作者: cve-20

OWASP 2025年十大漏洞

发布于 作者:

OWASP 2025年十大漏洞 铸盾安全 河南等级保护测评 2025-01-22 16:00 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键 漏洞 的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安全性的重要性从未如此明显。最新列表反

继续阅读

【漏洞预警】YesWiki 存在经过身份验证的任意文件删除漏洞(CVE-2025-24019)

发布于 作者:

【漏洞预警】YesWiki 存在经过身份验证的任意文件删除漏洞(CVE-2025-24019) cexlife 飓风网络安全 2025-01-22 14:42 漏洞描述: YesWiki是一个用PHP编写的wiki系统,在包括4.4.5版本在内的早期版本中,任何经过身份验证的用户都可以使用文件管理器删除主机上由运行FastCGI Process Manager(FPM)的用户所拥有的任何文件,而对

继续阅读

CTF:Phar反序列化漏洞学习笔记

发布于 作者:

CTF:Phar反序列化漏洞学习笔记 sec0nd安全 2025-01-22 13:00 使用phar://伪协议读取文件时,文件会被解析成phar对象,phar对象内的以反序列化形式存储的用户自定义元数据信息会被反序列化。 影响函数 pha r结构 phar 由四部分组成,分别是 1.stub是一个文件标志,格式为 :xxx。可理解为phar文件头。 2.manifest是被压缩的文件的属性等放

继续阅读

【安全圈】7-Zip 漏洞可让远程攻击者绕过保护并执行任意代码

发布于 作者:

【安全圈】7-Zip 漏洞可让远程攻击者绕过保护并执行任意代码 安全圈 2025-01-22 12:59 关键词 安全漏洞 流行文件归档软件 7-Zip 中最近披露的一个漏洞(编号为 CVE-2025-0411)引发了严重的安全担忧。 此漏洞允许远程攻击者绕过 Windows 的 Mark-of-the-Web (MOTW) 保护机制,从而可能在受影响的系统上执行任意代码。此漏洞的 CVSS 评分

继续阅读

支撑单位遴选 | 关于开展2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位遴选工作的通知

发布于 作者:

支撑单位遴选 | 关于开展2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位遴选工作的通知 CAPPVD漏洞库 2025-01-22 10:51 各有关单位: 为贯彻落实《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》等法律法规要求,推动网络产品安全漏洞管理工作有序进行,中国软件评测中心(工业和信息化部软件与集成电路促进中心)负责建设和运营工业和信息化部移动互联网APP产品

继续阅读

7-Zip高危漏洞曝光!攻击者可绕过安全机制远程执行代码,速升级

发布于 作者:

7-Zip高危漏洞曝光!攻击者可绕过安全机制远程执行代码,速升级 看雪学苑 看雪学苑 2025-01-22 09:59 近日,一款广泛使用的开源文件压缩软件7-Zip被曝出存在严重的安全漏洞,编号为CVE-2025-0411,该漏洞的CVSS评分为7.0,属于高危漏洞,引发了广泛的安全担忧。根据相关报道,该漏洞允许远程攻击者绕过Windows系统的一项关键安全功能——“网络标记”(Mark of

继续阅读

7-Zip 修复高危的 Windows MoTW 安全告警绕过漏洞

发布于 作者:

7-Zip 修复高危的 Windows MoTW 安全告警绕过漏洞 SERGIU GATLAN 代码卫士 2025-01-22 09:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 7-Zip 文件压缩文档中存在一个高危漏洞,可导致攻击者绕过 MotW Windows 安全特性,从所嵌入的文档中提取恶意文件时在用户计算机上执行代码。 7-Zip 在2022年6月发布的版本22.00开始

继续阅读

【已复现】Rsync 堆缓冲区溢出漏洞(CVE-2024-12084)安全风险通告

发布于 作者:

【已复现】Rsync 堆缓冲区溢出漏洞(CVE-2024-12084)安全风险通告 奇安信 CERT 2025-01-22 01:10 ●  点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Rsync 堆缓冲区溢出漏洞 漏洞编号 QVD-2025-3022,CVE-2024-12084 公开时间 2025-01-14 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 9.8

继续阅读

通过 Sharp4SuoPoc 从原理上复现 Visual Studio 投毒事件

发布于 作者:

通过 Sharp4SuoPoc 从原理上复现 Visual Studio 投毒事件 原创 专攻.NET安全的 dotNet安全矩阵 2025-01-22 00:45 在近期的网络安全事件中,一款提权工具被发现植入了后门,攻击者利用 Visual S tudio 项目的 .suo 文件作为隐蔽的攻击媒介。由于 .suo 文件通 常是隐藏的配置文件,且安全研究人员对其内容关注较少,因此成为了攻击者利用

继续阅读

梅赛德斯—奔驰信息娱乐系统漏洞详细信息披露

发布于 作者:

梅赛德斯—奔驰信息娱乐系统漏洞详细信息披露 信安在线资讯 2025-01-22 00:30 卡巴斯基披露了在梅赛德斯—奔驰信息娱乐系统中发现的十多个漏洞的细节,但这家汽车制造商向客户保证,这些安全漏洞已经得到修复,且不易被利用。 上周,俄罗斯网络安全公司卡巴斯基发布了一篇博客文章(梅赛德斯-奔驰主机安全研究报告),深入分析了梅赛德斯—奔驰用户体验(MBUX)系统。此次研究主要针对第一代MBUX系统

继续阅读

OWASP 2025年十大漏洞–被利用/发现的最严重漏洞

发布于 作者:

OWASP 2025年十大漏洞–被利用/发现的最严重漏洞 何威风 祺印说信安 2025-01-22 00:03 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键 漏洞 的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安全性的重要性从未如

继续阅读

漏洞预警 | 叁拾叁OA SQL注入漏洞

发布于 作者:

漏洞预警 | 叁拾叁OA SQL注入漏洞 浅安 浅安安全 2025-01-22 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 叁拾叁OA是一款面向企业的办公自动化软件,主要目的是通过信息化手段提升企业的办公效率,帮助组织实现办公流程的自动化、信息的集成和共享,从而提升管理水平和工作效率。 0x03 漏洞详情 漏洞类型: SQ

继续阅读

2024年度漏洞态势大揭秘:你的网络安全防线还稳固吗?(附下载)

发布于 作者:

2024年度漏洞态势大揭秘:你的网络安全防线还稳固吗?(附下载) 原创 说安全 如何安全 说安全 如何安全 2025-01-21 23:30 在这个万物互联的数字时代,网络已经成为我们生活、工作和学习中不可或缺的一部分。然而,随着网络的普及和深入,网络安全问题也日益凸显,成为悬在我们头顶的一把“达摩克利斯之剑”。《2024年度漏洞态势分析报告》的出炉,再次为我们敲响了网络安全的警钟。那么,面对日益

继续阅读

ViewState反序列化漏洞详解

发布于 作者:

ViewState反序列化漏洞详解 原创 信安路漫漫 信安路漫漫 2025-01-21 23:00 前言 在一次测试过程中遇到了这个ViewState的反序列化漏洞,当时对于利用方式以及原理都不太清楚,因此有了这边文章,学习一下viewstate的漏洞原理以及利用方式。 ViewState基础介绍 ViewState机制 ViewState 是 ASP.NET(Active Server Page

继续阅读

【神兵利器】JAVA JMX漏洞综合利用工具

发布于 作者:

【神兵利器】JAVA JMX漏洞综合利用工具 原创 Heptagram 七芒星实验室 2025-01-21 23:00 基本介绍 beanshooter是一个JMX枚举和攻击工具,有助于识别JMX端点上的常见漏洞并提供了丰富的漏洞利用载荷和利用方式 工具编译 我们也可以通过beanshooter来枚举并注册EvilBean到JMXServer端,首先我们需要去下载beanshooter工具到本地,

继续阅读

【安全圈】OWASP 2025 年十大漏洞 – 被利用/发现的最严重漏洞

发布于 作者:

【安全圈】OWASP 2025 年十大漏洞 – 被利用/发现的最严重漏洞 安全圈 2025-01-21 19:01 关键词 安全漏洞 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键漏洞的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安

继续阅读

1Scan一键渗透扫描器|漏洞探测

发布于 作者:

1Scan一键渗透扫描器|漏洞探测 漏洞挖掘 渗透安全HackTwo 2025-01-21 16:00 0x01 工具介绍  1Scan 全平台一键渗透扫描器,只需输入目标(IP、URL、CIDR、ip.txt、ipc.txt、ipb.txt、url.txt),即可一键使用多种协议收集信息、网络密码爆破、高危1Day、Nday漏洞探测、一键GetShell等。 下载地址在末尾**** 0x02 功

继续阅读

OWASP 2025 年 10 大漏洞

发布于 作者:

OWASP 2025 年 10 大漏洞 网安百色 2025-01-21 11:29 点击上方 蓝字 关注我们吧~ OWASP于 2025 年 1 月 21 日发布了《2025 年十大安全漏洞》报告。随着去中心化金融(DeFi)和区块链技术的持续发展,确保智能合约安全的重要性愈发凸显。最新的列表反映了不断演变的攻击向量,突出了近年来被广泛利用或新发现的漏洞。 2025 年 OWASP 十大漏洞: 1

继续阅读

7-Zip 漏洞允许通过绕过网络标记执行任意代码

发布于 作者:

7-Zip 漏洞允许通过绕过网络标记执行任意代码 网安百色 2025-01-21 11:29 点击上方 蓝字 关注我们吧~ 近期,安全研究人员发现了一个编号为 CVE-2025-0411 的高危漏洞,CVSS 评分为 7.0。该漏洞允许远程攻击者绕过 Windows 的“网络标记”(Mark-of-the-Web,MOTW)保护机制,从而在受影响的系统上执行任意代码。 该漏洞源于 7-Zip 在处

继续阅读

【安全圈】梅赛德斯—奔驰信息娱乐系统漏洞详细信息披露

发布于 作者:

【安全圈】梅赛德斯—奔驰信息娱乐系统漏洞详细信息披露 安全圈 2025-01-21 11:01 关键词 安全漏洞 卡巴斯基披露了在梅赛德斯—奔驰信息娱乐系统中发现的十多个漏洞的细节,但这家汽车制造商向客户保证,这些安全漏洞已经得到修复,且不易被利用。 上周,俄罗斯网络安全公司卡巴斯基发布了一篇博客文章(梅赛德斯-奔驰主机安全研究报告),深入分析了梅赛德斯—奔驰用户体验(MBUX)系统。此次研究主要

继续阅读

关于防范开源文件同步工具rsync多个安全漏洞的风险提示

发布于 作者:

关于防范开源文件同步工具rsync多个安全漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2025-01-21 10:48 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现,开源文件同步工具 rsync 存在堆缓冲区溢出等多个漏洞,危害严重。 Rsync 是一款开源文件同步与数据传输工具,被广泛用于备份、镜像、数据迁移等场景。由于程序缺陷,存在堆缓冲区溢出、信息

继续阅读

持续领先!奇安信斩获5个CNNVD漏洞贡献奖

发布于 作者:

持续领先!奇安信斩获5个CNNVD漏洞贡献奖 奇安信集团 2025-01-21 10:24 近日,中国国家信息安全漏洞库(CNNVD)完成了2024年度第二期接报漏洞奖励评选工作,表彰了26个在我国网络安全漏洞预警及风险消控工作中发挥积极作用的漏洞。本次漏洞奖励评选共评出8个一级贡献奖,18个二级贡献奖,其中,奇安信斩获3个一级贡献奖 ,2个二级贡献奖 ,是本次评选获奖总量最多、一级贡献奖最多的厂

继续阅读

B站员工植入恶意代码报复用户,官方:漏洞已修补,员工已处罚

发布于 作者:

B站员工植入恶意代码报复用户,官方:漏洞已修补,员工已处罚 安全内参 2025-01-21 10:07 关注我们 带你读懂网络安全 B站一名员工滥用权限,让某用户使用B站网页端观看视频时,被错误提示“账号已被封禁” 正在新闻热点组 近日,B站一名员工滥用权限,让某用户使用B站网页端观看视频时,被错误提示“账号已被封禁”,引发广泛关注。 1月21日,B站客服告诉《正在新闻》网站漏洞已经被修补,涉事员

继续阅读