• CVE-2023-46104: Apache Superset: Allows for uncontrolled resource consumption via a ZIP bomb:
https://seclists.org/oss-sec/2023/q4/293
・ Apache Superset存在漏洞CVE-2023-46104,允许通过ZIP炸弹进行不受控制的资源消耗。
– SecTodayBot
• Re: CVE-2023-48795: Prefix Truncation Attacks in SSH Specification (Terrapin Attack):
https://seclists.org/oss-sec/2023/q4/300
・ 介绍了一个与SSH规范相关的CVE漏洞
– SecTodayBot
• Disclosure of CVE-2023-50917: RCE Vulnerability in MajorDoM:
https://seclists.org/fulldisclosure/2023/Dec/19
・ 该文章披露了MajorDoM中的RCE漏洞,详细分析了漏洞的根本原因和利用方式,强调了潜在影响以及建议的缓解措施。
– SecTodayBot
• CVE-2023-49736: Apache Superset: SQL Injection on where_in JINJA macro:
https://seclists.org/oss-sec/2023/q4/294
・ Apache Superset存在SQL注入漏洞
– SecTodayBot
• Mute the Sound: Chaining Vulnerabilities to Achieve RCE on Outlook: Pt 2:
https://www.akamai.com/blog/security-research/2023/dec/chaining-vulnerabilities-to-achieve-rce-part-two
・ 该文章重点介绍了利用声音文件解析漏洞在Outlook和Windows上实现远程代码执行的技术细节和分析。
– SecTodayBot
• 高通 MSM Linux 内核和 ARM Mali GPU 中 0-day 漏洞攻击利用分析:
https://paper.seebug.org/3091/
・ 高通 MSM Linux 内核和 ARM Mali GPU 中 0-day 漏洞攻击利用分析
– SecTodayBot
• OilRig APT 攻击行为分析:
https://paper.seebug.org/3092/
・ 该文章内容涉及2022年OilRig坚持使用云服务为动力的下载器进行持久攻击。文章详细分析了OilRig下载器的技术细节,包括它们如何使用各种合法的云服务API进行C&C通信和数据窃取。
– SecTodayBot
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号: 腾讯玄武实验室
https://weibo.com/xuanwulab