Edu实战记录 | 四个漏洞打包提交
Edu实战记录 | 四个漏洞打包提交 猎洞时刻 猎洞时刻 2025-06-03 10:46 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑灰产、非法入侵、攻击
继续阅读作者: cve-20
【风险通告】Roundcube Webmail存在反序列化漏洞(CVE-2025-49113)
【风险通告】Roundcube Webmail存在反序列化漏洞(CVE-2025-49113) 安恒研究院 安恒信息CERT 2025-06-03 10:36 漏洞概述 漏洞名称 Roundcube Webmail存在反序列化漏洞(CVE-2025-49113) 安恒CERT评级 1级 CVSS3.1评分 9.9 CVE编号 CVE-2025-49113 CNVD编号 未分配 CNNVD编号 未分
继续阅读高通:速修复这三个已遭利用的 Adreno GPU 漏洞
高通:速修复这三个已遭利用的 Adreno GPU 漏洞 Ryan Naraine 代码卫士 2025-06-03 10:35 其中 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 周一,手机芯片制造商高通提醒称,专业黑客已在利用三个新修复的 Adreno GPU 漏洞,高通正在督促电话制造商立即推出可用的修复方案。 高通并未提供这些攻击的详情,不过援引“谷歌威胁分析组织的指标”提到,三个漏
继续阅读隐秘的 npm 供应链攻击:误植域名导致RCE和数据破坏
隐秘的 npm 供应链攻击:误植域名导致RCE和数据破坏 Ddos 代码卫士 2025-06-03 10:35 聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列
继续阅读加密算法被破解而导致的漏洞,能按内部已知+通用漏洞忽略吗?
加密算法被破解而导致的漏洞,能按内部已知+通用漏洞忽略吗? 原创 棉花糖糖糖 棉花糖fans 2025-06-03 10:11 今天上午某src群中有关于漏洞审核相关的讨论,相信师傅们也已经看到了,本文将打码所有相关信息,以防未知的风险。 首先是提交漏洞的师傅的消息: image-20250603172638708 随后src审核方面发了如下图片,并说:“给你解释过了 不在多余解释” image-
继续阅读CVSS10分!vBulletin远程代码执行漏洞安全风险通告
CVSS10分!vBulletin远程代码执行漏洞安全风险通告 应急响应中心 亚信安全 2025-06-03 10:03 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,vBulletin 存在两个远程代码执行漏洞,编号为 CVE-2025-48827和CVE-2025-48828。 这两个漏洞虽然在原理上有所不同,但都可以导致执行任意代码,并允许攻击者通过发送特制的请求进行利用。具体而
继续阅读小心全屏“障眼法”!苹果浏览器曝BitM攻击漏洞,登录凭证面临失窃风险!
小心全屏“障眼法”!苹果浏览器曝BitM攻击漏洞,登录凭证面临失窃风险! 原创 Hankzheng 技术修道场 2025-06-03 09:34 近期,网络安全研究机构SquareX披露,苹果Safari浏览器存在一个安全薄弱点,可被黑客利用发起一种极具欺骗性的“全屏浏览器中的中间人”(Fullscreen Browser-in-the-Middle, BitM)攻击,使用户在不知不觉中将账户凭证
继续阅读【免费领】智能设备安全干货:路由器0day漏洞实战大全
【免费领】智能设备安全干货:路由器0day漏洞实战大全 蚁景网络安全 2025-06-03 09:30 点击蓝字/关注我们 今日福利 全网稀缺的智能设备安全实战指南 案例解析路由器Web应用、栈溢出漏洞 “一站式”全面学习路由器漏洞挖掘技能 限时福利,请及时领取哦 ~ 该资料内容较多,无法列出全部目录,以下为节选的部分目录: 长按识别下方二维码 ,回复 “0603” , 免费领取 ~ (限7日内领
继续阅读CNVD漏洞周报2025年第20期
CNVD漏洞周报2025年第20期 国家互联网应急中心CNCERT 2025-06-03 09:27 2 0 2 5 年 0 5 月26 日 – 2 0 2 5 年 0 6 月01 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 高。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞425个,其中高危漏洞251个、中
继续阅读上周关注度较高的产品安全漏洞(20250526-20250601)
上周关注度较高的产品安全漏洞(20250526-20250601) 原创 CNVD CNVD漏洞平台 2025-06-03 09:13 一、境外厂商产品漏洞 1、NETGEAR RAX30缓冲区溢出漏洞 NETGEAR RAX30是美国网件(NETGEAR)公司的一个双频无线路由器。NETGEAR RAX30存 在缓冲区溢出漏洞,该漏洞源于缺乏对用户提供的数据长度进行验证,攻击者可利用该漏洞执行任
继续阅读群晖DiskStation漏洞利用:从CVE-2024-10442到远程代码执行
群晖DiskStation漏洞利用:从CVE-2024-10442到远程代码执行 原创 GKDf1sh 山石网科安全技术研究院 2025-06-03 09:11 如何从简单的空字节写入漏洞演变为远程代码执行的致命攻击? 在网络安全领域,每一个新发现的漏洞都可能成为攻击者手中的利刃。2024年10月,安全研究人员在群晖科技(Synology)的DiskStation DS1823xs+型号设备上发现
继续阅读Chrome 浏览器V8引擎越界读写漏洞(CVE-2025-5419)
Chrome 浏览器V8引擎越界读写漏洞(CVE-2025-5419) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-06-03 09:04 漏洞名称: Chrome 浏览器V8引擎越界读写漏洞(CVE-2025-5419) 组件名称: 谷歌-Chrome 影响范围: Chrome (Windows) < 137.0.7151.68 漏洞类型: 代码执行 利用条件: 1、用户认证:不需
继续阅读【AI高危漏洞预警】AstrBot路径遍历漏洞CVE-2025-48957
【AI高危漏洞预警】AstrBot路径遍历漏洞CVE-2025-48957 cexlife 飓风网络安全 2025-06-03 09:00 漏洞描述: AѕtrBоt是一个大型语言模型聊天机器人和开发框架,3.4.4到3.5.12版本中存在路径遍历漏洞,可能导致信息泄露,如LLM提供商的API密钥、账户密码和其他敏感数据,该漏洞已在Pull Rеԛuеѕt #1676中修复 ,并包含在版本3.5.
继续阅读【高危漏洞预警】YAML-LibYAML信息泄露漏洞(CVE-2025-40908)
【高危漏洞预警】YAML-LibYAML信息泄露漏洞(CVE-2025-40908) cexlife 飓风网络安全 2025-06-03 09:00 漏洞描述: YAML-LibYAML在0.903.0之前的Pеrl版本使用2-аrɡѕ ореn,允许现有文件被修改 攻击场景: 攻击者可能通过上传恶意文件,利用LoadFile函数的漏洞,导致信息泄露。 影响产品: 所有使用LoadFile函数的
继续阅读漏洞通告 | llama_Index SQL注入漏洞
漏洞通告 | llama_Index SQL注入漏洞 原创 微步情报局 微步在线研究响应中心 2025-06-03 08:49 漏洞概况 llama_Index是一个用于构建基于数据的LLM驱动代理的领先框架。 微步情报局获取到llama_Index SQL注入漏洞(CVE-2025-1750)。该漏洞由于llama_Index的DuckDBVectorStore组件中的ref_doc_id参数直
继续阅读粉丝福利*3《攻击网络协议:协议漏洞的发现+利用+保护》
粉丝福利*3《攻击网络协议:协议漏洞的发现+利用+保护》 异步图书 亿人安全 2025-06-03 08:12 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——用
继续阅读Nacos Derby命令执行漏洞利用脚本
Nacos Derby命令执行漏洞利用脚本 风铃Sec 2025-06-03 08:05 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!【文末获取工具】 0x01 工具介绍 Nacos Derby命令执行漏洞利用脚本,默认使用User-Agent绕过漏洞进行利用,支持打入 jMG 生成的内存马。 注意:-c/–memclass 参数值是jMG生成的内存马的注入
继续阅读当漏洞成为“数字战争”的弹药,谁能改写攻防规则?(文末赠书)
当漏洞成为“数字战争”的弹药,谁能改写攻防规则?(文末赠书) 0x6270安全团队 0x6270安全团队 2025-06-03 08:00 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜
继续阅读Linux崩溃报告漏洞(cve -2025- 5054,4598)暴露密码哈希
Linux崩溃报告漏洞(cve -2025- 5054,4598)暴露密码哈希 HackSee安全团队 HackSee黑望 2025-06-03 07:29 Qualys详细介绍了影响Apport和systemd-coredump等Linux崩溃报告工具的关键漏洞CVE-2025-5054和CVE-2025-4598。了解如何保护您的Ubuntu、Red Hat和Fedora系统。 Qualys的
继续阅读【漏洞通告】Google Chrome越界读写漏洞安全风险通告
【漏洞通告】Google Chrome越界读写漏洞安全风险通告 嘉诚安全 2025-06-03 07:26 漏洞背景 近日,嘉诚安全 监测到 Google Chrome越界读写漏洞,漏洞编号为: CVE-2025-5419 。 Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaS
继续阅读SRC实战篇-还在交Druid的低危漏洞?
SRC实战篇-还在交Druid的低危漏洞? 原创 lvwv1 OneTS安全团队 2025-06-03 07:00 声明 本文属于OneTS安全团队成员lvwv1 的原创文章,转载请声明出处!本文章仅用于学习交流使用,因利用此文信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,OneTS安全团队及文章作者不为此承担任何责任。 使用ARL-plus框框一顿扫得到资产 http://IP:4
继续阅读【漏洞预警】Google Chrome 越界读写漏洞(CVE-2025-5419)
【漏洞预警】Google Chrome 越界读写漏洞(CVE-2025-5419) 原创 聚焦网络安全情报 安全聚 2025-06-03 05:29 高 危 公 告 近日,安全聚实验室监测到 Google Chrome 存在越界读写漏洞 ,编号为:CVE-2025-5419,CVSS:8.8 攻击者可构造特定代码触发内存越界访问,从而读取或写入超出预期范围的内存区域,绕过 Chrome 的沙箱隔
继续阅读搭建靶场、Windows/Linux系统安全、sql注入、XSS、代码审计/RCE、木马免杀、暴力破解、SSRF、提权
搭建靶场、Windows/Linux系统安全、sql注入、XSS、代码审计/RCE、木马免杀、暴力破解、SSRF、提权 计算机与网络安全 2025-06-03 04:57 渗透测试工程师(高级) 5天直播课 (6月29号,7月5、6、12、13号) 线上考试,2周左右下证 终身有效,无需维持 扫码报名咨询 618抽奖 抽奖礼品为iPhone16、618元现金红包 第一波:5月31 日中午 12:0
继续阅读突发!朝鲜Lazarus集团突袭韩国多行业,“同步漏洞行动”掀起网络暗战!
突发!朝鲜Lazarus集团突袭韩国多行业,“同步漏洞行动”掀起网络暗战! 原创 紫队 紫队安全研究 2025-06-03 03:59 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 在朝鲜半岛局势持续紧
继续阅读【已发现在野利用】Google Chrome 越界读写漏洞(CVE-2025-5419)安全风险通告
【已发现在野利用】Google Chrome 越界读写漏洞(CVE-2025-5419)安全风险通告 奇安信 CERT 2025-06-03 03:15 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome 越界读写漏洞 漏洞编号 QVD-2025-21836,CVE-2025-5419 公开时间 2025-06-02 影响量级 千万级 奇安信评级 高危
继续阅读【CVE-2025-20188】思科 RCE 漏洞分析
【CVE-2025-20188】思科 RCE 漏洞分析 原创 骨哥说事 骨哥说事 2025-06-03 03:02 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4395 **不想错过任何消息?设置星标↓ ↓
继续阅读稀土掘金 x Trae 夏日寻宝之旅开启:做任务得积分兑大疆pocket3、Apple watch等豪礼
稀土掘金 x Trae 夏日寻宝之旅开启:做任务得积分兑大疆pocket3、Apple watch等豪礼 稀土掘金 字节跳动技术团队 2025-06-03 02:53 各位开发者们注意啦!一场专属于你们的宝藏盛宴已经开启!稀土掘金 携手 Trae 倾力打造的「寻宝之旅」活动正式上线啦! 只要你参与并体验,完成一系列简单的任务,就能轻松积累积分,兑换超多心仪礼品。 是不是已经迫不及待想要加入这场寻
继续阅读高通Adreno GPU零日漏洞遭利用,全球安卓用户面临攻击风险
高通Adreno GPU零日漏洞遭利用,全球安卓用户面临攻击风险 黑白之道 2025-06-03 02:22 移动芯片制造商高通(Qualcomm)近日紧急发布安全补丁,修复其Adreno GPU驱动程序中三个正在被积极利用的关键零日漏洞(zero-day vulnerability),这些漏洞已被用于针对全球安卓用户的定向攻击。 漏洞技术细节 被标记为CVE-2025-21479和CVE-202
继续阅读Realtek蓝牙HCI适配器驱动程序0day漏洞披露,攻击者可删除Windows任意文件
Realtek蓝牙HCI适配器驱动程序0day漏洞披露,攻击者可删除Windows任意文件 会杀毒的单反狗 军哥网络安全读报 2025-06-03 01:00 导读 Realtek 蓝牙主机控制器接口 (HCI) 适配器中发现了一个高严重性安全漏洞,这引起了设备制造商和最终用户的极大担忧。 该漏洞编号为CVE-2024-11857,于 2025 年 6 月 2 日披露。该漏洞允许具有标准用户权限的
继续阅读高通警告黑客正在利用三个新修补的 Adreno GPU 漏洞
高通警告黑客正在利用三个新修补的 Adreno GPU 漏洞 会杀毒的单反狗 军哥网络安全读报 2025-06-03 01:00 导读 移动芯片制造商高通公司周一警告称,专业黑客已经在利用三个新修补的 Adreno GPU 漏洞,该公司正在敦促手机制造商立即推出可用的修复程序。 该公司没有提供有关攻击的详细信息,但引用了“谷歌威胁分析小组的迹象”,即三个漏洞(CVE-2025-21479、CVE-
继续阅读