• 微信曝远程任意代码执行漏洞,可被远程控制

    近日,360手机卫士阿尔法团队(AlphaTeam)独家发现微信远程任意代码执行漏洞,将其命名为badkernel。360手机卫士阿尔法团队发现,通过此漏洞攻击者可获取微信的完全控制权,危及用户朋友圈、好友信息、聊天记录甚至是微信钱包,可使上亿微信用户受到影响,危害巨大。目前,阿尔法团队的相关研究人员已经将此漏洞报告给腾讯应急响应中心并提供了修复建议。 利用badkernel漏...阅读全文
    作者:qxz_xp | 发布:2016年8月23日 | 分类:漏洞公布, 网络安全 | 1条评论
  • AirDrop漏洞 百万苹果设备可被默默安装恶意应用

    AirDrop文件传输功能上存在一个漏洞,恶意应用程序可以默默的安装在数百万的Apple设备上,并替换合法app。 AirDrop是苹果公司开发出来用于在设备间直接快速传输文件的技术,但是安全研究人员Mark Dowd却在iOS和OS X系统中发现了一个严重漏洞,攻击者可以利用该漏洞重写目标设备上的任意文件,即便用户没有选择接收该文件,还可以向设备推送安装恶意应用程序。 漏洞详情分析...阅读全文
    作者:qxz_xp | 发布:2015年9月18日 | 分类:漏洞公布, 网络安全 | 2条评论
  • WordPress默认主题存在DOM XSS漏洞 影响百万用户

    使用了Genericons包的WordPress插件或主题都可能受一个基于DOM的XSS漏洞影响,因为WordPress默认主题Twenty Fifteen及知名插件Jetpack都包含了存在漏洞的页面example.html,影响百万用户。 漏洞成因 任何使用了genericons包的WordPress插件或主题都会受到这个基于DOM的跨站脚本漏洞的影响,因为通常情况下genericons包中都含有一个example.html文件,而该文件中包含一个基...阅读全文
    作者:qxz_xp | 发布:2015年5月07日 | 分类:漏洞公布, 网络安全 | 1条评论
  • iOS 8漏洞导致wifi覆盖范围内任意iPhone iPad不断重启

    在周二旧金山的RSA安全会议上,研究人员展示了他们的最新研究成果——iOS 8中的0day漏洞“无iOS区”。顾名思义,能够让某个WiFi范围内的苹果iPhone、iPad、iPods设备不断重启,受害者中招后能做的只能是:跑远点。 霸气外露:“无iOS区” 移动安全公司Skycure的研究员Adi Sharabani和Yair Amit在周二旧金山的RSA安全会议上展示了他们的最新研究,名字也很霸气,叫做“无iOS区”。这...阅读全文
    作者:qxz_xp | 发布:2015年4月23日 | 分类:漏洞公布, 网络安全 | 暂无评论
  • Windows曝新漏洞 影响Win10在内的所有版本

    近日Cylance公司发布了一个Windows系统严重漏洞,攻击者通过漏洞可以盗取用户认证信息。该漏洞影响包括最新Windows 10预览版在内的所有Windows版本,以及Adobe、苹果、Box、Oracle、Symantec等30多家公司产品。 漏洞概况 该变种漏洞可追溯1997年,由Aaron Spangler发现的经典SMB漏洞衍生而来,这项被称作“Redirect to SMB”(重定向到SMB协议)的安全隐患将使得攻击者有机会劫...阅读全文
    作者:qxz_xp | 发布:2015年4月14日 | 分类:漏洞公布, 网络安全 | 暂无评论
  • WordPress缓存插件WP-Super-Cache曝高危安全漏洞

    流行WordPress缓存插件WP-Super-Cache近日曝出高危漏洞,攻击者可在页面中注入恶意代码,这使得数百万WordPress网站处于危险之中。 WP Super Cache是一个经典的老牌且好用的缓存插件,可以大大提高网站性能,所以一直都是WPer们几乎必装的东东之一。 漏洞详情 攻击者可以使用一个精心构造的查询语句向插件缓存文件列表页面中插入恶意脚本。为了能够保证正常显示内容,页面...阅读全文
    作者:qxz_xp | 发布:2015年4月09日 | 分类:漏洞公布, 网络安全 | 暂无评论
  • WordPress SEO插件曝高危SQL注入漏洞

    最新消息,全球最流行的CMS应用WordPress插件WordPress SEO by Yoast曝高危SQL注入漏洞,该插件使用频率相当高,用户高达可达千万。 漏洞简述 WordPress SEO by Yoast插件是WordPress平台下非常流行的SEO插件,看其在Yoast网站上高达1400万次的下载量就知道了。 该漏洞是WordPress漏洞扫描器“WPScan”开发者Ryan Dewhurst发现——1.7.3.3之前版本的WordPress SEO by Yoast都会...阅读全文
    作者:qxz_xp | 发布:2015年3月12日 | 分类:漏洞公布, 网络安全 | 暂无评论
  • 知名论坛系统vBulletin常用SEO插件VBSEO存在严重安全漏洞

    vBulletin团队近日向他们所有客户发出警告,其插件VBSEO出现了严重安全漏洞。VBSEO是一款应用于vBulletin且非常普及的第三方seo模块,糟糕的是VBSEO官方已经在去年停止更新此插件,也就是说没有人能为漏洞提供官方补丁。 Freebuf科普:vBulletin论坛系统 vBulletin是世界上用户非常广泛的PHP论坛系统,很多大型论坛都选择vBulletin搭建自己的社区。vBulletin高效,稳定,安...阅读全文
    作者:qxz_xp | 发布:2015年1月10日 | 分类:漏洞公布, 网络安全 | 暂无评论
  • 大米CMS注入漏洞

    漏洞作者: wilson 0x01漏洞点 thinkphp出漏洞了,大米cms是基于thinkphp。刚刚好有个地方也出现了队员漏洞~ 修改用户资料这个地方,直接将用户post的数据放到save()里面了,要是传递是数组就注入了 0x02漏洞证明: 阅读全文
    作者:qxz_xp | 发布:2015年1月06日 | 分类:漏洞公布, 网络安全 | 暂无评论
  • WordPress网站沦陷 恶意软件SoakSoak来了

    WordPress是一款使用PHP语言开发的博客平台,用户架设属于自己的博客,也可以把 WordPress当作一个内容管理系统(CMS)来使用。近几个月,WordPress安全漏洞事件频发,包括    免费主题暗藏后门,波及WordPress等知名CMS系统,WordPress 4.0以下版本存在跨站脚本漏洞。而现在,一款广泛传播的恶意软件已经感染了100,000多个WordPress网站,而且数字仍在增加。 Google将超过...阅读全文
    作者:qxz_xp | 发布:2014年12月17日 | 分类:漏洞公布, 网络安全 | 暂无评论
  • 免费开源相册Piwigo <= v2.6.0 SQL注入漏洞(0day)

    Piwigo是世界上最著名的免费开源相册系统之一,由PHP+MySQL架构。由于该框架搭建方便,受到国内外的开发者青睐,近日,Piwigo <= v2.6.0爆出重要0day漏洞。 漏洞成因,Piwigo相册系统的/piwigo/picture.php页面,没有完整的验证jQuery参数。攻击者成功利用该漏洞,可以获取数据库的全部信息,漏洞及其简单暴力。 漏洞影响范围,Piwigo <= v2.6.0。 漏洞POC 本站提供安...阅读全文
    作者:qxz_xp | 发布:2014年11月15日 | 分类:漏洞公布, 网络安全 | 暂无评论