2025年2月微软补丁日多个高危漏洞安全风险通告
2025年2月微软补丁日多个高危漏洞安全风险通告 嘉诚安全 2025-02-13 00:29 漏洞背景 近日,嘉诚安全监测到Microsoft官方发布了2月份的安全更新公告,共修复了63个漏洞,修复了Windows 辅助功能驱动程序、Windows 存储服务、Windows 轻量级目录访问协议服务等产品中的漏洞。 鉴于漏洞危害较大,嘉诚安全提醒广大Microsoft用户尽快下载补丁更新,避免引发漏
继续阅读月度归档: 2025 年 2 月
漏洞预警 | 视频话机设备信息泄露漏洞
漏洞预警 | 视频话机设备信息泄露漏洞 浅安 浅安安全 2025-02-13 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 星网锐捷视频话机是一个新型的IP多媒体电话与最先进的视频压缩技术相结合的设备。 0x03 漏洞详情 漏洞类型: 信息泄露 影响: 获取敏感信息 简述: 星网锐捷视频话机设备的/console/secur
继续阅读漏洞预警 | Trimble Cityworks反序列化漏洞
漏洞预警 | Trimble Cityworks反序列化漏洞 浅安 浅安安全 2025-02-13 00:00 0x00 漏洞编号 – # CVE-2025-0994 0x01 危险等级 – 高危 0x02 漏洞概述 Trimble Cityworks是一款基于地理信息系统的资产管理平台,专为公共设施管理、城市规划和基础设施维护设计。 0x03 漏洞详情 CVE-2025-
继续阅读漏洞预警 | ALR-F800远程命令执行漏洞
漏洞预警 | ALR-F800远程命令执行漏洞 浅安 浅安安全 2025-02-13 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 ALR-F800可根据环境进行智能调整和配置,提供业界最佳的以太网供电传输功率和性能。 0x03 漏洞详情 漏洞类型: 远程 命令 执行 影响: 执行任意代码 简述: ALR-F800的/cmd
继续阅读国内外网络安全政策动态(2025年1月)
国内外网络安全政策动态(2025年1月) 网安加社区 2025-02-12 23:01 ▶︎ 1.国家互联网信息办公室发布《个人信息出境个人信息保护认证办法(征求意见稿)》 1月3日,国家互联网信息办公室发布《个人信息出境个人信息保护认证办法(征求意见稿)》。根据《意见稿》,个人信息出境个人信息保护认证,是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构,对个人信息处理
继续阅读通过 ROP 实现 RCE
通过 ROP 实现 RCE born0monday securitainment 2025-02-12 21:13 ROPing our way to RCE 在红队评估中,仅仅发现一个 XSS 或基本的配置错误往往是不够的,实现 RCE 才是真正的目标。在一次评估中,我们遇到了 XiongMai 的 uc-httpd,这是一个在全球无数 IP 摄像头中使用的轻量级 web 服务器。根据 Shod
继续阅读Beanshell 反序列化分析(CVE-2016-2510)
Beanshell 反序列化分析(CVE-2016-2510) 船山信安 2025-02-12 16:46 版本 <!– https://mvnrepository.com/artifact/org.beanshell/bsh (beanshell1)–> <dependency> <groupId>org.beanshell</gro
继续阅读【漏洞挖掘】记一次985证书站Oracle注入绕WAF
【漏洞挖掘】记一次985证书站Oracle注入绕WAF 越南王子 Web安全工具库 2025-02-12 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。个人微
继续阅读BurpSuite插件 | 自动化漏洞POC探测
BurpSuite插件 | 自动化漏洞POC探测 Tsojan 星落安全团队 2025-02-12 16:00 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 一个集成的BurpSuite漏洞探测插件。 本着市面上各大漏洞探测插件的功能比较单一,因此与 TsojanSecTeam 成员决定在已有
继续阅读【漏洞预警】WinZip 7Z 文件解析越界写入远程代码执行漏洞 (CVE-2025-1240)
【漏洞预警】WinZip 7Z 文件解析越界写入远程代码执行漏洞 (CVE-2025-1240) cexlife 飓风网络安全 2025-02-12 14:45 漏洞描述: WinZip 7Z文件解析越界写入远程代码执行漏洞,该漏洞允许远程攻击者在安装了WinZip的受影响系统上执行任意代码。要利用此漏洞,需要用户与恶意页面或恶意文件交互,具体漏洞存在于7Z文件的解析过程中,该问题源于对用户提供数
继续阅读OpenSSL软件库曝高危漏洞,可实施中间人攻击
OpenSSL软件库曝高危漏洞,可实施中间人攻击 FreeBuf 商密君 2025-02-12 14:45 OpenSSL 修补了由苹果发现的高严重性漏洞 CVE-2024-12797,该漏洞可能导致中间人攻击。 OpenSSL 项目在其安全通信库中修复了一个高严重性漏洞,编号为 CVE-2024-12797。OpenSSL 软件库用于在计算机网络中实现安全通信,防止窃听并确保通信双方的认证。该库
继续阅读从云服务器 SSRF 漏洞到接管你的阿里云控制台
从云服务器 SSRF 漏洞到接管你的阿里云控制台 迪哥讲事 2025-02-12 13:31 文章首发于: 火线Zone社区(https://zone.huoxian.cn/) 0x00 前言 本文将以阿里云为例,对云服务中的一些攻防手法进行演示,首先利用 Terraform 进行 ECS SSRF 漏洞环境的搭建,然后通过实例中存在的 SSRF 漏洞一步步拿下该云服务账户的所有的阿里云服务权限。
继续阅读CVE-2024-29510 – 使用格式字符串利用 Ghostscript
CVE-2024-29510 – 使用格式字符串利用 Ghostscript Ots安全 2025-02-12 11:54 总结 这是针对 CVE-2024-29510 的一篇文章,CVE-2024-29510 是 Ghostscript ≤ 10.03.0(但 ≥ 9.50)中的一个格式字符串漏洞。我们展示了如何利用此漏洞绕过-dSAFER沙盒并获得代码执行。 此漏洞对提供文档转换和预览功能的
继续阅读CVE-2024-29509:Artifex Ghostscript PDFPassword 处理期间的堆缓冲区溢出 _
CVE-2024-29509:Artifex Ghostscript PDFPassword 处理期间的堆缓冲区溢出 _ Ots安全 2025-02-12 11:54 目标 – Ghostscript < 10.03.0 解释 PDFPassword Ghostscript 提供 PDF 解密功能,使用字符串 解密加密的 PDF 文档。具体来说, 当使用R5(RC4 128 位加
继续阅读OpenSSL高危安全漏洞 CVE-2024-12797
OpenSSL高危安全漏洞 CVE-2024-12797 网安百色 2025-02-12 11:34 点击上方 蓝字 关注我们吧~ OpenSSL项目公布了一个严重漏洞(CVE-2024-12797),影响广泛使用的加密库的3.2、3.3和3.4版本。 该漏洞是由苹果公司在2024年12月发现的,它能允许针对TLS和DTLS连接的中间人(MitM)攻击,这些连接依赖原始公钥(rpk)进行服务器身份
继续阅读漏洞复现 || DATAGerry 终端节点接口敏感信息泄露
漏洞复现 || DATAGerry 终端节点接口敏感信息泄露 韩文庚 我爱林 2025-02-12 11:19 免责声明 我爱林攻防研究院的技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
继续阅读【安全圈】OpenSSL 修补了高严重性漏洞 CVE-2024-12797
【安全圈】OpenSSL 修补了高严重性漏洞 CVE-2024-12797 安全圈 2025-02-12 11:01 关键词 安全漏洞 OpenSSL 修补了漏洞 CVE-2024-12797,这是 Apple 发现的一个高严重性漏洞,可引发中间人攻击。 OpenSSL 项目解决了其安全通信库中的一个高严重性漏洞,编号为 CVE-2024-12797。 OpenSSL软件库 允许在计算机网络上
继续阅读【安全圈】Microsoft补丁积极利用零时缺陷-CVE-2025-21418 & CVE-2025-21391
【安全圈】Microsoft补丁积极利用零时缺陷-CVE-2025-21418 & CVE-2025-21391 安全圈 2025-02-12 11:01 关键词 安全漏洞 微软已推出了 2025 年 2 月 “周二补丁日” 的安全更新,修复了多个产品中的 67 个漏洞。 本月的补丁涵盖了 3 个严重级别为 “关键” 和 53 个严重级别为 “重要” 的漏洞,修复范围涉及 Windows
继续阅读攻击者利用新零日漏洞劫持Fortinet防火墙
攻击者利用新零日漏洞劫持Fortinet防火墙 AI小蜜蜂 FreeBuf 2025-02-12 10:53 Fortinet近日发布警告,称威胁攻击者正在利用FortiOS和FortiProxy中的一个新零日漏洞(CVE-2025-24472,CVSS评分为8.1)来劫持Fortinet防火墙。该漏洞是一个身份验证绕过问题,远程攻击者可以通过构造恶意CSF代理请求获取超级管理员权限。 漏洞详情与
继续阅读博客更新:SSRF漏洞详细讲解(多个实验场景复现),别再SSRF文件下载了
博客更新:SSRF漏洞详细讲解(多个实验场景复现),别再SSRF文件下载了 Patrick.Lin SecurePulse 2025-02-12 10:38 文章地址:https://www.securepulse.website/archives/ssrflou-dong-xiang-jie 关注公众号,及时获取博客更新信息
继续阅读【风险通告】微软2月安全更新补丁和多个高危漏洞风险提示
【风险通告】微软2月安全更新补丁和多个高危漏洞风险提示 安恒研究院 安恒信息CERT 2025-02-12 10:33 漏洞公告 微软官方发布了2月安全更新公告,包含了Windows Core Messaging、Windows Lightweight Directory Access Protocol (LDAP)、Windows Storage、Microsoft SharePoint Ser
继续阅读【漏洞通告】微软2月多个安全漏洞
【漏洞通告】微软2月多个安全漏洞 启明星辰安全简讯 2025-02-12 10:30 一、漏洞概述 2025年2月12日,启明星辰集团VSRC监测到微软发布了2月安全更新,本次更新修复了63个漏洞,涵盖权限提升、远程代码执行、欺骗等多种漏洞类型。漏洞级别分布如下:4个严重级别漏洞,56个重要级别漏洞,1个中危级别漏洞,2个低危级别漏洞( 漏洞 级别依据微软官方数据)。 其中, 11个漏洞被微软标记
继续阅读拿到了 SpringBoot 开发的系统,该如何代码审计分析漏洞?分享下我的一二三步的思路。
拿到了 SpringBoot 开发的系统,该如何代码审计分析漏洞?分享下我的一二三步的思路。 原创 润霖@闪石星曜 闪石星曜CyberSecurity 2025-02-12 10:19 嗨,大家好,这里是闪石星曜CyberSecurity。 众所周知,Java 语言生态在中大型企业中的使用率居高不下,可谓是如日中天,经久不衰。 使用 SpringBoot 架构来开发的 JavaWeb 系统,更是数
继续阅读OpenSSL 高危漏洞可用于中间人攻击
OpenSSL 高危漏洞可用于中间人攻击 do son 代码卫士 2025-02-12 09:55 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员在 OpenSSL 中发现了一个高危漏洞CVE-2024-12797,影响传统X.509证书替代方法原始公钥 (RPKs) 的实现。 该漏洞可导致攻击者通过模拟服务器的方式执行中间人攻击。OpenSSL 在安全公告中解释称,“使用 RFC
继续阅读【漏洞通告】Ivanti CSA远程命令执行漏洞(CVE-2024-47908)
【漏洞通告】Ivanti CSA远程命令执行漏洞(CVE-2024-47908) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-02-12 09:46 漏洞名称: Ivanti CSA远程命令执行漏洞(CVE-2024-47908) 组件名称: Ivanti Cloud Services Application (CSA) 影响范围: Ivanti CSA ≤ 5.0.4 漏洞类型: 命令执
继续阅读2025-02微软漏洞通告
2025-02微软漏洞通告 火绒安全 火绒安全 2025-02-12 09:17 微软官方发布了2025年2月的安全更新。本月更新公布了141个漏洞,包含26个远程执行代码漏洞、20个特权提升漏洞、9个拒绝服务漏洞、5个身份假冒漏洞、2个安全功能绕过漏洞、1个篡改漏洞、1个信息泄露漏洞,其中4个漏洞级别为“Critical”(高危),57个为“Important”(严重)。建议用户及时使用火绒安全
继续阅读【安全更新】微软2月安全更新多个产品高危漏洞通告
【安全更新】微软2月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2025-02-12 09:09 通告编号:NS-2025-0007 2025-02-12 TAG: 安全更新、Windows、Microsoft Office、Azure、Apps、Microsoft Visual Studio 漏洞危害: 攻击者利用本次安全更新中的漏洞,可造成权限提升、远程代码执行等 版
继续阅读汽车供应链攻击、0day漏洞攻击……2024年网络安全领域呈现这些态势
汽车供应链攻击、0day漏洞攻击……2024年网络安全领域呈现这些态势 网络安全和信息化 2025-02-12 08:48 汽车供应链攻击、国产化软件系统攻击、通信设备成武器、0day漏洞攻击……2024年,具有“国家级”背景的组织在网络空间发起的高隐蔽性、高破坏性攻击活动更加频繁,其影响早已在全球网络空间层面外,成为地缘政治乃至全球政治气候的“晴雨表”。 “因此,加强国际合作、共同应对数字安全挑
继续阅读信息安全漏洞周报(2025年第6期)
信息安全漏洞周报(2025年第6期) 原创 CNNVD CNNVD安全动态 2025-02-12 08:31 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年2月3日至2025年2月9日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞656个。 接报漏洞情况 本周CNNVD接报漏洞9500个,其中信息技术产品漏洞(通用型漏洞)212个,网络
继续阅读Nftables整型溢出提权利用(CVE-2023-0179)
Nftables整型溢出提权利用(CVE-2023-0179) 蚁景网安 2025-02-12 08:30 前言 在CVE-2023-0179-Nftables整型溢出 中,分析了漏洞的成因,接下来分析漏洞的利用。 漏洞利用 根据漏洞成因可以知道,payload_eval_copy_vlan函数存在整型溢出,导致我们将vlan头部结构拷贝到寄存器(NFT_REG32_00-NFT_REG32_15
继续阅读