文章列表

CocoaPods 中的严重缺陷导致 iOS 和 macOS 应用程序遭受供应链攻击
安全资讯 回复0次

CocoaPods 中的严重缺陷导致 iOS 和 macOS 应用程序遭受供应链攻击

Swift 和 Objective-C Cocoa 项目的CocoaPods依赖管理器中发现了三个安全漏洞,可能被利用来发起软件供应链攻击,使下游客户面临严重风险。EVA 信息安全研究人员 Reef Spektor 和 Eran Vaknin在今天发布的一份报告中表示,这些漏洞允许“任何恶意行为者声称拥有数千个无人认领的 pod,并将恶意代码插入

2024-7-2 14:41 0 1228
Apple 修复 AirPods 蓝牙漏洞,该漏洞可能导致窃听
安全资讯 回复9次

Apple 修复 AirPods 蓝牙漏洞,该漏洞可能导致窃听

Apple 发布了AirPods 的固件更新,这可能会允许恶意行为者以未经授权的方式访问耳机。该身份验证问题编号为 CVE-2024-27867,影响 AirPods(第二代及更新版本)、AirPods Pro(所有型号)、AirPods Max、Powerbeats Pro 和 Beats Fit Pro。苹果在周二的公告中表示: “当你的耳机正在向之前配对的设备

2024-7-1 10:33 9 1860
记录了针对新 MOVEit 传输漏洞的攻击尝试 - 尽快修补!
安全资讯 回复0次

记录了针对新 MOVEit 传输漏洞的攻击尝试 - 尽快修补!

最近披露的一个影响 Progress Software MOVEit Transfer 的严重安全漏洞,在漏洞细节被公开披露后不久就已开始受到广泛利用。该漏洞编号为 CVE-2024-5806(CVSS 评分:9.1),涉及身份验证绕过,影响以下版本 -从 2023.0.0 到 2023.0.11从 2023.1.0 到 2023.1.6 之间,以及从 2024.0.0 到 2024.0.2该公

2024-6-30 13:27 0 1393
GitLab 发布针对严重 CI/CD 管道漏洞和其他 13 个漏洞的补丁
安全资讯 回复0次

GitLab 发布针对严重 CI/CD 管道漏洞和其他 13 个漏洞的补丁

GitLab 发布了安全更新以解决 14 个安全漏洞,其中包括一个严重漏洞,该漏洞可被利用以任何用户身份运行持续集成和持续部署 (CI/CD) 管道。影响 GitLab 社区版 (CE) 和企业版 (EE) 的这些漏洞已在 17.1.1、17.0.3 和 16.11.5 版本中得到解决。最严重的漏洞是CVE-2024-5655(CVSS 评分:9.6),它可能允

2024-6-29 16:52 0 816
Vanna AI 中的即时注入漏洞导致数据库遭受 RCE 攻击
安全资讯 回复0次

Vanna AI 中的即时注入漏洞导致数据库遭受 RCE 攻击

网络安全研究人员披露了 Vanna.AI 库中的一个高严重性安全漏洞,该漏洞可被利用通过提示注入技术实现远程代码执行漏洞。供应链安全公司 JFrog表示,该漏洞的编号为 CVE-2024-5565(CVSS 评分:8.1),与“ask”函数中的提示注入有关,可被利用来诱骗库执行任意命令。Vanna 是一个基于 Python 的机器学

2024-6-28 10:03 0 941
Fortra FileCatalyst Workflow 应用程序中发现严重 SQLi 漏洞
安全资讯 回复0次

Fortra FileCatalyst Workflow 应用程序中发现严重 SQLi 漏洞

Fortra FileCatalyst Workflow 中披露了一个严重安全漏洞,如果不修补,攻击者可能会篡改应用程序数据库。 该漏洞被追踪为CVE-2024-5276,CVSS 评分为 9.8。它影响FileCatalyst Workflow 版本 5.1.6 Build 135 及更早版本。问题已在版本 5.1.6 build 139 中得到解决。 Fortra 在周二发布的一

2024-6-28 02:00 0 683
新的 MOVEit 传输漏洞正在被积极利用 - 尽快修补!
安全资讯 回复0次

新的 MOVEit 传输漏洞正在被积极利用 - 尽快修补!

最近披露的一个影响 Progress Software MOVEit Transfer 的严重安全漏洞,在漏洞细节被公开披露后不久就已开始受到广泛利用。该漏洞编号为 CVE-2024-5806(CVSS 评分:9.1),涉及身份验证绕过,影响以下版本 -从 2023.0.0 到 2023.0.11从 2023.1.0 到 2023.1.6 之间,以及从 2024.0.0 到 2024.0.2该公

2024-6-27 11:13 0 818
超过 110,000 个网站受到劫持 Polyfill 供应链攻击的影响
安全资讯 回复2次

超过 110,000 个网站受到劫持 Polyfill 供应链攻击的影响

在一家中国公司收购了该域名并修改了 JavaScript 库(“polyfill.js”)以将用户重定向到恶意和诈骗网站后,谷歌已采取措施屏蔽使用 Polyfill.io 服务的电子商务网站的广告。Sansec在周二的一份报告中表示,超过110,000 个嵌入图书馆的站点受到供应链攻击的影响。Polyfill 是一个流行的库,它支持 Web

2024-6-26 14:52 2 1358
15岁舔狗因失恋传播大量个人信息
安全资讯 回复36次

15岁舔狗因失恋传播大量个人信息

隐私已死,超 50 亿境内数据,被某少年一次性公开!今天(02-21),网安圈子又炸锅了。有个自称未成年的小孩,因为失恋,把手上搜集到的社工数据全部公开了。 号称超过50亿条号称超过50亿条不用去搜原视频啦,发出来当天就被毙了。怪文行走江湖这么久,一看就知道:很大概率上,是查档推手们为了吸引眼

2024-6-25 16:38 36 5237
谷歌推出 Naptime 项目,用于人工智能漏洞研究
安全资讯 回复2次

谷歌推出 Naptime 项目,用于人工智能漏洞研究

谷歌开发了一个名为Project Naptime的新框架,据称该框架可使大型语言模型 (LLM) 开展漏洞研究,旨在改进自动发现方法。Google Project Zero 研究人员 Sergei Glazunov 和 Mark Brand表示: “Naptime 架构以 AI 代理与目标代码库之间的交互为中心。代理配备了一套专门的工具,旨在模仿人类安全研究人

2024-6-25 10:52 2 953