Zimbra修复ZCS中已被利用的XSS漏洞CVE-2023-38750

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Zimbra修复ZCS中已被利用的XSS漏洞CVE-2023-38750

宣布时间 2023-08-01

1、Zimbra修复ZCS中已被利用的XSS漏洞CVE-2023-38750

据媒体7月27日报道，Zimbra宣布宁静更新，修复了针对Zimbra Collaboration Suite(ZCS)电子邮件服务器的攻击中被利用的漏洞。这是一个XSS漏洞（CVE-2023-38750），可能被用来窃取敏感信息或执行恶意代码。虽然Zimbra在首次披露该漏洞并敦促用户手动修复时，并未表明该漏洞已被利用，但Google TAG透露，该漏洞是在有针对性的攻击中被发现的。此外，CISA也宣布了通告，要求联邦机构在8月17日之前修复该漏洞。

https://www.bleepingcomputer.com/news/security/zimbra-patches-zero-day-vulnerability-exploited-in-xss-attacks/

2、Tempur Sealy遭到网络攻击导致公司运营暂时中断

据8月1日报道，床垫销售商Tempur Sealy遭到网络攻击，迫使部门系统暂时关闭。Tempur Sealy被认为是全球最大的床上用品供应商，上季度净销售额为12亿美元。该公司在本周一透露，于7月23日遭到了攻击，其接纳响应措施主动关闭了部门IT系统，这导致公司运营暂时中断。目前，该公司已开始将部门主要的系统重新上线并恢复运营。视察仍在进行中，以确定对业务和财政发生的影响，尚不清楚是否涉及客户或员工信息，以及攻击者的身份。

https://therecord.media/mattress-giant-tempur-sealy-cyberattack

3、查塔努加心脏研究所通报涉及17万人的数据泄露事件

7月29日报道称，查塔努加心脏研究所（Chattanooga Heart Institute，CHI）通报了涉及17万人的数据泄露事件。5月份，Karakurt团伙称攻击了该机构，并窃取了158GB的数据。攻击者没有提供证据，但体现泄露数据包罗医疗记录、检查结果、诊断、社会宁静号码、护照、和财政信息等，其时CHI并未回应此事件。7月28日，CHI透露有170450人受到数据泄露事件的影响。他们于4月17日检测到攻击迹象，确定系统在3月8日至16日期间曾被访问过。直到5月31日，CHI才得知患者的健康信息和担保人信息被泄露。

https://www.databreaches.net/the-chattanooga-heart-institute-to-notify-170450-about-march-data-security-incident/

4、美国SAIS数据库配置错误泄露572 GB学生和教师的信息

媒体7月28日报道称，研究人员发现了一个未受�；さ氖菘�，其中包罗与教育机构相关的682438条记录。视察发现，数据库属于南方独立学校协会(SAIS)，这是位于美国的一个自愿性地域认证协会。此次泄露的数据共572.8 GB，时间跨度从2012年到2023年，包罗学生和教师记录、健康信息、社会宁静号码、枪击案和封锁通知、学校地图和财政预算等。目前，该数据库已被�；て鹄�。

https://www.hackread.com/data-leak-student-faculty-accreditation-org/

5、Google宣布关于2022年度0day漏洞的回顾陈诉

7月27日，Google宣布了年度0day漏洞陈诉，提供了2022年以来的野外利用统计数据。2022年检测并披露了41个在野的0day，其中上半年20个，下半年21个，仅次于2021年的69个漏洞。在Android中，存在多种情况，用户在很长一段时间内无法获得补丁。因此对于攻击者来说，Nday的功效类似于0day。在2022年的41个0day中，有17个是之前陈诉的漏洞的变体，占比凌驾40%。

https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html

6、Kaspersky宣布2023年Q2 APT攻击态势的分析陈诉

7月27日，Kaspersky宣布了2023年Q2 APT攻击态势的分析陈诉。本季度的主要亮点之一是发现了恒久运营的Operation Triangulation活动，其中包罗新的iOS恶意软件平台。APT活动在地理漫衍上仍然很疏散，本季度，攻击者主要针对欧洲、拉丁美洲、中东和亚洲各地。此外，成熟的攻击者在不停增强其工具，如Lazarus开发了MATA框架、BlueNoroff使用了新的传输方式和编程语言、ScarCruft使用了新的熏染方式以及GoldenJackal新的恶意软件样本�；狗⑾至诵鹿セ髡進ysterious Elephant的活动。

https://securelist.com/apt-trends-report-q2-2023/110231/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究