【漏洞通告】IBM EntireX 拒绝服务(CVE-2025-0158)
【漏洞通告】IBM EntireX 拒绝服务(CVE-2025-0158) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况IBM EntireX 11.1版本可能存在一个漏洞,本地用户可能会利用未处理的错误和故障隔离功能导致拒绝服务攻击。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称IBM EntireX 拒绝服务漏洞编号CVE编号CVE-2025-0158漏洞评估披露
继续阅读月度归档: 2025 年 2 月
【漏洞通告】Bharti Airtel Xstream Fiber WiFi 密码弱凭证(CVE-2025-1081)
【漏洞通告】Bharti Airtel Xstream Fiber WiFi 密码弱凭证(CVE-2025-1081) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况该漏洞存在于WiFi密码处理器组件的某些未知处理过程中,允许攻击者在本地网络范围内进行操纵并使用弱凭据。攻击难度较高,但已知存在可利用的漏洞,建议更改配置设置以降低风险。02 漏洞处置综合处置优先级:高漏洞信息
继续阅读Enhanced BurpGPT | AI分析安全漏洞,支持DeepSeek、OpenAI、Google、Anthropic等等
Enhanced BurpGPT | AI分析安全漏洞,支持DeepSeek、OpenAI、Google、Anthropic等等 原创 尘佑不尘 泷羽Sec-尘宇安全 2025-02-11 06:16 前言 Enhanced BurpGPT 是一个 Burp Suite 插件,它能帮助你使用 AI(人工智能)来分析 Web 应用的安全问题。简单来说,当你测试网站时,你可以在指定的请求响应对,点击s
继续阅读新型 Aquabotv3 勒索软件利用 Mitel 命令注入漏洞发起攻击
新型 Aquabotv3 勒索软件利用 Mitel 命令注入漏洞发起攻击 胡金鱼 嘶吼专业版 2025-02-11 06:00 一种基于“Mirai”的僵尸网络恶意软件“Aquabot”的新变种已被发现正在积极利用 Mitel SIP 电话中的命令注入漏洞 CVE-2024-41710。 这项活动是由Akamai的安全情报和响应小组(SIRT)发现的,报告说这是属于其雷达的Aquabot的第三种变
继续阅读【漏洞通告】iPhone&iPad USB限制模式绕过漏洞(CVE-2025-24200)
【漏洞通告】iPhone&iPad USB限制模式绕过漏洞(CVE-2025-24200) 启明星辰安全简讯 2025-02-11 05:55 一、漏洞概述 漏洞名称 iPhone&iPad USB限制模式绕过漏洞 CVE ID CVE-2025-24200 漏洞类型 授权绕过 发现时间 2025-02-11 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用
继续阅读【漏洞通告】Trimble Cityworks反序列化漏洞(CVE-2025-0994)
【漏洞通告】Trimble Cityworks反序列化漏洞(CVE-2025-0994) 启明星辰安全简讯 2025-02-11 05:55 一、漏洞概述 漏洞名称 Trimble Cityworks反序列化漏洞 CVE ID CVE-2025-0994 漏洞类型 反序列化 发现时间 2025-02-11 漏洞评分 8.6 漏洞等级 高危 攻击向量 网络 所需权限 高 利用难度 低 用户交互
继续阅读【漏洞通告】IBM Security Verify Directory命令执行漏洞(CVE-2024-51450)
【漏洞通告】IBM Security Verify Directory命令执行漏洞(CVE-2024-51450) 启明星辰安全简讯 2025-02-11 05:55 一、漏洞概述 漏洞名称 IBM Security Verify Directory命令执行漏洞 CVE ID CVE-2024-51450 漏洞类型 命令执行 发现时间 2025-02-11 漏洞评分 9.1 漏洞等级 严重 攻
继续阅读Fortinet 警告黑客利用身份验证绕过零日漏洞可劫持防火墙
Fortinet 警告黑客利用身份验证绕过零日漏洞可劫持防火墙 Rhinoer 犀牛安全 2025-02-11 05:17 攻击者正在利用 FortiOS 和 FortiProxy 中新的身份验证绕过零日漏洞劫持 Fortinet 防火墙并侵入企业网络。 此安全漏洞(编号为CVE-2024-55591)影响 FortiOS 7.0.0 至 7.0.16、FortiProxy 7.0.0 至 7.0
继续阅读记一次ssrf漏洞挖掘
记一次ssrf漏洞挖掘 原创 zyxa 众亦信安 2025-02-11 04:57 文章导读 声明: 文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。 众亦信安,中意你啊! 点不了吃亏,点不了上当,设置星标,方能无恙! 1、 通过在burp中对网站进行搜索看是否有无SSOLogin?、Login?等关键字,因为有些系统它在js中泄露了
继续阅读由于CVE-2025-24200被应用到针对特定人极其复杂的攻击,苹果更新了iOS 18.3.1
由于CVE-2025-24200被应用到针对特定人极其复杂的攻击,苹果更新了iOS 18.3.1 独眼情报 2025-02-11 04:03 iOS 18.3.1 和 iPadOS 18.3.1 2025 年 2 月 10 日发布 无障碍设施 适用于:iPhone XS 及更新机型、iPad Pro 13 英寸、iPad Pro 12.9 英寸第 3 代及更新机型、iPad Pro 11 英寸第
继续阅读虹安Heimdall DLP数据泄漏防护系统 pushSetup.do SQL注入漏洞
虹安Heimdall DLP数据泄漏防护系统 pushSetup.do SQL注入漏洞 Superhero nday POC 2025-02-11 03:31 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及
继续阅读CVE-2024-52046 Apache mina 反序列化漏洞简单分析
CVE-2024-52046 Apache mina 反序列化漏洞简单分析 原创 hulala14 呼啦啦安全 2025-02-11 03:22 前言最近披露了一个新的apache下属产品mina的CVE-2024-52046反序列化漏洞,这个产品mina之前没有接触过,好奇心驱使之下准备一下并记录一下学习的过程首先查看cve官网公开的部分漏洞信息https://www.cve.org/CVERe
继续阅读上周关注度较高的产品安全漏洞(20250127-20250209)
上周关注度较高的产品安全漏洞(20250127-20250209) 金瀚信安 2025-02-11 03:19 一、境外厂商产品漏洞 1、Microsoft Message Queuing拒绝服务漏洞 Microsoft Message Queuing是用于实现需要高性能的异步和同步场景的解决方案。 Microsoft Message Queuing存在安全漏洞。攻击者可利用该漏洞导致系统拒绝服务
继续阅读先知通用软件漏洞收集及奖励计划第六期 正式开始!
先知通用软件漏洞收集及奖励计划第六期 正式开始! 阿里安全响应中心 2025-02-11 02:38 先知通用漏洞收集计划及奖励计划第六期已经正式开始,奖金丰厚,欢迎大家积极参与! 本期活动持续时间: 2025年2月10日至2025年2月21日12:00 活动详情链接:https://help.aliyun.com/zh/cst/product-overview/common-software-v
继续阅读从漏洞到Shell:堆溢出漏洞利用实战指南
从漏洞到Shell:堆溢出漏洞利用实战指南 原创 章鱼哥 白帽子社区团队 2025-02-11 01:37 关于无问社区 无问社区-官网:http://www.wwlib.cn 本文来自社区成员,章鱼哥投稿欢迎大家投稿。投稿可获得无问社区AI大模型的使用红包哦! 我们无问社区通过使用全球大量行业技术语料进行训练,截至目前 无问AI 在 红蓝对抗、应急响应、等保、风险评估、安全咨询等方面无论是知识面
继续阅读苹果修复了iPhone和iPad中被“极其复杂的攻击”利用的漏洞
苹果修复了iPhone和iPad中被“极其复杂的攻击”利用的漏洞 鹏鹏同学 黑猫安全 2025-02-11 01:35 苹果发布了紧急安全更新,以解决一个被追踪为CVE-2025-24200的零日漏洞,该漏洞被认为在“极其复杂”的针对性攻击中被利用。攻击者可能利用该漏洞在锁定设备上禁用USB受限模式。苹果的USB受限模式是iOS 11.4.1中引入的安全功能,旨在通过Lightning端口保护设备
继续阅读XE组织已从信用卡盗刷转向利用零日漏洞。
XE组织已从信用卡盗刷转向利用零日漏洞。 鹏鹏同学 黑猫安全 2025-02-11 01:35 Intezer和Solis Security的研究人员最近的一项调查揭示了XE组织近期行动的细节。XE组织至少从2013年开始活跃,是一个专注于信用卡盗刷和通过供应链攻击窃取密码的网络犯罪集团。Intezer发布的分析报告指出:“XE组织已从信用卡盗刷转向有针对性的信息窃取,这标志着其行动重点的重大转变
继续阅读网络攻击者利用SimpleHelp RMM漏洞实现持久访问和勒索软件攻击
网络攻击者利用SimpleHelp RMM漏洞实现持久访问和勒索软件攻击 汇能云安全 2025-02-11 01:32 2月11日,星期二,您好!中科汇能与您分享信息安全快讯: 01 索尼PlayStation网络一度大面积中断,导致服务全线中断 2月8日,索尼PlayStation网络遭遇大规模中断,导致全球玩家无法访问关键在线功能,包括账号登录、在线游戏、PlayStation商店等,引发玩家
继续阅读AnyDesk 漏洞PoC发布,利用该漏洞通过壁纸获取管理员权限
AnyDesk 漏洞PoC发布,利用该漏洞通过壁纸获取管理员权限 会杀毒的单反狗 军哥网络安全读报 2025-02-11 01:01 导读 流行的远程桌面软件 AnyDesk 最近披露了一个漏洞,编号为 CVE-2024-12754,该漏洞使本地攻击者能够利用对Windows 背景图像的处理来获取对敏感系统文件的未经授权的访问。 这可能会将他们的权限升级到管理级别,对系统安全构成重大威胁。 该漏洞
继续阅读.NET 代码审计:发现某企业级 OA 系统中任意文件下载漏洞
.NET 代码审计:发现某企业级 OA 系统中任意文件下载漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-11 00:21 在企业级OA系统的业务交互过程中,文件上传和下载是常见的功能需求。然而,往往会在实现这些功能时忽视安全性,导致系统可能存在一些安全漏洞,特别是文件下载漏洞。 01. 漏洞代码分析 下面通过对某OA系统代码的审计,详细分析如何发现并利用任意文件下载漏洞,以
继续阅读漏洞预警 | 金和OA任意文件读取漏洞
漏洞预警 | 金和OA任意文件读取漏洞 浅安 浅安安全 2025-02-11 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台、电子政务一体化平台、智慧电商平台等服务。 0x03 漏洞详情 漏洞类型: 任意文件读取 影
继续阅读漏洞预警 | ZZCMS SQL 注入漏洞
漏洞预警 | ZZCMS SQL 注入漏洞 浅安 浅安安全 2025-02-11 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 ZZCMS是一款适用于招商代理型的行业网站。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: ZZCMS的/index.php接口存在SQL注入漏洞,未经身份验证的攻击者可
继续阅读漏洞预警 | NetMizer日志管理系统远程命令执行漏洞
漏洞预警 | NetMizer日志管理系统远程命令执行漏洞 浅安 浅安安全 2025-02-11 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 NetMizer日志管理系统是一款可以记录流经设备的所有会话日志并将其传送到外部的管理中心上的系统。 0x03 漏洞详情 漏洞类型: 远程 命令 执行 影响: 执行任意代码 简述:
继续阅读2024年度网络安全漏洞分析报告
2024年度网络安全漏洞分析报告 计算机与网络安全 2025-02-10 23:57 资料列表: https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ 会员进群和文件下载指南 随着信息技术的广泛应用,网络攻击的手段和技术层面越来越复杂,挑战企业和个人的安全防线的同时,也对社会的安全管理和意识提出了更高的要求。漏洞是网络防御的基础,深入了解漏洞本质、追踪其演变态势并采取
继续阅读山西公安“净网2024”专项行动打击网络违法犯罪10起典型案例
山西公安“净网2024”专项行动打击网络违法犯罪10起典型案例 安全学习那些事儿 2025-02-10 23:00 2025年2月10日,据公安部网安局报道:2024年,山西公安机关认真贯彻落实省委省政府和公安部党委决策部署,在厅党委的统一指挥下,深入开展“净网2024”专项行动,聚焦打击整治“网络水军”、网络谣言、网络侵公、网络黑客等危害网络秩序和群众权益的突出违法犯罪,坚持破案件、打团伙、断链
继续阅读Tabby 2.0 自动化代码静态审计:CVE-2024-53675&53676 HPE IRS XXE&RCE 漏洞
Tabby 2.0 自动化代码静态审计:CVE-2024-53675&53676 HPE IRS XXE&RCE 漏洞 sec0nd安全 2025-02-10 21:49
继续阅读朝鲜APT组织Kimsuky利用新型恶意软件ForceCopy发动网络攻击
朝鲜APT组织Kimsuky利用新型恶意软件ForceCopy发动网络攻击 BaizeSec 白泽安全实验室 2025-02-10 16:39 一.背景概述 近日,网络安全研究人员发现,朝鲜高级持续性威胁(APT)组织Kimsuky正在使用一种名为ForceCopy的新型恶意软件,针对特定目标进行网络攻击。该恶意软件通过伪装成合法文件或软件更新,诱骗用户下载并执行,从而窃取敏感信息并实施进一步的网
继续阅读富通天下外贸ERPUploadEmailAttr存在任意文件上传漏洞
富通天下外贸ERPUploadEmailAttr存在任意文件上传漏洞 原创 骇客安全 骇客安全 2025-02-10 16:00 四、漏洞复现 POST /JoinfApp/EMail/UploadEmailAttr?name=.ashx HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) Appl
继续阅读经典漏洞复现:CrossFire老版本缓冲区溢出漏洞GetShell全解析
经典漏洞复现:CrossFire老版本缓冲区溢出漏洞GetShell全解析 原创 Z1eaf 泷羽Sec-Z1eaf 2025-02-10 15:24 背景 前面我们学习了利用Windows32位系统的缓冲区溢出漏洞来getshell,今天我们来利用Linux32位系统的缓冲区溢出漏洞来getshell,进一步学习和理解缓冲区溢出漏洞 – 首先,我们这次需要准备一个Linux32位系统
继续阅读漏洞可达性分析:安全工程师的“手术刀”,精准切除90%无效漏洞 – 重构漏洞治理新范式
漏洞可达性分析:安全工程师的“手术刀”,精准切除90%无效漏洞 – 重构漏洞治理新范式 原创 tonghuaroot RedTeam 2025-02-10 14:46 一、漏洞洪峰时代:安全工程师的至暗时刻 2023年全球新增漏洞数量突破40万大关,平均每3分钟就有一个漏洞被武器化利用。传统基于CVSS评分和SLA的漏洞管理策略已全面失效: image – 数据暴增 :漏洞
继续阅读