谷歌披露威胁组织攻击方式:伪造Salesforce数据加载器实施钓鱼攻击
谷歌披露威胁组织攻击方式:伪造Salesforce数据加载器实施钓鱼攻击 邑安科技 邑安全 2025-06-05 09:30 更多全球网络安全资讯尽在邑安全 谷歌近日披露了一个以经济利益为动机的威胁组织UNC6040的详细情况。该组织专门通过语音钓鱼(vishing)攻击入侵企业的Salesforce系统,实施大规模数据窃取和后续勒索活动。 冒充IT支持人员的社交工程攻击 谷歌威胁情报团队追踪发现
继续阅读作者: cve-20
百万奖金池!ByteSRC全域3倍积分!单个漏洞赏金15万!
百万奖金池!ByteSRC全域3倍积分!单个漏洞赏金15万! 字节跳动安全中心 2025-06-05 09:21 互动有礼 分享本文至朋友圈/白帽社群 扫码抽奖(移动端请点击图片,左滑扫码抽奖) 选3位小伙伴送出ByteSRC定制充电宝
继续阅读【漏洞通告】DataEase远程代码执行漏洞安全风险通告
【漏洞通告】DataEase远程代码执行漏洞安全风险通告 嘉诚安全 2025-06-05 08:42 漏洞背景 近日,嘉诚安全 监测到 DataEase远程代码执行漏洞,漏洞编号为: CVE-2025-48999、CVE-2025-49001、CVE-2025-49002 。 DataEase是一款开源的数据分析平台,提供丰富的数据可视化和分析功能,帮助用户轻松地进行数据探索和决策支持。 鉴于漏洞
继续阅读【高危漏洞预警】Dataease JWT认证绕过&H2数据库远程代码执行漏洞
【高危漏洞预警】Dataease JWT认证绕过&H2数据库远程代码执行漏洞 cexlife 飓风网络安全 2025-06-05 08:22 1.Dataease JWT 认证绕过漏洞(CVE-2025-49001) 漏洞描述: DаtаEаѕе是一个开源的业务智能和数据可视化工具,它允许用户通过图形化界面对数据进行分析和展示,在版本2.10.10之前,该工具的密钥验证未能正确实施,导致
继续阅读【已复现】DataEase 远程代码执行漏洞(CVE-2025-49002、CVE-2025-49001)
【已复现】DataEase 远程代码执行漏洞(CVE-2025-49002、CVE-2025-49001) 长亭安全应急响应中心 2025-06-05 08:06 DataEase是一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 2025年6月, 互联网 公开 披露 DataEase 存在多个高危漏洞(CVE-2025-48999、CVE-2025
继续阅读Roundcube ≤ 1.6.10 通过 PHP 对象反序列化进行身份验证后 RCE
Roundcube ≤ 1.6.10 通过 PHP 对象反序列化进行身份验证后 RCE Ots安全 2025-06-05 07:58 2025年6月5日,网络安全研究人员Kirill Firsov披露了Roundcube webmail(版本1.1.0至1.6.10)中的一个严重远程代码执行(RCE)漏洞,编号CVE-2025-49113。该漏洞源于PHP对象反序列化机制中的缺陷,存在于Round
继续阅读创宇安全智脑 | Cisco IOS XE 任意文件上传(CVE-2025-20188)等81个漏洞可检测
创宇安全智脑 | Cisco IOS XE 任意文件上传(CVE-2025-20188)等81个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-06-05 07:51 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实
继续阅读Jenkins未授权访问-命令执行漏洞复现及修复方案
Jenkins未授权访问-命令执行漏洞复现及修复方案 徐志洋 玄武盾网络技术实验室 2025-06-05 07:49 作者:徐志洋 声明: 技术仅用于学术交流,请遵守《网络安全法》,严禁将此文中工具和技术用于非法攻击测试。 一、背景 Jenkins 是一款功能强大的应用工具,支持跨平台实现项目的持续集成与持续交付。作为开源代码工具,其能够胜任各类构建任务或持续集成工作。通过集成 Jenkins,可
继续阅读CVE-2025–4123 | Grafana SSRF和账户接管漏洞分析
CVE-2025–4123 | Grafana SSRF和账户接管漏洞分析 白帽子左一 白帽子左一 2025-06-05 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 摘要 开放重定向是指当一个网页应用程序接收一个URL参数并将用户重定向到该指定URL时,未对其进行验证的情况。 /redirect?url=ht
继续阅读【已复现】DataEase 远程代码执行漏洞(CVE-2025-49001、CVE-2025-49002)安全风险通告
【已复现】DataEase 远程代码执行漏洞(CVE-2025-49001、CVE-2025-49002)安全风险通告 奇安信 CERT 2025-06-05 03:43 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 DataEase 远程代码执行漏洞 漏洞编号 CVE-2025-49001、CVE-2025-49002 公开时间 2025-06-03 影响量级 万级 奇安信
继续阅读信息安全漏洞周报(2025年第22期)
信息安全漏洞周报(2025年第22期) 原创 CNNVD CNNVD安全动态 2025-06-05 03:39 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年5月26日至2025年6月1日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞460个。 接报漏洞情况 本周CNNVD接报漏洞7460个,其中信息技术产品漏洞(通用型漏洞)272个,网络
继续阅读Windows RAR/ZIP解压缩泄露NTLM哈希漏洞复现
Windows RAR/ZIP解压缩泄露NTLM哈希漏洞复现 白帽子 2025-06-05 03:39
继续阅读微步情报局发现DataEase存在多个高危漏洞,可实现RCE
微步情报局发现DataEase存在多个高危漏洞,可实现RCE 原创 微步情报局 微步在线研究响应中心 2025-06-05 03:30 漏洞概况 DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据、洞察业务趋势,从而支持业务改进和优化。 微步情报局挖掘到DataEase 多个高危漏洞,包括CVE-2025-48999,CVE-2025-49001,CVE-2025-4900
继续阅读你的服务器在裸奔吗?高危漏洞、端口和弱口令,哪个才是压死骆驼的最后一根稻草?
你的服务器在裸奔吗?高危漏洞、端口和弱口令,哪个才是压死骆驼的最后一根稻草? 龙哥网络安全 龙哥网络安全 2025-06-05 03:00 开篇:安全这事儿,别当耳旁风 高危漏洞、高危端口、弱口令,这三个词儿,在网络安全圈里简直就是“老生常谈”。但“老生常谈”不代表不重要,相反,它们就像潜伏在你家后院的三颗定时炸弹,随时可能给你来个“惊喜”。 别以为只有黑客才会关注这些,作为一名有责任感的网管/运
继续阅读0Day漏洞曝光!多媒体综合业务显示系统面临严峻挑战
0Day漏洞曝光!多媒体综合业务显示系统面临严峻挑战 原创 禾小盾 数字人才创研院 2025-06-05 02:45 点击上方 蓝字 关注我们 BEGINNING OF SPRING 由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送文章,敬请大家动动手指设置“星标”,完成之后可以第一时间收到推送啦。 0x01 阅读须知 Reading Instruction
继续阅读WebShell 再进化:无需 cmd.exe 实现任意命令执行
WebShell 再进化:无需 cmd.exe 实现任意命令执行 原创 专攻.NET安全的 dotNet安全矩阵 2025-06-05 02:38 在红队渗透测试中,绕过安全防护机制以实现隐蔽的命令执行是关键策略之一。 传统的命令执行方式,如调用 cmd.exe ,常常被现代安全产品识别和拦截。 为应对这一挑战,Sharp4WebCmdPlus2 工具应运而生。 该工具完全不依赖 cmd.exe
继续阅读spring内存马-Interceptor构造
spring内存马-Interceptor构造 轩公子谈技术 2025-06-05 01:53 spring内存马-Interceptor构造 环境搭建 方便调试代码,创建一个自定义的 Interceptor筛选器 import org.springframework.web.bind.annotation.*; import org.springframework.web
继续阅读HVV护网行动 | 分享最近攻防演练HVV漏洞复盘
HVV护网行动 | 分享最近攻防演练HVV漏洞复盘 安小圈 2025-06-05 00:46 安小圈 第680期 – HW必备:50个应急响应常用命令速查手册一(实战收藏) HW必备:50个应急响应常用命令速查手册二(实战收藏) 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的
继续阅读漏洞预警 | Google Chrome越界读写漏洞
漏洞预警 | Google Chrome越界读写漏洞 浅安 浅安安全 2025-06-05 00:00 0x00 漏洞编号 – # CVE-2025-5419 0x01 危险等级 – 高危 0x02 漏洞概述 Google Chrome V8是一个高效的开源JavaScript引擎,用于Chrome浏览器和Node.js等平台。 0x03 漏洞详情 CVE-2025-541
继续阅读漏洞预警 | 傲发办公通信专家系统SQL注入漏洞
漏洞预警 | 傲发办公通信专家系统SQL注入漏洞 浅安 浅安安全 2025-06-05 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 傲发办公通信专家系统是由深圳市傲发科技有限公司推出的,集协同办公、通信管理、客户管理等多种功能于一体,为中小企业提供一站式融合通信服务,助力企业提升办公效率、降低通信成本的综合办公通信解决方案
继续阅读如何快速挖掘高质量安全漏洞
如何快速挖掘高质量安全漏洞 计算机与网络安全 2025-06-04 23:57 扫码加入知识星球: 网络安全攻防(HVV) 下载本篇和全套资料 | –
继续阅读最新xxl-job综合漏洞检测利用工具|漏洞探测
最新xxl-job综合漏洞检测利用工具|漏洞探测 pureqh 渗透安全HackTwo 2025-06-04 16:01 0x01 工具介绍 xxl-job-attack 是一个用于检测和利用 XXL-JOB 系统漏洞的综合工具。该工具可以检测默认口令、未授权的Hessian反序列化漏洞、Executor未授权命令执行漏洞和默认accessToken身份绕过等问题。它支持通过内存马(如冰蝎Fil
继续阅读CNVD通用型漏洞挖掘-app逻辑缺陷的两个挖掘案例
CNVD通用型漏洞挖掘-app逻辑缺陷的两个挖掘案例 Z2O安全攻防 2025-06-04 14:40 大家都说web的难挖,又要十个案例才能下发证书,那就挖app吧,不需要案例,因为本身app就是一对多的用户关系,能够影响到别的用户即可 (以下漏洞都已提交了CNVD) 01 任意用户密码重置漏洞 通过日常的爱企业查高级查询导出5000万以上企业,并筛选有app应用的,随机开始挑选软柿子来捏 通过
继续阅读Vul情报 | CVE-2025-4123 漏洞(附EXP)
Vul情报 | CVE-2025-4123 漏洞(附EXP) 渗透Xiao白帽 2025-06-04 14:34 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 Grafana是Grafana开源的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析Graphite、InfluxDB和Promet
继续阅读【AI高危漏洞预警】llama_index DuckDBVectorStore SQL注入漏洞CVE-2025-1750
【AI高危漏洞预警】llama_index DuckDBVectorStore SQL注入漏洞CVE-2025-1750 cexlife 飓风网络安全 2025-06-04 14:24 漏洞描述: llаmа_Indех是一个用于构建基于数据的LLM驱动代理的领先框架,该漏洞由于llаmа_Indех的DuсkDBVесtоrStоrе组件中的rеf_dос_id参数直接执行攻击者传递的恶意SQL
继续阅读【高危漏洞预警】Roundcube Webmail upload.php _from反序列化代码执行漏洞
【高危漏洞预警】Roundcube Webmail upload.php _from反序列化代码执行漏洞 cexlife 飓风网络安全 2025-06-04 14:24 漏洞描述: Roundcube Webmail是一个邮件服务器,CVE-2025-49113中,在1.5.10之前和低于1.6.11的1.6.x版本中,由于在program/actions/settings/upload.php文
继续阅读唯德科创 IPEasy 知易通 DownloadFile 任意文件下载漏洞
唯德科创 IPEasy 知易通 DownloadFile 任意文件下载漏洞 HK安全小屋 2025-06-04 13:28 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 唯徳知识产权管理系统 DownloadFileWordTe
继续阅读M7s UI download 任意文件读取漏洞
M7s UI download 任意文件读取漏洞 Superhero Nday Poc 2025-06-04 12:33 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 M7s UI /api/logrota
继续阅读M7s UI open 任意文件读取漏洞
M7s UI open 任意文件读取漏洞 Superhero Nday Poc 2025-06-04 12:10 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 M7s UI /api/logrotate/o
继续阅读