【漏洞预警】Grafana未授权跨站点脚本攻击xss和SSRF漏洞(CVE-2025-4123) PokerSec PokerSec 2025-05-26 11:11 先关注,不迷路. 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞介绍
继续阅读【安全圈】ViciousTrap 利用思科漏洞操控全球 5,300 台设备构建蜜罐监控网络 安全圈 2025-05-26 11:00 关键词 安全漏洞 名为“ViciousTrap”的攻击者团伙被曝已攻陷全球 84 个国家近 5,300 台网络边缘设备,并将其构建成一个类似蜜罐的监控网络。 网络安全研究人员指出,该团伙利用思科多款小型企业路由器(包括 RV016、RV042、RV042G、RV08
继续阅读首次利用OpenAI o3模型发现Linux内核零日漏洞 安全内参 2025-05-26 10:46 关注我们 带你读懂网络安全 12000行代码看100遍揪出,无需调用任何工具,修复方案也比人类好。 AI成功找到Linux安全漏洞,还是内核级别的零日漏洞 。 刚刚,OpenAI总裁转发了独立研究员 Seen Heelan的实验成果:用o3模型找到了Linux内核SMB实现中的一个远程零日漏洞。
继续阅读OpenAI大语言模型漏洞挖掘 点击关注→ 智探AI应用 2025-05-26 10:15 该事件引发了业内广泛关注,标志着AI在漏洞挖掘领域的实用能力正从理论走向现实。 来源|安全客 以下为全文 近日,一个编号为CVE-2025-37899的Linux内核0Day漏洞被披露。不同于传统由人类安全研究员或自动化工具挖掘,本次漏洞的发现者是OpenAI最新发布的大语言模型ChatGPT o3。该事件
继续阅读黑客组织ViciousTrap利用思科漏洞入侵84个国家,构建全球蜜罐网络 FreeBuf 2025-05-26 10:15 网络安全研究人员近日披露,一个代号为ViciousTrap的威胁组织已入侵全球84个国家近5300台网络边缘设备,将其改造成类蜜罐网络。该组织利用思科小型企业路由器(型号包括RV016、RV042、RV042G、RV082、RV320和RV325)的关键漏洞CVE-2023
继续阅读每周网安资讯 (5.20-5.26)| Poedit 安全漏洞 交大捷普 2025-05-26 10:14 2025[ 每周网安资讯 ]5.20-5.26 网安资讯 1、中央网信办等三部门印发《2025年深入推进IPv6规模部署和应用工作要点》 近日,中央网信办、国家发展改革委、工业和信息化部联合印发《2025年深入推进IPv6规模部署和应用工作要点》(以下简称《工作要点》)。《工作要点》要求,坚
继续阅读浅析SpringBoot框架常见未授权访问漏洞 Jack 黑曜网安实验室 2025-05-26 10:07 星标公众号可大图观看! 前言 在对 Java 站点进行渗透测试的过程中,经常会遇见各类未授权访问漏洞,本文来总结学习下常见的几类未授权访问漏洞的检测和利用方法。 SpringBoot 站点的简单识别方法: 1) 通过 API 接口的 Web 服务。通俗的来讲,Swagger 就是将项目中所有
继续阅读历史首次!o3找到Linux内核零日漏洞,12000行代码看100遍揪出,无需调用任何工具 网络安全与人工智能研究中心 2025-05-26 09:51 AI成功找到Linux安全漏洞,还是内核级别的零日漏洞 。 刚刚,OpenAI总裁转发了独立研究员 Seen Heelan的实验成果:用o3模型找到了Linux内核SMB实现中的一个远程零日漏洞。 更让人惊讶的是,整个过程中没有用到任何复杂的工具
继续阅读安全热点周报:Ivanti EPMM 远程代码执行漏洞已被利用于有限的攻击中 奇安信 CERT 2025-05-26 09:45 安全资讯导视 • 零售巨头马莎百货因勒索攻击运营中断数月,预计损失近30亿元 • 超1.84亿条账号密码泄露,涉苹果、谷歌、小米等众多知名公司 • 国内一打印机品牌官方软件感染窃密木马超半年 PART01 新增在野利用 1.MagicINFO 任意文件上传漏洞(CVE
继续阅读地盘战打响,DragonForce争夺勒索软件市场主导权;AI助手DIANNA首次成功识别大语言模型生成的恶意软件 | 牛览 安全牛 2025-05-26 09:32 新闻速览 •《网络交易平台收费行为合规指南》面向社会征求意见 •FBI警告:SRG索团伙针对律师事务所发动攻击 •国际”终局行动”重创恶意软件生态系统:DanaBot被瓦解,QakBot头目被起诉 • DIA
继续阅读漏洞通告 | Grafana 开放重定向与服务端请求伪造漏洞 原创 微步情报局 微步在线研究响应中心 2025-05-26 09:01 漏洞概况 Grafana 是一个开源分析平台,用于可视化来自 Prometheus 和 InfluxDB 等来源的数据。 微步情报局获取到Grafana 开放重定向与服务端请求伪造漏洞情报(CVE-2025-4123、CNNVD-202505-3274)。该漏洞由
继续阅读Windows Server 2025 “BadSuccessor”漏洞解析:dMSA 新特性反成“权限赠予后门”,域控一击即溃 原创 Hankzheng 技术修道场 2025-05-26 09:00 大家好!安全攻防的战场上,意想不到的“友军火力”往往最为致命。Windows Server 2025 被寄予厚望用以加固防线的新特性——委派托管服务账户 (dMSA),竟被曝出存在一个名为 “Bad
继续阅读上周关注度较高的产品安全漏洞(20250519-20250525) 原创 CNVD CNVD漏洞平台 2025-05-26 08:28 一、境外厂商产品漏洞 1、Google Chrome安全绕过漏洞(CNVD-2025-10056) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 136.0.7103.59之前版本存在安全绕过漏洞,该漏洞源
继续阅读CNVD漏洞周报2025年第19期 原创 CNVD CNVD漏洞平台 2025-05-26 08:28 2 0 2 5 年 0 5 月1 9 日 – 2 0 2 5 年 0 5 月25 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞315个,其中高危漏洞169个
继续阅读关键基础设施遭受攻击:漏洞成为黑客首选武器 数世咨询 2025-05-26 08:00 黑客越来越多地利用漏洞来入侵关键基础设施系统 。IBM X-Force 的数据显示,去年其响应的安全事件中,70%发生在关键基础设施领域,其中超过四分之一是通过漏洞利用实现的。 IBM X-Force 战略威胁分析经理 Michelle Alvarez 表示:“过去一年,我们观察到攻击手段持续转向身份攻击,尤其
继续阅读Pichome 任意文件读取漏洞 (CVE-2025-1743) Superhero Nday Poc 2025-05-26 07:56 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 Pichome ind
继续阅读工具 | 漏洞挖掘小工具-SeeMore 渗透安全团队 2025-05-26 07:05 介绍 1、在某系统发现在导入文件时,文件内容没有进行过滤导致存储型xss注入,可以发送任何人或提交模板(管理员会审查)危害挺大的,然后提交漏洞后他进行了修复。 2、但是 程序员只是将导入功能的元素添加”display: none;”隐藏起来了, 但是这个功能还是存在,所以可以通过将&#
继续阅读AI首次独立发现Linux内核可利用0Day漏洞 安全客 2025-05-26 06:45 近日,一个编号为CVE-2025-37899 的Linux内核0Day漏洞 被披露。不同于传统由人类安全研究员或自动化工具挖掘,本次漏洞的发现者是OpenAI 最新发布的大语言模型ChatGPT o3 。该事件引发了业内广泛关注,标志着AI在漏洞挖掘领域的实用能力正从理论走向现实 。 漏洞概述 CVE-20
继续阅读【1day】某无提示云挖矿4链盗u系统前台文件上传漏洞 原创 Mstir 星悦安全 2025-05-26 05:52 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 项目编号:10033 内部编号:XY-101547 无授权提示云挖矿4链盗u系统,修复后台无法登录问题,代码全开源无后门,优化后台模板 修复刷新余额报错问题,去授权提示 带最新4链提币接口 后台可直接提币. Fofa
继续阅读车联网安全 | 通过API漏洞控制全球日产LEAF车辆功能 白帽子左一 白帽子左一 2025-05-26 04:03 小编寄语:虽然是很老的报告,但小编认为在当下仍然具有启发意义 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 上个月,我在挪威为 ProgramUtvikling 做了一场培训,他们是我非常喜欢的 NDC
继续阅读黑客宣称利用 API 接口漏洞窃取 12 亿 Facebook 用户记录 三沐 三沐数安 2025-05-26 03:15 背景: 攻击者声称通过滥用Meta旗下Facebook的应用程序接口(API)非法获取了包含12亿条用户记录的数据库,并将该数据集发布于知名数据泄露论坛。 若得到证实,这将成为Facebook历史上最大规模的数据泄露事件之一。 网络安全媒体Cybernews研究团队对攻击
继续阅读“国补”政策下的黑色产业链分析报告:黑灰产如何利用漏洞套取补贴? 数说安全 2025-05-26 02:50 2024 年起,消费品以旧换新的国家补贴政策,下文简称“国补”政策,在汽车、数码、家电三大领域全面推行,以推动消费升级、节能减排等。活动补贴力度显著,如新能源车补贴 2 万元,数码产品补贴 15%,覆盖多个电商线上平台及线下品牌门店。 在政策红利背后,也存在套取补贴获利的行为;为防止黑灰产
继续阅读AI 赋能漏洞变种分析:从已知到未知,Hacktron 发现 Ivanti EPMM 新攻击向量的启示 原创 JunYi 毅心安全 2025-05-26 02:47 AI 赋能漏洞变种分析:从已知到未知,Hacktron 发现 Ivanti EPMM 新攻击向量的启示 漏洞原文 https://www.hacktron.ai/blog/posts/ivanti-epmm-variant-analy
继续阅读一款专为安全研究人员和白帽子设计的漏洞赏金工具 黑白之道 2025-05-26 01:56 0x01 工具介绍 漏洞赏金工具是一款专为安全研究人员和白帽子黑客设计的图形化渗透测试工具集。它集成了多个常用的安全测试工具,提供了直观的用户界面,让漏洞挖掘变得更加简单和高效。 0x02 主要特性 🎨 美观的图形界面 支持多种主题切换(超级英雄风、赛博朋克、暗黑模式等) 实时日志输出展示 简洁直观的工具选
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 赤弋安全团队 2025-05-26 01:48 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 赤弋安全团队 2025-05-26 01:48 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 赤弋安全团队 2025-05-26 01:48 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 赤弋安全团队 2025-05-26 01:48 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是
继续阅读PHP中的session漏洞利用 船山信安 2025-05-26 01:47 前言 同样是以前在学习PHP安全相关的时候,针对php中session的利用。 session反序列化 session的存储机制 php <?php error_reporting(0); echo "serialize_handler: ".ini_get("session.seri
继续阅读APT组织利用 Ivanti 漏洞攻击关键部门 会杀毒的单反狗 军哥网络安全读报 2025-05-26 01:01 导读 据 EclecticIQ 报道,一个网络黑客组织利用最近的两个 Ivanti Endpoint Manager Mobile (EPMM) 漏洞,针对欧洲、北美和亚太地区的关键部门发动攻击。 这两个漏洞的严重程度为中等,分别为 CVE-2025-4427 和 CVE-2025-
继续阅读