SinoTrack GPS设备存在严重安全漏洞,可被远程控制车辆
SinoTrack GPS设备存在严重安全漏洞,可被远程控制车辆 汇能云安全 2025-06-13 01:29 6月13日,星期五,您好!中科汇能与您分享信息安全快讯: 01 Salesforce Industry Cloud曝出20个安全漏洞,包含多个零日漏洞 安全研究公司AppOmni近日发现Salesforce Industry Cloud产品中存在超过20个安全漏洞,其中包括多个被评为高风
继续阅读作者: cve-20
GitLab 多个漏洞可导致攻击者完全接管账户
GitLab 多个漏洞可导致攻击者完全接管账户 会杀毒的单反狗 军哥网络安全读报 2025-06-13 01:02 导读 GitLab 社区版 (CE) 和企业版 (EE) 平台上存在一系列严重的安全漏洞,攻击者可以利用这些漏洞完全接管帐户并破坏整个开发基础设施。 GitLab发布了紧急补丁版本 18.0.2、17.11.4 和 17.10.8,以解决十个不同的安全漏洞,其中一些漏洞的 CVSS
继续阅读Stealth Falcon组织利用0Day漏洞在中东发动网络攻击——每周威胁情报动态第226期 (06.05-06.12)
Stealth Falcon组织利用0Day漏洞在中东发动网络攻击——每周威胁情报动态第226期 (06.05-06.12) 原创 BaizeSec 白泽安全实验室 2025-06-13 01:02 APT攻击 – Librarian Ghouls APT组织 针对俄罗斯展开网络攻击活动 APT组织Stealth Falcon利用0Day漏洞在中东地区发动网络攻击 攻击活动 ̵
继续阅读契约锁最新漏洞补丁分析
契约锁最新漏洞补丁分析 原创 zzz 良月安全 2025-06-13 01:01 免责声明 本公众号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。 补丁分析 前言 最近看到发了契约锁的漏洞情报,尝试根据补丁对漏洞进行分析。 补丁分
继续阅读内网对抗-横向移动手法大全
内网对抗-横向移动手法大全 MeteorKai 乌雲安全 2025-06-13 00:31 原文首发在:先知社区 https://xz.aliyun.com/news/18020 收集到域内用户和凭据后,为后续利用各种协议密码喷射通讯上线提供条件。这里注意域内域外是有差异的。 我们需要判断当前获得的权限是域内的还是域外的,如一个计算机有两个角色,一个是Meteor_Kai,对应域外用户,一个是we
继续阅读Linux应急响应工具集【Html可视化报告】
Linux应急响应工具集【Html可视化报告】 Rabb1tQ 夜组安全 2025-06-13 00:01 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya 朋友们现在
继续阅读Windows应急响应中的“隐形战争”:深度解析账户安全事件
Windows应急响应中的“隐形战争”:深度解析账户安全事件 网安布道师 格格巫和蓝精灵 2025-06-13 00:01 Windows应急响应中的“隐形战争”:深度解析账户安全事件 大家好,我是你们的技术探险家! 在几乎每一场成功的网络攻击中,无论手法多么眼花缭乱,最终都离不开一个核心元素——账户 。被窃取的账户,就是攻击者打开企业内网大门的“钥匙”。 应急响应中的账户安全分析,远不止是找到那
继续阅读任意文件上传漏洞及常见框架Getshell分析
任意文件上传漏洞及常见框架Getshell分析 计算机与网络安全 2025-06-12 23:57 扫码加入知识星球: 网络安全攻防(HVV) 下载本篇和全套资料 | –
继续阅读【漏洞复现】九思oa之奇怪的sql注入
【漏洞复现】九思oa之奇怪的sql注入 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-06-12 23:00 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 指纹 body="/jsoa/login.jsp&q
继续阅读Mitmproxy GUI用于解决渗透测试加解密的难题 让你的Burp像测试明文这么简单|漏洞探测
Mitmproxy GUI用于解决渗透测试加解密的难题 让你的Burp像测试明文这么简单|漏洞探测 blackguest007 渗透安全HackTwo 2025-06-12 16:00 0x01 工具介绍 一个基于 Mitmproxy 的图形化代理工具,支持多种加密算法的请求拦截和修改。本项目提供了一个直观的图形界面,使得使用 mitmproxy 进行请求拦截和加解密变得更加简单。 注意: 现在只
继续阅读【高危漏洞预警】契约锁电子签章系统远程代码执行漏洞
【高危漏洞预警】契约锁电子签章系统远程代码执行漏洞 cexlife 飓风网络安全 2025-06-12 15:51 漏洞描述: 契约锁是一款电子签章及印章管控平台,该漏洞源于管理控制台存在未授权JDBC注入漏洞,攻击者通过构造恶意数据库连接参数,在dbtеѕt接口触发远程代码执行。 影响产品: 4.3.8 <= 契约锁 <= 5.3.* && 补丁版本 < 2.1
继续阅读CVE-2023-36802 mskssrv type confusion 提权
CVE-2023-36802 mskssrv type confusion 提权 12138 我吃你家米了 2025-06-12 15:39 阅读原文
继续阅读【漏洞预警】Apache Kafka Connect高危漏洞(CVE-2025-27817)可致任意文件读取,影响核心数据安全!
【漏洞预警】Apache Kafka Connect高危漏洞(CVE-2025-27817)可致任意文件读取,影响核心数据安全! HK安全小屋 2025-06-12 15:27 6月9日,Apache Kafka官方披露了多个安全漏洞: CVE-2025-27819: 通过 SASL JAAS JndiLoginModule 配置发起 RCE/拒绝服务攻击(利用此漏洞需要 集群资源的 AlterC
继续阅读首个AI Agent零点击漏洞曝光:一封邮件窃取企业AI任意敏感数据
首个AI Agent零点击漏洞曝光:一封邮件窃取企业AI任意敏感数据 安全内参 商密君 2025-06-12 13:30 6月12日消息,微软365 Copilot是集成在Word、Excel、Outlook、PowerPoint和Teams等Office办公应用中的AI工具。研究人员日前发现,该工具存在一个严重安全漏洞,揭示了AI代理被入侵可能带来 的更广泛风险。 AI安全初创公司Aim Sec
继续阅读ALPHA 威胁情报分析云平台 V8.3 重磅升级
ALPHA 威胁情报分析云平台 V8.3 重磅升级 原创 威胁情报中心 奇安信威胁情报中心 2025-06-12 12:24 ALPHA 威胁情报分析云平台 V8.3 重磅升级,两大核心功能抢先看! 新增 700 + 威胁行为体情报:全面覆盖多种类型组织,提供更专业、更全面的情报能力支持。 威胁分析 AI 武器库全新上线:显著提升威胁分析效率,增强威胁研判准确性和效率。 别再犹豫,快来体验最新功能
继续阅读EchoLeak-首个导致 M365 Copilot 数据泄露的零点击 AI 漏洞
EchoLeak-首个导致 M365 Copilot 数据泄露的零点击 AI 漏洞 孙志敏 AI与安全 2025-06-12 12:19 简述 Aim Security 发现了“EchoLeak”漏洞,该漏洞利用了 RAG Copilot 的典型设计缺陷,允许攻击者自动窃取 M365 Copilot 上下文中的任何数据,而无需依赖特定的用户行为。主链由三个不同的漏洞组成,但 Aim Labs 在研
继续阅读【已复现】GeoServer SSRF和XXE漏洞
【已复现】GeoServer SSRF和XXE漏洞 长亭安全应急响应中心 2025-06-12 11:58 GeoServer是一个开源服务器,用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准,使用户能够通过网络访问和操作地理信息系统(GIS)数据。 2025年6月,互联网上披露GeoServer SSRF漏洞(CVE-2024-29198)漏洞和GeoServer XXE漏洞(CVE-
继续阅读vulnerable_docker(easy)Frp、reGeorg内网穿透、docker逃逸、wpscan爆破,提权
vulnerable_docker(easy)Frp、reGeorg内网穿透、docker逃逸、wpscan爆破,提权 原创 泷羽Sec-朝阳 泷羽Sec-朝阳 2025-06-12 11:46 简介 今天开了一台新的靶机,docker逃逸,还是第一次见到,然后后面也会发hard难度,这是easy难度,先来看看啥情况吧 一、信息收集 1、主机发现 arp-scan -l 今天开了一台新的靶机,do
继续阅读揭秘最为知名的黑客工具之一:Legion (一款功能强大的自动化网络侦察与漏洞扫描工具)
揭秘最为知名的黑客工具之一:Legion (一款功能强大的自动化网络侦察与漏洞扫描工具) 原创 hackerson 黑客联盟l 2025-06-12 11:29 用心做分享,只为给您最好的学习教程 如果您觉得文章不错,欢迎持续学习 好的,各位圈里的老铁们!又到了我们技术分享时间了!今天,我必须给大家安利一款“自动化侦察兵”的神兵利器——Legion!渗透测试第一步,信息收集和侦察有多重要,相信不用
继续阅读微软Outlook路径遍历漏洞允许攻击者远程执行任意代码
微软Outlook路径遍历漏洞允许攻击者远程执行任意代码 FreeBuf 2025-06-12 11:04 微软Outlook电子邮件客户端中存在一个重大安全漏洞,可能允许攻击者远程执行任意代码,即使需要本地访问权限才能触发漏洞利用。该漏洞编号为CVE-2025-47176,于2025年6月10日披露,被微软评为”重要”级别,CVSS评分为7.8分。 这一漏洞影响广泛使用的
继续阅读高危漏洞打包兜售,Palo Alto、Fortinet、Linux等关键系统在列
高危漏洞打包兜售,Palo Alto、Fortinet、Linux等关键系统在列 原创 网空闲话 网空闲话plus 2025-06-12 10:23 2025年6月12日 13:27:46,威胁行为者“冰雹”在暗网市场Ramp4u上发布贴文,声称正在兜售一套包含多个高危CVE漏洞的“利用包(exploit pack)”,引发业界警惕。威胁行为者也声称可单独出售,具体要看买家能出多少银子。该漏洞包涉
继续阅读Salesforce 行业云曝20+漏洞,含零日漏洞!
Salesforce 行业云曝20+漏洞,含零日漏洞! 看雪学苑 看雪学苑 2025-06-12 10:00 Salesforce 作为知名云服务提供商,其行业云产品一直备受各领域企业青睐。然而,据安全研究公司 AppOmni 调查发现,Salesforce 行业云存在超 20 个安全漏洞,其中不乏零日漏洞。 Salesforce 行业云旨在助力医疗、金融、电信等行业的企业快速搭建定制化解决方案,
继续阅读漏洞通告|GeoServer SSRF和XXE漏洞
漏洞通告|GeoServer SSRF和XXE漏洞 原创 微步情报局 微步在线研究响应中心 2025-06-12 09:55 漏洞概况 GeoServer 是一款用 Java 编写的开源软件服务器,允许用户共享和编辑地理空间数据。 微步情报局获取到GeoServer SSRF漏洞(CVE-2024-29198)漏洞和GeoServer XXE漏洞情报(CVE-2025-30220) 。漏洞成因:
继续阅读Apache CloudStack 严重漏洞可用于执行权限操作
Apache CloudStack 严重漏洞可用于执行权限操作 Guru Baran 代码卫士 2025-06-12 09:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache CloudStack 的热门版本中存在多个严重漏洞,可导致攻击者执行权限操作并攻陷云基础设施系统。 Apache Cloudstack 在6月10日发布安全公告,修复了5个CVE漏洞,其中两个是严重级别
继续阅读Microsoft 365 Copilot 中存在零点击AI数据泄露漏洞
Microsoft 365 Copilot 中存在零点击AI数据泄露漏洞 Bill Toulas 代码卫士 2025-06-12 09:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 被命名为 “EchoLeak” 的新型攻击利用的是目前已知的首个零点击AI漏洞,它可导致攻击者从无需交互的用户上下文中,恶意泄露 Microsoft 365 的敏感数据。 该攻击由 Aim Labs 的安
继续阅读突发!奔驰车载系统大面积崩溃;首个已知AI零点击漏洞细节曝光 | 牛览
突发!奔驰车载系统大面积崩溃;首个已知AI零点击漏洞细节曝光 | 牛览 安全牛 2025-06-12 09:40 新闻速览 •突发!奔驰车载系统大面积崩溃 •内存泄漏漏洞意外曝光MaaS组织DanaBot内部运作 •650个IP联合暴力攻击瞄准Apache Tomcat管理面板 •Erie保险确认遭受网络攻击,导致业务中断 •Salesforce Industry Cloud曝出20个安全漏洞,包
继续阅读XML的Xpath注入攻击技术研究二
XML的Xpath注入攻击技术研究二 NEURON SAINTSEC 2025-06-12 09:40 XPath注入攻击,是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。Xpath注入攻击本质上和SQL注入攻击是类似的,都是输入一些恶意的查询等代码字符串,从而对网站进行攻击。 XPath 即为
继续阅读新形势下APT防御:挑战与策略研究
新形势下APT防御:挑战与策略研究 原创 Cismag 信息安全与通信保密杂志社 2025-06-12 09:33 编者荐语 本文深度剖析了APT攻击的核心技术特点与组织演进历程,精准点出当前防御面临的三大核心困境,并前瞻性地提出构建协同防御机制与深化人工智能赋能的双轨并进策略,为应对日益复杂严峻的APT威胁环境提供了极具价值的思路与方向。 引用本文: 杨铭 , 王静 , 刘冰洁 . 新形势下AP
继续阅读【已复现】契约锁电子签章系统远程代码执行漏洞(QVD-2025-23408)安全风险通告
【已复现】契约锁电子签章系统远程代码执行漏洞(QVD-2025-23408)安全风险通告 奇安信 CERT 2025-06-12 09:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 契约锁电子签章系统远程代码执行漏洞 漏洞编号 QVD-2025-23408 公开时间 2025-06-11 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 9.8 威胁类型 代码执行
继续阅读工业自动化PROFINET协议库P-Net 高危漏洞预警
工业自动化PROFINET协议库P-Net 高危漏洞预警 原创 xubeining 山石网科安全技术研究院 2025-06-12 09:30 攻击者只需网络访问权限,即可让工业设备宕机、CPU100%满载,甚至完全失控! 工业自动化领域广泛使用的PROFINET协议库P-Net被曝存在10个高危漏洞!Nozomi Networks Labs最新研究发现,这些漏洞可导致设备拒绝服务、内存破坏甚至完全
继续阅读