CVE-2025-1240:Winzip漏洞打开了远程代码执行的门
CVE-2025-1240:Winzip漏洞打开了远程代码执行的门 Ots安全 2025-02-15 10:56 WinZip 中发现了一个令人担忧的漏洞,可能允许远程攻击者在受影响的系统上执行任意代码。该漏洞被标记为 CVE-2025-1240,存在于 WinZip 解析 7Z 文件的方式中,如果用户与恶意文件或网页交互,则可能被利用。 该漏洞的 CVSS 评分为 7.8,源于 7Z 文件解析期
继续阅读月度归档: 2025 年 2 月
CVE-2025-25064|Zimbra存在SQL注入漏洞(POC)
CVE-2025-25064|Zimbra存在SQL注入漏洞(POC) alicy 信安百科 2025-02-15 10:30 0x00 前言 Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。 Zimbra的核心产品是Zimbra协作套件
继续阅读CVE-2025-0108|Palo Alto Networks PAN-OS管理界面认证绕过漏洞(POC)
CVE-2025-0108|Palo Alto Networks PAN-OS管理界面认证绕过漏洞(POC) alicy 信安百科 2025-02-15 10:30 0x00 前言 派拓网络(Palo Alto Networks)是一家网络安全公司,总部位于美国加利福尼亚州圣克拉拉市。公司的核心产品为“下一代防火墙”(Next-Generation Firewall)平台,提供网络活动的可视化能力
继续阅读PWN入门:异常变漏洞
PWN入门:异常变漏洞 福建炒饭乡会 看雪学苑 2025-02-15 09:59 程序出现错误是难免的情况,程序语言和系统为了辅助程序排查问题,设立了各种机制。 第一种机制是断言检查assert,该函数接受一个表达式作为参数,如果表达式值为假,就会输出错误信息并终止程序。 #include <assert.h> void assert(scalar expression); 打印示例如
继续阅读03 漏洞从哪里来?——编程习惯
03 漏洞从哪里来?——编程习惯 原创 Richard 方桥安全漏洞防治中心 2025-02-15 06:19 代码质量直接决定系统安全性。编程习惯,或者“规范”,作为关键因素,直接影响漏洞产生的概率。 注入(OWASP A03:2021, SQL注入、XSS等)、缓冲区溢出(如:CWE-120)等安全漏洞均来源于非常基础的编码缺陷(NIST IR 8397)。 硬编码凭证(CWE-259)
继续阅读SonicWall防火墙漏洞PoC发布后遭利用
SonicWall防火墙漏洞PoC发布后遭利用 何威风 祺印说信安 2025-02-15 05:58 网络安全公司 Arctic Wolf 报告称,本周,针对 SonicWall 防火墙漏洞的概念验证 (PoC) 代码发布后不久,威胁行为者就开始利用该漏洞。 该漏洞的编号为 CVE-2024-53704,是由于 SonicOS 的 SSLVPN 身份验证机制问题导致的高严重性身份验证绕过漏洞。 S
继续阅读2025 最佳漏洞赏金书籍和网站
2025 最佳漏洞赏金书籍和网站 原创 破天KK KK安全说 2025-02-15 05:14 为知识付费,如果您对漏洞赏金狩猎非常推崇,那么投资购买合适的书籍可以加快您的学习进度,提高您的技能,并帮助您获得高额赏金。这些书籍和网站不仅仅是指南;它们是由行业专家精心设计的路线图,充满了现实世界的黑客场景、分步方法和高级技术,可将您的网络安全游戏提升到一个新的水平。 一、书籍篇: 无论您是刚刚起步,
继续阅读超大规模物联网漏洞事件曝光:27亿条数据泄露,含WiFi密码
超大规模物联网漏洞事件曝光:27亿条数据泄露,含WiFi密码 AI小蜜蜂 FreeBuf 2025-02-15 02:05 近日,一场规模巨大的物联网(IoT)安全漏洞事件曝光了27亿条包含敏感用户数据的信息,其中包括Wi-Fi网络名称、密码、IP地址和设备标识符。 此次事件与一家植物生长灯制造商Mars Hydro以及加州注册公司LG-LED SOLUTIONS LIMITED有关。 网络安全研
继续阅读FreeBuf周报 | 全球VPN设备遭遇大规模暴力破解攻击;OpenSSL 软件库曝高危漏洞
FreeBuf周报 | 全球VPN设备遭遇大规模暴力破解攻击;OpenSSL 软件库曝高危漏洞 Zicheng FreeBuf 2025-02-15 02:05 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 热点资讯 1. 全球VPN设备遭遇大规模暴力破解攻击,280万IP地址参与其中 一场大规模的暴力破解密
继续阅读DeepSeek 大火下的本地部署问题:Ollama + 暴露端口 = 安全漏洞?
DeepSeek 大火下的本地部署问题:Ollama + 暴露端口 = 安全漏洞? 实战安全研究 2025-02-15 02:00 全民热议的 AI 新星:DeepSeek 的火爆现象 春节前夕,DeepSeek 在科技界与大众生活中掀起了一股热潮。其影响力广泛覆盖各个群体,从致力于科技创新的科技工作者,到处于知识启蒙阶段的小学生,上至专注于学术研究的科研人员,下至日常忙于生活琐事的普通百姓,De
继续阅读基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件
基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件 黑白之道 2025-02-15 01:26 工具介绍 Auto-SSRF是一款基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件, 捕获BurpSuite 流经Passive Audit、Proxy、Repeater的流量进行SSRF漏洞探测分析。 运行原理 捕获参数中存在URL链接特征的请求
继续阅读以色列威胁情报公司ClearSky发现 APT 组织利用 Windows 新0day漏洞
以色列威胁情报公司ClearSky发现 APT 组织利用 Windows 新0day漏洞 会杀毒的单反狗 军哥网络安全读报 2025-02-15 01:00 导读 以色列威胁情报公司 ClearSky Cyber Security 周四透露,它发现一个 APT 组织正在利用新 Windows 漏洞。 ClearSky 承诺将在即将发布的博客文章中分享更多细节,但 X 上的发贴表明 Windows
继续阅读漏洞预警 | 思迅商旗商业管理系统任意文件上传漏洞
漏洞预警 | 思迅商旗商业管理系统任意文件上传漏洞 浅安 浅安安全 2025-02-15 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 思迅商旗商业管理系统10是一款面向连锁超市、百货、便利店等零售业态的管理系统,集进销存、收银、会员、促销、供应链 等功能于一体,帮助企业提升经营效率和管理水平。 0x03 漏洞详情 漏洞类型
继续阅读漏洞预警 | Palo Alto Networks PAN-OS管理界面身份认证绕过漏洞
漏洞预警 | Palo Alto Networks PAN-OS管理界面身份认证绕过漏洞 浅安 浅安安全 2025-02-15 00:00 0x00 漏洞编号 – CVE-2025-0108 0x01 危险等级 – 高危 0x02 漏洞概述 Palo Alto Networks PAN-OS 是一款由Palo Alto Networks开发的下一代防火墙操作系统,提供全面的
继续阅读漏洞预警 | Ivanti CSA管理控制台命令注入漏洞
漏洞预警 | Ivanti CSA管理控制台命令注入漏洞 浅安 浅安安全 2025-02-15 00:00 0x00 漏洞编号 – # CVE-2024-47908 0x01 危险等级 – 高危 0x02 漏洞概述 Ivanti CSA是一款云安全自动化解决方案,旨在帮助企业实现对云基础设施的安全监控和自动化管理。 0x03 漏洞详情 CVE-2024-47908 漏洞类型
继续阅读2025年全新网络安全大师班培训(Web安全、攻防渗透、代码审计、云安全等)
2025年全新网络安全大师班培训(Web安全、攻防渗透、代码审计、云安全等) 点击关注👉 马哥网络安全 2025-02-15 00:00 前言 —————————— 2025年网络安全大师班是今年更新的系统培训课程,欢迎大家咨询参加! 本培训旨在为对安全感兴趣的师傅们提供系统的安全学习路线,在短时间内习得网络安全领域的关键技能,涵盖8个主要方向: – web安全 攻防渗透 云安全 安全
继续阅读从路径遍历到RCE:解锁$40,000赏金的黑客进阶之路
从路径遍历到RCE:解锁$40,000赏金的黑客进阶之路 安全小白团译文 安全小白团 2025-02-14 22:01 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 背景 安全小白团 在这篇文章中,我将详细介绍我和 Orwa Atyat如何成功将一个受限的路径遍历漏洞升级为 RCE,并因此赢得40,000 美元的赏金的故
继续阅读美国政府效率部网站 doge 存在漏洞,任何人都能推送内容到网站上
美国政府效率部网站 doge 存在漏洞,任何人都能推送内容到网站上 独眼情报 2025-02-14 18:12 据两名发现该漏洞并与 404 Media 分享该漏洞的人士称,为追踪伊隆·马斯克削减联邦政府开支而建立的 doge.gov 网站并不安全,它提取的数据来自一个任何人都可以编辑的数据库。一名程序员添加了至少两个在实时网站上可见的数据库条目,并说“这是一个可笑的 .gov 网站”和“这些‘专
继续阅读【吃瓜】疑似国内某 oa系统存在 0day rce
【吃瓜】疑似国内某 oa系统存在 0day rce 独眼情报 2025-02-14 18:12 往上冲浪,看到某大 V爆料:国内某 oa系统存在影响范围很大的 rce 0day 漏洞,国外机构出价 25 万美金。能有这么大范围的影响力的 oa 系统,也就那几家了,希望在影响范围内的系统能尽快排查吧。只能帮到这了,不然影响太大了,宁可信其有。由于大 V 的某些发言政治不正确,部分打码。
继续阅读jeecgBoot漏洞利用工具
jeecgBoot漏洞利用工具 CH1N CH1N安全 2025-02-14 17:11 免责声明 请勿利用文章内的相关技术从事非法测试,此文章只用于学习记录,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。 01 工具介绍 支持queryFieldBySql Freemarker模板注入
继续阅读WinZip高危漏洞曝光:远程攻击者可任意执行代码
WinZip高危漏洞曝光:远程攻击者可任意执行代码 船山信安 2025-02-14 17:02 近日,WinZip曝出一个编号为CVE-2025-1240的高危漏洞,远程攻击者可通过利用畸形的7Z压缩包文件,在受影响的系统上执行任意代码。该漏洞的CVSS评分为7.8,影响WinZip 28.0(版本号16022)及更早版本,用户需升级至WinZip 29.0以规避风险。 漏洞成因与利用条件 该漏洞
继续阅读PostgreSQL 漏洞与 BeyondTrust 零日漏洞一起被利用进行针对性攻击
PostgreSQL 漏洞与 BeyondTrust 零日漏洞一起被利用进行针对性攻击 Rhinoer 犀牛安全 2025-02-14 16:00 根据 Rapid7 的调查结果,2024 年 12 月利用 BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 产品中零日漏洞的攻击者可能也利用了 PostgreSQL 中以前未知的 SQL 注入漏洞。 该漏洞编号为CVE-2025
继续阅读用友网络 GRP-U8Cloud 逻辑缺陷漏洞 可导致敏感信息泄露
用友网络 GRP-U8Cloud 逻辑缺陷漏洞 可导致敏感信息泄露 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 用友网络 GRP-U8Cloud 逻辑缺陷漏洞 可导致敏感信息泄露 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到用友安全中心发布安全公告,其中公开了一个GRP-U8Cloud内控管理软件(taskcenter)的逻辑缺陷漏洞
继续阅读Trimble Cityworks 需授权 反序列化漏洞
Trimble Cityworks 需授权 反序列化漏洞 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Trimble Cityworks 需授权 反序列化漏洞 【 漏洞编号 】 CVE-2025-0994 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到Trimble发布关于Cityworks相关安全公告,披露了Trimble Cityworks 23.1
继续阅读Microsoft Windows 缓冲区溢出漏洞 可导致权限提升
Microsoft Windows 缓冲区溢出漏洞 可导致权限提升 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Microsoft Windows 缓冲区溢出漏洞 可导致权限提升 【 漏洞编号 】 CVE-2025-21418 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到微软发布2月安全公告,修复了多个安全漏洞,其中包含一个Microsoft Win
继续阅读Microsoft Windows Storage 需授权 解析缺陷漏洞
Microsoft Windows Storage 需授权 解析缺陷漏洞 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Microsoft Windows Storage 需授权 解析缺陷漏洞 【 漏洞编号 】 CVE-2025-21391 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到微软发布2月安全公告,修复了多个安全漏洞,其中包含一个Microsof
继续阅读Microsoft Excel 资源控制不当漏洞 可导致远程代码执行
Microsoft Excel 资源控制不当漏洞 可导致远程代码执行 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Microsoft Excel 资源控制不当漏洞 可导致远程代码执行 【 漏洞编号 】 CVE-2025-21381 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到微软发布2月安全公告,修复了多个安全漏洞,其中包含一个Microsoft Ex
继续阅读Google Goland 代码注入漏洞
Google Goland 代码注入漏洞 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Google Goland 代码注入漏洞 【 漏洞编号 】 CVE-2025-22867 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到Goland官方发布安全公告,其中公开了一个代码注入漏洞,在Darwin平台上,构建一个包含CGO的Go模块,当使用Apple版本的
继续阅读Apple iOS等 安全缺陷漏洞 可导致功能失控
Apple iOS等 安全缺陷漏洞 可导致功能失控 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Apple iOS等 安全缺陷漏洞 可导致功能失控 【 漏洞编号 】 CVE-2025-24200 【 情报等级 】 中危 【 漏洞描述 】 360漏洞云监测到苹果发布 iOS 和 iPadOS 紧急安全更新,修复了一个安全缺陷漏洞,该漏洞漏洞允许攻击者在锁定设备上禁用 U
继续阅读Apache James 未授权 输入验证不当漏洞 可导致拒绝服务
Apache James 未授权 输入验证不当漏洞 可导致拒绝服务 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Apache James 未授权 输入验证不当漏洞 可导致拒绝服务 【 漏洞编号 】 CVE-2024-37358 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到Apache James发布安全公告,其中公开了一个输入验证不当漏洞,该漏洞与CV
继续阅读