戴尔系统更新包框架现严重漏洞,可提升攻击者权限
戴尔系统更新包框架现严重漏洞,可提升攻击者权限 Zicheng FreeBuf 2025-01-09 11:04 据Cyber Security News消息,戴尔(Dell)电脑的系统更新包 (DUP) 框架被发现一个严重安全漏洞,可能会使系统面临来自攻击者的权限提升和拒绝服务攻击。 该漏洞被跟踪为 CVE-2025-22395,CVSS评分8.2,影响 22.01.02 之前的 DUP 框架版
继续阅读作者: cve-20
【安全圈】戴尔更新包框架漏洞可让攻击者提升权限
【安全圈】戴尔更新包框架漏洞可让攻击者提升权限 安全圈 2025-01-09 11:00 关键词 安全漏洞 戴尔更新包 (DUP) 框架中被发现存在一个严重的安全漏洞,可能导致系统遭受权限提升和拒绝服务攻击。 该漏洞编号为CVE-2025-22395,影响 22.01.02 之前的 DUP 框架版本,CVSS 评分为 8.2,归类为“高严重性”。 漏洞详细信息 该漏洞允许具有较低权限的本地攻击者利
继续阅读《2024年度漏洞态势分析报告》重磅出炉!文末扫码下载
《2024年度漏洞态势分析报告》重磅出炉!文末扫码下载 安恒研究院 安恒信息CERT 2025-01-09 11:00 随着网络空间应用的普及,网络安全面临的挑战也日益复杂且严峻。安恒研究院基于对2024年度漏洞数据的全面统计与深入分析,倾力推出《2024年度漏洞态势分析报告》(以下简称“报告”)。 该漏洞报告全面回顾全年漏洞数据的关键特征,全方位解析网络漏洞的发展趋势以及潜在风险点。 2024年
继续阅读【安全圈】Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险
【安全圈】Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险 安全圈 2025-01-09 11:00 关键词 安全漏洞 在广泛使用的内存数据库Redis里,发现了两个严重漏洞,这可能使数百万系统面临拒绝服务(DoS)攻击和远程代码执行(RCE)的风险。这些漏洞被标记为CVE – 2024 – 51741和CVE – 2024 – 46981
继续阅读【风险通告】Ivanti多产品存在缓冲区溢出漏洞(CVE-2025-0282)
【风险通告】Ivanti多产品存在缓冲区溢出漏洞(CVE-2025-0282) 安恒研究院 安恒信息CERT 2025-01-09 11:00 漏洞概述 漏洞名称 Ivanti多产品存在缓冲区溢出漏洞(CVE-2025-0282) 安恒CERT评级 1级 CVSS3.1评分 9.0 CVE编号 CVE-2024-0282 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-20
继续阅读安全常用的Linux命令总结
安全常用的Linux命令总结 泷羽Sec-后半生 泷羽Sec-后半生 2025-01-09 10:10 前言 网络安全常用命令,两万多字Linux常用命令总结,附详细图文 往期推荐 轻松学习shell编程 OSCP+你值得拥有的证书 oscp备考–办理护照详细流程 KFC全家桶–都没有nuclei全家桶香 openssl openssl是一个开源的加密工具包,提供了各种加密
继续阅读Ivanti提醒注意 Connect Secure 产品中的新0day
Ivanti提醒注意 Connect Secure 产品中的新0day Ryan Naraine 代码卫士 2025-01-09 10:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,Ivanti 公司提醒注意面向企业的产品中的远程可利用漏洞,并表示其中一个漏洞已遭在野利用。 这两个高危漏洞为CVE-2025-0282和CVE-2025-0283,可导致未认证的远程攻击者发动代
继续阅读SonicWall:立即修复已遭利用的SSLVPN漏洞!
SonicWall:立即修复已遭利用的SSLVPN漏洞! Bill Toulas 代码卫士 2025-01-09 10:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SonicWall 公司向客户发送邮件,督促他们升级防火墙的 SonicOS 固件,修复位于SSL VPN和SSH 管理中的一个“疑似遭真实利用的”认证绕过漏洞。 SonicWall 公司向客户发送邮件称,补丁已在当地时
继续阅读创宇安全智脑 | 四信通信工业路由器 apply.cgi 远程命令执行(CVE-2024-12856)等90个漏洞可检测
创宇安全智脑 | 四信通信工业路由器 apply.cgi 远程命令执行(CVE-2024-12856)等90个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-01-09 09:53 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃
继续阅读【已发现在野利用】Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)安全风险通告
【已发现在野利用】Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)安全风险通告 奇安信CERT 奇安信集团 2025-01-09 09:31 漏洞概述 漏洞名称 Ivanti 多款产品缓冲区溢出漏洞 漏洞编号 QVD-2025-1974,CVE-2025-0282 公开时间 2025-01-08 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 9.0 威胁类型 代码执行
继续阅读ksmbd 漏洞研究
ksmbd 漏洞研究 Norbert Szetei securitainment 2025-01-09 09:17 ksmbd vulnerability research 引言 在 Doyensec,我们决定对 Linux 内核的一个组件——SMB3 内核服务器 (ksmbd) 进行漏洞研究。最初,它作为一个实验性功能被启用,但在内核版本 6.6 中,实验性标志被 移除 ,并保持稳定。 Ksmb
继续阅读年度包揽!长亭科技荣获2024年度(第二期)CNNVD漏洞奖励评选一级贡献奖
年度包揽!长亭科技荣获2024年度(第二期)CNNVD漏洞奖励评选一级贡献奖 长亭安全观察 2025-01-09 09:11 近日,国家信息安全漏洞库(CNNVD)公布了2024年度(第二期)漏洞奖励评选结果,长亭科技凭借其在漏洞预警方面的卓越表现,再次荣获一级贡献奖! 这是自CNNVD开展漏洞奖励评选以来,长亭科技第三次获得CNNVD的漏洞奖励,2024年的两次评选更是全部入选,充分彰显了长亭科
继续阅读【漏洞通告】Ivanti Connect Secure,Policy Secure&ZTA Gateways缓冲区溢出漏洞
【漏洞通告】Ivanti Connect Secure,Policy Secure&ZTA Gateways缓冲区溢出漏洞 深瞳漏洞实验室 深信服千里目安全技术中心 2025-01-09 08:34 漏洞名称: Ivanti Connect Secure, Policy Secure & ZTA Gateways 缓冲区溢出漏洞(CVE-2025-0282) 组件名称: Ivant
继续阅读信息安全漏洞周报【第005期】
信息安全漏洞周报【第005期】 零零捌信安观察 银天信息 2025-01-09 07:35 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读护网溯源神奇HuntBack,更新啦~
护网溯源神奇HuntBack,更新啦~ 原创 ChinaRan404 知攻善防实验室 2025-01-09 07:02 前言 前几天重写了我一年前的项目,因为我确实用这个工具在24年HVV的时候通过这个工具溯源到了人,想着继续强化一下。 这段时间通过群友的反馈指纹还有各种方式对指纹的数量做了提升 目前已经支持的指纹: AWVS-Web漏洞扫描器 ARL-灯塔资产收集服务 大保健-边界资产梳理工具
继续阅读小伙利用漏洞盗取51,860个比特币
小伙利用漏洞盗取51,860个比特币 独眼情报 2025-01-09 06:15 这个好像没什么价值,但是我觉得有意思。不爱看的关掉吧 这个家伙偷了价值33亿美元的比特币,然后把它藏在一个奇多爆米花罐里。 来认识一下Jimmy Zhong。 2012年,他发现了丝绸之路网站的一个漏洞,于是盗取了51,860个比特币。 9年来,他一直躲避着执法部门的追查,直到他犯了一个微小但难以置信的错误:🧵 20
继续阅读从低危Blind SSRF到严重漏洞
从低危Blind SSRF到严重漏洞 白帽子左一 白帽子左一 2025-01-09 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) SSRF简介 服务器端请求伪造(SSRF)是一种Web安全漏洞,它允许攻击者使服务器端应用程序向非预期的位置发送请求。这可能导致攻击者迫使服务器连接到组织内部基础设施中仅限内部访问的
继续阅读【漏洞通告】Inspur ClusterEngine 安全漏洞
【漏洞通告】Inspur ClusterEngine 安全漏洞 安迈信科应急响应中心 2025-01-09 03:49 01 漏洞概况 Inspur ClusterEngine是中国浪潮(Inspur)公司的一个应用软件。提供管理集群系统中软硬件提交的作业。 Inspur ClusterEngine v4.0版本存在安全漏洞,该漏洞源于允许攻击者获得升级的本地权限并通过/opt
继续阅读【漏洞通告】Aviatrix Controller命令注入漏洞
【漏洞通告】Aviatrix Controller命令注入漏洞 安迈信科应急响应中心 2025-01-09 03:49 01 漏洞概况 Aviatrix Controller 7.x 至 7.2.4820 中发现了一个问题。由于操作系统命令中使用的特殊元素中和不当,未经认证的攻击者能够远程执行任意代码。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Aviatrix Controller
继续阅读【漏洞通告】大华智能物联综合管理平台(ICC) GetClassValue 远程命令执行漏洞
【漏洞通告】大华智能物联综合管理平台(ICC) GetClassValue 远程命令执行漏洞 安迈信科应急响应中心 2025-01-09 03:49 01 漏洞概况 GetClassValue接口存在远程命令执行漏洞,未授权攻击者可以利用该漏洞执行任意命令,导致服务器失陷。注意,该漏洞POC已公开且存在在野利用02 漏洞处置综合处置优先级:高漏洞信息漏洞名称大华智能物联综合管理平台(IC
继续阅读【高危漏洞预警】Ivanti Connect Secure缓冲区溢出漏洞可导致远程代码执行
【高危漏洞预警】Ivanti Connect Secure缓冲区溢出漏洞可导致远程代码执行 cexlife 飓风网络安全 2025-01-09 03:43 漏洞描述: Ivanti发布安全公告,披露影响其Connect Secure、Policy Secure和Neurons for ZTA Gateways产品的两个安全漏洞,其中一个漏洞(CVE-2025-0282)已经存在在野利用,该漏洞可能
继续阅读蓝凌EIS智慧协同平台 fi_message_receiver.aspx SQL注入漏洞复现(CVE-2025-22214)
蓝凌EIS智慧协同平台 fi_message_receiver.aspx SQL注入漏洞复现(CVE-2025-22214) 冷漠安全 冷漠安全 2025-01-09 03:20 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次
继续阅读【漏洞预警】Redis Lua 远程代码执行漏洞
【漏洞预警】Redis Lua 远程代码执行漏洞 原创 MasterC 企业安全实践 2025-01-09 01:30 一、漏洞描述 Redis 是开源的键值对存储数据库。 具有 Lua 脚本功能的 Redis 版本(2.6及以上版本)中,经过身份验证的攻击者可构造恶意的Lua脚本控制垃圾回收器,导致远程代码执行。 修复版本通过在关闭 lua VM 之前重置 GC 状态,防止用户数据被错误释放,来
继续阅读黑客利用漏洞入侵美国财政部后,仍有近9000个BeyondTrust系统暴露于互联网
黑客利用漏洞入侵美国财政部后,仍有近9000个BeyondTrust系统暴露于互联网 汇能云安全 2025-01-09 01:30 1月9日,星期四,您好!中科汇能与您分享信息安全快讯: 01 黑客利用漏洞入侵美国财政部后,仍有近9000个BeyondTrust系统暴露于互联网 研究人员近日发现,在关键漏洞被披露CVE-2024-12356数周后,仍有近9000个BeyondTrust系统暴露在互
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第2期,总第20期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第2期,总第20期] 原创 安钥 方桥安全漏洞防治中心 2025-01-09 01:15 2024年,我们成功举办了20期漏洞处置SOP征文活动,累计征集到43个优质漏洞处置SOP。2025年,我们将继续推进漏洞处置SOP征文活动。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都
继续阅读教育软件公司PowerSchool 遭黑客攻击,6000万学生、教师个人数据可能泄露
教育软件公司PowerSchool 遭黑客攻击,6000万学生、教师个人数据可能泄露 会杀毒的单反狗 军哥网络安全读报 2025-01-09 01:00 导读 一家存储了 6000 多万 K-12 学生和教师数据的教育软件公司周二表示,其数据遭到黑客攻击。 PowerSchool 为数千个学区提供基于云的软件,这些学区使用其系统托管考勤、财务、招生、员工管理等平台。该公司提供全方位服务以帮助学区运
继续阅读干货!从零到一: 构建一个可靠的SCA漏洞库
干货!从零到一: 构建一个可靠的SCA漏洞库 原创 todobest SDL安全 2025-01-09 00:42 一、背景 “ 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。其中,航空航天、航空、汽车、运输、物流,教育科技和物联网 (IoT
继续阅读外媒|成都:茶馆、火锅、大学和……黑客
外媒|成都:茶馆、火锅、大学和……黑客 原创 NATTO TEAM 安全喵喵站 2025-01-09 00:30 本文不代表喵站观点 近 20 年来,各种网络威胁情报(CTI)分析报告都指出,四川省是 “众所周知的黑客攻击热点”,四川省省会成都 “已成为中国高级持续性威胁(APT)活动的中心”。从 2023 年底到 2024
继续阅读带你解锁编码新世界!–随波逐流CTF编码工具使用教程31 –Jsfuck密码
带你解锁编码新世界!–随波逐流CTF编码工具使用教程31 –Jsfuck密码 原创 长弓三皮 长弓三皮 2025-01-09 00:08 随波逐流工作室—-探索前沿科技,分享最新软件。点击标题下蓝字“长弓三皮 ”关注,我们将为您提供有深度、有价值、有意思的阅读。 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把长弓三皮“设为星标”,否则可能就看不到了啦!****
继续阅读漏洞预警 | 数字通云平台智慧政务敏感信息泄露和任意文件上传漏洞
漏洞预警 | 数字通云平台智慧政务敏感信息泄露和任意文件上传漏洞 浅安 浅安安全 2025-01-09 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 数字通云平台智慧政务OA产品是基于云计算、大数据、人工智能等先进技术,为政府部门量身定制的智能化办公系统。 0x03 漏洞详情 漏洞类型: 敏感信息泄露 影响: 接管服务***
继续阅读