CTF导航 CTF导航

每日安全动态推送(11-15)

渗透技巧 6个月前 admin
39 0 0
Tencent Security Xuanwu Lab Daily News

• GameOverlay Vulnerability Impacts 40% of Ubuntu Workloads | Wiz Blog:
https://www.wiz.io/blog/ubuntu-overlayfs-vulnerability

   ・ Ubuntu的OverlayFS模块发现了CVE-2023-2640和CVE-2023-32629两个漏洞,这是一种广泛使用的Linux文件系统,在容器的兴起中变得非常流行,因为它的特性可以基于预构建镜像部署动态文件系统。然而,OverlayFS作为一个有着多个逻辑漏洞历史的攻击面,使得新发现的漏洞尤其危险,因为过去的OverlayFS漏洞的利用工具可以直接使用。 – SecTodayBot


• GitHub – kljunowsky/CVE-2023-36845: Juniper Firewalls CVE-2023-36845 – RCE:
https://github.com/kljunowsky/CVE-2023-36845

   ・ CVE-2023-36845是一种影响Juniper SRX防火墙和EX交换机的PHP环境变量操纵漏洞,可用于远程、未经身份验证的代码执行。 – SecTodayBot


• Submitting URLs as QR Codes:
https://hatching.io/blog/qr-codes/

   ・ 最新的网络钓鱼攻击趋势显示,黑客们开始使用二维码作为诱饵,而不再依赖嵌入链接。为了方便分析这些URL,我们在Triage沙盒中新增了对二维码的支持,用户可以轻松提交并验证这些钓鱼尝试 – SecTodayBot


• Zephyr RTOS 3.x.0 Buffer Overflows ≈ Packet Storm:
https://packetstormsecurity.com/files/175657

   ・ Zephyr RTOS版本3.5.0及以下存在多个缓冲区溢出漏洞 – SecTodayBot


• Aqua-Nautilus/CVE-Half-Day-Watcher:
https://github.com/Aqua-Nautilus/CVE-Half-Day-Watcher

   ・ CVE Half-Day Watcher是一款安全工具,旨在突出公共领域中常见漏洞和曝光(CVE)的早期风险。它利用国家漏洞数据库(NVD)API,在官方补丁发布之前识别带有GitHub参考的最新发布的CVE。通过这样做,CVE Half-Day Watcher旨在强调攻击者“收集”此信息并开发利用的机会窗口。这个工具是一个概念验证,可以进一步构建和扩展 – SecTodayBot


• Hacking the Canon imageCLASS MF742Cdw/MF743Cdw (again):
https://haxx.in/posts/hacking-canon-imageclass/

   ・ 0day exploit for Canon imageCLASS MF742Cdw/MF743Cdw and potentially more affected CANON printers, with a stack-based overflow vulnerability triggered by supplying an overly long Identifier in SOAP XML requests over HTTP POST. – SecTodayBot


• Denial of Pleasure: Attacking Unusual BLE Targets with a Flipper Zero:
https://www.whid.ninja/blog/denial-of-pleasure-attacking-unusual-ble-targets-with-a-flipper-zero

   ・ 利用Flipper Zero攻击非常规BLE目标,本文将介绍如何使用广播方式攻击不同的iOS配对设备,并开发Flipper Zero应用程序来激活或完全禁止范围内成人玩具的使用 – SecTodayBot


• mtk-jpeg Driver Out-Of-Bounds Read / Write ≈ Packet Storm:
https://packetstormsecurity.com/files/175665

   ・ mtk-jpeg驱动缺少边界检查,导致越界读写可能引发内存损坏和权限提升风险。 – SecTodayBot


* 查看或搜索历史推送内容请访问:
https://sec.today

* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab


原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(11-15)

版权声明:admin 发表于 2023年11月15日 上午8:55。
转载请注明:每日安全动态推送(11-15) | CTF导航

相关文章

每日安全动态推送(10-20)
admin
41
From Error to Entry: Cracking the Code of Password-Spraying Tools
admin
19
公有云漏洞相关的资料整理
admin
750
CVE-2023-4863 利用 libwebp 漏洞分析
admin
126
Bitbucket Server and Data Center 命令注入漏洞(CVE-2022-43781)
admin
502
二篇:解构”安全运营业务“
admin
414

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

每日安全动态推送(4-28)
0
[代码审计] 某盗U/发卡系统 不知道是几day
0
Cookie-Monster – BOF To Steal Browser Cookies & Credentials
0
How Did I Easily Find Stored XSS at Apple And Earn $5000 ?
0
How I Discovered an RCE Vulnerability in Tesla, Securing a $10,000 Bounty
0
pgAdmin 8.3 Remote Code Execution
0
How I Prevented a Mass Data Breach – $15,000 bounty – @bxmbn
0
The Windows Registry Adventure #1: Introduction and research results
0
使用 VIM 进行代码审计
0
Progress Flowmon 任意命令执行漏洞 CVE-2024-2389
0