漏洞预警 | SeaCMS海洋影视管理系统SQL注入漏洞
漏洞预警 | SeaCMS海洋影视管理系统SQL注入漏洞 浅安 浅安安全 2025-03-03 00:01 0x00 漏洞编号 – # CVE-2025-25514 CVE-2025-25516 0x01 危险等级 – 高危 0x02 漏洞概述 海洋CMS是为解决站长核心需求而设计的内容管理系统,一套程序自适应电脑、手机、平板、APP多个终端入口,无任何加密代码、安全有保障
继续阅读月度归档: 2025 年 3 月
漏洞预警 | DocsGPT远程代码执行漏洞
漏洞预警 | DocsGPT远程代码执行漏洞 浅安 浅安安全 2025-03-03 00:01 0x00 漏洞编号 – # CVE-2025-0868 0x01 危险等级 – 高危 0x02 漏洞概述 DocsGPT是一个AI驱动的文档助手,基于GPT技术,用于智能搜索和解析技术文档,帮助开发者快速获取API说明、代码示例和问题解答。 0x03 漏洞详情 CVE-2025-
继续阅读【漏洞复现】 Ollama未授权访问漏洞
【漏洞复现】 Ollama未授权访问漏洞 g3m 无尽藏攻防实验室 2025-03-03 00:00 网络安全为人民 师傅们好👋:本公众号现在已开启对常读和星标的公众号展示大图推送,为了不错过我们的网络安全干货,请星标🌟我们。这样,您就能快速掌握最新动态,与我们共同守护网络空间!感谢您的关注和支持!💖 Ollma Ollama 是一个开源的大语言模型(LLM)运行环境和工具集,旨在帮助开发者轻松部
继续阅读【漏洞挖掘技巧】新手师傅从0到1如何挖洞
【漏洞挖掘技巧】新手师傅从0到1如何挖洞 迪哥讲事 2025-03-02 21:30 前言 edusrc 不像企业 src,大部分账号就是学号+身份证号或者默认的弱密码,因此弱口令的网站量要多得多,并且学校数量众多,所以 edusrc 弱密码无疑是挖掘 src 的最好入手点。 01 资产搜集 先确定自己要挖什么目标,一般刚开始的话说实话就是全凭感觉,不一定是学校越小越好挖,因为资产太少了也不容易找
继续阅读VxWorks设备分析与漏洞挖掘
VxWorks设备分析与漏洞挖掘 船山信安 2025-03-02 18:00 笔者最近研究作为实时操作系统Vxworks,Vxworks不仅搭载在一些工控系统上,也搭载在路由器上的,所以就以路由器的挖掘描述Vxworks在怎么样去分析挖掘,本文以TPLink。 2.固件获取 通过TPlink官网获取固件 https://resource.tp-link.com.cn/ 以TL-WDR7660路由器
继续阅读EatPoc – 简单的POC捕获工具
EatPoc – 简单的POC捕获工具 LemonSec 2025-03-02 16:00 又到每年大小考的时候了,很多非开源扫描器会集中再这段时间疯狂推送新的POC。大秀肌肉。 有时候不想启用mitmproxy去精细化抓取流量,只想批量保存POC。所以做了这么一个脚本去完成需求。 该工具保存下载的流量(request),可以再用大模型修改格式,比如改成Nuclei支持的格式。 项目地
继续阅读关于Ollama存在未授权访问漏洞的安全公告
关于Ollama存在未授权访问漏洞的安全公告 网安百色 2025-03-02 11:31 安全公告编号 :CNTA-2025-0003 近日,国家信息安全漏洞共享平台(CNVD)收录了Ollama未授权访问漏洞(CNVD-2025-04094)。未经授权的攻击者可以远程访问Ollama服务接口执行敏感资产获取、虚假信息投喂、拒绝服务等恶意操作。CNVD建议受影响的单位和用户立即采取措施防范漏洞攻击
继续阅读PingAM Java存在未经授权的访问权限漏洞CVE-2025-20059
PingAM Java存在未经授权的访问权限漏洞CVE-2025-20059 网安百色 2025-03-02 11:31 点击上方 蓝字 关注我们吧~ Ping Identity 针对其 PingAM Java 代理发布了紧急安全公告,揭示了一个严重性为极高的漏洞 (CVE-2025-20059),该漏洞使攻击者能够绕过策略实施机制并未经授权访问受保护的资源。 该漏洞被归类为相对路径遍历弱点 (C
继续阅读应用安全不仅仅是漏洞
应用安全不仅仅是漏洞 原创 tonghuaroot RedTeam 2025-03-02 10:36 应用安全不仅仅是漏洞,漏洞是驱动应用安全建设的有效抓手。 代码天生易错 核心理念:以系统可靠性为核心目标,兼顾控制验证与安全保障、安全漏洞治理的双重诉求。 应用开发天生具有复杂性。没有不存在漏洞的应用 。这些漏洞可能源自需求分析、设计阶段,也可能出现在实现及后续维护过程中,不同阶段的安全漏洞会引发
继续阅读Ollama未授权漏洞简单复现
Ollama未授权漏洞简单复现 原创 ss shadowsec 2025-03-02 10:25 前言:本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 最近Deepseek爆火,很多企业之类的都开始部署ai。而Ollama是运行 AI 模型的最受欢迎的开源项目之一,在Github上有13w以上star。在以后,或许AI也会成为一条新的可以渗透的路线,所以在看到ollama出
继续阅读DeepSeek 出现严重漏洞!一个问题直接导致无限循环!
DeepSeek 出现严重漏洞!一个问题直接导致无限循环! 量子位 乌雲安全 2025-03-02 10:01 转载于公众号:量子位。 只要一句话,就能让DeepSeek陷入无限思考 ,根本停不下来? 北大团队发现,输入一段看上去人畜无害的文字,R1就无法输出中止推理标记,然后一直输出不停。 强行打断后观察已有的思考过程,还会发现R1在不断重复相同的话。 而且这种现象 还能随着蒸馏被传递 ,在用R
继续阅读Apache MINA CVE-2024-52046漏洞复现分析
Apache MINA CVE-2024-52046漏洞复现分析 原创 HSCERT 山石网科安全技术研究院 2025-03-02 10:00 网络安全警报!Apache MINA 漏洞来袭。 互联网时代,网络安全问题层出不穷,稍有不慎就可能陷入巨大风险之中。 近日,一则关于Apache MINA的重大漏洞预警引发广泛关注,它究竟有何危害? 又该如何防范? 本文将为您详细解析 。 一、漏洞背景 美
继续阅读利用 AIxCC Nginx 漏洞:第一部分
利用 AIxCC Nginx 漏洞:第一部分 Ots安全 2025-03-02 07:23 这篇博文将分析Nginx AIxCC 中时间安全漏洞的可利用性。 AIxCC是 DARPA 的一项竞赛,旨在使用 AI 查找代码库中的漏洞。参赛者不是在寻找 0day 漏洞,而是故意在现有代码库中添加漏洞。其中之一就是半决赛中的Nginx,该比赛已经结束。 在这篇博文中,我将从不同的角度关注这些增加的漏洞是
继续阅读别让更新变麻烦:Python脚本助你一键获取修复操作系统漏洞补丁包!
别让更新变麻烦:Python脚本助你一键获取修复操作系统漏洞补丁包! 原创 didiplus 攻城狮成长日记 2025-03-02 07:18 字数 1430,阅读大约需 8 分钟 在日常工作中,服务器安全是企业运营的关键。我们专业的安全团队会用工具对所有服务器进行扫描,找出潜在的安全问题,并生成详细的报告,里面不仅有漏洞信息,还有修复建议。如下图所示,这样不仅能及时解决问题,还能帮助企业建立更安
继续阅读记一次某大学的漏洞挖掘
记一次某大学的漏洞挖掘 原创 zkaq-徐来. 掌控安全EDU 2025-03-02 04:01 扫码领资料 获网安教程 本文由掌控安全学院 – 徐来. 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 宇宙免责声明!!! 本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的;文中讨论的所有案例和技术均旨在帮助读者更好地理解
继续阅读实战一次完整的博彩渗透测试
实战一次完整的博彩渗透测试 WK安全 2025-03-02 01:02 技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!! 一、信息收集 1.锁定网站:xx.
继续阅读URL 重定向:利用开放 URL 重定向漏洞的完整指南
URL 重定向:利用开放 URL 重定向漏洞的完整指南 原创 visionsec 安全视安 2025-03-01 18:21 开放 URL 重定向漏洞很容易找到,因为它们在应用程序中很常见。这种漏洞类型通常也被认为是一个唾手可得的果实。但是,随着现代应用程序变得越来越复杂,漏洞也越来越复杂。这也使得将这些唾手可得的成果升级为更严重的安全问题成为可能。正如我们已经看到如何将 XSS 升级为远程代码执
继续阅读黑客利用旧版 ThinkPHP 和 ownCloud 漏洞攻击量激增
黑客利用旧版 ThinkPHP 和 ownCloud 漏洞攻击量激增 Rhinoer 犀牛安全 2025-03-01 16:00 我们发现黑客试图攻击那些容易受到 2022 年和 2023 年旧安全问题影响的维护不善的设备。 威胁监控平台 GreyNoise 报告称,利用 CVE-2022-47945 和 CVE-2023-49103 的攻击行为者数量激增 ,这会影响 ThinkPHP 框架和用
继续阅读被动扫描的fastjson漏洞探测插件 — FastjsonScan4Burp(2月28日更新)
被动扫描的fastjson漏洞探测插件 — FastjsonScan4Burp(2月28日更新) Niiiiko 网络安全者 2025-03-01 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任
继续阅读漏洞挖掘小工具 — SeeMore(3月1日更新)
漏洞挖掘小工具 — SeeMore(3月1日更新) Bbdolt Web安全工具库 2025-03-01 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系
继续阅读Check Point Security Gateways 安全网关存在任意文件读取漏洞CVE-2024-24919 【老洞】
Check Point Security Gateways 安全网关存在任意文件读取漏洞CVE-2024-24919 【老洞】 2025-3-1更新 南风漏洞复现文库 2025-03-01 15:04 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途
继续阅读【工具】一个综合类型的AI大模型应用网站:Monica
【工具】一个综合类型的AI大模型应用网站:Monica 原创 丁爸 丁爸 情报分析师的工具箱 2025-03-01 13:12 今天给大家推送一个综合类型的AI大模型应用网站:Monica 官网地址:https://monica.im/ Monica 是一个由 ChatGPT API 提供支持的 Chrome 扩展,旨在成为您轻松聊天和撰写文案的个人 AI 助手。 您可以免费使用 Monica。免
继续阅读黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告
黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告 Ots安全 2025-03-01 11:20 我是如何意外发现互联网上最常被利用的 XSS 漏洞之一的 我的故事开头可能和许多技术博客的读者一样熟悉——又是一个独自坐在电脑前,平淡无奇的夜晚。出于纯粹的学习目的,我打开了一个 Chrome 隐身窗口,进入 Google,输入了“
继续阅读CVE-2025-26794|Exim存在SQL注入漏洞
CVE-2025-26794|Exim存在SQL注入漏洞 alicy 信安百科 2025-03-01 10:01 0x00 前言 Exim是基于GPL协议的开源软件,由英国剑桥大学的Philip Hazel开发。Exim 是一个MTA(邮件传输代理) ,负责邮件的路由,转发和投递。Exim可运行于绝大多数的类 UNIX 系统上,包括了 Solaris、AIX、Linux 等。 0x01 漏洞描述
继续阅读CVE-2025-25065|Zimbra存在SSRF漏洞
CVE-2025-25065|Zimbra存在SSRF漏洞 alicy 信安百科 2025-03-01 10:01 0x00 前言 Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。 Zimbra的核心产品是Zimbra协作套件(Zimbr
继续阅读更新第3章!系统0day安全-Windows平台漏洞挖掘(第5期)
更新第3章!系统0day安全-Windows平台漏洞挖掘(第5期) 小雪 看雪学苑 2025-03-01 09:59 更新: 3.1 Syscall,Deviceloctrol原理讲解https://www.kanxue.com/book-194-5253.htm Windows操作系统广泛应用于各类企业和个人设备中,其安全性至关重要。 · 课程介绍 本课程将深入探讨Windows平台的漏洞挖掘技
继续阅读Caldera:CVE-2025–27364,你给个不能用的POC,把我们这些脚本小子都给气笑了
Caldera:CVE-2025–27364,你给个不能用的POC,把我们这些脚本小子都给气笑了 原创 JSec 悟盾 2025-03-01 08:56 CVE-2025–27364 caldera 远程命令执行漏洞 挂一个漏洞描述原文链接 https://medium.com/@mitrecaldera/mitre-caldera-security-advisory-remote-code-e
继续阅读【安全预警】Hisense-智能公交企业管理系统 AdjustWorkHours.aspx 存在SQL注入漏洞
【安全预警】Hisense-智能公交企业管理系统 AdjustWorkHours.aspx 存在SQL注入漏洞 hyuya 安全卫士小帮手 2025-03-01 05:32 来源:https://www.ddpoc.com/DVB-2024-8494.html 产商已修复,未更新补丁的请及时更新补丁,验证脚本和方式星球内自取
继续阅读【6-2w$赏金】我的微软漏洞赏金 – 大结局
【6-2w$赏金】我的微软漏洞赏金 – 大结局 原创 M1n9K1n9 APT250 2025-03-01 04:36 按照我的个人习惯,致谢和结语放文章开头,谢谢。 致谢 我叫做鸣王(M1n9K1n9),原名冯家鸣,来自广东工贸职业技术学院,同时也是网络安全职业选手、未来的职业漂移赛车手、QQ飞车娱乐选手,等等等等 感谢TryHackMe和htba等国际网络安全平台/团队/企业,使我
继续阅读十几万个漏洞POC,直接梭哈
十几万个漏洞POC,直接梭哈 菜鸟小新 2025-03-01 03:23 POC (Proof of Concept)是指漏洞证明,它通过一段描述或一个样例来证明漏洞确实存在。POC通常用于检测系统或应用程序中是否存在某个特定的漏洞。它是安全研究人员在发现漏洞后,向开发者或相关方展示漏洞存在的有效手段。 POC的作用 POC的主要作用是验证漏洞的存在,并展示漏洞的利用方式。通过POC,安全研究人员
继续阅读