1 月 13 日
美国网络安全和基础设施安全局(CISA)发出警告,黑客利用微软SharePoint 中的提权漏洞和另一个关键级别漏洞,能远程执行任意命令。该漏洞编号为 CVE-2023-29357,攻击者可通过欺骗性 JWT 验证令牌规避身份验证,在未打补丁的服务器上获得管理权限。此外,攻击者还可结合 CVE-2023-24955 漏洞,在 SharePoint 服务器上注入命令,执行任意代码。去年,STAR 实验室研究员 Jang 在 Pwn2Own 竞赛中成功演示了这个漏洞链,并获得了 10 万美元奖励。近日,研究人员和技术分析报告已详细描述了开采过程,而概念验证漏洞也已有人在 GitHub 上发布。
话题追踪
2024-04-19
微软 Edge 浏览器 124 稳定版发布:修复 3 个特有漏洞2024-04-13
微软 SharePoint 被曝安全漏洞,被黑客利用可访问、下载日志文件2024-01-13
微软 SharePoint 被曝严重漏洞,黑客可远程执行任意命令2022-07-28
微软称奥地利一家公司销售间谍软件,已修复相关漏洞2021-09-09
微软发出警报:已有黑客利用 IE 零日漏洞发起攻击2021-03-07
微软邮件漏洞门,超 2 万个美国机构遭遇黑客攻击2020-08-06
黑客发现微软 Office 安全漏洞,可控制苹果 macOS查看更多