思科曝9.9分关键权限提升漏洞
思科曝9.9分关键权限提升漏洞 老布 FreeBuf 2025-01-25 02:02 近日,思科发布软件更新,解决影响会议管理的关键安全漏洞。该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。漏洞编号为CVE – 2025 – 20156,CVSS评分为9.9(满分10.0),是思科会议管理REST API中的权限提升漏洞。 思科周三在公告中称:“此漏
继续阅读月度归档: 2025 年 1 月
5th域安全微讯早报【20250125】022期
5th域安全微讯早报【20250125】022期 网空闲话 网空闲话plus 2025-01-25 01:02 2025-01-25 星期六Vol-2025-022 今日热点导读 1. 巴基斯坦加强社交媒体监管, VPN 与审查制度成焦点 PCLOB 政治化或威胁美欧关键数据隐私协议 Pwn2Own Automotive 2025 黑客大赛落幕: 49 个零日漏洞获 88.6 万美元奖金 4.
继续阅读超过 2,000 台 SonicWall 设备易受严重0day漏洞攻击
超过 2,000 台 SonicWall 设备易受严重0day漏洞攻击 会杀毒的单反狗 军哥网络安全读报 2025-01-25 01:01 导读 黑客正在利用 SonicWall 流行的 VPN 设备系列发起攻击,该系列设备存在的漏洞引发警惕。 该网络安全公司于周三发布了一份公告,警告该漏洞会影响其安全移动访问 (SMA) 1000 系列产品,许多公司使用该产品为员工提供公司网络的 VPN 访问。
继续阅读RANsacked:LTE 和 5G 网络实施中发现 100 多个安全漏洞
RANsacked:LTE 和 5G 网络实施中发现 100 多个安全漏洞 会杀毒的单反狗 军哥网络安全读报 2025-01-25 01:01 导读 研究人员披露了影响 LTE 和 5G 实施的 100 多个安全漏洞的详细信息,这些漏洞可能被攻击者利用来破坏服务访问,甚至进入蜂窝核心网络。 据佛罗里达大学和北卡罗来纳州立大学的研究人员称,这119 个漏洞被分配了 97 个唯一的 CVE 标识符,涵
继续阅读漏洞预警 | 通达OA SQL注入漏洞
漏洞预警 | 通达OA SQL注入漏洞 浅安 浅安安全 2025-01-25 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 通达OA是一款协同办公自动化软件,由北京通达信科科技有限公司自主研发,为各行业不同规模的众多用户提供信息化管理能力。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 通达OA的
继续阅读漏洞预警 | 红帆OA SQL 注入漏洞
漏洞预警 | 红帆OA SQL 注入漏洞 浅安 浅安安全 2025-01-25 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 红帆OA是红帆科技基于微软.NET最新技术开发的信息管理平台,红帆oa系统为医院提供oA功能,完成信息发布、流程审批、公文管理、日程管理、工作安排、文件传递、在线沟通等行政办公业务。 0x03 漏洞详
继续阅读漏洞预警 | 7-Zip Mark-of-the-Web绕过漏洞
漏洞预警 | 7-Zip Mark-of-the-Web绕过漏洞 浅安 浅安安全 2025-01-25 00:03 0x00 漏洞编号 – CVE-2025-0411 0x01 危险等级 – 高危 0x02 漏洞概述 7-Zip是一款免费开源文件归档应用程序,具有高压缩比,可用于压缩和解压文件,支持多种存档格式。 0x03 漏洞详情 CVE-2025-0411 漏洞类型:
继续阅读工具 | GeoServerExploit
工具 | GeoServerExploit 浅安 浅安安全 2025-01-25 00:03 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 0x00 简介 GeoServerExploit是一款针对GeoServer的漏洞利用工具。 0x01 功能说明 – CVE-2024-36401 CVE-2024-3640
继续阅读7-Zip高危漏洞曝光
7-Zip高危漏洞曝光 原创 Norsea 泷羽Sec-Norsea 2025-01-24 15:07 短发萧骚襟袖冷,稳泛沧浪空阔。 免责声明 本系列工具仅供安全专业人员进行已授权环境使用,此工具所提供的功能只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用工具中的功能对任何计算机系统进行入侵操作。利用此
继续阅读『漏洞复现』XXL-JOB 默认 accessToken 身份绕过 RCE 漏洞分析及复现
『漏洞复现』XXL-JOB 默认 accessToken 身份绕过 RCE 漏洞分析及复现 sec0nd安全 2025-01-24 15:01 点击蓝字 关注我们 日期:2025 年 1 月 23 日 作者:hdsec 介绍:XXL-JOB 默认 accessToken 身份认证绕过造成 RCE 漏洞。 0x00 前言 XXL-JOB 是一个分布式任务调度平台,常用于定时任务管理和调度。acces
继续阅读黑客攻防演练!!揭秘Sync Breeze缓冲溢出漏洞利用全过程!?
黑客攻防演练!!揭秘Sync Breeze缓冲溢出漏洞利用全过程!? 原创 泷羽Sec—边酱 泷羽Sec-边酱 2025-01-24 14:23 黑客攻防演练:揭秘Sync Breeze缓冲溢出漏洞利用全过程 在网络安全的世界里,攻防对抗时刻都在上演 今天 咱们就来揭开一个神秘的“黑客操作”——Sync Breeze缓冲溢出漏洞利用过程 的面纱。 一、发现前端限制漏洞 当我们打开Sync Bree
继续阅读山石入选车联网产品安全漏洞专业库CAVD支撑单位
山石入选车联网产品安全漏洞专业库CAVD支撑单位 车联网安全实验室 山石网科安全技术研究院 2025-01-24 12:59 2025年1月10日,由中汽数据有限公司(以下简称“中汽数据”)主办的车联网产品安全漏洞专业库(NVDB-CAVD)2024年终总结会在北京顺利召开。工业和信息化部网络安全管理局网络安全处处长袁春阳、中汽数据总经理冯屹出席会议并致辞,中汽数据信息安全室主任马超主持会议。来自
继续阅读YongYouNcTool-一款高效利用用友NC系列漏洞检测利用工具
YongYouNcTool-一款高效利用用友NC系列漏洞检测利用工具 原创 track 泷羽Sec-track 2025-01-24 12:43 声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!! 公众号后台回复25124 即可获取 往期推荐: 2024Goby红队版工具-附2024年poc合集,支持导入自定义poc库 一款功能
继续阅读phpMyAdmin 触发 XSS 攻击的安全漏洞
phpMyAdmin 触发 XSS 攻击的安全漏洞 网安百色 2025-01-24 11:30 点击上方 蓝字 关注我们吧~ 漏洞详情 phpMyAdmin 作为一个开源的数据库管理工具,允许用户通过web界面进行数据库的管理操作。安全研究人员发现,在该工具的一些功能中,输入参数未经过充分验证,从而为潜在的攻击者提供了通过网页注入恶意JavaScript代码的机会。 恶意代码可以在目标用户的浏览器
继续阅读【安全圈】斯巴鲁汽车漏洞让黑客利用 Starlink 远程控制数百万辆汽车
【安全圈】斯巴鲁汽车漏洞让黑客利用 Starlink 远程控制数百万辆汽车 安全圈 2025-01-24 11:01 关键词 安全漏洞 去年年底,斯巴鲁 STARLINK 车联网服务被发现存在严重漏洞,导致美国、加拿大和日本的数百万辆汽车和客户账户面临潜在的网络攻击。 斯巴鲁以其全轮驱动汽车、高安全评级和在赛车运动中的强大影响力而闻名。Outback 和 Forester 等热门车型为其在美国销量
继续阅读【安全圈】思科曝9.9分关键权限提升漏洞
【安全圈】思科曝9.9分关键权限提升漏洞 安全圈 2025-01-24 11:01 关键词 安全漏洞 近日,思科发布软件更新,解决影响会议管理的关键安全漏洞。 该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。 漏洞编号为CVE – 2025 – 20156,CVSS评分为9.9(满分10.0),是思科会议管理REST API中的权限提升漏洞。 思科周三
继续阅读【安全圈】GhostGPT – 黑客用来生成恶意软件和漏洞的新型 AI 黑帽工具
【安全圈】GhostGPT – 黑客用来生成恶意软件和漏洞的新型 AI 黑帽工具 安全圈 2025-01-24 11:01 关键词 网络安全 生成性人工智能的发展既为生产力带来有益变革,也带来了恶意利用的机会。 GhostGPT 是一款专为网络犯罪而创建的未经审查的 AI 聊天机器人,是该领域的最新威胁。 Abnormal Security 的研究人员发现,GhostGPT 是利用人工智能进行非
继续阅读Oracle 2025年1月补丁日多产品高危漏洞安全风险通告
Oracle 2025年1月补丁日多产品高危漏洞安全风险通告 代码卫士 2025-01-24 11:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2025年1月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2025-01-22 影响对象数量级 百万级 奇安信评级 高危 利用可能性 中 P
继续阅读斯巴鲁曝关键漏洞,凭车牌号可远程入侵汽车
斯巴鲁曝关键漏洞,凭车牌号可远程入侵汽车 Zicheng FreeBuf 2025-01-24 10:42 据Cyber Security News消息,斯巴鲁STARLINK互联汽车服务中心在2024年底被发现一个关键漏洞,美国、加拿大和日本的数百万辆汽车和车主账户可能受到网络攻击。 该安全漏洞允许攻击者使用最少的信息(如姓氏和邮政编码、电子邮件地址、电话号码或车牌)远程访问敏感的车辆和个人数据
继续阅读【漏洞预警】Elastic Fleet Server信息泄露漏洞
【漏洞预警】Elastic Fleet Server信息泄露漏洞 cexlife 飓风网络安全 2025-01-24 10:12 漏洞描述: 在Flееt Sеrvеr中发现了一个漏洞,其中包含敏感信息的Flееt策略被记录在INFO和ERROR日志级别上,敏感信息的性质在很大程度上取决于启用的集成。 影响产品:8.13.0<=Fleet Server<8.15.0 影响威胁指数:百万
继续阅读【再发一遍】新春抽奖开启!与奉天安全团队 & 禾信智安共迎新年好运!
【再发一遍】新春抽奖开启!与奉天安全团队 & 禾信智安共迎新年好运! 原创 何处 奉天安全团队 2025-01-24 10:08 “奉天安全团队 & 禾信智安” 抽奖活动 开始啦! 过去的一年,奉天安全团队从最初只有几个人,逐渐成长为一支有百名成员的团队。这一年,我们经历了无数挑战,也收获了满满的成就,我们的内部漏洞库和知识库也在逐步完善并投入运行。 如今,新春佳节来临,我们希望通
继续阅读每周蓝军技术推送(2025.1.18-1.24)
每周蓝军技术推送(2025.1.18-1.24) 原创 天元实验室 M01N Team 2025-01-24 10:01 Web安全 Cookie Sandwich:新型HttpOnly Cookie窃取技术 https://portswigger.net/research/stealing-httponly-cookies-with-the-cookie-sandwich-technique C
继续阅读特斯拉汽车被“重点关注”,Pwn2Own Automotive 2024首日曝出24个零日漏洞
特斯拉汽车被“重点关注”,Pwn2Own Automotive 2024首日曝出24个零日漏洞 看雪学苑 看雪学苑 2025-01-24 09:59 1月24日,Pwn2Own Automotive 2024黑客大赛在日本东京拉开帷幕,首日便吸引了全球顶尖安全研究人员的参与。本次比赛专注于汽车网络安全,目标包括特斯拉车载信息娱乐系统(IVI)、电动汽车充电器以及汽车操作系统等。 在首日的比赛中,S
继续阅读【免费领】新手必备!Web安全漏洞实战入门教程
【免费领】新手必备!Web安全漏洞实战入门教程 蚁景网络安全 2025-01-24 09:32 点击蓝字/关注我们 今日福利 一线大佬漏洞实战经验总结 帮助零基础新手入门,速成漏洞实战技术 全程案例解析漏洞工具、检测及注入方法 限 时 福 利 , 请 及 时 领 取 哦 ~ 该资料内容较多,无法列出全部目录,以下为节选的部分目录: 长按识别下方二维码,回复 “0124” , 免费领取~【请注意:不
继续阅读ChatGPT又全球大面积宕机,AI助手暂时”失联”;斯巴鲁系统漏洞曝光,数百万车辆面临远程解锁并启动风险 | 牛览
ChatGPT又全球大面积宕机,AI助手暂时”失联”;斯巴鲁系统漏洞曝光,数百万车辆面临远程解锁并启动风险 | 牛览 安全牛 2025-01-24 09:30 点击蓝字·关注我们 / aqniu 新闻速览 美国希望拥有TikTok 50%股份,商务部回应 ChatGPT又全球大面积宕机,AI助手暂时”失联” 人工智能辅助网络犯罪活动升级,Ghos
继续阅读新的 Cleo 零日 RCE 漏洞在数据盗窃攻击中被利用
新的 Cleo 零日 RCE 漏洞在数据盗窃攻击中被利用 邑安科技 邑安全 2025-01-24 07:43 更多全球网络安全资讯尽在邑安全 黑客正在积极利用 Cleo 托管文件传输软件中的零日漏洞来破坏公司网络并进行数据盗窃攻击。 该漏洞存在于该公司的安全文件传输产品 Cleo LexiCom、VLTrader 和 Harmony 中,该漏洞允许不受限制地上传和下载文件,从而导致远程代码执行。
继续阅读SonicWall 呼吁立即修补可能被利用的严重 CVE-2025-23006 缺陷
SonicWall 呼吁立即修补可能被利用的严重 CVE-2025-23006 缺陷 邑安科技 邑安全 2025-01-24 07:43 更多全球网络安全资讯尽在邑安全 SonicWall 提醒客户注意一个影响其安全移动访问 (SMA) 1000 系列设备的严重安全漏洞,它表示该漏洞可能已被作为零日漏洞在野外利用。该漏洞被跟踪为 CVE-2025-23006,在 CVSS 评分系统上被评为 9.8
继续阅读新的 UEFI 安全启动漏洞使系统暴露于 bootkit
新的 UEFI 安全启动漏洞使系统暴露于 bootkit 胡金鱼 嘶吼专业版 2025-01-24 06:01 即使安全启动保护处于活动状态,也可能会利用一个新的 UEFI 安全启动绕过漏洞(编号为 CVE-2024-7344)影响 Microsoft 签名的应用程序来部署 bootkit,多个第三方软件开发商的多个实时系统恢复工具中存在易受攻击的 UEFI 应用程序。 Bootkit 是一种难以
继续阅读安全保障不停歇|嘉韦思与您共度安心年
安全保障不停歇|嘉韦思与您共度安心年 嘉韦思 2025-01-24 06:00 点击蓝字 关注嘉韦思 筑牢安全防线 喜乐迎接新春 嘉韦思春节通知 甲辰龙年圆满落幕 金蛇携瑞,踏破晨霭迎新春灵蛇纳福,鞭鸣爆竹展宏图 这个辞旧迎新的时刻 我们迎来了 充满希望和活力的蛇年 嘉韦思祝大家蛇年大吉! 嘉韦思春节值班通知 为确保春节期间用户的网络安全无忧, 嘉韦思安排各部门专业人员轮流值班。 以下是春节期间值
继续阅读