每日安全资讯-2020.4.20

声明:本文所有内容仅用于学习和研究目的,且不能违反《网络安全法》、《刑法》等相关要求,尤其禁止传播,或用于非善良目的。您查看本文,即视为遵守以上约定,否则责任自负。

今日导读:通过路径遍历的Cisco AnyConnect提权、Cisco IP电话Web界面拒绝服务漏洞、Android 中的特殊攻击面、记一次从源代码泄漏到后台获取webshell的过程等。

【漏洞分析区】
1、Cisco AnyConnect Privilege Elevation through Path Traversal

2、Cisco IP Phone Denial of Service via Web Interface(CVE-2020-3161)

3、Pwning vCenter with CVE-2020-3952

4、Critical CSRF to RCE bug chain in Prestashop v1.7.6.4 and below
https://stazot.com/prestashop-csrf-to-rce-article/

5、CVE-2020-8835: Linux Kernel Privilege Escalation via Improper eBPF Program Verification

6、CVE-2019-1381 and CVE-2020-0859 – How Misleading Documentation Led to a Broken Patch for a Windows Arbitrary File Disclosure Vulnerability

7、Xiaomi Mi9 (Pwn2Own 2019)
https://labs.f-secure.com/advisories/xiaomi-mi9/

8、天府杯2019:Adobe Reader漏洞利用
https://www.anquanke.com/post/id/202990

【技术分享区】
9、Uniswap和lendf.Me遭攻击始末:愿DeFi世界里没有ERC777

10、Android 中的特殊攻击面(一)——邪恶的对话框
https://paper.seebug.org/1174/

11、Android 中的特殊攻击面(二)——危险的deeplink
https://paper.seebug.org/1175/

12、记一次从源代码泄漏到后台获取webshell的过程
https://xz.aliyun.com/t/7529

13、JSON Web Token Validation Bypass in Auth0 Authentication API
https://insomniasec.com/blog/auth0-jwt-validation-bypass

14、The Zaheck of Android Deep Links!

15、Build your first LLVM Obfuscator

16、SecWiki周刊(2020/04/13-2020/04/19)
https://www.sec-wiki.com/weekly/320

#工具#WebRTC use-after-free vulnerability PoC(CVE-2019-13694)

2 1