每日情报及安全资讯20240202

情报星球官方 官方

2024-02-02 09:59:02 热度8.9k+

1.漏洞情报

相关组件、系统情报名称漏洞威胁详情链接
Apache ServiceComb Service-Center SSRFApache ServiceComb Service-Center SSRF漏洞(CVE-2023-44313)高危https://vip.tophant.com/detail/1752702515675271168
Apache ServiceComb Service-Center Apache ServiceComb Service-Center 信息泄露漏洞 (CVE-2023-44312)高危https://vip.tophant.com/detail/1752702089819197440
runc runc 文件描述符泄露漏洞(CVE-2024-21626)高危https://vip.tophant.com/detail/1752944195607334912


2.情报星球精选

热度TOP3情报名称类型详情链接
1新的 Linux glibc 漏洞允许攻击者在主要发行版上获得 root 权限国内外安全相关事件https://planet.vulbox.com/detail/MTY3NDY=
2通过 Microsoft Teams 群组聊天进行的钓鱼行为推送 DarkGate 恶意软件国内外安全相关事件https://planet.vulbox.com/detail/MTY3NDc=
32024 02 02 攻击IP攻击IPhttps://planet.vulbox.com/detail/MTY3NDg=

3.近日漏洞复现详情

近日漏洞复现详情

Apache ServiceComb Service-Center SSRF漏洞(CVE-2023-44313)


漏洞信息

Apache ServiceComb Service-Center是Apache基金会的 一个基于 Restful 的服务注册中心,提供微服务发现和微服务管理。 在 ServiceComb Service-Center 中的 frontend 组件的契约测试功能存在SSRF漏洞,由于没有验证请求的 X-InstanceIP 请求头,未授权攻击者可以向 /testSchema/ 路由发送恶意的请求进行内网探测。


漏洞危害

未授权攻击者可以向 /testSchema/ 路由发送恶意的请求进行内网探测。


漏洞复现及简易分析

斗象漏洞情报中心已复现此漏洞,详见下方截图。
在 ServiceComb Service-Center 中的 frontend 组件的契约测试功能存在SSRF漏洞,由于没有验证请求的 X-InstanceIP 请求头,未授权攻击者可以向 /testSchema/ 路由发送恶意的请求进行内网探测。

漏洞详情

漏洞分析和详细信息请参考斗象漏洞情报中心: https://vip.tophant.com/detail/1752702515675271168


4.安全资讯

1. Phobos 勒索软件家族新增 FAUST 变种扩展
https://www.infosecurity-magazine.com/news/phobos-ransomware-new-faust-variant/
2. 人为错误导致梅赛德斯GitHub存储库意外暴露
http://www.anquan419.com/knews/24/6601.html
3. 意大利监管机构再次发现OpenAI存在隐私问题
https://www.inforisktoday.com/italian-regulator-again-finds-privacy-problems-in-openai-a-24209
4. 英国国家网络安全中心评估人工智能对网络威胁的近期影响
https://www.secrss.com/articles/63340
5. 伊朗的“网络中心”规避制裁出售网络行动服务
https://www.darkreading.com/vulnerabilities-threats/iran-cyber-centers-dodge-sanctions-sell-cyber-operations

漏洞情报订阅申请:https://www.vulbox.com/apply/take

商务咨询:400-156-9866

上班摸鱼才是你赚的,leletuo,sky22CC,emily猫猫 等8个用户觉得很赞
全部评论(0)
情报星球官方

446

18

扫码关注情报星球

手机看情报,把安全装进口袋