Google Cloud、DevSite和Google Play中的一对漏洞可能会让攻击者实现跨站点脚本(XSS)攻击,从而进一步实现账户劫持。第一个漏洞是Google DevSite中反映的XSS漏洞。攻击者控制的链接可以在源http://cloud[.]google.com和http://developers[.]google.com上运行JavaScript,这意味着恶意行为者可以绕过同源策略读取和修改其内容。第二个漏洞是Google Play上基于DOM的XSS。当JavaScript从攻击者可控制的源(如URL)获取数据,并将其传递到支持动态代码执行的接收器(如eval()或innerHTML)时,通常会出现基于DOM的XSS漏洞。
美国网络安全和基础设施安全局(CISA)周五根据积极利用的证据,将最近披露的Atlassian安全漏洞添加到其已知漏洞目录中。该漏洞追踪为CVE-2022-26138,涉及在Confluence Server和数据中心实例中启用Questions For Confluence应用程序时使用硬编码凭据。成功利用该漏洞可能会导致敏感信息的泄露。网络安全公司Rapid7本周透露,尽管Atlassian软件公司上周在2.7.38和3.0.5版本中解决了这个漏洞,但此后它一直在被积极利用。
发表于 2022-7-30 19:46
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡