【安全圈】CVE-2024-56000(CVSS9.8):KLEO WordPress 主题中存在的账户接管漏洞 安全圈 2025-02-24 11:03 关键词 安全漏洞 在 KLEO WordPress 主题中发现了一个严重漏洞,攻击者有可能借此接管用户账户。 该漏洞编号为 CVE-2024-56000,CVSS 评分达 9.8,受影响的是 K Elements 插件,它与 KLEO 主题捆绑
继续阅读漏洞致大模型遭“零元购”?360全方位守护企业AI系统安全 360数字安全 2025-02-24 10:07 News Today 随着以DeepSeek为代表的开源大模型逐渐渗透到各行各业,引发新一代人工智能技术发展新浪潮。然而,一些企业或个人在本地部署大模型时,由于配置不当导致服务暴露于公网,直接引发了严重的安全问题。攻击者免费利用这些暴露的服务可以随意调用大模型资源,不仅造成资源滥用,还可能
继续阅读安全热点周报:Microsoft Power Pages 零日漏洞遭在野利用 奇安信 CERT 2025-02-24 09:11 安全资讯导视 • 《科学数据安全分类分级指南》等5项国家标准发布 • 知名交易所14亿美元数字货币被盗,损失金额创历史新高 • 仿冒DeepSeek的手机木马病毒被捕获!国家病毒中心发布提醒 PART01 新增在野利用 1.Power Pages 访问控制不当漏洞(C
继续阅读上周关注度较高的产品安全漏洞(20250217-20250223) 原创 CNVD CNVD漏洞平台 2025-02-24 08:47 一、境外厂商产品漏洞 1、SAP Supplier Relationship Management路径遍历漏洞 SAP Supplier Relationship Management是一款领先的采购供给链管理软件,旨在帮助企业优化供给商关系,提高采购效率和质量。
继续阅读【安全圈】马斯克DOGE网站数据库存在漏洞,任何人可随意篡改内容 安全圈 2025-02-23 11:01 关键词 安全漏洞 近日,埃隆·马斯克旗下的政府部门效率部(DOGE)因推出存在严重安全漏洞的官方网站而陷入舆论风波。该网站被曝使用未加密的外部数据库,导致任何人皆可未经授权修改其内容。这一漏洞由两名网络开发专家发现,并迅速被不法分子利用,在网站上发布讽刺性信息,引发公众对DOGE部门安全实践
继续阅读【安全圈】Atos旗下Eviden公司紧急发布安全公告:IDPKI解决方案曝出高危漏洞 安全圈 2025-02-23 11:01 关键词 安全漏洞 近日,Atos集团旗下Eviden公司发布紧急安全公告,披露在其推出的身份与公钥基础设施解决方案IDPKI中发现了多个安全漏洞。 这些漏洞的CVE编号分别为CVE-2024-39327、CVE-2024-39328和CVE-2024-51505,可能导
继续阅读若依Vue漏洞检测工具(2月21日更新) kk12-30 Web安全工具库 2025-02-22 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。个人微信:iv
继续阅读风险评估架构,终于让风险露脸了! 原创 晓兵Jason 锐安全 2025-02-22 15:24 本文 2109 字,阅读时长 8 分钟 指给你我看到的远方,助力你走得更远 经过前几周的铺垫,今天,终于让风险有了一个清晰的样子。 在信息泛滥和摊平的今天,其实我们越来越需要“知识蒸馏”工程,把知识用认知的框架再压缩一次。 每一次信息平权,其实都是更高维度的信息霸权。 来,咱们一起掌握新的“信息霸权”
继续阅读[已开源] 基于大语言模型的自动化漏洞修复技术实践 原创 tonghuaroot RedTeam 2025-02-22 13:23 本文介绍了如何基于 Patchwork 框架与大语言模型,构建可定制化的自动化代码漏洞修复工具,覆盖静态扫描、漏洞验证、智能补丁生成与代码兼容性检测的完整技术闭环。 前言 本节将介绍 Patchflow 的工作流程,用于创建可定制化的 AutoFix 工具,能够使用
继续阅读【安全圈】微软Power Pages权限提升漏洞被黑客利用,紧急修复中 安全圈 2025-02-22 11:00 零日攻击再现:Power Pages 被曝高危漏洞,微软紧急修复 2月21日消息,科技媒体BleepingComputer报道,微软公司近日发布安全公告,披露Power Pages平台存在一个高危权限提升漏洞,并且已有证据表明该漏洞已被黑客利用进行零日攻击。 该漏洞的追踪编号为CVE-
继续阅读FreeBuf周报 | 马斯克DOGE网站数据库存在漏洞;OpenSSH曝高危漏洞 Zicheng FreeBuf 2025-02-22 10:01 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 资讯热点 1. 网络犯罪转向社交媒体,攻击量达历史新高 最新报告显示,2024年在线威胁急剧增加,创下历史新高。仅
继续阅读记一次“安全扫描工具联动”自动化扫描漏洞流程 点击关注👉 马哥网络安全 2025-02-22 09:00 假如你在一次攻防演练或者渗透测试中有多个攻击测试目标,一个一个去手动测试是肯定不现实的,可以先借助安全扫描工具去“自动扫描测试目标站点”的薄弱漏洞的位置,为你后续的深入测试提供事半功倍的效果。 前言:随着当前网络安全威胁的不断扩展与升级,开展渗透测试工作已经成为众多组织或公司主动识别安全漏洞与
继续阅读ViewStates 漏洞,利用 .NET 机器密钥实施代码注入攻击 专攻.NET安全的 dotNet安全矩阵 2025-02-22 07:32 近期,Microsoft Threat Intelligence监测到一起由未知威胁行动者发起的攻击事件。该行动者利用从公开资源中获取的 .NET 机器密钥,成功注入了恶意代码,并部署了Godzilla,尽管其活动范围有限。经调查,发现问题的根源在于部分
继续阅读某红书Shield算法Chomper黑盒调用 原创 吾爱小白 小白技术社 2025-02-22 06:26 某红书Shield算法Chomper黑盒调用 从安卓还原算法过程得知需要初始化设置一个Token 这里选择的是一个老版本作为案例,这里也不需要其他多余的部环境操作。 chomper 地址:https://github.com/sledgeh4w/chomper 初始化 从frida-trac
继续阅读高危:Ollama远程代码执行漏洞 原创 吉祥 吉祥快学网络安全吧 2025-02-22 04:28 近期,开源AI模型部署工具Ollama曝出高危远程代码执行漏洞(CVE-2024-37032),CVSS评分高达9.1,攻击者无需身份验证即可通过接口操控服务器,实现任意代码执行 。这一漏洞已在全球范围内影响近6000台暴露在公网的Ollama服务器。本文将深入解析漏洞原理、危害及修复方案,并附技
继续阅读SRC实战系列-记某次大学漏洞挖掘经过 进击安全 2025-02-22 03:45 免责声明 由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。LK 安全公众号 及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢大家!!! 请勿利用文章内的相关技术从事非法测试,由于传播,利用此文所提供的信息而造成的任何直接或者
继续阅读弱权限目录成漏洞温床!3 个真实案例教你如何防范文件劫持! VlangCN HW安全之路 2025-02-22 02:51 在 Windows 系统中,权限管理往往是安全性的重要一环。然而,有些目录或文件的权限设置不当,就像给攻击者敞开了一扇门,让他们能够植入恶意文件、执行代码,甚至劫持合法进程或服务。这些“弱权限目录”由于缺乏有效的访问控制和安全审查,成为了攻击者眼中的“香饽饽”。他们可以利用这
继续阅读高效检测 SQL 注入漏洞,自动化实战经验分享 黑白之道 2025-02-22 01:30 在渗透测试项目中,经常会收集大量的接口信息,为了提高效率,通常会使用工具来完成自动化测试,针对大量接口的漏洞探测,xray 这方面做的非常不错,但对于 POST 请求,探测方式只能采用被动请求或逐个接口测试的方式。 但是我在实际的工作中,需要针对大量 GET、POST 接口和参数做漏洞探测,而目前比较关注的
继续阅读漏洞预警 | 月子会所ERP管理云平台任意文件上传漏洞 浅安 浅安安全 2025-02-22 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 月子会ERP管理云平台是由武汉金同方科技有限公司研发团队结合行业月子中心相关企业需求开发的一套综合性管理软件。 0x03 漏洞详情 漏洞类型: 任意文件上传 影响: 控制服务器 简述:
继续阅读漏洞预警 | 云出行后台管理系统未授权访问漏洞 浅安 浅安安全 2025-02-22 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 云出行后台管理系统是一款集成订单管理、车辆调度、司机管理、乘客服务、财务结算和数据分析的一站式出行服务平台管理解决方案,旨在提升运营效率和服务质量。 0x03 漏洞详情 漏洞类型: 未授权访问
继续阅读漏洞预警 | jolokia JNDI远程代码执行漏洞 浅安 浅安安全 2025-02-22 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 Jolokia是一个用于通过HTTP访问JMX MBean的桥梁工具,它提供了简单易用的RESTful接口,使得开发者可以通过HTTP请求直接与JMX MBean交互。 0x03 漏洞详
继续阅读5th域安全微讯早报【20250222】046期 网空闲话 网空闲话plus 2025-02-21 23:58 2025-02-22 星期六Vol-2025-046 今日热点导读 1. 五角大楼加速“网络司令部 2.0 ”审查,要求列出权限愿望清单 DISA :国防部将在财年末实现所有军种的联合 ICAM 连接 3. 美国成立特别工作组管控人工智能和加密货币 Bybit 交易所遭黑客攻击,损
继续阅读Fastjson漏洞探测插件 — FastjsonScan4Burp(2月20日更新) Niiiiko 网络安全者 2025-02-21 16:01 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自
继续阅读SonicWall 防火墙漏洞可让黑客劫持 VPN 会话,请立即修补 Rhinoer 犀牛安全 2025-02-21 16:00 Bishop Fox 的安全研究人员公布了 CVE-2024-53704 漏洞的完整利用细节,该漏洞允许绕过某些版本的 SonicOS SSLVPN 应用程序中的身份验证机制。 该供应商在 1 月 7 日发布的公告中警告了该漏洞极高的利用可能性,并敦促管理员升级其 So
继续阅读【高危漏洞预警】Ivanti Connect Secure外部控制文件名漏洞 cexlife 飓风网络安全 2025-02-21 15:01 漏洞描述: Ivаnti Cоnnесt Sесurе和Ivаnti Pоliсу Sесurе是两款由Ivаnti公司开发的安全产品,它们主要用于企业环境中保护数据传输和执行安全策略管理,在Ivаnti Cоnnесt Sесurе版本22.7R2.4之前
继续阅读sqlmap_gui是一款图形界面化的 SQL 注入漏洞测试工具 suqianjue 无影安全实验室 2025-02-21 12:46 免责声明: 本篇文章仅用于技术交流, 请勿利用文章内的相关技术从事非法测试 , 由于传播、利用本公众号无影安全 实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责任,一旦造成后果请自行承担! 如有
继续阅读G.O.S.S.I.P 阅读推荐 2025-02-21 通往漏洞自动化修复的漫漫长路 原创 G.O.S.S.I.P 安全研究GoSSIP 2025-02-21 12:32 今天我们介绍的是一篇来自USENIX Security 2025的SoK研究论文Towards Effective Automated Vulnerability Repair ,它对当前的 漏洞自动化修复(automated
继续阅读【$200】一个速率限制不当的漏洞故事 原创 骨哥说事 骨哥说事 2025-02-21 12:29 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 原文地址:https://gugesay.com/archives/3975 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 在
继续阅读[开源 Prompt] AI 增强的漏洞优先级排序 原创 tonghuaroot RedTeam 2025-02-21 12:15 Databricks 利用 LLM 针对第三方组件漏洞进行优先级排序,准确率达到了85%,安全团队人工分析的工作量减少了超过95%。 前言 如何针对第三方组件的安全漏洞进行修复的优先级排序是一个行业难题。人工监控和分析每天发布的大量安全漏洞信息的成本非常高。 Data
继续阅读