【漏洞通告】Ivanti CSA管理控制台命令注入漏洞(CVE-2024-47908)
【漏洞通告】Ivanti CSA管理控制台命令注入漏洞(CVE-2024-47908) 启明星辰安全简讯 2025-02-13 07:44 一、漏洞概述 漏洞名称 Ivanti CSA管理控制台命令注入漏洞 CVE ID CVE-2024-47908 漏洞类型 命令注入 发现时间 2025-02-13 漏洞评分 9.1 漏洞等级 严重 攻击向量 网络 所需权限 高 利用难度 低 用户交互 无
继续阅读月度归档: 2025 年 2 月
手把手教你构建企业级本地AI漏洞文库:基于Ollama + DeepSeek R1+ Anything LLM 完整指南
手把手教你构建企业级本地AI漏洞文库:基于Ollama + DeepSeek R1+ Anything LLM 完整指南 原创 渗透测试 渗透测试 2025-02-13 07:17 点击上方蓝字关注【渗透测试】不迷路 前言 声明:文章中涉及的工具(方法)可能带有攻击性,仅供安全研究与教学使用; 读者若做其他违法犯罪用途,由用户承担全部法律及连带责任; 文章作者不承担任何法律及连带责任。 ****#
继续阅读【高危漏洞预警】Palo Alto Networks PAN-OS身份验证绕过漏洞CVE-2025-0108
【高危漏洞预警】Palo Alto Networks PAN-OS身份验证绕过漏洞CVE-2025-0108 cexlife 飓风网络安全 2025-02-13 07:11 漏洞描述:Palo Alto Networks PAN-OS软件中的一个身份验证绕过漏洞细节已经公开,该漏洞是由于PAN-OS中Nginx/Apache对路径的处理不同导致的,具有网络访问权限的未认证攻击者能够绕过PAN-OS
继续阅读分享两个漏洞,含$3133 Google IDOR
分享两个漏洞,含$3133 Google IDOR 原创 玲珑安全 芳华绝代安全团队 2025-02-13 06:22 关注公众号,阅读优质好文。 漏洞1 在对某目标系统进行安全测试时,发现其运行着两个独立的域名——一个用于司机用户,一个用于开发者/企业用户。表面上看,这两个域名各自独立管理账户,但测试表明它们在处理电子邮件变更时存在严重的逻辑漏洞。 正文 目标系统存在两个子域: –
继续阅读Ollama 远程代码执行漏洞 CVE-2024-37032
Ollama 远程代码执行漏洞 CVE-2024-37032 原创 枇杷哥 黑伞安全 2025-02-13 05:35 近日,安全研究人员在Ollama中发现了一个严重的远程代码执行(RCE)漏洞,编号为CVE-2024-37032。这个漏洞被命名为“Probllama”,因为它与Ollama的某些核心功能密切相关。本文将带你深入了解这个漏洞的来龙去脉,以及如何防范类似的安全威胁。 漏洞背景 Ol
继续阅读2025年2月微软补丁星期二安全更新修复了2个被积极利用的漏洞
2025年2月微软补丁星期二安全更新修复了2个被积极利用的漏洞 鹏鹏同学 黑猫安全 2025-02-13 05:35 2025年2月微软补丁星期二安全更新解决了Windows和Windows组件、Office和Office组件、Azure、Visual Studio以及远程桌面服务中的57个漏洞。其中两个漏洞被列为公开已知,另外两个在野外被积极利用。 这些漏洞中有三个被评为严重,53个被评为重要,
继续阅读【漏洞预警】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108)
【漏洞预警】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108) PokerSec PokerSec 2025-02-13 04:17 先关注,不迷路. 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使
继续阅读价值 10000$的可查看任何 YouTube 用户的电子邮件漏洞披露
价值 10000$的可查看任何 YouTube 用户的电子邮件漏洞披露 独眼情报 2025-02-13 03:33 前些时候,我在Google的研究目标中翻查Internal People API(测试版)的发现文档时,注意到一个有趣的现象: "BlockedTarget": { "id": "BlockedTarget", &q
继续阅读Nvidia 严重漏洞可能威胁 AI 系统
Nvidia 严重漏洞可能威胁 AI 系统 独眼情报 2025-02-13 03:33 Nvidia服务器工具中被评为“严重”的漏洞可能会让攻击者入侵 AI 服务器。Wiz 的研究人员去年就发现了这个漏洞,该漏洞可能允许攻击者逃离容器并执行高级命令或查看主机上其他容器的数据。建议管理员更新他们的 Nvidia Container 软件。据 Wiz 称,此次漏洞披露大约耗时 5 个月。其团队于 9
继续阅读【已复现】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108)安全风险通告
【已复现】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108)安全风险通告 奇安信 CERT 2025-02-13 03:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Palo Alto Networks PAN-OS 身份验证绕过漏洞 漏洞编号 QVD-2025-6668,CVE-2025-0108 公开时间 2025-0
继续阅读【漏洞通告】WP DirectoryBox Manager 身份验证旁路(CVE-2025-0316)
【漏洞通告】WP DirectoryBox Manager 身份验证旁路(CVE-2025-0316) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况WordPress的WP Directorybox Manager插件在版本2.5及以下存在认证绕过漏洞。这是由于在’wp_dp_enquiry_agent_contact_form_submit_callback
继续阅读【漏洞通告】QingScan 安全漏洞(CVE-2024-57278)
【漏洞通告】QingScan 安全漏洞(CVE-2024-57278) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况在RT-Thread的5.1.0版本之前,发现了一个分类为问题的漏洞。该漏洞影响了位于rt-thread/components/lwp/lwp_syscall.c文件中的sys_thread_create函数。对参数arg[0]的操作导致了信息泄露。02 漏
继续阅读【漏洞通告】OpenProject存储的HTML注入脆弱性(CVE-2025-24892)
【漏洞通告】OpenProject存储的HTML注入脆弱性(CVE-2025-24892) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况OpenProject是一款开源的基于网络的项目管理软件。在版本低于15.2.1的情况下,应用程序在显示群组管理部分时未能正确地净化用户输入。使用HTML脚本标签创建的群组在渲染到项目中时未能得到适当的转义处理。这个问题已在OpenPro
继续阅读【漏洞通告】JeecgBoot 安全漏洞(CVE-2024-57606)
【漏洞通告】JeecgBoot 安全漏洞(CVE-2024-57606) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况 JeecgBoot是中国国炬(Jeecg)公司的一个适用于企业 Web 应用程序的 Java 低代码平台。JeecgBoot v.3.7.2版本存在安全漏洞,该漏洞源于包含一个SQL注入漏洞允许远程攻击者通过getTotalData组件获取敏感信息
继续阅读【漏洞通告】Dreamvention Live Ajax搜索免费Live_search.SearchResults搜索SQL注入
【漏洞通告】Dreamvention Live Ajax搜索免费Live_search.SearchResults搜索SQL注入 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况Dreamvation Live AJAX Search Free up至1.0.6在OpenCart上发现了一个被分类为关键的漏洞。该漏洞影响文件/?route=extension/live_sea
继续阅读【漏洞通告】DWT-目录和列表WordPress主题 验证通过短代码(CVE-2025-0169)存储的跨站点脚本
【漏洞通告】DWT-目录和列表WordPress主题 验证通过短代码(CVE-2025-0169)存储的跨站点脚本 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况 DWT – Directory & Listing WordPress主题在版本3.3.4及之前存在存储型跨站脚本漏洞(Stored Cross-Site Scripting),这是
继续阅读OpenSSL软件库曝高危漏洞,可实施中间人攻击 | 微软:生成式AI可导致人类认知能力下降
OpenSSL软件库曝高危漏洞,可实施中间人攻击 | 微软:生成式AI可导致人类认知能力下降 e安在线 e安在线 2025-02-13 02:34 OpenSSL软件库曝高危漏洞,可实施中间人攻击 OpenSSL 修补了由苹果发现的高严重性漏洞 CVE-2024-12797,该漏洞可能导致中间人攻击。 OpenSSL 项目在其安全通信库中修复了一个高严重性漏洞,编号为 CVE-2024-12797
继续阅读【CVE-2025-23359】研究人员发现绕过NVIDIA容器工具包修补后的新漏洞利用
【CVE-2025-23359】研究人员发现绕过NVIDIA容器工具包修补后的新漏洞利用 原创 骨哥说事 骨哥说事 2025-02-13 01:59 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/3928 *
继续阅读方正畅享全媒体新闻采编系统 imageProxy.do 任意文件读取漏洞
方正畅享全媒体新闻采编系统 imageProxy.do 任意文件读取漏洞 Superhero nday POC 2025-02-13 01:57 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会
继续阅读【安全工具分享】GPTLens智能合约漏洞检测
【安全工具分享】GPTLens智能合约漏洞检测 菜鸟小新 2025-02-13 01:45 Next Generation 工具,用于利用 LLM 的强大功能发现智能合约中的漏洞。 GPTLens 采用独特的两阶段方法设计,以确保彻底分析并最大限度地减少误报。以下是它的工作原理: GPTLens 方法 审计师阶段 :在这个初始阶段,GPTLens 充当审计代理。代理会仔细检查您的智能合约代码以识别
继续阅读Gemini安全漏洞曝光:诱导式钓鱼攻击如何突破谷歌防御
Gemini安全漏洞曝光:诱导式钓鱼攻击如何突破谷歌防御 幻泉之洲 2025-02-13 01:37 翻者按 本文主要讲述Gemini在加入插件功能和记忆功能的情况下,如果通过诱导式钓鱼来实现突破原有的安全防御完成提示词注入攻击。 去年11月,我在测试Google Bard(现更名为Gemini)的漏洞时,对其自动工具调用机制有两个重要发现。 Part1 权限混淆攻击与自动工具调用 首先解释核心概
继续阅读安全快报 | 俄罗斯黑客针对乌克兰政府和私营机构的7-Zip程序持续发起0day漏洞攻击
安全快报 | 俄罗斯黑客针对乌克兰政府和私营机构的7-Zip程序持续发起0day漏洞攻击 天懋信息 2025-02-13 01:25 本周安全事件速览 02月06日-02月12日 01 俄罗斯黑客针对乌克兰政府和私营机构的7-Zip程序持续发起0day漏洞攻击 简要介绍**** 俄罗斯黑客 近期开发 了一个 可以有效 使用 7-Zip程序 发起 零日漏洞 的攻击手段 。安全公司 Trend Mic
继续阅读微软 2 月份安全更新:修复 4 个零日漏洞,55 个安全缺陷!
微软 2 月份安全更新:修复 4 个零日漏洞,55 个安全缺陷! Hankzheng 技术修道场 2025-02-13 01:23 各位安全爱好者和 Windows 用户,注意啦!微软发布了 2025 年 2 月份的安全更新,修复了 55 个安全漏洞,其中包括四个零日漏洞,其中两个更是已被用于实际攻击!此次更新还修复了三个“严重”级别的漏洞,均为远程代码执行漏洞。 漏洞分布: – 19
继续阅读超1.2万台KerioControl防火墙暴露于远程代码执行漏洞威胁之下
超1.2万台KerioControl防火墙暴露于远程代码执行漏洞威胁之下 汇能云安全 2025-02-13 01:11 2月13日,星期四,您好!中科汇能与您分享信息安全快讯: 01 超1.2万台KerioControl防火墙暴露于远程代码执行漏洞威胁之下 近期,安全研究人员发现,超过1.2万个GFI KerioControl防火墙实例暴露于一个高危的远程代码执行漏洞CVE-2024-52875(
继续阅读DeepSeek黑客工具箱!代码审计POC 漏洞报告输出 支持第三方API~拒绝卡顿!!
DeepSeek黑客工具箱!代码审计POC 漏洞报告输出 支持第三方API~拒绝卡顿!! 哈拉少安全小队 2025-02-13 01:06 前言 文章来源为原公众号,文内ai邀请链接更改了0.0 硅基流动为邀请好友注册两人都可以获得 14余额 注册地址: https://cloud.siliconflow.cn/i/aiivEvzy 更新内容: 1. 代码审计直接出POC 2.报告输出 为了解决每
继续阅读CVE-2024-50379:Apache Tomcat远程代码执行漏洞
CVE-2024-50379:Apache Tomcat远程代码执行漏洞 原创 Howell Timeline Sec 2025-02-13 01:01 关注我们❤️,添加星标🌟,一起学安全!作者:Howell本文字数:2941阅读时长:3 ~ 4mins声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Apache Tomcat是一个开源的Java Servlet容器,广泛
继续阅读漏洞挖掘之再探某园区系统
漏洞挖掘之再探某园区系统 中铁13层打工人 安全洞察知识图谱 2025-02-13 00:30 免责声明 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全洞察知识图谱及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1详细介绍 原文链接:https://forum.butian.net/sha
继续阅读【漏洞通告】iPhone&iPad USB限制模式绕过漏洞安全风险通告
【漏洞通告】iPhone&iPad USB限制模式绕过漏洞安全风险通告 嘉诚安全 2025-02-13 00:29 漏洞背景 近日,嘉诚安全监测到iPhone&iPad USB限制模式绕过漏洞,漏洞编号为: CVE-2025-24200。 iPhone是苹果公司推出的智能手机,融合了高性能硬件和iOS操作系统,提供流畅的用户体验。iPad是苹果推出的平板电脑,搭载iPadOS系统,
继续阅读【漏洞通告】Trimble Cityworks反序列化漏洞安全风险通告
【漏洞通告】Trimble Cityworks反序列化漏洞安全风险通告 嘉诚安全 2025-02-13 00:29 漏洞背景 近日,嘉诚安全监测到Trimble Cityworks反序列化漏洞,漏洞编号为: CVE-2025-0994。 rimble Cityworks是一款基于地理信息系统(GIS)的资产管理平台,专为公共设施管理、城市规划和基础设施维护设计。它提供全面的解决方案,帮助政府和企业
继续阅读【漏洞通告】IBM Security Verify Directory命令执行漏洞安全风险通告
【漏洞通告】IBM Security Verify Directory命令执行漏洞安全风险通告 嘉诚安全 2025-02-13 00:29 漏洞背景 近日,嘉诚安全监测到IBM Security Verify Directory命令执行漏洞,漏洞编号为: CVE-2024-51450。 IBM Security Verify Directory是一款企业级身份和访问管理解决方案,提供安全的用户身份
继续阅读