从环境构建到漏洞利用:如何用Metarget和Coogo复现K8s IngressNightmare攻击链 原创 星云实验室 绿盟科技研究通讯 2025-03-28 17:05 一. 概述 Ingress Controller作为K8s集群管理外部访问的核心组件,承担着集群入口网关的关键角色,其通过智能路由机制将外部HTTP/HTTPS流量定向到集群内部相应的Service和Pod,是集群流量管
继续阅读Vite 任意文件读取漏洞(CVE-2025-30208)全网测绘分析 360Quake空间测绘 360Quake空间测绘 2025-03-28 16:43 一、漏洞概述 CVE-2025-30208 是 Vite 开发服务器中存在的高危任意文件读取漏洞,攻击者可通过构造特定 URL 参数绕过文件访问控制机制,读取服务器上的敏感文件(如 /etc/passwd 、C:\windows\win.in
继续阅读OpenAI 漏洞赏金计划将最高奖励提高至 10 万美元 数世咨询 2025-03-28 16:00 OpenAI 正在通过大幅增加漏洞赏金计划和新的 AI 安全研究补助金来优先考虑安全性。了解他们如何与研究人员和专家合作,以保护他们的 AI 平台免受新兴威胁。 01 洞赏金计划改革,大幅提升奖金 OpenAI在其最 新博客文章 中公布了一系列新的网络安全举措,标志着其大胆推进通用人工智能 (AG
继续阅读【漏洞通告】Mozilla Firefox 沙箱逃逸漏洞(CVE-2025-2857) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-28 15:39 漏洞名称: Mozilla Firefox 沙箱逃逸漏洞(CVE-2025-2857) 组件名称: Mozilla Firefox 影响范围: Firefox < 136.0.4 Firefox ESR < 115.21.1
继续阅读研究人员揭露 macOS 漏洞可导致系统密码泄露 山卡拉 嘶吼专业版 2025-03-28 14:00 Noah Gregory 最近发表的一篇文章,着重指出了 macOS 系统中一个严重的漏洞,其编号为 CVE – 2024 – 54471。好在该漏洞已在 macOS Sequoia 15.1、macOS Sonoma 14.7.1 以及 macOS Ventura 13
继续阅读工具集:svnExploit【SVN源代码泄露全版本Dump源码工具】 wolven 风铃Sec 2025-03-27 22:59 🐉工具介绍 SVN是Subversion的缩写,是一种版本控制系统,类似于Git。当使用SVN进行代码管理时,每个工作副本目录下都会有一个.svn隐藏文件夹,里面包含版本控制信息,比如提交历史、文件差异等。一些网站管理员在发布代码时,不愿意使用“导出”功能,而是直接复
继续阅读Sitecore几年前的洞CVE-2019-9874:反序列化实现的未经认证的 RCE(CVSS 9.8) 柠檬赏金猎人 2025-03-27 22:30 概述 Sitecore 的CSRF 模块中的两个严重漏洞再次成为活跃威胁,最近CISA将其加入已知被利用漏洞清单 (Known Exploited Vulnerabilities Catalog)。 CVE-2019-9874 是一个影响 Si
继续阅读CVE-2025-24813:Apache Tomcat远程代码执行漏洞 白帽子 2025-03-27 22:08 关注我们❤️,添加星标🌟,一起学安全! 作者:Howell@Timeline Sec 本文字数:3141 阅读时长:2~4mins 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Apache Tomcat 是一个开源的、轻量级的 Java Servl
继续阅读Vite存在任意文件读取漏洞CVE-2025-30208 附POC 2025-3-27更新 南风漏洞复现文库 2025-03-27 20:43 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Vite简介 微信公众号搜索:南风漏洞复现文
继续阅读新的 Windows 0day漏洞让远程攻击者窃取 NTLM 凭据 网安百色 2025-03-27 19:29 点击上方 蓝字 关注我们吧~ 一个严重漏洞影响从 Windows 7 和 Server 2008 R2 到最新的 Windows 11 v24H2 和 Server 2025 的所有 Windows作系统。 此0day漏洞使攻击者只需让用户在 Windows 资源管理器中查看恶意文件,即
继续阅读OpenAI 严重漏洞最高赏金提高至10万美元 Ryan Naraine 代码卫士 2025-03-27 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 人工智能技术巨头OpenAI 将最高漏洞赏金从2万美元提高至10万美元,而这是该公司设立发现基础设施和产品中严重和高危漏洞外包计划的一部分。 该漏洞奖励计划是OpenAI 公司设立的多项安全计划之一,这些安全计划包括资助安全研究
继续阅读小红书被曝高频获取用户信息,官方回应;Google Chrome零日漏洞已被在野利用,无需用户交互即可绕过沙盒保护 | 牛览 安全牛 2025-03-27 18:08 新闻速览 •小红书被曝高频获取用户信息,官方回应 •冒充客服窃取2.43亿美元,加密货币盗窃案主犯Wiz落网 •夸大网络安全评分,美国国防承包商付出460万美元代价 •黑客利用电子犯罪工具Atlantis AIO对140多个平台进行
继续阅读漏洞预警 | Vite 存在任意文件读取漏洞(CVE-2025-30208) 原创 烽火台实验室 Beacon Tower Lab 2025-03-27 17:37 1 漏洞概述 漏洞类型 文件读取 漏洞等级 中 漏洞编号 CVE-2025-30208 漏洞评分 5.3 利用复杂度 低 影响版本 Vite 6.2.3、6.1.2、6.0.12、5.4.15 和 4.5.10 之前的版本 利用方式
继续阅读【漏洞通告】Vite 访问控制错误漏洞(CVE-2025-30208) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-27 17:28 漏洞名称: Vite 访问控制错误漏洞(CVE-2025-30208) 组件名称: Vite 影响范围: 6.2.0 ≤ Vite ≤ 6.2.26.1.0 ≤ Vite ≤ 6.1.16.0.0 ≤ Vite ≤ 6.0.115.0.0 ≤ Vite
继续阅读【漏洞通告】Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-27 17:28 漏洞名称: Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974) 组件名称: Nginx Ingress Controller 影响范围: Ingress NGINX C
继续阅读已复现】Vite 任意文件读取漏洞(CVE-2025-30208) 长亭应急响应 黑伞安全 2025-03-27 17:07 Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。2025 年 3 月,Vite 官方发布安全补丁,修复了一个任意文件读取漏洞(CVE-2025-30208)。
继续阅读【支持排查与检测】Vite任意文件读取漏洞(CVE-2025-30208) 原创 NS-CERT 绿盟科技CERT 2025-03-27 15:07 通告编号:NS-2025-0017 2025-03-27 TAG: Vite、任意文件读取、CVE-2025-30208 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全
继续阅读漏洞通告 | Kubernetes Ingress-nginx 远程命令执行漏洞 原创 微步情报局 微步在线研究响应中心 2025-03-27 12:13 漏洞概况 Ingress-nginx Admission Controller 是 Ingress-nginx 的一个重要组件,它是一种准入控制器 (Admission Controller),负责在 Kubernetes 集群中对 Ingre
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-30208) 长亭安全应急响应中心 2025-03-27 12:04 Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。2025 年 3 月,Vite 官方发布安全补丁,修复了一个任意文件读取漏洞(CVE-2025-30208)。
继续阅读vite 任意文件读取漏洞 CVE-2025-30208 原创 security 网安守护 2025-03-26 23:43 $ npm create vite@latest$ cd vite-project/$ npm install$ npm run dev$ echo “top secret content” > /tmp/secret.txt# expecte
继续阅读【风险提示】天融信关于Vite任意文件读取漏洞(CVE-2025-30208)的风险提示 天融信应急响应 天融信阿尔法实验室 2025-03-26 23:21 0x00 背景介绍 3月26日 ,天融信阿尔法实验室监测到Vite 官方披露了一个任意文件读取漏洞(CVE-2025-30208),目前该漏洞POC已公开,建议受影响用户尽快升级。 0x01 漏洞描述 Vite 是一个现代前端构建工具,它旨
继续阅读高危逻辑漏洞-Web3+Web2前端结合的ABI任意调用实现链上交易免gas 格格巫和蓝精灵 2025-03-26 22:25 01 — 前言 这次的漏洞案例依旧是Defi场景的漏洞,漏洞来源为测试环境的真实业务案例,本漏洞案例仅用于技术学习,禁止用于非法入侵行为, 于此内容采取的任何行动均由个人全权负责, 使用这些信息应遵守适用的法律、法规和道德标准。本文首发于先知社区 02 — DAPP和智能
继续阅读【漏洞预警】Ingress NGINX Controller远程代码执行漏洞(CVE-2025-1974) cexlife 飓风网络安全 2025-03-26 22:22 漏洞描述: 该漏洞源于Inɡrеѕѕ NGINX Cоntrоllеr没有充分验证inɡrеѕѕ配置,攻击者可伪造AdmiѕѕiоnRеviеԝ请求加载恶意共享库执行任意代码,访问Kubеrnеtеѕ集群敏感信息等。 该漏洞可
继续阅读Linux提权漏洞CVE-2025-27591 原创 柠檬赏金猎人 柠檬赏金猎人 2025-03-26 21:59 CVE-2025-27591 是一个已知的权限提升漏洞,存在于 Below 服务(版本 < v0.9.0)。该漏洞源于 /var/log/below 目录被设置为全局可写(world-writable),允许本地非特权用户通过符号链接攻击修改敏感文件(如 /etc/shadow
继续阅读【漏洞速递】Google Chrome 沙箱逃逸漏洞(CVE-2025-2783) 安全狐 2025-03-26 21:37 漏洞背景 Google Chrome 是全球使用最广泛的网页浏览器之一,以其快速、安全和稳定的特性著称。Chrome 采用了沙箱机制来隔离网页进程,以防止恶意代码对系统造成危害。2025年3月, 卡巴斯基安全研究人员发现了一个高危漏洞(CVE-2025-2783),该漏洞允
继续阅读FOXCMS黔狐内容管理系统index.html接口存在远程代码执行漏洞CVE-2025-29306 漏洞预警 2025-3-26更新 南风漏洞复现文库 2025-03-26 21:22 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1.
继续阅读泛微e-office sms_page.php sql注入漏洞 Superhero Nday Poc 2025-03-26 20:56 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 泛微E-offi
继续阅读在ChatGPT中挖掘XSS漏洞实现任意账户接管 Z2O安全攻防 2025-03-26 20:38 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 背景介绍 在本篇文章中,国外安全研究人员Ron将介绍他在ChatGPT中发现的两处XSS漏洞以及其它一些漏洞,如果将它们组合在一起的话,甚至
继续阅读【已复现】Ingress NGINX Controller 远程代码执行漏洞 长亭安全应急响应中心 2025-03-26 20:18 Ingress NGINX Controller 是 Kubernetes 生态系统中广泛使用的入口控制器,基于 NGINX 反向代理,用于管理外部流量并将其路由到 Kubernetes 服务。2025年3月,Wiz Research 团队发现并披露了一组未经身份验
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-30208)安全风险通告 奇安信 CERT 2025-03-26 20:15 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-12001,CVE-2025-30208 公开时间 2025-03-24 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读