最新文章
Top News
SQL 注入漏洞影响 40,000 个 WordPress 站点
HackerNews 编译,转载请注明出处: 超过40,000个使用Quiz and Survey Master插件的WordPress站点受到一个SQL注入漏洞的影响,该漏洞允许经过身份验证的用户干扰数据库查询。 该漏洞存在于10.3.1及更早的版本中,可以被任何具有“订阅者”(Subscriber)级别或更高权限的登录用户利用,从而增加了未经授权访问数据的风险。...
Johnson Controls 多款产品曝高危漏洞,可遭远程 SQL 注入攻击
一份最新安全公告披露,Johnson Controls 旗下多款工业控制系统(ICS)产品存在一个严重的SQL注入漏洞。 该漏洞编号为CVE-2025-26385,其通用漏洞评分系统(CVSS v3)的严重性评分达到满分10.0,意味着对受影响基础设施构成最高级别的风险。 漏洞成因是命令注入中特殊元素的中和处理不当,远程攻击者无需身份验证即可执行任意 SQL 命令。攻击者成功利用该漏洞后,可篡改、删除或窃取受影响系统中的敏感数据。...
MOVEit 再现新漏洞,多个版本受影响
今年6月,文件共享工具MOVEit Transfer曾曝出SQL 注入漏洞,能让远程攻击者访问其数据库并执行任意代码。最近,MOVEit Transfer 母公司Progress Software又披露了三个新漏洞。 这三个漏洞分别是 CVE-2023-36932、CVE-2023-36933 和 CVE-2023-36934,其中CVE-2023-36932和 CVE-2023-36934都和SQL 注入漏洞有关。 SQL 注入漏洞能让攻击者利用它操纵数据库并运行他们想要的任何代码。攻击者可以将专门设计的有效负载发送到受影响应用程序的某些端点,从而更改或暴露数据库中的敏感数据。...
施耐德电气修补16 个 U.motion Builder 软件漏洞
U.motion 是全球各地商业设施、关键制造和能源部门使用的建筑自动化解决方案。而 U.motion Builder 则是一个允许用户为其 U.motion 设备创建项目的工具。 最严重漏洞(CVE-2017-7494)的 CVSS 评分达到了 10,根据介绍,该漏洞允许远程执行代码,对 Samba 软件套件造成了一定影响。另外,由于与 WannaCry 攻击类似,它被业内一些成员称为“ SambaCry ”。目前该漏洞被发现影响了几家主要供应商的设备,...
趋势科技电子邮件加密网关曝多项安全漏洞,可获得 root 权限执行任意代码
外媒 2 月 25 日消息,Core Security 发现趋势科技基于 Linux 的电子邮件加密网关的 Web 控制台中存在多个安全漏洞( CVE-2018-6219 ~ CVE-2018-6230),其中一些被评为严重等级的漏洞能够允许未经身份验证的远程攻击者以root权限执行任意命令。 在这些漏洞中,最严重的是 CVE-2018-6223,可能会被本地或远程攻击者利用来获得目标设备的 root 权限,以便于执行任意命令。目前来说,该漏洞与设备注册时缺少身份验证有关。
具体细节为:管理员在部署过程中需要通过注册端点配置运行电子邮件加密网关的虚拟设备,...