【成功复现】XWiki Platform系统远程代码执行漏洞(CVE-2025-24893) 原创 弥天安全实验室 弥天安全实验室 2025-04-30 12:31 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍XWiki Platform是XWiki开源的一套用于创建Web协作应用程序的Wiki平台。XW
继续阅读信息安全漏洞周报(2025年第17期) 原创 CNNVD CNNVD安全动态 2025-04-30 11:27 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年4月21日至2025年4月27日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞568个。 接报漏洞情况 本周CNNVD接报漏洞37683个,其中信息技
继续阅读【漏洞预警】Yeswiki远程代码执行漏洞CVE-2025-46347 cexlife 飓风网络安全 2025-04-30 11:23 漏洞描述: YesWiki是一款开源的维基系统,基于PHP和MySQL开发,旨在帮助用户以协作的方式创建和管理网站,在4.5.4版本之前,YesWiki存在远程代码执行漏洞,攻击者可以通过任意文件写入操作写入一个带有PHP扩展名的文件,然后通过访问该文件在服务器上
继续阅读【安全圈】CISA 就 Commvault Web 服务器漏洞发布警告,称该漏洞可能被利用 安全圈 2025-04-30 11:00 关键词 安全漏洞 网络安全和基础设施安全局 (CISA) 已将 Commvault Web 服务器 漏洞 (CVE-2025-3928) 添加到其已知被利用漏洞 (KEV) 目录中,这表明威胁行为者正在积极利用此安全漏洞。 该机构于 2025 年 4 月 28 日
继续阅读【安全圈】Apache Tomcat 漏洞可导致攻击者绕过规则并触发 DoS 条件 安全圈 2025-04-30 11:00 关键词 安全漏洞 Apache 软件基金会披露了 Apache Tomcat 中的一个重大安全漏洞,该漏洞可能允许攻击者绕过安全规则并通过操纵 HTTP 优先级标头 触发 拒绝服务条件。 该高危漏洞编号为 CVE-2025-31650,影响多个 Tomcat 版本,对依赖此
继续阅读漏洞盒子助力 | GOGOGO!71SRC限时双倍金币活动开启! 漏洞盒子VulBox 2025-04-30 10:55 白帽子们看过来!71SRC双倍金币活动火热开启! 用技术守护安全,用实力赢取奖励!白帽子们,是时候展示真正的实力了! 快加入71RSC,挑战自我,赢取丰厚奖励吧! 双倍金币活动 01 赢翻倍金币,更有专属礼物! 活动时间 01 2025.5.1-2025.5.15 活动范围 0
继续阅读主流AI系统或存在越狱、代码及数据安全漏洞 FreeBuf 2025-04-30 10:04 最新研究发现,多款生成式人工智能(GenAI)服务存在两类可诱导其生成非法或危险内容的越狱攻击漏洞。其中代号为”Inception”的攻击技术,通过指令让AI工具虚构场景,进而在无安全限制的子场景中实施二次诱导。 美国计算机应急响应小组协调中心(CERT/CC)在近期公告中指出:&
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第17期,总第35期] 原创 安钥 方桥安全漏洞防治中心 2025-04-30 10:02 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第三十三期 原创 安钥 方桥安全漏洞防治中心 2025-04-30 10:02 2025年4月16日发布的安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第15期,总第33期] 活动现已结束。经过初评和复审,本次共有 2 篇 SOP 入选 。 入选SOP作品 结构清晰、 内容翔实、实用性强,有较高的借鉴意义,体现了作者在
继续阅读【漏洞处置SOP】PHP CGI代码注入漏洞(CVE-2024-4577) 原创 just4fun 方桥安全漏洞防治中心 2025-04-30 10:02 01 SOP基本信息 SOP名称: PHP CGI代码注入漏洞(CVE-2024-4577)处置标准作业程序(SOP) 版本: 1.0 发布日期: 2025-04-08 作者:just4fun 审核人: T小组 修订记录: 初始版本: 创建SO
继续阅读2024年至少75个零日漏洞遭滥用,网络与安全产品占比近三成 安全内参编译 安全内参 2025-04-30 09:22 关注我们 带你读懂网络安全 谷歌威胁情报小组表示,2024年共发现75个已被实际利用的零日漏洞,其中44%的零日漏洞针对企业产品,27%针对网络与安全类别产品。 前情回顾· 零日漏洞利用态势 – 警惕!2024年全球零日漏洞利用呈现七大趋势 多国警告:零日漏洞攻击暴涨
继续阅读【漏洞通告】微软Telnet Server(MS-TNAP)身份验证绕过漏洞 原创 NS-CERT 绿盟科技CERT 2025-04-30 09:12 通告编号:NS-2025-0025 2025-04-30 TAG: 微软、Telnet Server、0day 漏洞危害: 攻击者利用此漏洞,可实现身份验证绕过。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到网上披露了微软Telnet
继续阅读某开源cms 0day挖掘 用户9528 马哥网络安全 2025-04-30 09:05 作者:用户9528 原文链接:https://xz.aliyun.com/news/17601 如侵权请联系删除 简介 简介 CicadasCMS是用springboot+mybatis+beetl开发的一款CMS,支持自定义内容模型、模板标签、全站静态化等功能。 漏洞挖掘 sql注入(成功) 漏洞发生位置在
继续阅读创宇安全智脑 | 小皮面板 JWT 硬编码认证绕过等71个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-04-30 07:50 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态势、
继续阅读奇安信发布2024年年报,实现营收43.49亿元,同比下降32.49% ;苹果AirPlay协议零点击远程代码执行风险曝光|牛览 安全牛 2025-04-30 07:49 新闻速览 •国家密码管理局调整商用密码检测认证业务实施 •ISACA警报:95%组织缺乏量子计算威胁防御策略 •全球零日漏洞攻击趋势分析:Windows系统成黑客首选目标 •网络攻击还是系统故障?西班牙、葡萄牙遭遇大规模断电 •
继续阅读【漏洞情报】SAP NetWeaver存在RCE漏洞 夜组OSINT 2025-04-30 07:40 SAP NetWeaver RCE🚨🚨🚨 漏洞描述:SAP NetWeaver Visual Compose的指定路径下可以未授权利用该漏洞上传恶意文件,导致服务器失陷。 漏洞编号:CVE-2025-31324 影响范围:资产分布中国和美国较多, 存在大范围在野利用 目前漏洞POC:公开
继续阅读【情报】SAP NetWeaver存在RCE漏洞 原创 JunYi 毅心安全 2025-04-30 07:35 【情报】SAP NetWeaver存在RCE漏洞🚨🚨🚨 SAP NetWeaver Visual Compose的指定路径下可以未授权利用该漏洞上传恶意文件,导致服务器失陷,漏洞编号为CVE-2025-31324🥲 资产分布中国和美国使用量都比较大,目前漏洞细节已经公开,存在大范围在野利
继续阅读【复现】Chrome V8堆沙箱绕过分析 启明星辰 ADLab 2025-04-30 07:27 更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn) 01 研究背景 V8是Google Chrome脚本语言(JavaScript)的解析引擎。多年来Google安全团队一直致力于提升V8的安全性,但V8漏洞仍层出不穷。除了经典的内存破坏
继续阅读只需写个 .pyc 文件?Python 任意文件写入也能打 RCE! 红队笔记录 红队笔记录 2025-04-30 07:17 概述 在Web安全领域,存在一类称为”任意文件写入”(Arbitrary File Write,AFW)的漏洞,攻击者可以利用此漏洞在服务器上创建或覆盖文件,从而可能导致远程代码执行(Remote Code Execution,RCE)。例如,在使
继续阅读CVE-2025-0282复现 原创 星盟@blonet 星盟安全 2025-04-30 07:13 1. CVE-2025-0282介绍 CVE-2025-0282 是 Ivanti Connect Secure 中发现的一个严重漏洞,允许通过缓冲区溢出漏洞执行远程命令执行 (RCE)。此漏洞使攻击者能够上传恶意文件(例如,Web Shell)并以提升的权限在目标系统上执行命令。 2. 复现过程
继续阅读右键点击就能窃取 NTLM 密码?- 技术分析与 PoC 原创 骨哥说事 骨哥说事 2025-04-30 07:11 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4224 **不想错过任何消息?设置星标↓
继续阅读浅谈src漏洞挖掘中容易出洞的几种姿势 sec0nd安全 2025-04-30 06:30 扫码领资料 获网安教程 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。# 0x1 前言 浅谈 这篇文章主要是想跟师傅们聊下企业src包括平
继续阅读新的iOS关键漏洞仅用一行代码就可禁用iphone 嘶吼专业版 2025-04-30 06:00 根据安全研究人员最新发现,iOS系统的一个关键漏洞可能允许恶意应用程序仅用一行代码就永久禁用iphone。该漏洞被命名为CVE-2025-24091,利用操作系统的达尔文通知系统触发无尽的重启周期,有效地“阻塞”设备并需要完整的系统恢复。 iOS Darwin通知漏洞 该漏洞利用了Darwin通知,这
继续阅读Cookie-Bite攻击PoC使用Chrome扩展窃取会话令牌 胡金鱼 嘶吼专业版 2025-04-30 06:00 一种名为“Cookie-Bite”的概念验证攻击利用浏览器扩展程序从 Azure Entra ID 中窃取浏览器会话 Cookie,以绕过多因素身份验证(MFA)保护,并保持对 Microsoft 365、Outlook 和 Teams 等云服务的访问。 此次攻击由 Varoni
继续阅读一种非常优雅的获取 Solr 服务器 RCE 的方法 hacefresko securitainment 2025-04-30 05:38 【翻译】A very fancy way to obtain RCE on a Solr server 大家好!在这篇文章中,我将讨论我迄今为止发现的最优美且复杂的漏洞之一,以及它如何被归类为”重复”,尽管我是唯一实现 RCE 的人。
继续阅读紧急!苹果AirPlay曝高危漏洞,数千万设备面临攻击风险!速看修复指南 原创 道玄安全 道玄网安驿站 2025-04-30 05:01 “ 苹果系统也不太安全的。” 01 — 导语 今日,网络安全公司Oligo发布重磅警告:苹果AirPlay功能被曝存在一系列名为“Airborne”的严重漏洞,波及iPhone、Mac、CarPlay等数千万台设备,甚至可能通过同一Wi-Fi网络传播恶意软件,
继续阅读谷歌威胁情报小组2024年0day漏洞利用分析报告 原创 谷歌威胁情报小组 独眼情报 2025-04-30 04:53 背景介绍 谷歌威胁情报小组(GTIG)在2024年共追踪到75个野外被利用的零日漏洞。尽管较2023年的98个有所下降,但仍高于2022年的63个。我们观察到两个显著趋势: 1. 目标转向企业技术 :针对安全软件、网络设备等企业级产品的攻击占比从2023年的37%升至44%,反映
继续阅读苹果的“AirBorne”漏洞可能导致零点击 AirPlay RCE 攻击 独眼情报 2025-04-30 04:53 苹果 苹果 AirPlay 协议和 AirPlay 软件开发工具包 (SDK) 中的一组安全漏洞使未修补的第三方和苹果设备容易受到各种攻击,包括远程代码执行。 根据发现并报告这些漏洞的网络安全公司 Oligo Security 的安全研究人员的说法,这些漏洞可被用于零点击和一点击
继续阅读谷歌2024年检测到75个已遭利用0day,44%针对企业安全产品 Ravie Lakshmanan 代码卫士 2025-04-30 04:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌披露称,在2024年全年共检测到75个已遭利用0day,比2023年的98个有所降低。在这75个0day中,44%针对的是企业产品,多达20个漏洞位于安全软件和设备中。 谷歌威胁情报团队 (GTI
继续阅读