CVE-2021-38297 - Go Web程序集漏洞分析

CVE-2021-38297 - Go Web程序集漏洞分析

JFrog安全研究团队持续监测开源软件(OSS)中报告的漏洞,以帮助我们的客户和更广泛的社区了解潜在的软件供应链安全威胁及其影响。在这样做的过程中,我们经常注意到值得强调的重要趋势和关键知识。下面分析在…中发现的漏洞。

Pwn2Own工业黑客竞赛(#2)

满足我们在OPC UA工业堆栈中远程执行代码的方式

JFrog安全团队最近参加了Pwn2Own迈阿密2022黑客比赛,该比赛专注于工业控制系统(ICS)安全。我们竞赛的研究目标之一是基于c++的统一自动化OPC UA服务器SDK。除了我们在pwn2own竞赛中披露的漏洞之外,我们还设法找到了……

在Pwn2Own迈阿密2022年工业控制系统崩溃

今年早些时候,JFrog安全研究团队参加了Pwn2Own迈阿密2022黑客竞赛,该竞赛专注于工业控制系统(ICS)安全。我们很自豪能够参加这次比赛,并与其他研究人员一起努力使关键任务的工业环境安全可靠。在Pwn2Own迈阿密比赛期间,我们参加了…

测试抵御恶意包攻击的弹性:一把双刃剑?

测试抵御恶意包攻击的弹性:一把双刃剑?

JFrog安全研究团队使用我们的自动化工具持续监控流行的开源软件(OSS)存储库,以避免潜在的软件供应链安全威胁,并向存储库维护者和更广泛的社区报告任何漏洞或恶意包。有时,我们会注意到一些值得分析和学习的趋势。最近,我们注意到……

Fastjson RCE漏洞响应

CVE-2022-25845 -分析Fastjson“Auto Type Bypass”RCE漏洞

几周前,Fastjson发布了一个新版本(1.2.83),其中修复了一个据称允许攻击者在远程机器上执行代码的安全漏洞。根据一些出版物,该漏洞允许攻击者绕过Fastjson中的“AutoTypeCheck”机制,实现远程代码执行。这个Fastjson…

Envoy代理中的拒绝服务漏洞- CVE-2022-29225

JFrog安全研究团队不断在流行的开源项目中寻找新的和以前未知的软件漏洞,以帮助改善他们的安全状况。作为这项工作的一部分,我们最近在Envoy Proxy中发现了一个拒绝服务(DoS)漏洞,这是一个广泛使用的开源边缘和服务代理服务器,专为云原生应用程序设计……

通过域接管劫持NPM包

通过域接管劫持Npm包:这种“新”攻击有多严重?

当依赖于来自非商业实体的第三方包时,总是存在缺乏支持的风险,特别是涉及到过时的包和版本时。如果包停止维护,就没有人会实现我们可能需要的新特性或修复新发现的安全漏洞。例如,考虑CVE-2019-17571。一个关键的…

防止下一个Log4j

如何防止下一个Log4j风格的零日漏洞

注意:这篇博文之前发表于Dark Reading软件测试是出了名的难。在谷歌中搜索由基本的CRLF(换行符)问题引起的cve,您将看到数千个条目。人类已经能够把人送上月球,但还没有找到一个适当的方法来处理行结束……

针对德国公司的npm供应链攻击

Npm供应链攻击针对德国公司的危险后门恶意软件

5月11日更新:在这篇博文发表之后,一家名为“Code White”的渗透测试公司对这次依赖混淆攻击负责。JFrog安全研究团队不断监控npm和PyPI生态系统,以防止恶意包可能导致广泛的软件供应链攻击。上个月,我们分享了一个广泛的npm…