Confluence OGNL注入漏洞复现(CVE-2022-26134)
Confluence OGNL注入漏洞复现(CVE-2022-26134) 原创 Hacker 0xh4ck3r 2025-01-23 03:20 Confluence OGNL注入漏洞复现(CVE-2022-26134) 影响范围 Confluence Server&Data Center ≥ 1.3.0 Atlassian Confluence Server and Data Cent
继续阅读月度归档: 2025 年 1 月
目前2025汽车Pwn2Own大会产生16个0day漏洞
目前2025汽车Pwn2Own大会产生16个0day漏洞 独眼情报 2025-01-23 03:19 在东京大展览馆举办的2025汽车Pwn2Own大会今天开幕,展示了汽车网络安全研究的前沿技术。 首日,白帽黑客在车载信息娱乐系统(IVI)、电动车充电桩和操作系统中成功利用了16个此前未知的漏洞。大会向参与者颁发了高达382,750美元的奖金。 第一天的重要亮点 本次比赛呈现出成功、重复和失败并存
继续阅读【吃瓜】支付巨头万事达卡DNS错误存在多年,还不承认漏洞危害
【吃瓜】支付巨头万事达卡DNS错误存在多年,还不承认漏洞危害 独眼情报 2025-01-23 03:19 支付卡巨头万事达刚刚修复了域名服务器设置中的一个明显错误。通过注册一个未使用的域名,攻击者本可拦截或转移该公司的互联网流量。这一配置错误持续了近五年,直到一位安全研究员花费300美元注册了这个域名,防止被网络犯罪分子利用。 2025 年 1 月 14 日对域名 az.mastercard.co
继续阅读Tomcat 弱密码检测与漏洞利用工具
Tomcat 弱密码检测与漏洞利用工具 ZapcoMan 夜组科技圈 2025-01-23 02:53 公众号现在只对常读和星标的才展示大图推送, 建议大家把 夜组科技圈 设为 星标 ,接收一手资讯! 工具介绍 TomcatScan 是一个用于检测 Tomcat 服务器漏洞的工具,支持以下主要功能: – 检测 CVE-2017-12615 和 CNVD-2020-10487 漏洞。
继续阅读喜讯 | 金盾检测入选为2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位
喜讯 | 金盾检测入选为2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位 金盾检测股份 2025-01-23 02:09 2025年1月,工业和信息化部移动互联网APP产品安全漏洞专业库(以下简称CAPPVD漏洞库)根据《CAPPVD漏洞库支撑单位能力评定办法》,经过对各支撑单位在2024年度的支撑情况开展能力评定,最终确定34家单位入选为2025年度CAPPVD漏洞库支撑单位,
继续阅读Cloudflare CDN漏洞泄露用户位置数据,即使是通过安全聊天应用程序
Cloudflare CDN漏洞泄露用户位置数据,即使是通过安全聊天应用程序 SOC 赛欧思安全研究实验室 2025-01-23 02:05 Cloudflare CDN 漏洞泄露用户位置数据,即使是通过安全聊天应用程序 CVE-2025-23083:Node.js 漏洞暴露敏感数据和资源 黑客利用 MSI 包和 PNG 文件来传播多阶段恶意软件 思科警告:PoC 漏洞利用代码存在拒绝服务缺陷 P
继续阅读工具 | 一款替代Frp完美消除网络特征的内网穿透神器
工具 | 一款替代Frp完美消除网络特征的内网穿透神器 howmp HACK之道 2025-01-23 02:00 介绍 grs是一个反向socks5代理,其中grss和grsc和grsu是通过REALITY协议通信。相对于frp,nps等内网穿透工具有以下特点: 完美消除网络特征 防止服务端被主动探测 客户端和用户端内嵌配置,不需要命令行或额外配置文件 使用教程 grs共有3个程序,分别代表着以
继续阅读7-Zip高危漏洞CVE-2025-0411 poc 攻击者可绕过安全机制远程执行代码
7-Zip高危漏洞CVE-2025-0411 poc 攻击者可绕过安全机制远程执行代码 原创 棉花糖糖糖 棉花糖fans 2025-01-23 01:39 前言 前两天全网都在发一个7z的cve,编号为: image-20250123090624466 相关poc在github公开,地址: https://github.com/dhmosfunk/7-Zip-CVE-2025-0411-POC 复
继续阅读高危预警!思科ClamAV漏洞PoC代码公开,多款终端安全产品告急
高危预警!思科ClamAV漏洞PoC代码公开,多款终端安全产品告急 原创 Hankzheng 技术修道场 2025-01-23 01:36 漏洞速报 思科今日紧急发布安全更新,修复其ClamAV反病毒引擎中高危拒绝服务漏洞(CVE-2025-20128) 。该漏洞源于OLE2文件解密模块的堆缓冲区溢出缺陷 ,攻击者可通过投递恶意文件触发扫描进程崩溃,导致企业终端防护陷入瘫痪! ⚠️ 关键风险点 :
继续阅读漏洞预警 | 广联达Linkworks信息泄露漏洞
漏洞预警 | 广联达Linkworks信息泄露漏洞 浅安 浅安安全 2025-01-23 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 广联达Linkworks办公OA是一款综合办公自动化解决方案,旨在提高组织内部的工作效率和协作能力。它提供了一系列功能和工具,帮助企业管理和处理日常办公任务、流程和文档。 0x03 漏洞详情
继续阅读奥威亚教育视频云平台VideoCover存在任意文件上传漏洞
奥威亚教育视频云平台VideoCover存在任意文件上传漏洞 原创 骇客安全 骇客安全 2025-01-22 16:01 一、漏洞简介 奥威亚教育视频云平台是 一种教育技术解决方案,致力于提供高质量的在线教育视频服务。该平台为教育机构和教师提供了一个全面的视频管理和交流平台。奥威亚教育视频云平台VideoCover存在任意文件上传漏洞,攻击者可通过该漏洞获取服务器权限。 二、影响版本 奥威亚教育视
继续阅读OWASP 2025年十大漏洞
OWASP 2025年十大漏洞 铸盾安全 河南等级保护测评 2025-01-22 16:00 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键 漏洞 的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安全性的重要性从未如此明显。最新列表反
继续阅读Burpsuite插件 | 快速探测可能存在SQL注入漏洞
Burpsuite插件 | 快速探测可能存在SQL注入漏洞 saoshao 星落安全团队 2025-01-22 16:00 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 DetSql 是基于 BurpSuite Java 插件 API 开发的 SQL 注入探测插件,主要作用为快速从 http
继续阅读【漏洞预警】pearProjectApi存在SQL注入漏洞
【漏洞预警】pearProjectApi存在SQL注入漏洞 cexlife 飓风网络安全 2025-01-22 14:42 漏洞描述: pearProjectApi v2.8.10被发现通过project.php中的organizationCode 参数包含SQL注入漏洞。 修复方案: 升级到最新版本
继续阅读【漏洞预警】YesWiki 存在经过身份验证的任意文件删除漏洞(CVE-2025-24019)
【漏洞预警】YesWiki 存在经过身份验证的任意文件删除漏洞(CVE-2025-24019) cexlife 飓风网络安全 2025-01-22 14:42 漏洞描述: YesWiki是一个用PHP编写的wiki系统,在包括4.4.5版本在内的早期版本中,任何经过身份验证的用户都可以使用文件管理器删除主机上由运行FastCGI Process Manager(FPM)的用户所拥有的任何文件,而对
继续阅读CTF:Phar反序列化漏洞学习笔记
CTF:Phar反序列化漏洞学习笔记 sec0nd安全 2025-01-22 13:00 使用phar://伪协议读取文件时,文件会被解析成phar对象,phar对象内的以反序列化形式存储的用户自定义元数据信息会被反序列化。 影响函数 pha r结构 phar 由四部分组成,分别是 1.stub是一个文件标志,格式为 :xxx。可理解为phar文件头。 2.manifest是被压缩的文件的属性等放
继续阅读【安全圈】7-Zip 漏洞可让远程攻击者绕过保护并执行任意代码
【安全圈】7-Zip 漏洞可让远程攻击者绕过保护并执行任意代码 安全圈 2025-01-22 12:59 关键词 安全漏洞 流行文件归档软件 7-Zip 中最近披露的一个漏洞(编号为 CVE-2025-0411)引发了严重的安全担忧。 此漏洞允许远程攻击者绕过 Windows 的 Mark-of-the-Web (MOTW) 保护机制,从而可能在受影响的系统上执行任意代码。此漏洞的 CVSS 评分
继续阅读支撑单位遴选 | 关于开展2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位遴选工作的通知
支撑单位遴选 | 关于开展2025年工业和信息化部移动互联网APP产品安全漏洞专业库支撑单位遴选工作的通知 CAPPVD漏洞库 2025-01-22 10:51 各有关单位: 为贯彻落实《中华人民共和国网络安全法》《网络产品安全漏洞管理规定》等法律法规要求,推动网络产品安全漏洞管理工作有序进行,中国软件评测中心(工业和信息化部软件与集成电路促进中心)负责建设和运营工业和信息化部移动互联网APP产品
继续阅读更新5节!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期)
更新5节!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期) 看雪课程 看雪学苑 2025-01-22 09:59 本周更新: 2.5 固件分析基础 https://www.kanxue.com/book-140-4949.htm 2.6 镜像分区分析基础 https://www.kanxue.com/book-140-4950.htm 第三章 固件/镜像仿真与调试 3.1 固件仿真基础
继续阅读7-Zip高危漏洞曝光!攻击者可绕过安全机制远程执行代码,速升级
7-Zip高危漏洞曝光!攻击者可绕过安全机制远程执行代码,速升级 看雪学苑 看雪学苑 2025-01-22 09:59 近日,一款广泛使用的开源文件压缩软件7-Zip被曝出存在严重的安全漏洞,编号为CVE-2025-0411,该漏洞的CVSS评分为7.0,属于高危漏洞,引发了广泛的安全担忧。根据相关报道,该漏洞允许远程攻击者绕过Windows系统的一项关键安全功能——“网络标记”(Mark of
继续阅读【漏洞通告】Oracle WebLogic Server远程代码执行与拒绝服务漏洞
【漏洞通告】Oracle WebLogic Server远程代码执行与拒绝服务漏洞 原创 NS-CERT 绿盟科技CERT 2025-01-22 09:56 通告编号:NS-2025-0006 2025-01-22 TAG: Oracle WebLogic、CVE-2025-21535、CVE-2025-21549 漏洞危害: 攻击者利用此次漏洞,可实现远程代码执行与拒绝服务。 版本: 1.0 1
继续阅读7-Zip 修复高危的 Windows MoTW 安全告警绕过漏洞
7-Zip 修复高危的 Windows MoTW 安全告警绕过漏洞 SERGIU GATLAN 代码卫士 2025-01-22 09:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 7-Zip 文件压缩文档中存在一个高危漏洞,可导致攻击者绕过 MotW Windows 安全特性,从所嵌入的文档中提取恶意文件时在用户计算机上执行代码。 7-Zip 在2022年6月发布的版本22.00开始
继续阅读【已复现】Rsync 堆缓冲区溢出漏洞(CVE-2024-12084)安全风险通告
【已复现】Rsync 堆缓冲区溢出漏洞(CVE-2024-12084)安全风险通告 奇安信 CERT 2025-01-22 01:10 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Rsync 堆缓冲区溢出漏洞 漏洞编号 QVD-2025-3022,CVE-2024-12084 公开时间 2025-01-14 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 9.8
继续阅读通过 Sharp4SuoPoc 从原理上复现 Visual Studio 投毒事件
通过 Sharp4SuoPoc 从原理上复现 Visual Studio 投毒事件 原创 专攻.NET安全的 dotNet安全矩阵 2025-01-22 00:45 在近期的网络安全事件中,一款提权工具被发现植入了后门,攻击者利用 Visual S tudio 项目的 .suo 文件作为隐蔽的攻击媒介。由于 .suo 文件通 常是隐藏的配置文件,且安全研究人员对其内容关注较少,因此成为了攻击者利用
继续阅读梅赛德斯—奔驰信息娱乐系统漏洞详细信息披露
梅赛德斯—奔驰信息娱乐系统漏洞详细信息披露 信安在线资讯 2025-01-22 00:30 卡巴斯基披露了在梅赛德斯—奔驰信息娱乐系统中发现的十多个漏洞的细节,但这家汽车制造商向客户保证,这些安全漏洞已经得到修复,且不易被利用。 上周,俄罗斯网络安全公司卡巴斯基发布了一篇博客文章(梅赛德斯-奔驰主机安全研究报告),深入分析了梅赛德斯—奔驰用户体验(MBUX)系统。此次研究主要针对第一代MBUX系统
继续阅读OWASP 2025年十大漏洞–被利用/发现的最严重漏洞
OWASP 2025年十大漏洞–被利用/发现的最严重漏洞 何威风 祺印说信安 2025-01-22 00:03 开放 Web 应用程序安全项目 (OWASP) 发布了备受期待的 2025 年智能合约十大漏洞,这是一份全面的认识文件,旨在让 Web3 开发人员和安全团队掌握对抗智能合约中最关键 漏洞 的知识。 随着去中心化金融 (DeFi) 和区块链技术的不断发展,强大的智能合约安全性的重要性从未如
继续阅读漏洞预警 | 叁拾叁OA SQL注入漏洞
漏洞预警 | 叁拾叁OA SQL注入漏洞 浅安 浅安安全 2025-01-22 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 叁拾叁OA是一款面向企业的办公自动化软件,主要目的是通过信息化手段提升企业的办公效率,帮助组织实现办公流程的自动化、信息的集成和共享,从而提升管理水平和工作效率。 0x03 漏洞详情 漏洞类型: SQ
继续阅读2024年度网络安全漏洞威胁态势研究报告
2024年度网络安全漏洞威胁态势研究报告 计算机与网络安全 2025-01-21 23:58 微信公众号:计算机与网络安全 加入知识星球: 网络安全攻防(HVV) 下载文件**** | 来源:奇安信
继续阅读2024年度漏洞态势大揭秘:你的网络安全防线还稳固吗?(附下载)
2024年度漏洞态势大揭秘:你的网络安全防线还稳固吗?(附下载) 原创 说安全 如何安全 说安全 如何安全 2025-01-21 23:30 在这个万物互联的数字时代,网络已经成为我们生活、工作和学习中不可或缺的一部分。然而,随着网络的普及和深入,网络安全问题也日益凸显,成为悬在我们头顶的一把“达摩克利斯之剑”。《2024年度漏洞态势分析报告》的出炉,再次为我们敲响了网络安全的警钟。那么,面对日益
继续阅读【神兵利器】JAVA JMX漏洞综合利用工具
【神兵利器】JAVA JMX漏洞综合利用工具 原创 Heptagram 七芒星实验室 2025-01-21 23:00 基本介绍 beanshooter是一个JMX枚举和攻击工具,有助于识别JMX端点上的常见漏洞并提供了丰富的漏洞利用载荷和利用方式 工具编译 我们也可以通过beanshooter来枚举并注册EvilBean到JMXServer端,首先我们需要去下载beanshooter工具到本地,
继续阅读