重大 Bazaar 漏洞 CVE-2024-40348：目录遍历漏洞威胁系统完整性

• 希腊土地登记机构在 400 起网络攻击中被入侵

希腊土地注册机构宣布，在上周针对其 IT 基础设施的 400 次网络攻击浪潮之后，该机构遭遇了一次范围有限的数据泄露事件。

来源: BleepingComputer

• 谷歌撤回在 Chrome 浏览器中封杀第三方 cookie 的决定

谷歌取消了在 Chrome 浏览器中封杀第三方 cookies 的计划，转而推出一种新的浏览器体验，允许用户限制如何使用这些 cookies。

来源: BleepingComputer

• 重大 Bazaar 漏洞 CVE-2024-40348：目录遍历漏洞威胁系统完整性

Bazaar v1.4.3 中出现了一个严重的安全漏洞（CVE-2024-40348），攻击者可通过 /api/swaggerui/static 组件在未经身份验证的情况下执行目录遍历，破坏系统的完整性和保密性。

来源: The Cyber Express

• Atlassian 修补 Bamboo、Confluence、Jira 高风险漏洞

澳洲软体公司 Atlassian 发布7月份安全公告，修补Bamboo、Confluence和Jira产品的安全漏洞，包含11项高风险漏洞。这些漏洞涵括阻断服务（DoS）、跨站脚本攻击（XSS）及伺服器请求伪造（SSRF）等漏洞。

来源: iThome

• 威胁者声称泄露了欧莱雅的数据，包括 5110名员工的数据

一个名为 "w888"的威胁行为者声称对涉及跨国化妆品和美容公司欧莱雅的数据泄露事件负责。根据该声明，一个第三方漏洞导致 5110 名欧莱雅员工的个人信息泄露。据报道，被泄露的数据包括姓名、职称、电子邮件以及员工所在的城市、州、国家和职业信息。

来源: Daily Dark Web

• 针对 VMWare ESXi 系统的 Play 勒索软件 Linux 新变种

网络安全研究人员发现了一种名为 Play（又名 Balloonfly 和 PlayCrypt）的勒索软件的 Linux 新变种，该变种专门针对 VMWare ESXi 环境。该组织可能正在扩大其在 Linux 平台上的攻击范围，从而扩大受害者群体，并使赎金谈判更加成功。

来源: The Hacker News

• 警方渗透并关闭 DigitalStress DDoS 雇用服务

在英国国家犯罪署（NCA）领导的一次联合执法行动中，DDoS 出租服务 DigitalStress 于 7 月 2 日被关闭。

来源: BleepingComputer

• Telegram 0day允许将恶意 Android APK 作为视频发送

一个名为 "EvilVideo"的安卓版 Telegram 0day漏洞允许攻击者发送伪装成视频文件的恶意安卓 APK 有效载荷。

来源: BleepingComputer

• 勒索软件攻击后洛杉矶高等法院关闭

美国最大的审判法院--洛杉矶县高等法院周一关闭了所有 36 个法院地点，以恢复受周五勒索软件攻击影响的系统。

来源: BleepingComputer

• 三名黑客因 DDoS 网络攻击在西班牙被捕

西班牙警方表示，三名亲俄黑客因涉嫌出于恐怖主义目的对西班牙和其他北约国家进行网络攻击而被捕。国民警卫队说，这些嫌疑人因涉嫌参与针对公共机构和战略部门的分布式拒绝服务（DDoS）网络攻击而被拘留。

来源: CIO News

• 使用伪造的 GET 命令利用 Splunk 重大漏洞

Splunk 发布了一个高严重性漏洞的安全公告，该漏洞为 CVE-2024-36991，该漏洞的严重程度为 7.5（高），受影响的 Splunk Enterprise 版本低于 9.2.2、9.1.5 和 9.0.10。与 Windows 上 Splunk Enterprise 中 "/modules/messaging/" 端点的路径遍历有关。

来源: Cyber Security News

• 微软发布 Windows 修复工具以移除 CrowdStrike 驱动程序

微软发布了一款定制的 WinPE 恢复工具，用于查找和删除有问题的 CrowdStrike 更新，该更新在上周五导致约 850 万台 Windows 设备崩溃。

来源: BleepingComputer

原文始发于微信公众号（赛欧思安全研究实验室）：重大 Bazaar 漏洞 CVE-2024-40348：目录遍历漏洞威胁系统完整性