作者 | 褚杏娟 当地时间 9 月 20 日，Wiz 安全研究人员称，甲骨文云基础设施 (OCI) 出现了一个云隔离漏洞，在修补之前，所有 OCI 客户都可能成为攻击者的目标。只要攻击者拥有其 Oracle Cloud Identifier (OCID)，就可以读写任何未附加的存储卷或允许多重附加的附加存储卷，从而导致敏感数据被窃取或通过可执行文件操作发起更具破坏性的攻击。 幸运的是，Wiz 的 Elad Gabay 表示，在向甲骨文披露漏洞后，这家 IT 巨头“在 24 小时内”修补了安全漏洞，而且修复

作者 | 褚杏娟 当地时间 9 月 20 日，Wiz 安全研究人员称，甲骨文云基础设施 (OCI) 出现了一个云隔离漏洞，在修补之前，所有 OCI 客户都可能成为攻击者的目标。只要攻击者拥有其 Oracle Cloud Identifier (OCID)，就可以读写任何未附加的存储卷或允许多重附加的附加存储卷，从而导致敏感数据被窃取或通过可执行文件操作发起更具破坏性的攻击。 幸运的是，Wiz 的 Elad Gabay 表示，在向甲骨文披露漏洞后，这家 IT 巨头“在 24 小时内”修补了安全漏洞，而且修复

Clair 是一款开源的容器漏洞扫描工具，专门用于识别容器镜像中的安全漏洞。在云计算和微服务架构中，容器化技术（如 Docker 和 Kubernetes）日益普及，容器安全成为重要议题。Clair 的出现就是为了应对这种需求，它可以帮助开发者和系统管理员发现和修复容器镜像中的安全漏洞。

1 4 个云 API 安全最佳实践 传统的API安全最佳实践已得到充分验证，但安全和工程团队应额外关注特定于云的API安全注意事项。 https://cloudsec.tencent.com/article/4GvcGa 2 云化趋势下的微隔离能力解析 微服务时代的到来让云计算数据中心网络变得更加复杂，云环境下利用防火墙做细粒度访问控制，从部署难度到部署成本上都极具挑战。这个时候，微隔离的可细粒度到容器级的轻量化架构，可以随需构建随需部署的访问控制能力就变得弥足珍贵。 https://cloudsec.te

泛微-云桥是一款基于云计算技术的企业级协作与办公平台，提供文档管理、流程审批、项目协作等功能，旨在提升企业内部沟通效率与工作协同能力。 /wxclient/app/recruit/resume/addResume 接口存在任意文件上传漏洞

RunC是一个基于OCI标准的轻量级容器运行时工具，用来创建和运行容器，该工具被广泛应用于虚拟化环境中，然而不断披露的逃逸漏洞给runC带来了严重的安全风险，如早期的CVE-2019-5736、CVE-2021-30465。就在今年的1月31日，网络安全供应商Synk又披露了runC 命令行工具和BuildKit 组件中的4个安全漏洞，攻击者可以利用这些漏洞逃离容器的边界并发起后续攻击。这些漏洞编号分别为 CVE-2024-21626、CVE-2024-23651、CVE-2024-23652 和 CVE-2024-23653，这些漏洞被 Snyk统称为Leaky Vessels[1][2]。

泛微-云桥是一款基于云计算技术的企业级协作与办公平台，提供文档管理、流程审批、项目协作等功能，旨在提升企业内部沟通效率与工作协同能力。 /wxclient/app/recruit/resume/addResume 接口存在任意文件上传漏洞

RunC是一个基于OCI标准的轻量级容器运行时工具，用来创建和运行容器，该工具被广泛应用于虚拟化环境中，然而不断披露的逃逸漏洞给runC带来了严重的安全风险，如早期的CVE-2019-5736、CVE-2021-30465。就在今年的1月31日，网络安全供应商Synk又披露了runC 命令行工具和BuildKit 组件中的4个安全漏洞，攻击者可以利用这些漏洞逃离容器的边界并发起后续攻击。这些漏洞编号分别为 CVE-2024-21626、CVE-2024-23651、CVE-2024-23652 和 CVE-2024-23653，这些漏洞被 Snyk统称为Leaky Vessels[1][2]。

根据Trellix高级研究中心的最新发现：CyberPower的数据中心基础设施管理(DCIM)平台存在4个漏洞，Dataprobe的iBoot电源分配单元(PDU)中存在5个漏洞。这些漏洞有可能削弱云服务的安全性。

金蝶云星空是一款云端企业资源管理（ERP）软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织，多利润中心的大中型企业，以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖：财务、供应链、智能制造、阿米巴管理、全渠道营销、电商、HR、企业互联网服务，帮助企业实现数字化营销新生态及管理重构等，提升企业数字化能力。

在当今环境中，运行时安全至关重要，它通过实时检查来实现安全，而不是将其视为一次性流程。

多个数据中心漏洞会影响企业常用的数据中心服务，攻击者也可以利用这些漏洞获得系统访问权限并实施远程代码执行。

visionOS 1.2 此次更新修复了近二十多个漏洞。其中绝大多数漏洞都存在于 visionOS 与其他苹果产品（如 iOS、macOS 和 tvOS）共享的组件中。这些漏洞可能导致任意代码执行、信息泄露、权限升级和拒绝服务（DoS）。

探测相关插件和Wordpress版本均未发现相关漏洞，尝试弱口令，以弱口令成功登入后台

在三月份，通过网络空间测绘发现了一个备案属于联通云数据有限公司的域名，该域名被挂上了违规页面。

随着企业越来越多地将应用程序迁移到云上，并采用云原生开发方法，云安全性变得至关重要。现代应用程序使用容器、微服务和无服务器架构构建，这些应用程序在云环境中运行，因此需要特定的安全策略和工具来保护其免受各种威胁。本文将深入探讨云原生安全性的重要性，并提供示例代码和详细分析，以帮助你更好地保护现代应用程序。

近日，绿盟科技星云实验室与北京豪密科技有限公司联合推出了一项云攻防技术培训课程。该课程旨在根据客户需求，为客户提供专题培训，帮助客户熟悉常见的云安全架构，并提供云攻防技术理解，同时结合模拟攻击实验提升攻防能力。该课程参与学员涵盖了特殊行业的单位、国企等十多家单位。课程共分为六个章节，分别就云计算基础、云上攻击路径、云上资产发现与信息收集、云服务层攻防、云原生安全攻防以及虚拟化安全攻防进行了详细介绍。

随着企业越来越多地将应用程序迁移到云上，并采用云原生开发方法，云安全性变得至关重要。现代应用程序使用容器、微服务和无服务器架构构建，这些应用程序在云环境中运行，因此需要特定的安全策略和工具来保护其免受各种威胁。本文将深入探讨云原生安全性的重要性，并提供示例代码和详细分析，以帮助你更好地保护现代应用程序。

云平台作为降低企业资源成本的工具，在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分，并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥，因此在漏洞挖掘过程中经常会遇到一类漏洞：云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限，对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。

题目描述检测口令安全性，那应该是存在弱口令，所以我们先找下管理员用户，然后进行爆破，我们这里可以发现首页的这个邮箱