官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
2021国家级攻防演练即将来袭!常言道,知己知彼,方能百战百胜。「攻防演练第一线」,4月8日起,周一至周五,为你送上最新情报与安全资讯,陪伴你过完整个演练时期。
情报速览
上海泛微网络科技股份有限公司E-offiice OA平台存在文件上传漏洞
漏洞编号:CNVD-2021-14521
E-offiice OA自助平台是面向中小型组织的专业协同OA软件,攻击者可利用该漏洞上传恶意文件进而获取网站服务器控制权限。
帆软V9存在getshell
帆软是帆软软件有限公司旗下的商业智能和数据分析品牌。4月8日,发现帆软V9存在任意文件覆盖后可上传 JSP 马,对已存在的 jsp 文件进行覆盖, 即可成功getshell。
Jellyfin任意文件读取漏洞
Jellyfin是一个免费的开源媒体服务器,Jellyfin在10.7.1之前的版本,攻击者可以构造恶意的访问请求读取服务器上的任意文件。目前poc已公开,3月22号官方已经修复并发布新版本,建议尽快更新
更多情报内容,欢迎关注情报星球(https://planet.vulbox.com)实时查看。现在上传新情报,还有10万大奖等你拿!
安全资讯
1、SAP系统安全补丁更新72小时内被活跃攻击
安全公司Onapsis 发出警告,在SAP系统安全补丁发布后的72小时内,攻击者将本地SAP系统作为攻击目标,被活跃攻击。
2. 研究人员发现Android恶意软件冒充Netflix劫持WhatsApp会话
安全研究人员在谷歌应用商店的一款应用中发现了一个新的Android恶意软件变种,该软件通过承诺免费订阅Netflix来吸引受害者。CPR表示,这种蠕虫类移动恶意软件是在Android应用的官方存储库Google Play商店中被发现的。
尾声
紧张、激动、彷徨、期盼已久的演练活动第一天即将结束,红蓝军演练的将士们也将迎来第一天夜班值守。无论你身在何处,在工作之余,请不要忘了照顾好自己,我们也在此向每一位“守夜人”致敬。最后一首《Only my railgun》送给大家,希望红蓝双方在本次演练中都能取得好成绩。