一位讲俄语的黑客以纯文本形式发布了来自an网中超过900台Pulse Secure虚拟专用网络企业服务器的用户名和密码以及IP地址。名为KELA的威胁情报公司从黑暗的网上购买了这份清单。该列表包含Pulse Secure的企业VPN服务器固件版本，所有本地用户及其密码哈希，SSH服务器密钥，以前的具有明文凭据的VPN登录，管理帐户详细信息和会话cookie。多个网络安全来源已经验证了在暗网上发布的泄漏列表的真实性。还发现该文件在一个黑暗的网络论坛上发布，该论坛主要由著名的勒索软件威胁者（例如NetWalker和REvil）填充。银行安全研究人员首先揭露了数据

•[Tools]FUDGE: Fuzz Driver Generation at Scale:https://research.google/pubs/pub48314/・FUDGE: Fuzz Driver Generation at Scale，大规模自动化生产用于 Fuzz 目标的测试驱动代码–Jett•Apache Struts research at scale, Part 3: Exploitation - Security Boulevard:http://feedproxy.google.com/~r/SecurityBloggersNetwork/~3/F7l7TvlFO5U/・Apache Struts版本大规模安全研究，第3部分：开发。–lanying37•CVE-2020-14644 分析与 gadget 的一些思考:https://paper.seebug.org/1281/・Weblogi

2020年8月3日，阿里云应急响应中心监测到Nexus Repository Manager 3.x 版本存在远程命令执行漏洞。漏洞描述Sonatype Nexus Repository是一个开源的仓库管理系统，在安装、配置、使用简单的基础上提供了更加丰富的功能。近日Sonatype官方发布安全公告披露了在Nexus Repository Manager 3.x 版本中存在远程命令执行漏洞（CVE-2020-15871），攻击者可在登录后利用该漏洞执行任意命令。漏洞利用需要登录，危害相对较小。阿里云应急响应中心提醒Nexus Repository Manager 3.x 用户尽快采取安全措施阻止漏洞攻击。影响版本Nexus Repository Man

•[Tools]Mistica - An Open Source Swiss Army Knife For Arbitrary Communication Over Application Protocols:https://ift.tt/39OCWhl・开源的协议封装工具Mistica–Schwarrzz•[Tools]BlackBerry releases new security tool for reverse-engineering PE files | ZDNet:https://www.zdnet.com/article/blackberry-releases-new-security-tool-for-reverse-engineering-pe-files/・BlackBerry发布了用于对PE文件进行逆向的新安全工具PEtree–Schwarrzz•Reverse Engineering Starling Bank (Part II): Jail

近日，阿里云应急响应中心监测到国外某安全研究团队披露关于CVE-2020-4450 WebSphere 远程代码执行漏洞相关分析详情。漏洞描述WebSphere Application Server 是一款由IBM 公司开发的高性能的 Java 应用服务器，可用于构建、运行、集成、保护和管理内部部署和/或外部部署的动态云和 Web 应用。2020年6月5日IBM官方发布安全补丁，修复了CVE-2020-4450 WebSphere Application Server 远程代码执行漏洞。2020年7月20日国外某安全团队披露相关漏洞分析，未经身份验证的远程攻击者可以通过IIOP协议，构造恶意请求从而在WebSphere实现远程代码执行

CVE-2020-6287SAP NetWeaver AS JAVA（LM配置向导）版本-7.30、7.31、7.34、7.50不执行身份验证检查，这允许未经事先身份验证的攻击者执行针对SAP Java系统执行关键操作的配置任务，包括以下功能：创建管理用户，从而损害系统的机密性，完整性和可用性，从而导致缺少身份验证检查。CVE-2020-14701Oracle Communications Applications的Oracle SD-WAN Aware产品中的漏洞（组件：用户界面）。受影响的受支持的版本是8.2。容易利用的漏洞使未经身份验证的攻击者可以通过HTTP访问网络，从而破坏Oracle SD-WAN Aware。尽管此漏洞位于Oracle SD-

供应商：AsusTek Computer Inc.（www.asus.com）产品：华硕RT-AC1900P路由器受影响的版本：3.0.0.4.385_10000-gd8ccd3c产品描述：支持AiMesh的双频千兆无线AC路由器。发现1：固件更新接受伪造的服务器证书。图片来源：Trustwave的Martin RakhmanovCVE：CVE-2020-15498路由器接受伪造的服务器证书以进行固件更新。作为一个结果，当设备连接到恶意软件时，MITM攻击就变得微不足道了网络。罪魁祸首是传递给wget工具的--no-check-certificate选项用于在路由器上下载固件更新文件。发现2：路由器管理Web界面中的固件发行说明对话框容易受到跨站

当允许DLL文件下载而不提示用户警告时，Microsoft Edge（基于Chromium）中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以将DLL文件拖放到用户的“下载”文件夹（或等效文件）上，并获得更高的特权。要利用此漏洞，用户必须浏览到一个旨在下载DLL文件的恶意网站，然后单击该页面进行操作。在电子邮件攻击情形中，攻击者可能发送电子邮件，以诱使用户访问恶意站点。该漏洞本身不允许运行任意代码。但是，此漏洞可以与一个或多个漏洞（例如，远程执行代码漏洞和另一种特权提升漏洞）结合使用，以在运行时利用提升的特权。该安全更新通过在

CVE-2020-7684 -这会影响软件包rollup-plugin-serve的所有版本。readFile操作中没有路径清理。CVE-2020-15803 - 3.0.32rc1之前的Zabbix，4.0.22rc1之前的4.x，4.4.10rc1之前的4.1.x至4.4.x和5.0.2rc1之前的5.x允许在URL窗口小部件中存储XSS。CVE-2020-15801 - 在Python 3.8.4中，将忽略python38._pth文件中指定的sys.path限制，从而允许从任意位置加载代码。可执行名称 ._ pth文件（例如python._pth文件）不受影响。

CVE-2020-5902在2020年7月1日由F5 Networks在K52145254中披露为Big-IP管理界面中的CVSS 10.0远程代码执行漏洞。该博客着眼于发现两种利用路径的根本原因。