03

04

据智利国家计算机安全和事件响应小组（CSIRT）公告，8月25日星期四当天报告的勒索软件攻击中断了其政府服务系统和在线服务的运行。

该勒索软件攻击针对的是政府机构中的Microsoft和VMware ESXi服务器，停止了所有正在运行的虚拟机并加密了相关文件，附加上了“.crypt”文件扩展名。

据悉，攻击者完全控制了攻击目标的系统，并留下赎金相关消息。该消息用以通知受害者被劫持的数据量，并为其提供通信通道和特定ID以与攻击者联系。攻击者给出了三天的时间来进行通信，若受害者不配合，则会阻止其访问数据，并将这些数字资产出售给暗网上的第三方。这整个过程是非常典型的双重勒索攻击方式。

消息来源：

https://www.secrss.com/articles/46534

02

03

8月30日消息，俄罗斯流媒体巨头START 在上周日表示，其客户的个人信息在一次网络攻击中被泄露。
该公司没有透露具体有多少用户受到此次事件的影响，但根据俄罗斯Telegram频道“Information Leaks”的信息（该频道率先公布了此次事件，并附上一张据称为泄露信息的截图），泄露数据库总计72 GB大小，包含4400万客户的数据。

消息来源：https://www.t00ls.com/articles-67026.html

01

近日，国家信息安全漏洞库（CNNVD）收到关于GitLab安全漏洞（CNNVD-202208-3803、CVE-2022-2884）情况的报送。经身份验证的攻击者利用该漏洞可导入恶意制作的项目，进而导致在目标系统远程代码执行。GitLab（CE/EE）多版本受漏洞影响。目前，GitLab官方已发布新版本修复了漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。

消息来源：

https://www.secrss.com/articles/46538

02

近日，监测到Google Chrome官方紧急发布安全更新，修复了Google Chrome沙箱逃逸漏洞(CVE-2022-3075)，由于Mojo中不恰当的数据验证，Google Chrome存在沙箱逃逸漏洞。攻击者可通过多种方式诱导用户访问恶意的链接来利用此漏洞。这种漏洞通常需要配合其他远程代码执行漏洞使用，可突破浏览器沙箱限制在目标系统上执行任意代码。目前，官方已监测到在野利用，鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

消息来源：https://www.secrss.com/articles/46560

03

Atlassian Bitbucket Server & Data

Center命令注入漏洞（CVE-2022-36804）

Bitbucket 是Atlassian公司拥有的一个基于Git的源代码存储库托管服务。

8月24日，Atlassian发布安全公告，修复了Bitbucket Server和Bitbucket Data Center中的一个命令注入漏洞（CVE-2022-36804），该漏洞的CVSS评分为9.9。

Bitbucket Server和Bitbucket Data Center的多个API端点中存在命令注入漏洞，可在对公共或私有Bitbucket储存库具有读取权限的情况下，通过发送恶意的HTTP请求执行任意代码。

消息来源：https://www.venustech.com.cn/new_type/aqtg/20220829/24416.html

04

Library Management 

System SQL注入漏洞

Library Management System是King Albaracin个人开发者的一个带有二维码考勤和自动生成借书证的图书馆管理系统。Library Management System v1.0版本存在安全漏洞，该漏洞源于通过 /librarian/dele.php 中的 id 参数发现包含 SQL 注入漏洞。

消息来源：https://vip.riskivy.com/detail/1564918875001327616?keyword=JTdCJTIya2V5d29yZCUyMiUzQSUyMmN2ZSUyMiU3RA==&origin=intellList