Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
赛博昆仑CERT
Get the latest updates from 赛博昆仑CERT directly as they happen.
Follow now 15 followers
Latest posts
Last updated 2 days ago
【补丁日速递】2025年8月微软补丁日安全风险通告
3 days ago
2025-08-13 10:24 广东 -赛博昆仑漏洞安全风险通告-2025年8月微软补丁日安全风险通告漏洞描述 近日,赛博昆仑CERT监测到微软发布了2025年8月安全更新,涉及以下应用:Windows,Azure,Microsoft Office,Microsoft Visual Studio,Microsoft 365 Apps,Teams Panels,Office Online...
【复现】契约锁文件写入致远程代码执行漏洞风险通告
about 1 month ago
2025-07-11 14:08 广东 -赛博昆仑漏洞安全风险通告-契约锁文件写入致远程代码执行漏洞风险通告漏洞描述 契约锁,是一个电子签章及印章管控平台,提供的电子文件具有与纸质文件一样的法律效力。平台上签署大体的流程是:由合同发起方上传需签署的合同文档,文档会进入“契约锁”的数据库,以加密形式存储;选择好所发对象后,会通过包含链接的短信、微信等方式进行提醒,签署方点击链接后可用手机完成签名操作,或者直接用“契约锁”App端完成该流程。 近日,赛博昆仑CERT监测契约锁存在任意文件写入漏洞。由于存在解析差异导致契约锁对zip检测的安全机制可以被绕过,未经过身份验证的攻击者可以利用该漏洞写入任意文件,并最终可以导致远程代码执行完全控制服务器。漏洞名称契约锁文件写入致远程代码执行漏洞漏洞公开编号暂无昆仑漏洞库编号CYKL-2025-017107漏洞类型文件写入公开时间2025年-7月漏洞等级高危评分暂无漏洞所需权限无权限要求漏洞利用难度低PoC状态未知EXP状态未知漏洞细节未知在野利用未知影响范围契约锁4.3.8-5.x.x 并且补丁版本 < 2.1.8契约锁4.0.x-4.3.7 并且补丁版本 < 1.3.8漏洞复现目前,赛博昆仑CERT已成功复现契约锁文件写入致远程代码执行漏洞防护措施缓解措施非必要,避免将该系统直接暴露在互联网修复建议...
【复现】泛微Ecology前台SQL注入漏洞风险通告
about 1 month ago
2025-07-09 10:01 广东 -赛博昆仑漏洞安全风险通告-泛微Ecology前台SQL注入漏洞风险通告漏洞描述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,形成了一系列的通用解决方案和行业解决方案。 赛博昆仑CERT监测到泛微E-cology9 存在SQL注入漏洞,未经过身份认证的攻击者可以利用该漏洞获取到数据库的敏感信息,可能造成信息泄露或权限提升,结合后台远程代码执行漏洞可以完全控制服务器。泛微已经发布新补丁v10.76修复了该前台sql注入漏洞。漏洞名称泛微Ecology前台sql注入漏洞漏洞公开编号暂无昆仑漏洞库编号CYKL-2025-017104漏洞类型SQL注入公开时间2025年7月漏洞等级高危评分暂无漏洞所需权限无权限要求漏洞利用难度低PoC状态未知EXP状态未知漏洞细节未知在野利用已知影响范围e-cology9 并且 补丁版本 < 10.76漏洞复现目前,赛博昆仑CERT已成功复现泛微Ecology前台sql注入执行漏洞,延时8秒。防护措施修复建议目前,官方已发布安全补丁,建议受影响的用户尽快联系厂商获取安全补丁。技术业务咨询赛博昆仑支持对用户提供轻量级的检测规则或热补方式,可提供定制化服务适配多种产品及规则,帮助用户进行漏洞检测和修复。赛博昆仑CERT已开启年订阅服务,付费客户(可申请试用)将获取更多技术详情,并支持适配客户的需求。联系邮箱:cert@cyberkl.com公众号:赛博昆仑CERT时间线 2025年7月,官方发布补丁v10.76修复漏洞...
【补丁日速递】2025年7月微软补丁日安全风险通告
about 1 month ago
2025-07-09 10:01 广东 -赛博昆仑漏洞安全风险通告-2025年7月微软补丁日安全风险通告漏洞描述近日,赛博昆仑CERT监测到微软发布了2025年7月安全更新,涉及以下应用:Windows,Azure,Microsoft Office,Microsoft Visual Studio,Microsoft Configuration Manager 2503,Office Online Server,Microsoft...
【复现】泛微E-cology9 前台SQL注入漏洞风险通告
about 2 months ago
2025-06-17 19:54 广东 -赛博昆仑漏洞安全风险通告-泛微E-cology9 前台SQL注入漏洞风险通告漏洞描述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,形成了一系列的通用解决方案和行业解决方案。。 赛博昆仑CERT监测到泛微E-cology9 发布新补丁,ecology9中存在前台sql注入漏洞,未经过身份认证的攻击者可通过该漏洞泄露敏感信息。漏洞名称泛微E-cology9 SQL注入漏洞漏洞公开编号暂无昆仑漏洞库编号CYKL-2025-041709漏洞类型SQL注入公开时间2025-6-16漏洞等级高危评分暂无漏洞所需权限无权限要求漏洞利用难度低PoC状态未知EXP状态未知漏洞细节未知在野利用未知影响范围e-cology9 并且 补丁版本 <...
【复现】契约锁远程代码执行漏洞风险通告
2 months ago
2025-06-12 09:01 广东 -赛博昆仑漏洞安全风险通告-契约锁远程代码执行漏洞风险通告漏洞描述 契约锁,是一个电子签章及印章管控平台,提供的电子文件具有与纸质文件一样的法律效力。平台上签署大体的流程是:由合同发起方上传需签署的合同文档,文档会进入“契约锁”的数据库,以加密形式存储;选择好所发对象后,会通过包含链接的短信、微信等方式进行提醒,签署方点击链接后可用手机完成签名操作,或者直接用“契约锁”App端完成该流程。 近日,赛博昆仑CERT监测契约锁存在远程代码执行漏洞。未经过身份认证的攻击者可以利用该漏洞在契约锁管理端上执行任意代码,从而完全控制服务器。漏洞名称契约锁远程代码执行漏洞漏洞公开编号暂无昆仑漏洞库编号CYKL-2025-035022漏洞类型代码执行公开时间2025-6-10漏洞等级高危评分暂无漏洞所需权限无权限要求漏洞利用难度低PoC状态未知EXP状态未知漏洞细节未知在野利用未知影响范围契约锁4.3.8-5.3.x 并且补丁版本 < 2.1.5契约锁4.0.x-4.3.7 并且补丁版本 < 1.3.5漏洞复现目前,赛博昆仑CERT已成功复现契约锁管理端远程代码执行漏洞防护措施缓解措施避免将该系统管理端HTTP服务直接暴露在互联网修复建议目前,官方已发布修复建议,建议受影响的用户尽快升级至安全版本。下载地址:...
【补丁日速递】2025年6月微软补丁日安全风险通告
2 months ago
2025-06-11 09:41 广东 -赛博昆仑漏洞安全风险通告-2025年6月微软补丁日安全风险通告漏洞描述近日,赛博昆仑CERT监测到微软发布了2025年6月安全更新,涉及以下应用:Windows,Azure,Microsoft Office,Microsoft Visual Studio,Microsoft AutoUpdate for Mac,Microsoft SharePoint,Microsoft 365...
【复现】Kafka Connect任意文件读取漏洞(CVE-2025-27817)风险通告
2 months ago
2025-06-10 20:05 广东 -赛博昆仑漏洞安全风险通告-Kafka Connect任意文件读取漏洞(CVE-2025-27817)风险通告漏洞描述 Kafka Connect 是一种用于在 Apache Kafka 和其他系统之间可扩展且可靠地流式传输数据的工具。 它使快速定义将大量数据移入和移出...
【补丁日速递】2025年5月微软补丁日安全风险通告
3 months ago
2025-05-14 10:24 广东 -赛博昆仑漏洞安全风险通告-2025年5月微软补丁日安全风险通告漏洞描述 近???,赛博昆仑CERT监测到微软发布了2025年5月安全更新,涉及以下应用:Windows,Azure,Microsoft Office,Microsoft Visual Studio,Microsoft Power Apps,Microsoft Edge,Build Tools...
【复现】金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告
4 months ago
2025-04-25 22:38 广东 -赛博昆仑漏洞安全风险通告-金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告漏洞描述 金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款企业级中间件,全面支持JakartaEE规范,提供Web、EJB、WebService容器,适配国产软硬件,用于支撑企业级应用运行。 赛博昆仑CERT监测到金蝶Apusic应用服务器IIOP远程代码执行漏洞的漏洞情报,Apusic V10.0应用服务器部分功能时使用了IIOP协议,未经过身份认证的攻击者可以通过构造恶意的反序列化数据在服务器上执行任意代码,从而进一步控制服务器。漏洞名称金蝶天燕应用服务器IIOP远程代码执行漏洞漏洞公开编号未知昆仑漏洞库编号CYKL-2025-014655漏洞类型代码执行公开时间2025-04-01漏洞等级高危评分9.8漏洞所需权限无漏洞利用难度低PoC状态未知EXP状态未知漏洞细节未知在野利用未知影响范围Apusic 应用服务器软件 V10.0 企业版...
【复现】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)风险通告
4 months ago
2025-04-16 14:18 广东 -赛博昆仑漏洞安全风险通告-Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)风险通告漏洞描述 Oracle E-Business Suite(简称 EBS),是Oracle 公司开发的一整套企业级应用程序,用于帮助组织管理各种业务流程。它是一个集成的企业资源计划(ERP)、客户关系管理(CRM)和供应链管理(SCM)系统。 近日,赛博昆仑CERT监测到Oracle...