用友U8 CRM eventsetlist.php SQL注入漏洞
用友U8 CRM eventsetlist.php SQL注入漏洞 Superhero Nday Poc 2025-04-22 05:55 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 用友 U8 CRM客
继续阅读月度归档: 2025 年 4 月
prismx:【漏洞扫描器】棱镜开源版
prismx:【漏洞扫描器】棱镜开源版 z1 Z1sec 2025-04-22 05:47 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 【扫描器】棱镜开源版 – 集资产发现、指纹识别、弱密码检测、漏洞验证于一体,
继续阅读CVE-2025-33028:WinZip 再次爆出漏洞通过 MotW 绕过导致用户遭受静默代码执行,目前无补丁
CVE-2025-33028:WinZip 再次爆出漏洞通过 MotW 绕过导致用户遭受静默代码执行,目前无补丁 独眼情报 2025-04-22 05:34 热门文件压缩工具 WinZip 被发现存在一个安全漏洞,数百万用户面临静默代码执行的风险。该漏洞编号为 CVE-2025-33028,可绕过 Web 标记 (MotW),允许攻击者通过精心设计的压缩文件传递恶意负载,而无需触发常见的 Wind
继续阅读安全通告丨网络安全漏洞通告(2025年4月)
安全通告丨网络安全漏洞通告(2025年4月) 创信华通 2025-04-22 05:20 作为国内权威的安全漏洞通告组织,创信华通基于自身的威胁情报和漏洞挖掘能力,对全球最新的安全漏洞及安全事件进行跟踪研究,在第一时间向用户提供高危漏洞、威胁攻击的解决办法及情报资讯,以帮助用户提升网络安全的预警和响应能力。 一、 漏洞预警 / 2025.4 在第一时间内向用户发布高危漏洞预警,通告漏洞的危害程度、
继续阅读从代码看Java反序列化漏洞
从代码看Java反序列化漏洞 原创 信安魔方 锐鉴安全 2025-04-22 04:44 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 请大家关注公众号支持,不定期有宠粉福利 Part-01 基础 知识 Java 是面向对象编程的,当你想把某个对象存储起来以便长期使用时,便 需要用到 J
继续阅读近期部分漏洞预警通报(2025年4月)部分已复现
近期部分漏洞预警通报(2025年4月)部分已复现 god_mellon 瓜神学习网络安全 2025-04-22 03:56 🔴15项高危漏洞通报(2025.4.22更新) 📌 一、MediaWiki XSS漏洞(CVE-2025-3469) ▶ 影响版本:<1.39.12/1.42.6/1.43.1 ▶ 全球资产:178,455个(美/德/荷前三) ▶ 风险路径:HTMLMultiSelec
继续阅读广西金中软件集团有限公司智慧医养服务平台Uploads存在任意文件上传漏洞
广西金中软件集团有限公司智慧医养服务平台Uploads存在任意文件上传漏洞 清晨 摸鱼划水 2025-04-22 03:55 FOFA body="Content/css/Login/images/gtx-main-bg00004.png" POC # 文件上传位置:/Content/Upload/【年月】/【日】/1.aspx,如:/Content/Upload/202407
继续阅读科拓全智能停车收费系统的T_SellFrom.aspx接口存在SQL注入漏洞
科拓全智能停车收费系统的T_SellFrom.aspx接口存在SQL注入漏洞 清晨 摸鱼划水 2025-04-22 03:52 FOFA body="/KT_Css/qd_defaul.css" POC POST /KT_Admin/SellManage/T_SellFrom.aspx HTTP/1.1 Host: Upgrade-Insecure-Requests: 1 U
继续阅读代码审计|SpringKill如何用CodeAuditAssistant挖掘0day教程公布
代码审计|SpringKill如何用CodeAuditAssistant挖掘0day教程公布 TtTeam 2025-04-22 03:27 如何快速复现 / 挖掘一个漏洞?CodeAuditAssistant 高阶技巧 SpringKill,网络安全建设 | SAST/IAST研究员 | 开源安全工具开发者,专注于静态分析(SAST)、动态分析(IAST)领域的安全研究与工具开发 Github:
继续阅读披露 DOGE 系统网络安全漏洞和数据泄露,以及对举报人/证人的恐吓(老毛子?)
披露 DOGE 系统网络安全漏洞和数据泄露,以及对举报人/证人的恐吓(老毛子?) cybernews OSINT研习社 2025-04-22 02:57 美国国家劳工关系委员会 (NLRB) 的一位高级 DevSecOps 工程师详细描述了他所看到的 DOGE 被授予 NLRB 系统访问权限的情况。证据确凿,实施这些行为的人拥有高权限,窃取了大量数据,而且除了禁用日志记录外,操作相当草率(与其说是
继续阅读【工具分享】Sirius一个强大的通用漏洞扫描工具
【工具分享】Sirius一个强大的通用漏洞扫描工具 秀龙叔 黑客之道HackerWay 2025-04-22 02:56 简介: Sirius Scan是一款企业级的开源通用漏洞扫描工具,它汇聚了来自社区的安全情报资源,集成了丰富的漏洞数据库,并支持网络扫描、基于代理的目标发现以及自定义评估器分析等功能。该工具的设计目的是为了识别并评估贯穿整个IT基础设施内的潜在安全弱点。它提供了直观易用的图形用
继续阅读漏洞预警 锐X eweb ipam.php 文件读取漏洞
漏洞预警 锐X eweb ipam.php 文件读取漏洞 by 融云安全-cas 融云攻防实验室 2025-04-22 02:53 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本
继续阅读WP Shuffle plugin SQL注入漏洞及解决办法(CNVD-2025-06478、CVE-2025-28873)
WP Shuffle plugin SQL注入漏洞及解决办法(CNVD-2025-06478、CVE-2025-28873) 原创 护卫神 护卫神说安全 2025-04-22 02:27 WordPress 是一款全球知名的开源内容管理系统(CMS),基于 PHP 和 MySQL 开发,目前占据全球网站市场份额超40%。其核心特点包括: 易用性:通过可视化界面快速搭建网站,无需编程基础; 扩展性:
继续阅读PHP反序列化漏洞:一场代码炼金术引发的黑客狂欢
PHP反序列化漏洞:一场代码炼金术引发的黑客狂欢 龙哥网络安全 龙哥网络安全 2025-04-22 02:03 别再天真了!PHP反序列化漏洞,比你想象的更危险 什么是反序列化?说白了就是“格式转换”吗? 别被“格式转换”这种人畜无害的说法给骗了!本质上,反序列化就是把一坨看似无害的数据,像变魔术一样,变成一个活生生的PHP对象。这对象一旦复活,就能执行代码、读写文件,甚至控制你的服务器! 序列化
继续阅读Src捡钱5,为什么大佬总能挖到你挖不到的漏洞(CORS)
Src捡钱5,为什么大佬总能挖到你挖不到的漏洞(CORS) 原创 山河 不止Security 2025-04-22 01:52 免责声明 本公众号不止Security旨在分享网络安全领域的相关知识和工具,仅限于学习和研究之用。由于传播、利用本公众号不止Security所提供的信息而造成的任何直接或者间接的后果及损失,由使用者承担全部法律及连带责任,公众号不止Security及作者不为此承担任何责任
继续阅读faraday好用的开源漏洞管理平台
faraday好用的开源漏洞管理平台 原创 infobyte 知树安全团队 2025-04-22 01:30 1、工具介绍 安全性有两项艰巨的任务:设计获取新信息的智能方法,以及跟踪结果以改进修复工作。使用 Faraday,您可以专注于发现漏洞,而我们可以帮助您解决其余问题。只需在您的终端中使用它,即可在运行时组织您的工作。 Faraday 旨在让您以真正的多用户方式利用社区中的可用工具。 2、主
继续阅读某单位软件供应商黑盒下的0day挖掘
某单位软件供应商黑盒下的0day挖掘 黑白之道 2025-04-22 01:23 很久没更新内容了,最近做项目中,遇到了比较有意思的站,某事业单位的软件商,整体来说,开发的系统挺安全的。 需渗透的网站,挺多的,不过有几个网站用的是同一个供应商,于是就开始了一系列的迷之操作。 刚打开bp,由于没有关闭被动扫描,然后403了 使用热点,更换IP后,关闭被动扫描 开局一张图,登录框都省了 查看源代码 很
继续阅读Cellebrite 零日漏洞攻击塞尔维亚学生活动人士的手机
Cellebrite 零日漏洞攻击塞尔维亚学生活动人士的手机 Ots安全 2025-04-22 01:09 国际特赦组织安全实验室与国际特赦组织欧洲区域办事处合作,发现了一起新的案件,该案件中有人滥用 Cellebrite 产品侵入了塞尔维亚一名青年活动家的手机。此次攻击与我们此前在 2024 年 12 月发布的报告《数字监狱》中记录的攻击形式非常相似。这一新案例进一步证明,尽管塞尔维亚国内外普遍
继续阅读Cellebrite Android 零日漏洞 PoC 发布:CVE-2024-53104
Cellebrite Android 零日漏洞 PoC 发布:CVE-2024-53104 Ots安全 2025-04-22 01:09 一名安全研究人员发布了由 Cellebrite 开发的 Android 零日漏洞链的概念验证漏洞代码,用于解锁该国一名学生活动家的设备并尝试安装间谍软件。 根据国际特赦组织安全实验室和谷歌威胁分析小组 (TAG) 的联合调查,该漏洞被标记为 CVE-2024-5
继续阅读常见弱口令漏洞的发现与防护(文内送常见字典)
常见弱口令漏洞的发现与防护(文内送常见字典) LA安全 LA安全实验室 2025-04-22 01:06 01 开篇 弱口令漏洞是一种常见的网络安全问题,它指的是系统、应用程序或网络设备中使用的密码过于简单或容易猜测,使得攻击者能够轻易地破解并获得未授权的访问权限。这类漏洞的存在极大地威胁到了信息系统的安全性,因为它允许恶意用户绕过身份验证机制,进而篡改数据、窃取敏感信息甚至控制整个系统 02
继续阅读科拓全智能停车收费系统(漏洞复现)
科拓全智能停车收费系统(漏洞复现) 原创 Advanced Threat 破晓信安 2025-04-22 01:01 免责声明 本文仅用于学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动 ,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失, 均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号 无关 ,本次测试仅供学习使用!!! 系统描述 科拓全智能停车收
继续阅读记一次Druid Monitor漏洞日常渗透
记一次Druid Monitor漏洞日常渗透 原创 神农Sec 神农Sec 2025-04-22 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 重点知识点 渗透测试 fofa检索druid漏洞
继续阅读Kimsuky APT组织利用 BlueKeep RDP 漏洞对韩国日本发起攻击
Kimsuky APT组织利用 BlueKeep RDP 漏洞对韩国日本发起攻击 会杀毒的单反狗 军哥网络安全读报 2025-04-22 01:00 导读 研究人员发现与曹县关联的 APT 组织 Kimsuky 的攻击活动,该组织利用已修补的 Microsoft 远程桌面服务漏洞来获取初始访问权限。 在调查一起安全漏洞时,韩国安博士实验室安全情报中心 (ASEC) 的研究人员发现了与朝鲜有关联的组
继续阅读实战|小程序渗透记录 通过细节挖掘漏洞的艺术
实战|小程序渗透记录 通过细节挖掘漏洞的艺术 一天要喝八杯水 乌雲安全 2025-04-22 00:50 原文于:https://forum.butian.net/share/4229 原文作者:一天要喝八杯水 如侵权请联系删除。 近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交流学习! 免责声明:本文仅用于网络安全相关知识分享,请严格遵守网络安全相
继续阅读【SRC】某选课小程序任意用户登录漏洞深度剖析
【SRC】某选课小程序任意用户登录漏洞深度剖析 原创 ashui Rot5pider安全团队 2025-04-22 00:35 某小程序任意用户登录漏洞深度剖析 一、漏洞场景复现 (一)漏洞复现 目标系统 :某金融类小程序(版本V2.3.1) 1. 测试工具 :Burp Suite Pro v1.8.4 + WechatDevTools v1.18.0 关键参数 : encryptedData :
继续阅读漏洞预警 | 安科瑞环保用电监管云平台任意文件上传漏洞
漏洞预警 | 安科瑞环保用电监管云平台任意文件上传漏洞 浅安 浅安安全 2025-04-22 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 安科瑞环保用电监管云平台集成了物联网技术、云计算和大数据分析,通过对企业和工业园区的用电情况实时采集、监测和分析,为环保合规、能耗管理和智能用电提供技术支持。 0x03 漏洞详情 漏洞类
继续阅读内推 | 漏洞挖掘工程师(iot 方向)
内推 | 漏洞挖掘工程师(iot 方向) 助力行业的 李白你好 2025-04-22 00:01 当下,我们所处的行业正面临着不少挑战与变数。经济的不景气、市场的波动,让许多岗位显得摇摇欲坠,人心惶惶。然而,即便是在这个寒冬来袭的时刻,我们并非孤军奋战。李白你好会多发一些内推岗位,帮助更多的粉丝朋友们更快找到适合自己的岗位!共同度过难关!(如需发布岗位,可联系作者) 漏洞挖掘工程师(iot 方向)
继续阅读Github中项目的公开漏洞合集
Github中项目的公开漏洞合集 进击的hack 进击的HACK 2025-04-21 23:49 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢 ! 文章有疑问的,可以公众号发消息问我,或者留言。我每天都会看的。 字数 216,阅读大约需 2 分钟 前言 最近在搜CVE
继续阅读Vite 任意文件读取漏洞(CVE-2025-30208)
Vite 任意文件读取漏洞(CVE-2025-30208) HK安全小屋 2025-04-21 16:17 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: CVE-2025-30208 是 Vite(一个前端开发工具提供商)在特定
继续阅读