研究人员为最近披露的关键Magento CVE-2022-24086错误创建了一个PoC漏洞
最后更新 :2022.02.24
研究人员为CVE-2022-24086漏洞开发了影响adobeCommerce和Magento开源的漏洞漏洞。商业和洋光多开源产品。
攻击者可以使用漏洞利用来实现来自未经身份验证的用户的远程代码。
本周,Adobe推出了安全更新来解决关键CVE-2022-24086漏洞,影响商业和洋养常磁场开源产品,公司补充说,缺陷正在积极eXploited在野外。
“Adobe意识到CVE-20222-24086在野外被利用非常有限的攻击瞄准Adobe Commerce Meruces。”  Reads  Adobe发布的咨询。
问题是一个“不正当的输入验证”漏洞,可以通过威胁演员具有管理权限来利用,以实现对易受攻击系统的任意代码执行。
CVE-2022-24086已收到10分中的CVSS得分为10分,它被归类为预认证问题,这意味着它可以在没有凭据的情况下被剥削。
专家认为威胁演员可以创造他们的威胁CVE-2022-24086的自己版本用于在野外,特别是持久且资源良好的攻击者中进行攻击。
缺陷可以利用脆弱版本的Magento损害电子商店。
好消息是,研究人员不会公开释放EIR POC利用代码。
本周,美国网络安全和基础设施安全局(CISA)向其已知的漏洞漏洞目录添加了九个新漏洞,包括CVE-2022-24086缺陷。CISA订购所有联邦平民行政部门(FCEB)机构在2022年3月1日之前解决其。
Adobe还通过增加作为CVE-2022的新不正当的输入验证缺陷来更新了这一缺陷的安全咨询-24087(CVSS得分9.8)。CVE-2022-24087缺陷由研究人员&NBSP报告; EBODA  Blaklis。
Blaklis警告了与第一个补丁修补的管理员即使在应用新的更新之后,也不安全。
- END -
虽然Twitter暂停了匿名账户,但该集团被攻击了VGTRK俄罗斯电视和收音机
虽然Twitter暂停了一些匿名账户,但集体黑客全俄州电视和无线电广播公司(VGTRK)。 在周五,匿...
美国财政部制裁DarkWeb Marketplace Hydra Market
美国财政部批准了世界上最大和最长的暗网市场的湿度市场。 美国财政...
乌克兰警告旨在接管电报账户的袭击事件
乌克兰技术安全和情报服务警告威胁演员的目标,旨在获得用户报价账户的访问。 乌克兰的特...
DNS缺陷会影响数以百万计的物联网设备使用的库
UCLIBC库的域名系统(DNS)组件中的脆弱性影响数百万的物联网产品。 NOZOMI  NOZOMI&nb...
Synology和QNAP警告其某些产品中关键的Netatalk缺陷
Synology警告客户,其某些NAS设备受到多个关键NetAtalk漏洞的影响。 Synology警告客户,多...
威胁演员从数十名OpenSea用户偷走了价值至少1.7亿美元的NFTS
威胁演员从世界上最大的NFT交换机,OpenSea中偷走了高价值的NFTS。 世界上最大的NFT交易所...
FBI警告,美国公民损失了2021年的SIM互换攻击超过6800万美元
联邦调查局(FBI)警告SIM SWAP攻击的升级,导致数百万亏损。 联邦调查局(FBI)观察了旨在的SIM交...
由于宣布对俄罗斯匿名的网络战争泄露了5.8 TB的俄罗斯数据
Oprussia继续下半年,自宣布俄罗斯的网络战争匿名现已发表大约5.8 TB的俄罗斯数据。 在...
中国链接的摩珊龙滥用安全软件来局限于恶意软件
中国链接的APT集团被追踪为Moshen Dragon,正在利用Antivirus产品来针对亚洲的电信行业。 ...
中国威胁演员Scanab目标乌克兰,Cert-UA警告
乌克兰证书(CERT-UA)发布了一项竞选活动的细节,该活动与被追踪为Scarab的疑似汉语威胁演员...
专家发布了关键VMware CVE-2022-22972缺陷的POC利用代码
安全研究人员发布了针对关键身份验证的POC利用代码绕过漏洞CVE-2022-22972影响多个VMwar...
CISA将98个域添加到与Conti Ransomware Gang相关的联合警报
美国CISA已经更新了CONTI赎金软件的警报,并添加了犯罪团伙使用的98个域名。 美国网络安全...
Okta说375顾客受到黑客影响的客户,但Lapsus $ Gang说它是撒谎
Access Management Systems OKTA的提供者确认了数据泄露,并透露了其2.5%的客户受到影响。...
黑客主义者在胜利日攻击了俄罗斯电视节目,并展示了反战消息
黑客主义者昨天用亲乌克兰的消息污损了俄罗斯电视,并删除了Rutube视频流网站。 Hacktivi...
俄罗斯的愚蠢使用Zelensky的DeepFake视频告诉人们躺下武器
俄罗斯的欺骗仍在继续,这次它使用了Zelenskyy的DeepFake视频,邀请乌克兰人放下武器。 乌克...
俄罗斯互联网看门狗Roskomnadzor将禁止Instagram
俄罗斯互联网看门狗Roskomnadzor将在俄罗斯禁止Instagram,以防止与乌克兰入侵相关的信息...
Cisco在高速公路中修复了两个临界缺陷,远程呈现VCS解决方案
思科固定其高速公路系列和远程呈现视频通信服务器(VCS)统一通信产品中的临界缺陷。思科宣...
CISA和DOE警告攻击目标UPS设备
美国CISA和能源部发出关于减轻不间断电源(UPS)设备的攻击的指导。 美国网络安全和基础设施...
Zyxel解决了影响AP,AP控制器和防火墙的四个缺陷
Zyxel解决了影响其许多产品的多种漏洞,包括APS,AP控制器和防火墙。 Zyxel已发布安全更新...
乌克兰织造场所在大规模复杂攻击下
研究人员在该国的军事入侵开始以来,对乌克兰WordPress网站的袭击观察了飙升。 网络攻击是...
PWN2OWN Vancouver 2022:趋势Micro和ZDI授予$ 1,155,000
PWN2own Vancouver 2022黑客比赛结束了,Trend Micro和ZDI成功尝试了1,155,000美元,以成功...
朝鲜与APT37与Goldbackdoor的新闻工作者有关
与朝鲜联系的APT37小组针对新闻记者,这些记者专注于DPRK,并使用新的恶意软件。 朝鲜链接的...
UKS NHS Digital警告OKTA高级服务器访问客户端中的RCE
UKS NHS Digital Agence在Windows客户端中警告OKTA高级服务器访问身份验证管理平台的RC...
Microsoft补丁星期二2022年5月的更新修复了3个零周日,1个在主动攻击下
Microsoft补丁星期二2022年5月的安全更新,地址三个零日漏洞,其中之一是积极利用的。 Mic...
乌克兰正在使用ClearView Ai在冲突期间的面部识别
乌克兰国防部开始采用ClearView Ai的面部识别技术来揭示俄罗斯攻击者,打击错误信息并识别...
Mozilla在Firefox中解决了两次积极利用的零日缺陷
Mozilla固定了两个关键的Firefox积极开发的零日错误,释放了97.0.2,ESR 91.6.1,Firefox for...
PWN2OWN Vancouver 2022 D1:MS Teams exploits获得了$ 450,000
白帽子黑客在PWN2own Vancouver 2022的第一天总共赚了800,000美元,以450,000美元的价格以...
CISA将WatchGuard涉及其已知的漏洞漏洞目录
美国CISA将CVE-2022-23176缺陷添加到WatchGuard Firebox和XTM设备中,以其已知的漏洞漏洞...
新的Modet僵尸网络迅速增长,+ 130K独特的机器人遍布179个国家
退货后几个月,Modtet僵尸网络已经感染了超过130,000多个独特的机器人,遍布179个国家。 Mo...
Rainloop中的存储XSS漏洞允许窃取用户电子邮件
专家们在Rainloop Webmail客户端中披露了一个未被分割的漏洞,被追踪为CVE-2022-29360,可以...
专家发现了一个新的Android恶意软件,同时由俄罗斯联系Turla调查
研究人员发现了一款新的Android恶意软件,同时调查与俄罗斯联系的APT Turla相关的活动。网...
专制的电子邮件可能会崩溃Cisco ESA设备
思科警告了影响其电子邮件安全设备(ESA)产品的DOS问题,这些产品可以使用特制电子邮件利用。...
15云时代的网络安全措施
这是企业可以在云时代保护自己的最重要的网络安全措施?我们现在牢牢地在云数据和存储时代...
据称勒索沃斯省股东攻击在斯洛文尼亚流行电视台中断运营
上周,一个CyberAttack击中了流行电视,斯洛文尼亚最受欢迎的电视频道,扰乱了操作。 上周,一...
伊朗联系的UNC3313 APT采用了两家定制的后门,反对中东Gov实体
伊朗联系作为UNC3313的伊朗联系的威胁演员,使用两个定制的后门对未命名的中东政府实体观...
苹果自2022年初以来修复了第六天的零日
Apple发布了安全更新,以解决针对Mac和Apple Watch设备的攻击中积极利用的零日错误。 Ap...
专家解释了如何在俄罗斯广泛采用的建筑物控制器
一位研究人员发现了可以通过远程攻击者利用的临界缺陷来破解俄罗斯流行的建筑控制器。 ...
一个新的WhatsApp OTP骗局可以允许劫持用户帐户
专家警告说,新的WhatsApp OTP骗局可以使攻击者可以通过电话劫持用户的帐户。 最近Cloudse...
匿名黑客攻击俄罗斯Thozis Corp,但否认对罗斯卡韦斯的攻击
匿名集体黑客攻击了俄罗斯投资公司Thozis Corp,但对俄罗斯民用航空权威罗斯卡夫帝的攻击...
VMware在多个产品中解决了几种关键漏洞
VMware固定在多个产品中的关键漏洞,这些产品可以由远程攻击者利用以执行任意代码。 VMwa...
Google隐私沙箱承诺在线保护用户隐私
谷歌在Android上介绍了隐私沙箱,旨在导致移动用户的更多私人广告解决方案。 Google宣布...
PHP中的关键RCE缺陷到处都是WordPress插件影响数千个网站
wordpress插件php到处都受到三个关键问题的影响,可以利用受影响的系统上执行任意代码。 W...
Blackcat Gang声称瑞士沃体赎金软件攻击的责任
Blackcat赎金软件组(AKA alphv),对干扰其运营的速度攻击负责。 Blackcat  ransomware...
NVIDIA在最近的赎金软件攻击后披露了数据违规行为
花栗鼠巨头NVIDIA确认了最近披露的安全事件之后的数据违规,被盗专有信息被盗。 芯片制造...
工业间谍与古巴勒索软件运营之间的奇怪联系
最近推出的工业间谍数据勒索市场现已开始其勒索软件运营。 4月,Malware Hunterteam和Ble...
Caddywiper,一个新的数据刮水器击中乌克兰
专家们发现了一个被追踪为Caddywiper的新刮水器,这些刮水器被攻击瞄准乌克兰组织的攻击。...
联邦调查局:在各种网络犯罪论坛上获得的美国学术证书妥协
联邦调查局在网络犯罪论坛上出售的高等教育部门的组织警告组织,这些组织可以允许威胁参...
CISA为已知的漏洞漏洞目录增加了66个新缺陷
美国网络安全和基础设施安全机构(CISA)向其已知的漏洞漏洞目录增加了66个新缺陷。美国网络...
Cytroxs Predator间谍软件在3个广告系列中使用了零日的利用
Google威胁分析小组(TAG)发现了针对具有五个零日漏洞的Android用户的广告系列。 Google ...
伊朗广播公司的Irib由刮水器恶意软件击中
伊朗国家媒体公司伊朗伊朗伊斯兰广播(IRIB)是由2022年下旬的刮水器恶意软件击中。 调查袭...
新的Revil勒索软件操作样本背后的奥秘
Revil Ransomware帮派恢复了运营,专家发现了一个新的总体和新的攻击基础设施。   r...
多个Microsoft Office版本受主动利用的零日影响
Microsoft Office的零日缺陷,可以被攻击者利用以在Windows系统上实现任意代码执行。 网...
乌克兰:志愿者IT军队将从这个名单中击中数十名俄罗斯目标
乌克兰正在招募一支志愿者IT军队由白帽黑客组成,用于发动俄罗斯实体名单的攻击。 乌克兰...
Google Oauth客户库库允许部署恶意有效载荷
Google在其OAuth客户库库中解决了一个高度缺陷对于Java,被跟踪为CVE-2021-22573(CVS得分8...
Zingostealer克里姆斯在网络犯罪生态系统中免费发布
叫做ZingosteAler的新强大的攻击是通过称为&nbsp的威胁演员自由释放;哈斯克斯帮派。他们...
CISA编译了免费网络安全工具和服务列表
美国CISA创建了一个可帮助组织增加恢复力的自由网络安全工具和服务清单。美国网络安全和...
受CVE-2022-0778影响的PALO ALTO网络设备openssl错误
Palo Alto Networks解决了一个高度严重性的openssl无限循环漏洞,跟踪为  CVE-2022-0...
CISA在其已知的被剥削漏洞目录中添加了41个缺陷
美国关键基础设施安全局(CISA)为其已知的剥削漏洞目录增加了41个新漏洞。 网络安全性&...
ESET警告三个影响100多个联想笔记本模型的缺陷
联想在其统一的可扩展固件界面(UEFI)中发布了至少100个笔记本模型的漏洞。 联想已发布安全...
CISA添加了Chrome,Redis错误到已知的漏洞漏洞目录
美国网络安全和基础设施安全机构(CISA)向其已知的漏洞漏洞目录增加了Chrome和Redis缺陷。 ...
MicrosoftSutoPatch功能可提高修补程序管理过程
Microsoft宣布了一个名为  autopatch&nbsp的功能;这将允许组织以Windows Enterprise ...
网络攻击严重影响Expeditors International的运营
美国全球物流和货运代理公司Expeditors International在网络攻击后关闭了全球运营123] E...
确保易于约会和收入CVE-2022-0482
易于约会包含一个非常危险的破坏访问控制漏洞,被追踪为CVE-2022-0482,它暴露PII。 另一天,...
SuperCare Health披露了影响+ 300k人的数据泄露
SuperCare Health是美国领先的美国领先的呼吸护理提供者,披露了影响超过300,000人的数据...
Ragnar Locker Ransomware集团在10个关键基础设施领域突破了至少52个组织
美国FBI警告说,Ragnar Locker Ransomware Gang已经违反了来自多个美国关键基础设施部门的...
灰尘模块使用类似蠕虫的技术扩展机器人
DirtyMoe Botnet继续发展,现在包括一种模块,该模块实现了难以变性的传播能力。 在6月2021...
匿名泄露的数据从俄罗斯管道公司Transneft窃取
匿名黑客欧米茄公司,内部R& D型横切小说,俄罗斯石油管道巨头,并泄露的被盗数据。 匿名集...
威胁演员积极利用最近修复了Sophos防火墙错误
网络安全公司Sophos警告说,最近讨论的  CVE-2022-1040在Sophos Firewall&NBSP中的缺陷...
VMware发布了更新以修复多个产品中的Spring4Shell漏洞
VMware发布了安全更新,以解决称为Spring4Shell的关键远程代码执行漏洞。 VMware已发布...
FritzFrog P2P Botnet返回并定位医疗保健,教育和政府部门
FritzFrog P2P Botnet将返回,是属于医疗保健,教育和政府部门的实体的服务器。 FritzFrog...
乌克兰国民因出售进入黑客服务器而被判处4年徒刑
一名28岁的乌克兰国民因出售进入被黑客服务的服务器而被判处四年徒刑。 Glib Oleksandr...
B1TXOR20 Linux僵尸网络使用DNS隧道和Log4J Exploit
研究人员揭示了一个新的Linux僵尸网络,被跟踪为B1TXOR20,它利用log4j漏洞和DNS隧道。来自Q...
独家:欢迎“ Frappo” - 重新确定性确定了新的网络钓鱼服务
重新安全猎人单元确定了一种名为Frappo的新地下服务,可在Dark Web上获得。 “ Frappo”充...
dcrat,只有5美元用于远程访问特洛伊木马
研究人员警告说,可以在俄罗斯网络犯罪论坛上出售的远程访问特洛伊木马(又名DarkCrystal Ra...
微软通过法院命令扰乱了乌克兰的APT28攻击
微软获得了法院命令,接管俄罗斯关联的APT28集团使用的七个域名来定位乌克兰。由俄罗斯链...
BlackCat勒索软件帮派违反了全球60多个组织
Blackcat Ransomware违反了全球至少60个实体,警告说,美国联邦调查局发表的一份Flash报告...
欧盟谴责针对乌克兰的俄罗斯网络行动
欧盟谴责俄罗斯针对卫星KA-SAT网络的乌克兰进行的网络攻击。 欧盟指责俄罗斯涉嫌袭击乌...
软件包分析动态分析在开源存储库中包装包
开源安全基金会(OPENSSF)正在研究一种工具,以对上传到流行的开源存储库的软件包进行动态分...
善意勒索勒索软件受害者必须进行社会驱动的活动才能解密他们的数据
研究人员发现了一个新的勒索软件家族,称为“善意”,要求受害者捐赠赎金以捐赠赎金。 Clo...
英国警方为两个青少年为他们所谓的据称,在距离$勒索集团
伦敦市警方收取了七名七名青少年中的两名,他被捕,因为他们所谓的据称在LAPSUS $数据敲诈勒...
Coinbase阻止了与俄罗斯个人和实体相关的25,000个加密地址
COINBASE宣布,它阻止了与俄罗斯个人和实体相关的超过25,000个区块链路的访问。实体。斗士...
安全事务时事通讯Pierluigi Paganini的第362轮
每周一次的安全事务新闻通讯收到了新的一轮!每周在电子邮件框中免费提供安全事务的最佳安...
Ukrtelecom,乌克兰的主要移动服务和互联网提供商,挫败了一个“大规模的”网络角质,击中了其基础设施
UKRTECOM,乌克兰的主要移动服务和互联网提供商,挫败了一个“大规模的”网络攻击,击中其基...
美国和英国链接新的独轮眨眼恶意软件到俄罗斯国家黑客
英国和美国网络安全各机构联系着周瓣眨眼恶意软件到俄罗斯乡村普通 美国和英国网络安全...
匿名黑客Roskomnadzor机构揭示俄罗斯缺点
匿名集体继续发动针对俄罗斯实体的攻击,这是近期进攻的摘要。 匿名宣布已经发牢骚了解俄...
可以通过发送消息来链接Zoom错误在聊天中破解用户
可以利用缩放中的安全缺陷来通过发送专门精心设计的消息来妥协另一个用户。 流行的视频...
4月10日 - 4月16日乌克兰 - 俄罗斯沉默的网络冲突
这篇文章提供了与俄罗斯侵入乌克兰的事件与网络安全视角相关的事件的时间表。以下是与前...
匿名正在研究一个巨大的数据转储,这将使俄罗斯吹走
匿名集体黑客攻击了俄罗斯建筑公司罗斯普特克特,并宣布泄漏将会吹走俄罗斯。 匿名继续攻...
临界缺陷会影响Veeam数据备份软件
veeam解决了两个关键漏洞,影响备份和amp;虚拟环境的复制产品。 veeam已发布安全补丁以修...
专家发现了野马熊猫进行的新攻击浪潮
中国链接的野马熊猫公寓集团针对亚洲,欧洲联盟,俄罗斯和美国的实体进行新的攻击浪潮。 2...
CISA和FBI对潜在数据擦拭攻击溢出
美国CISA和FBI警告我们的组织,针对乌克兰实体的数据擦除攻击可能会溢出全球目标。一个联...
框披露涉及现金应用程序可能影响820万美国客户的数据违规行为
否则披露了与现金应用投资应用有关的数据违规,并通知了820万当前和前美国客户。 数据违约...
Facebook阻止了俄罗斯和白俄罗斯威胁行动者对乌克兰的活动
Facebook / Meta表示,俄罗斯联系的威胁演员正在试图使用仇恨言语,欺凌和假新闻来利用社...
CERT-UA警告MALSPAM攻击分发小丑信息窃取器
乌克兰计算机应急响应团队(CERT-UA)警告攻击传播信息偷窃恶意软件小丑窃贼。 乌克兰计算...
朝鲜与朝鲜的拉撒路APT使用log4j来针对VMware服务器
与朝鲜与朝鲜的Lazarus APT正在针对VMware Horizon服务器的攻击中利用Log4J远程代码执行...
关键的洋泊零缺陷CVE-2022-24086积极开发
Adobe解决了一个严重的漏洞(CVE-2022-24086 )影响野生的Magento开源产品,这些产品正在野外...
俄罗斯在与乌克兰冲突中,在这个国家限制了Twitter
全球互联网监视器的NetBlocks报告说,在与乌克兰冲突中,Twitter已受到限制。 乌克兰。多个...
谷歌修复了铬零点缺陷积极剥夺攻击
谷歌修复了高度严重性的零天缺陷积极利用Windows,Mac和Linux的Chrome紧急更新的发布。谷...
亲乌克兰攻击者妥协的码头图像在俄罗斯网站上发动DDOS攻击
Pro-Ikraine Hackers正在使用Docker Images启动分布式拒绝服务(DDOS); NBSP攻击了针对俄罗...
专家认为,俄罗斯Gamaredon APT可以推动新一轮的DDOS攻击
360 Qihoo报道了由APT-C-53(又名Gamaredon)发起的DDOS攻击,该攻击是通过开源DDOS Trojan P...
- 数据加载中,请稍后...