•  Zyxel防火墙路径遍历漏洞警告
Alert on Path Traversal Vulnerability in Zyxel Firewalls

近日，多款Zyxel防火墙产品曝出路径遍历漏洞（CVE-2024-11667），该漏洞为高危级别，使未经许可的远程攻击者能够通过特殊构建的URL访问并操纵系统文件，可能导致敏感数据泄露和进一步的恶意活动。目前已有迹象表明，黑客正在积极尝试利用这个漏洞发动攻击。

•  深入剖析：CVE-2024-31317 漏洞与汽车网络安全威胁
GitHub - fuhei/CVE-2024-31317: CVE-2024-31317

本文深入剖析了CVE-2024-31317漏洞，揭示了如何利用Zygote过程中的命令注入弱点以提升权限。尤其对于基于Android系统的车载设备安全具有重要启示。

•  思科ASA软件WebVPN XSS漏洞CVE-2014-2120遭野外利用
Active Wild Exploitation of Cisco ASA WebVPN XSS Vulnerability (CVE-2014-2120)

思科证实其ASA软件中的CVE-2014-2120 XSS漏洞正在受到威胁行动者的活动利用。这一漏洞源自WebVPN登录页面上的不充分输入验证机制，使未经授权的远程攻击者能够执行跨站点脚本攻击，进而引发会话劫持和信息泄漏的风险。虽然早在2014年初就已被公开并评定为中等级别危险程度，但由于企业面临的众多安全难题，使得这个老旧漏洞至今仍成为攻击目标。

•  AISS专栏 | 模型越狱攻击手段与评估框架分析
Deep Dive into Model Jailbreaking: Attack Techniques, Assessment, and Prevention

本篇文章深入探讨了模型越狱这一前沿议题，详尽解析了各类越狱手法及其评估方法，特别是介绍了最新的研究成果和技术框架，如EasyJailBreak和JAILJUDGE，这对于理解和应对大型语言模型的安全隐患至关重要。

•  Java 反序列化之 XStream 反序列化
In-depth Analysis of the XStream Library and Its Potential Security Risks and Vulnerabilities

本文深入剖析了XStream库的工作原理及其潜在的安全风险，特别是详细解释了与DynamicProxyConverter相关的反序列化漏洞。作者不仅介绍了XStream的基本功能——Java对象与XML文档之间的互转，还进一步探讨了其实现细节及可能被黑客利用的场景。

•  IBM 安全验证访问设备曝出致命漏洞集
Critical Vulnerabilities Plague IBM's Security Verify Access Device

近日发现影响IBM Security Verify Access Appliance的一系列高危漏洞，涵盖从命令注入到权限提升等多个方面，最高威胁等级达到CVSS评分9.8。若被黑客利用，将使系统遭受远程代码执行的风险，甚至泄露敏感信息。

•  一种巧妙内核级可绕过EDR的入侵手段
A Deep Dive into BYOVD Attacks: Exploiting Vulnerable Drivers to Compromise Cybersecurity

这篇文章深入剖析了一种新型的网络安全威胁—BYOVD(自带漏洞驱动程序)攻击策略，揭示了攻击者如何利用合法但有漏洞的驱动程序渗透至操作系统核心层，实施高危操作。最突出的是详细分析了一个实际案例，展示攻击者如何巧妙地运用一连串带有漏洞的驱动程序，逐步突破系统的多层防线。

* 查看或搜索历史推送内容请访问：
https://sectoday.tencent.com/
* 新浪微博账号： 腾讯玄武实验室
https://weibo.com/xuanwulab
* 微信公众号： 腾讯玄武实验室