:Exchange: 2016, 2019, 2013 修复补丁 Exchange 2013...关注云鼎实验室，获取更多安全情报 ?

7972 0

【漏洞情报】ExecuTorch整数溢出漏洞分析与修复指南

ExecuTorch整数溢出漏洞 · CVE-2025-30405 漏洞详情严重等级：严重 CVSS评分：9.8/10 受影响的包和版本包管理器包名称受影响版本修复版本 pip executorch...< 0.7.0 0.7.0 Swift executorch < 0.7.0 0.7.0 Maven org.pytorch:executorch-android < 0.7.0 0.7.0 漏洞描述...ExecuTorch模型加载过程中存在整数溢出漏洞，可导致对象被放置在分配的内存区域之外，可能造成代码执行或其他不良后果。...此漏洞影响ExecuTorch在提交0830af8207240df8d7f35b984cdf8bc35d74fa73之前的所有版本。...GitHub咨询数据库发布：2025年8月8日审核时间：2025年8月12日最后更新：2025年10月6日安全建议建议所有使用ExecuTorch的用户立即升级到0.7.0或更高版本，以修复此严重安全漏洞

1931 0

漏洞情报｜Drupal任意PHP代码执行漏洞风险通告

近日，腾讯云安全运营中心监测到，Drupal官方发布安全更新，披露了一个任意PHP代码执行漏洞，攻击者可利用该漏洞执行恶意代码，入侵服务器。...漏洞详情 Drupal项目使用PEAR Archive_Tar库。...PEAR Archive_Tar库已经发布了影响Drupal的安全更新（漏洞编号：CVE-2020-28949/CVE-2020-28948）。...如果将Drupal配置为允许.tar，.tar.gz，.bz2或.tlz文件上载并处理它们，则可能存在多个漏洞。风险等级高风险漏洞风险漏洞被利用可导致任意的PHP代码执行。...关注云鼎实验室，获取更多安全情报 ?

8181 0

漏洞情报｜YAPI远程代码执行0day漏洞风险预警

近日，腾讯主机安全（云镜）捕获到YAPI远程代码执行0day漏洞在野利用，该攻击正在扩散。受YAPI远程代码执行0day漏洞影响，大量未部署任何安全防护系统的云主机已经失陷。...风险等级高（已捕获到大量在野利用）漏洞风险攻击者利用该漏洞可远程执行任意代码影响版本目前为0day状态，官方暂未发布补丁，影响所有版本安全版本目前为0day状态，官方暂未发布补丁修复建议...腾讯云防火墙内置虚拟补丁防御机制，可积极防御某些高危且使用率很高的漏洞利用。...客户可通过腾讯主机安全的漏洞管理、基线管理功能对网络资产进行安全漏洞检测和弱口令检测。...关注云鼎实验室，获取更多安全情报 ?

1.4K7 1

【漏洞情报】TorrentPier论坛管理员面板SQL注入漏洞分析

TorrentPier认证SQL注入漏洞分析（CVE-2025-64519）漏洞概述 TorrentPier论坛软件的管理员控制面板（modcp.php）存在认证SQL注入漏洞。...拥有版主权限的用户可通过提交恶意的topic_id（t参数）利用此漏洞，执行任意SQL查询，可能导致数据库中的数据被泄露、修改或删除。...漏洞详情该漏洞在modcp.php处理包含topic_id（t参数）的请求时触发。$topic_id的值直接来自用户输入，在拼接到SQL查询之前未进行适当的清理或参数化处理。...漏洞代码位置在modcp.php的第111-122行存在易受攻击的代码块： if ($topic_id) { $sql = " SELECT f.forum_id, f.forum_name...漏洞复现这是一个基于时间的盲SQL注入漏洞，需要版主权限才能利用。

2011 0

Hvv 日记威胁情报 8.6 （漏洞、IP、样本）

漏洞 H3C iMC 智能管理中心远程代码执行漏洞恶意IP 39.104.70.180 漏洞利用 121.199.165.46 漏洞利用 119.145.128.76 漏洞利用 60.14.228.23...漏洞利用 1.13.197.135 漏洞利用 112.124.21.200 漏洞利用 114.55.130.190 漏洞利用 114.55.227.133 漏洞利用恶意样本样本主题：**+**大学...从近期的攻击行为表现来看，主要涉及漏洞扫描。漏洞扫描是一种常见的网络攻击手段，攻击者利用特定的工具对目标系统进行探测，查找可能存在的安全漏洞，以便后续利用这些漏洞进一步入侵系统或者获取敏感信息。...例如，可能会扫描目标银行系统的网络端口、操作系统漏洞、应用程序漏洞等，一旦发现漏洞，就有可能尝试进行攻击和渗透。...近期攻击行为：主要是进行漏洞扫描，通过漏洞扫描来寻找目标系统可能存在的安全漏洞，为后续的进一步攻击做准备。

7351 0

【漏洞情报】WordPress FindAll Membership插件身份验证绕过漏洞分析

概述 CVE-2025-13539是一个影响WordPress FindAll Membership插件的严重身份验证绕过漏洞，CVSS评分为9.8（严重级别）。...漏洞描述 FindAll Membership插件在所有1.0.4及之前版本中存在身份验证绕过漏洞。...该漏洞源于插件未能正确使用通过findall_membership_check_facebook_user和findall_membership_check_google_user函数验证的用户数据。...可利用性评分影响评分来源 9.8 CVSS 3.1 严重 3.9 5.9 security@wordfence.com 解决方案更新FindAll Membership插件至最新版本验证身份验证绕过漏洞是否已解决

2461 0

漏洞情报｜Drupal远程代码执行漏洞（CVE-2020-13671）风险通告

近日，腾讯云安全运营中心监测到，Drupal官方通报了一个Drupal任意文件上传漏洞，该漏洞可使攻击者远程执行恶意代码。漏洞编号CVE-2020-13671。...漏洞详情公告称，受漏洞影响的Drupal无法正确过滤某些文件名的上传文件，可能会导致文件被解释为错误的扩展名，或被当作错误的MIME类型。在一些配置下甚至直接被当作PHP脚本执行。...风险等级高风险漏洞风险攻击者可利用该漏洞执行恶意代码，可导致获取服务器权限等风险。...漏洞参考 https://www.drupal.org/sa-core-2020-012 ? 更多精彩内容点击下方扫码关注哦~ ? ? ...关注云鼎实验室，获取更多安全情报 ?

1.1K8 0

漏洞情报｜XStream远程代码执行漏洞风险通告（CVE-2020-26217）

近日，腾讯云安全运营中心监测到，XStream官方发布安全公告，披露了一个XStream远程代码执行漏洞（漏洞编号：CVE-2020-26217），漏洞被利用可导致远程代码执行。...漏洞详情 XStream是一个开源的Java类库，它能够将对象序列化成XML或将XML反序列化为对象。...在XStream的受影响版本中，存在一个远程代码执行漏洞，攻击者可通过操纵已处理的输入流，替换或注入可以执行任意shell命令的对象，造成远程代码执行。...风险等级高风险漏洞风险攻击者可利用该漏洞执行远程代码。...关注云鼎实验室，获取更多安全情报 ?

1.8K9 0

攻防演练在即，漏洞盒子宇宙「重要情报」泄露！

线索1·风云变幻，"盒"先知国内最大的漏洞情报共享平台，依托于漏洞盒子10万+白帽子，分享最新最全的情报信息； 0day漏洞情报、Nday漏洞情报、攻击方式、攻击IP、恶意样本等安全问题，漏洞影响先知道...情报一键引用，轻松表达看法。看到情报有话说，可以引用情报表达自己的看法，和更多志同道合的人讨论情报。在合规合法的情况下，对于行业的安全问题发声。 -点击查看线索分析- ?...线索4·现在，是时候把情报“装”进口袋了手机端千呼万唤始出来！情报员们期待已久的「情报星球」手机端更新上线啦！...」即将上线请各位能力者、情报员持续关注届时挖蛙小队长将会为大家带来一手消息本期文末福利关注“漏洞盒子”公众号在本篇推文下方留言 “你和「情报星球」的故事” 或转发本文至朋友圈（分组无效...）有机会获本蛙准备的礼物哦开奖后关注、转发无效~ *活动最终解释权归漏洞盒子所有

3251 0

漏洞情报｜OpenSSL拒绝服务漏洞风险公告（CVE-2020-1971）

2020年12月8日，腾讯云安全运营中心监测到，OpenSSL官方发布了拒绝服务漏洞风险通告，漏洞编号为CVE-2020-1971。...漏洞详情 OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。...攻击者可通过构造特制的证书验证过程触发该漏洞，并导致服务端拒绝服务。风险等级高风险漏洞风险漏洞被利用可能导致拒绝服务。...OpenSSL : 1.1.1i OpenSSL : 1.0.2x 修复建议将OpenSSL升级到1.1.1i、 1.0.2x或最新版本【备注】：建议您在升级前做好数据备份工作，避免出现意外漏洞参考...关注云鼎实验室，获取更多安全情报 ?

1K6 0

【漏洞情报】Revive Adserver反射型XSS漏洞分析（CVE-2025-55124）

Revive Adserver反射型XSS漏洞技术分析漏洞概述在Revive Adserver v6.0.0+版本的/admin/banner-zone.php文件中存在反射型跨站脚本（Reflected...XSS）漏洞。...语句在浏览器中成功执行，证明XSS漏洞存在。...标志）未授权的管理员操作凭据收集潜在的完整站点入侵技术细节 XSS漏洞路径： http://192.168.250.134/admin/banner-zone.php?...该漏洞被分配了CVE编号：CVE-2025-55124。风险评估虽然漏洞允许执行反射型JavaScript代码，但利用需要攻击者诱骗已登录用户（管理员）点击特制链接，需要用户交互。

2251 0

【漏洞情报】LangChain 提示模板注入漏洞详解：通过属性访问实现攻击

漏洞详情包管理器: pip 受影响的包: langchain-core (pip) 受影响版本: = 1.0.0, <= 1.0.6 <= 0.3.79 已修复版本: 1.0.7 0.3.80 描述...背景 LangChain的提示模板系统中存在一个模板注入漏洞，允许攻击者通过模板语法访问Python对象内部。...该漏洞影响接受不可信模板字符串（而不仅仅是模板变量）的应用程序中的ChatPromptTemplate及相关提示模板类。模板允许属性访问（.）和索引（[]），但不允许方法调用（()）。...该漏洞特别要求应用程序接受来自不可信源的模板字符串（结构），而不仅仅是模板变量（数据）。大多数应用程序要么不使用模板，要么使用硬编码模板，因此不受影响。...受影响组件 langchain-core包模板格式： F-string模板 (template_format="f-string") - 漏洞已修复 Mustache模板 (template_format

2841 0

漏洞情报｜Apache Struts远程代码执行漏洞风险公告（CVE-2020-17530）

2020年12月8日，腾讯云安全运营中心监测到，Apache Struts 官方披露了编号为S2-061的远程代码执行漏洞，CVE编号：CVE-2020-17530。...漏洞详情 Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。...风险等级高风险漏洞风险漏洞被利用可能导致远程代码执行。...2.5.26及更高版本修复建议 1）避免不受信任的用户输入使用强制OGNL evaluation 2）升级到Struts 2.5.26及更高版本【备注】：建议您在升级前做好数据备份工作，避免出现意外漏洞参考...关注云鼎实验室，获取更多安全情报 ?

8505 0

【漏洞情报】Scrapy与Brotli解压缩漏洞导致拒绝服务攻击

漏洞详情包管理器: pip 受影响包: Scrapy (pip) - 受影响版本: <= 2.13.3 brotli (pip) - 受影响版本: <= 1.1.0 已修复版本: brotli: 1.2.0...Scrapy: 暂无修复版本漏洞描述 Brotli 1.1.0及以下版本存在因解压缩导致的拒绝服务（DoS）攻击漏洞。...该漏洞已在Brotli 1.2.0版本中得到修复。此漏洞同时影响使用Scrapy框架并实施Brotli解压缩的用户，Scrapy 2.13.2及以下版本均受影响。...漏洞产生的原因是brotli对零填充数据能够实现极高的压缩比，导致在解压缩过程中消耗过多内存。

2701 0

【漏洞情报】Apache Syncope AES加密漏洞分析：硬编码密码的安全风险

漏洞详情包名称: maven:org.apache.syncope:syncope-core (Maven) 受影响版本: = 4.0.0, < 4.0.3 < 3.0.15 已修复版本: 4.0.3...3.0.15 漏洞描述 Apache Syncope可以配置为使用AES加密将用户密码值存储在内部数据库中，尽管这不是默认选项。...此漏洞不影响使用AES加密存储的加密明文属性值。建议用户升级到3.0.15/4.0.3版本，这些版本已修复此问题。

2111 0

漏洞情报｜SolarWinds Orion远程代码执行漏洞风险通告（CVE-2020-10148）

2020年12月28日，腾讯云安全运营中心监测到，SolarWinds Orion被披露出远程代码执行漏洞，漏洞编号CVE-2020-10148。...漏洞详情 SolarWinds Orion平台是一套基础架构以及系统监视和管理产品。 ...风险等级高风险漏洞风险攻击者可利用该漏洞远程执行任意代码，目前已监测到有利用该漏洞投递代号为'SUPERNOVA'的恶意程序的行为。...漏洞参考 https://www.solarwinds.com/securityadvisory ? 更多精彩内容点击下方扫码关注哦~ ? ? ...关注云鼎实验室，获取更多安全情报 ?

1.2K2 0

漏洞情报｜2021年8月“微软补丁日” 多个产品高危漏洞风险通告

漏洞详情在此次公告中以下漏洞需要重点关注： CVE-2021-36948（Windows Update Medic Service特权提升漏洞）：该漏洞允许通过 Windows Update Medic...漏洞CVSS分数7.8。该漏洞微软已检测到有在野利用，请优先修补。...漏洞CVSS分数9.9，被微软标记为严重漏洞，需要重点关注。...漏洞CVSS分数9.9，被微软标记为严重漏洞。...关注云鼎实验室，获取更多安全情报 ?

1.5K10 0

点击加载更多

漏洞情报 | SaltStack多个高危漏洞风险通告

漏洞情报｜微软Exchange多个高危漏洞风险通告

漏洞情报｜Exchange 多个严重远程命令执行漏洞通告

【漏洞情报】ExecuTorch整数溢出漏洞分析与修复指南

漏洞情报｜Drupal任意PHP代码执行漏洞风险通告

漏洞情报｜YAPI远程代码执行0day漏洞风险预警

【漏洞情报】TorrentPier论坛管理员面板SQL注入漏洞分析

Hvv 日记威胁情报 8.6 （漏洞、IP、样本）

【漏洞情报】WordPress FindAll Membership插件身份验证绕过漏洞分析

漏洞情报｜Drupal远程代码执行漏洞（CVE-2020-13671）风险通告

漏洞情报｜XStream远程代码执行漏洞风险通告（CVE-2020-26217）

攻防演练在即，漏洞盒子宇宙「重要情报」泄露！

漏洞情报｜OpenSSL拒绝服务漏洞风险公告（CVE-2020-1971）

【漏洞情报】Revive Adserver反射型XSS漏洞分析（CVE-2025-55124）

【漏洞情报】LangChain 提示模板注入漏洞详解：通过属性访问实现攻击

漏洞情报｜Apache Struts远程代码执行漏洞风险公告（CVE-2020-17530）

【漏洞情报】Scrapy与Brotli解压缩漏洞导致拒绝服务攻击

【漏洞情报】Apache Syncope AES加密漏洞分析：硬编码密码的安全风险

漏洞情报｜SolarWinds Orion远程代码执行漏洞风险通告（CVE-2020-10148）

漏洞情报｜2021年8月“微软补丁日” 多个产品高危漏洞风险通告

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐