作者: cve-20

【成功复现】Vite任意文件读取漏洞(CVE-2025-30208)

发布于 作者:

【成功复现】Vite任意文件读取漏洞(CVE-2025-30208) 原创 弥天安全实验室 弥天安全实验室 2025-03-28 20:58 网安引领时代,弥天点亮未来   0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Vite是Vite开源的一种新型的前端构建工具。Vite存在访问控制错误漏洞,该漏洞源于URL中的?raw??或?imp

继续阅读

一个漏洞POC知识库 目前数量 1000+

发布于 作者:

一个漏洞POC知识库 目前数量 1000+ 海底天上月 海底天上月 2025-03-28 20:38 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底生残月及文章作者不为此承担任何责任。 0x01 漏洞描述 – CMS漏洞 74cms v4.2.1 v4.2.129 后台getshell漏洞

继续阅读

Mozilla紧急修复Firefox高危漏洞 与Chrome零日漏洞原理相似

发布于 作者:

Mozilla紧急修复Firefox高危漏洞 与Chrome零日漏洞原理相似 FreeBuf 2025-03-28 19:57 在谷歌修复Chrome浏览器中一个已被积极利用的零日漏洞数日后,Mozilla也发布了针对Windows版Firefox浏览器高危安全漏洞的更新补丁。 漏洞详情与修复版本 该安全漏洞编号为CVE-2025-2857,被描述为”错误句柄导致沙箱逃逸”

继续阅读

逆变器僵尸网络?全球三大光伏逆变器产品曝出数十个严重漏洞

发布于 作者:

逆变器僵尸网络?全球三大光伏逆变器产品曝出数十个严重漏洞 网络安全与人工智能研究中心 2025-03-28 19:30 近日,网络安全公司Forescout旗下研究机构Vedere Labs发布了一份重磅报告,披露了全球三大领先太阳能逆变器制造商——尚德(Sungrow)、固德威(Growatt)和SMA的产品中存在多达46个安全漏洞。 这些漏洞可能被攻击者利用,远程控制设备或在厂商的云平台上执行

继续阅读

【安全圈】针对近期 Chrome 零日漏洞的利用,Mozilla 向 Windows 用户发布紧急补丁

发布于 作者:

【安全圈】针对近期 Chrome 零日漏洞的利用,Mozilla 向 Windows 用户发布紧急补丁 安全圈 2025-03-28 19:01 关键词 零日漏洞 Mozilla 针对 Windows 系统上的 Firefox 浏览器发布了紧急安全更新,以解决一个严重漏洞,该漏洞可能允许攻击者逃离浏览器沙盒并可能控制受影响的系统。  此前不久,谷歌刚刚修复了Chrome 中一个类似的零日漏洞,该漏

继续阅读

【漏洞预警】Splunk远程代码执行漏洞(CVE-2025-20229)

发布于 作者:

【漏洞预警】Splunk远程代码执行漏洞(CVE-2025-20229) cexlife 飓风网络安全 2025-03-28 18:55 漏洞描述: Splunk Enterprise是一款强大的数据分析平台,专注于机器数据的收集、监控和分析,广泛应用于日志管理、安全信息事件管理(SIEM)和IT运维,能够帮助组织实时获取操作数据、检测异常、分析趋势,并提供可视化报表和警报功能。Splunk Cl

继续阅读

【漏洞预警】Microsoft Windows文件资源管理器欺骗漏洞(CVE-2025-24071)

发布于 作者:

【漏洞预警】Microsoft Windows文件资源管理器欺骗漏洞(CVE-2025-24071) cexlife 飓风网络安全 2025-03-28 18:55 漏洞描述: Windows文件资源管理器(File Explorer)是Windows操作系统中用于浏览、管理和操作文件和文件夹的核心工具。它提供直观的界面,支持文件的创建、复制、移动、删除、重命名以及访问网络共享和外部设备。用户可以

继续阅读

【漏洞预警】Google Chrome沙箱逃逸漏洞(CVE-2025-2783)

发布于 作者:

【漏洞预警】Google Chrome沙箱逃逸漏洞(CVE-2025-2783) cexlife 飓风网络安全 2025-03-28 18:55 漏洞描述: 漏洞源于Gооɡlе Chrоmе沙箱机制与Windоԝѕ操作系统内核交互时的逻辑错误,攻击者可利用该漏洞绕过沙箱隔离机制造成信息泄露、代码执行等危害。 攻击场景: 攻击者可能通过用户交互,上传恶意文件,绕过沙箱隔离机制,造成信息泄露、代码执

继续阅读

漏洞复现篇 | Vite任意文件读取漏洞:CVE-2025-30208,最新!

发布于 作者:

漏洞复现篇 | Vite任意文件读取漏洞:CVE-2025-30208,最新! 原创 零日安全实验室 零日安全实验室 2025-03-28 18:26 免责声明! 本 公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。 0x01 漏洞描述 Vite 是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力

继续阅读

本周最新的、复现超简单的Vite任意文件读取漏洞(CVE-2025-30208)

发布于 作者:

本周最新的、复现超简单的Vite任意文件读取漏洞(CVE-2025-30208) 原创 a1batr0ss 天翁安全 2025-03-28 18:16 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权,严

继续阅读

重大工控漏洞曝光,工业网络安全如何保障?

发布于 作者:

重大工控漏洞曝光,工业网络安全如何保障? 原创 自主研发技术驱动 珞安科技 2025-03-28 18:04 1 重大工控漏洞危及企业生产安全 近日,据国内网络安全权威媒体报道,瑞士安全公司PRODAFT公开了两项影响mySCADA myPRO系统的高危漏洞,即CVE-2025-20014和CVE-2025-20061的详细信息,并向工业企业提供了实用的防护建议。 报道显示,CVE-2025-20

继续阅读

Splunk 高危漏洞:攻击者可通过文件上传执行任意代码

发布于 作者:

Splunk 高危漏洞:攻击者可通过文件上传执行任意代码 信息安全大事件 2025-03-28 18:02 Splunk 近日发布补丁,修复了影响 Splunk Enterprise 和 Splunk Cloud Platform 的高危远程代码执行(RCE)漏洞。该漏洞编号为 CVE-2025-20229,可能允许低权限用户通过上传恶意文件执行任意代码。 漏洞影响范围 该漏洞存在于以下版本中:

继续阅读

安全内参|面向漏洞编程:如何让AI编程助手生成带后门的代码

发布于 作者:

安全内参|面向漏洞编程:如何让AI编程助手生成带后门的代码 安全内参编译 上汽集团网络安全应急响应中心 2025-03-28 18:01 文章来 源 : 安全内参 研究人员发现,通过在AI编程助手的规则文件中植入不良内容,来诱导Cursor或GitHub Copilot生成不安全的代码,攻击者可以通过在论坛或GitHub分享包含规则文件的代码库来实施软件供应链攻击。 前情回顾·大模型安全动态 &#

继续阅读

【霄享·安全】XML外部实体注入(XXE)漏洞简介(总第50期月刊)

发布于 作者:

【霄享·安全】XML外部实体注入(XXE)漏洞简介(总第50期月刊) 原创 刘宇凡 上汽集团网络安全应急响应中心 2025-03-28 18:01 漏洞描述 XML外部实体注入(XML External Entity Injection,XXE)漏洞是指攻击者通过构造恶意XML数据,利用应用程序未正确配置XML解析器的安全策略,诱导系统执行非授权操作(如文件读取、网络请求、服务端请求伪造等)。 1

继续阅读

Firefox 存在严重漏洞,类似于 Chrome 已遭利用0day

发布于 作者:

Firefox 存在严重漏洞,类似于 Chrome 已遭利用0day Ravie Lakshmanan 代码卫士 2025-03-28 17:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 公司发布更新,修复了影响其 Firefox Windows 版本的一个严重漏洞,而该漏洞与此前已遭利用的 Chrome 0day类似。 Mozilla 公司修复的漏洞编号是CVE-2

继续阅读

从环境构建到漏洞利用:如何用Metarget和Coogo复现K8s IngressNightmare攻击链

发布于 作者:

从环境构建到漏洞利用:如何用Metarget和Coogo复现K8s IngressNightmare攻击链 原创 星云实验室 绿盟科技研究通讯 2025-03-28 17:05 一.  概述 Ingress Controller作为K8s集群管理外部访问的核心组件,承担着集群入口网关的关键角色,其通过智能路由机制将外部HTTP/HTTPS流量定向到集群内部相应的Service和Pod,是集群流量管

继续阅读

Vite 任意文件读取漏洞(CVE-2025-30208)全网测绘分析

发布于 作者:

Vite 任意文件读取漏洞(CVE-2025-30208)全网测绘分析 360Quake空间测绘 360Quake空间测绘 2025-03-28 16:43 一、漏洞概述 CVE-2025-30208 是 Vite 开发服务器中存在的高危任意文件读取漏洞,攻击者可通过构造特定 URL 参数绕过文件访问控制机制,读取服务器上的敏感文件(如 /etc/passwd 、C:\windows\win.in

继续阅读

OpenAI 漏洞赏金计划将最高奖励提高至 10 万美元

发布于 作者:

OpenAI 漏洞赏金计划将最高奖励提高至 10 万美元 数世咨询 2025-03-28 16:00 OpenAI 正在通过大幅增加漏洞赏金计划和新的 AI 安全研究补助金来优先考虑安全性。了解他们如何与研究人员和专家合作,以保护他们的 AI 平台免受新兴威胁。 01 洞赏金计划改革,大幅提升奖金 OpenAI在其最 新博客文章 中公布了一系列新的网络安全举措,标志着其大胆推进通用人工智能 (AG

继续阅读

工具集:svnExploit【SVN源代码泄露全版本Dump源码工具】

发布于 作者:

工具集:svnExploit【SVN源代码泄露全版本Dump源码工具】 wolven 风铃Sec 2025-03-27 22:59 🐉工具介绍 SVN是Subversion的缩写,是一种版本控制系统,类似于Git。当使用SVN进行代码管理时,每个工作副本目录下都会有一个.svn隐藏文件夹,里面包含版本控制信息,比如提交历史、文件差异等。一些网站管理员在发布代码时,不愿意使用“导出”功能,而是直接复

继续阅读

Sitecore几年前的洞CVE-2019-9874:反序列化实现的未经认证的 RCE(CVSS 9.8)

发布于 作者:

Sitecore几年前的洞CVE-2019-9874:反序列化实现的未经认证的 RCE(CVSS 9.8) 柠檬赏金猎人 2025-03-27 22:30 概述 Sitecore 的CSRF 模块中的两个严重漏洞再次成为活跃威胁,最近CISA将其加入已知被利用漏洞清单 (Known Exploited Vulnerabilities Catalog)。 CVE-2019-9874 是一个影响 Si

继续阅读

CVE-2025-24813:Apache Tomcat远程代码执行漏洞

发布于 作者:

CVE-2025-24813:Apache Tomcat远程代码执行漏洞 白帽子 2025-03-27 22:08 关注我们❤️,添加星标🌟,一起学安全! 作者:Howell@Timeline Sec  本文字数:3141  阅读时长:2~4mins  声明:仅供学习参考使用,请勿用作违法用途,否则后果自负  0x01 简介 Apache Tomcat 是一个开源的、轻量级的 Java Servl

继续阅读

Vite存在任意文件读取漏洞CVE-2025-30208 附POC

发布于 作者:

Vite存在任意文件读取漏洞CVE-2025-30208 附POC 2025-3-27更新 南风漏洞复现文库 2025-03-27 20:43 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Vite简介 微信公众号搜索:南风漏洞复现文

继续阅读

OpenAI 严重漏洞最高赏金提高至10万美元

发布于 作者:

OpenAI 严重漏洞最高赏金提高至10万美元 Ryan Naraine 代码卫士 2025-03-27 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 人工智能技术巨头OpenAI 将最高漏洞赏金从2万美元提高至10万美元,而这是该公司设立发现基础设施和产品中严重和高危漏洞外包计划的一部分。 该漏洞奖励计划是OpenAI 公司设立的多项安全计划之一,这些安全计划包括资助安全研究

继续阅读

小红书被曝高频获取用户信息,官方回应;Google Chrome零日漏洞已被在野利用,无需用户交互即可绕过沙盒保护 | 牛览

发布于 作者:

小红书被曝高频获取用户信息,官方回应;Google Chrome零日漏洞已被在野利用,无需用户交互即可绕过沙盒保护 | 牛览 安全牛 2025-03-27 18:08 新闻速览 •小红书被曝高频获取用户信息,官方回应 •冒充客服窃取2.43亿美元,加密货币盗窃案主犯Wiz落网 •夸大网络安全评分,美国国防承包商付出460万美元代价 •黑客利用电子犯罪工具Atlantis AIO对140多个平台进行

继续阅读