Tencent Security Xuanwu Lab Daily News
• GHSL-2023-074: Server-Side Request Forgery (SSRF) in miniorange-saml-sp-plugin – CVE-2023-32991, CVE-2023-32992:
https://securitylab.github.com/advisories/GHSL-2023-074_SAML_Single_Sign_On__SSO__Jenkins_plugin/
・ miniorange-saml-sp-plugin 中发现服务器端请求伪造 (SSRF) 漏洞。该漏洞无需身份验证即可被利用。攻击者可以利用此漏洞向任意主机发送请求
– SecTodayBot
• 针对信用卡的PIN码绕过攻击 – FreeBuf网络安全行业门户:
https://www.freebuf.com/vuls/372668.html
・ 如何利用缺失的完整性保护来绕过万事达卡交易的 PIN 验证。为了进行概念验证,研究人员构建了一个 PoC Android 程序,该程序可以修改不受保护的银行卡源数据,包括与持卡人验证相关的数据。
– SecTodayBot
• TETRA:BURST | Midnight Blue:
https://tetraburst.com/
・ TETRA:BURST 是五个漏洞的集合,其中两个被认为是严重漏洞,影响执法、军事、关键基础设施和工业资产所有者使用的地面集群无线电 (TETRA) 标准
– SecTodayBot
• Meet the Finalists for the 2023 Pwnie Awards:
https://www.darkreading.com/edge/meet-the-finalists-for-the-2023-pwnie-awards
・ 2023 Pwnie 获奖名单
– SecTodayBot
• Microsoft Office 365 Version 18.2305.1222.0 – Elevation of Privilege + RCE.:
http://dlvr.it/SsTLTl
・ Microsoft Office 365 版本 18.2305.1222.0 权限提升 + 远程代码执行漏洞 (CVE-2023-33148)
– SecTodayBot
• Cisco SPA112 Forever-Day: CVE-2023-20126.:
https://www.fullspectrum.dev/cisco-spa112-forever-day-cve-2023-20126/
・ Cisco SL112 2 端口电话适配器基于 Web 的管理界面中的远程执行代码漏洞
– SecTodayBot
• DDoS threat report for 2023 Q2:
https://blog.cloudflare.com/ddos-threat-report-2023-q2/
・ Cloudflare 2023 年第 2 季度 DDoS 威胁报告
– SecTodayBot
• Visualizing Android Code Coverage Pt.2:
https://datalocaltmp.github.io/visualizing-android-code-coverage-pt-2.html
・ 可视化 Android 代码覆盖率
– SecTodayBot
• CVE-2023-20593: A use-after-free in AMD Zen2 Processors:
https://seclists.org/oss-sec/2023/q3/59
・ CVE-2023-2093:AMD Zen2 处理器中的释放后使用
– SecTodayBot
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab
原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(7-25)