Aggregator

CVE-2024-1294 | Sunshine Photo Cart Plugin up to 3.0.24 on WordPress Invoice information disclosure (ID 3033429)(link is external)

Vuldb Updates
2 months 2 weeks ago
A vulnerability, which was classified as problematic, was found in Sunshine Photo Cart Plugin up to 3.0.24 on WordPress. This affects an unknown part of the component Invoice Handler. The manipulation leads to information disclosure. This vulnerability is uniquely identified as CVE-2024-1294. The attack can only be initiated within the local network. There is no exploit available.
vuldb.com

CVE-2024-1322 | Directorist Plugin up to 7.8.4 on WordPress Setting authorization(link is external)

Vuldb Updates
2 months 2 weeks ago
A vulnerability was found in Directorist Plugin up to 7.8.4 on WordPress and classified as problematic. This issue affects some unknown processing of the component Setting Handler. The manipulation leads to missing authorization. The identification of this vulnerability is CVE-2024-1322. The attack needs to be initiated within the local network. There is no exploit available.
vuldb.com

CVE-2024-1475 | Coming Soon Maintenance Mode Plugin up to 1.0.5 on WordPress information disclosure(link is external)

Vuldb Updates
2 months 2 weeks ago
A vulnerability classified as problematic was found in Coming Soon Maintenance Mode Plugin up to 1.0.5 on WordPress. This vulnerability affects unknown code. The manipulation leads to information disclosure. This vulnerability was named CVE-2024-1475. The attack needs to be done within the local network. There is no exploit available.
vuldb.com

CVE-2024-1445 | Page scroll to id Plugin up to 1.7.8 on WordPress Shortcode cross site scripting(link is external)

Vuldb Updates
2 months 2 weeks ago
A vulnerability was found in Page scroll to id Plugin up to 1.7.8 on WordPress. It has been declared as problematic. This vulnerability affects unknown code of the component Shortcode Handler. The manipulation leads to cross site scripting. This vulnerability was named CVE-2024-1445. The attack can be initiated remotely. There is no exploit available.
vuldb.com

CVE-2024-1758 | SuperFaktura WooCommerce Plugin up to 1.40.3 on WordPress server-side request forgery(link is external)

Vuldb Updates
2 months 2 weeks ago
A vulnerability was found in SuperFaktura WooCommerce Plugin up to 1.40.3 on WordPress. It has been rated as critical. Affected by this issue is some unknown functionality. The manipulation leads to server-side request forgery. This vulnerability is handled as CVE-2024-1758. The attack may be launched remotely. There is no exploit available.
vuldb.com

丈八测试验证平台:筑就城市轨道交通网络安全新防线(link is external)

嘶吼
2 months 2 weeks ago

每一次测试验证,都为了更安全的“出发”。

2024年3月,在上海经信委组织开展的“上海市2023年重点行业网络安全解决方案揭榜”活动中,丈八网安成功中榜城市轨道交通网络安全关键产品检验检测平台建设项目。目前,项目成果已成功应用于多个城市的多条地铁线路的重要生产系统中。通过多次测试验证,该平台对多个重要生产系统进行了全面的网络安全排查与升级,为城市轨道交通网络安全建设提供了可复制、可推广的技术验证模式。

效费双优:破解关键系统网络安全测试困局

此项目源于地铁线路的网络安全设备升级检测需求,为了确保“安全升级”,需利用真实的工具和漏洞库进行侵入式测试来验证系统安全性能,如在生产环境测试,则需要抢在地铁停运及次日起运前的几个小时内测试,风险极大。然而,要构建一个与生产环境完全一致的测试环境,不仅技术难度大,而且成本高昂。这也是当前城市基础设施数字化升级进程中的共性技术挑战。

为破解这一难题,丈八网安为项目提供了一种新的技术解决方案——基于其自主研发的丈八网络仿真引擎构建的测试验证平台,平台运用混合系统仿真+离散事件数字仿真双栈技术,同时支持和真实环境无差别的数据流量特性,及多种物理设备的接入,可低资源占用完整复现骨干网及电信核心网,甚至卫星网络、交通网络、政务内网、工业网络等典型网络架构。在此项目中,平台实现了快速、低成本地构建了一个既安全又可控的,能够模拟该线路真实生产环境的测试环境,实现了在不影响轨道交通系统正常运行的前提下,对系统进行全面的安全评估和验证,深入挖掘潜在的安全漏洞和风险点。

以测促改:持续验证提升关键系统防御性能

为了验证此地铁线路的网络安全防御体系对实际网络攻击的防御效果,测试人员在仿真测试环境中搭建了控制中心区域、车站区域,通过运行恶意文件的传输、入侵攻击的模拟、来检验系统的网络层入侵检测和恶意代码防范能力。

丈八网安的测试环境仿真引擎还提供了很多内置的用来搭建环境的虚拟机模板,比如各种操作系统、中间件、各种漏洞,通过拖拖拽拽就可以快速把环境搭建起来,同时支持测试环境的一键生成和还原,测试人员可以轻松搭建多样化的测试场景,并通过多次测试获取更为准确的测试结果。 

除了此类充分利用丈八网络仿真引擎的仿真能力快速搭建测试环境,供用户进行有针对性的通用测试外,丈八网安还提供标准符合性测试(支持国标/行标拆解为测试用例)、安全众测及特殊场景专项测试。未来,丈八网安将通过深度参与行业验证实践和技术创新,致力成为网络安全测试领军企业,护航各行业数字化转型与信息安全。

企业资讯

英伟达发布 Jetson AGX Orin 和 IGX Orin 安全更新,修复 UEFI 漏洞(link is external)

HackerNews
2 months 2 weeks ago
HackerNews 编译,转载请注明出处: 英伟达(NVIDIA)发布了一项安全更新,以解决影响其 Jetson AGX Orin 系列和 IGX Orin 设备的高严重性漏洞,该漏洞编号为 CVE-2024-0148,可能允许具有物理访问权限的攻击者执行恶意代码。 安全公告指出,该漏洞存在于 UEFI 固件的 RCM 启动模式中,可能允许具有物理访问权限的未授权攻击者加载不受信任的代码。如果被利用,这可能导致代码执行、权限提升、数据篡改、拒绝服务和信息泄露。 “英伟达 Jetson Linux 和 IGX OS 映像在 UEFI 固件 RCM 启动模式中存在漏洞,具有物理访问权限的未授权攻击者可以加载不受信任的代码,”英伟达在安全公告中表示。 该漏洞的 CVSS 基础评分为 7.6,被归类为高严重性威胁。 英伟达已为受影响的平台发布了补丁: CVE ID 受影响产品 平台/操作系统 受影响版本 更新版本 CVE-2024-0148 NVIDIA IGX Orin IGX OS 所有 IGX 1.1 之前的版本 IGX 1.1 CVE-2024-0148 Jetson AGX Orin 系列 Jetson Linux 所有 36.4.3 之前的版本 36.4.3 英伟达建议所有用户立即升级其软件,以降低被利用的风险。   消息来源:Security Online; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Managed ad