用 AI 自动化渗透测试,PentAGI 打造全新AI安全测试 助力快速发现漏洞与安全隐患|漏洞探测 原创 CeBain 渗透安全HackTwo 2025-04-21 16:03 0x01 工具介绍 网络安全攻防战已进入白热化阶段,传统手动测试效率低下。PentAGI的横空出世,正在用AGI技术重构安全测试的底层逻辑。VXControl 团队打造的开源工具,凭借自动化、智能化的设计,为安全测试注入
继续阅读Java代码审计之命令执行漏洞详解 船山信安 2025-04-21 16:00 0x01 漏洞简介 在Java代码审计中,命令执行漏洞指应用程序未对用户输入进行严格过滤,直接将外部可控参数拼接到系统命令中执行,导致攻击者可注入恶意命令并获取服务器控制权。其核心原理是开发者误用危险函数执行系统命令时,未对用户输入的参数进行安全校验或转义,导致用户可通过构造特殊字符(如管道符| 、命令分隔符; )或参
继续阅读UNA CMS <= 14.0.0(PHP反序列化)命令执行漏洞 原创 zangcc Eureka安全 2025-04-21 14:41 2025年4月21日,Eureka威胁情报平台监测到了一处新的漏洞预警。在发现这一预警后, 我们立即展开深入研究,力求全面了解该漏洞的性质、影响范围以及潜在的利用方 式。 需要明确的是,此次研究和分享基于技术研究和提升安全意识的目的。我们旨在通过对此漏洞的
继续阅读亿华考勤软件 default.aspx 任意文件上传漏洞 Superhero Nday Poc 2025-04-21 13:32 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 亿华考勤软件 default.
继续阅读RAG 受到攻击:LLM 漏洞如何影响真实系统 Peter Dienes 网空安全手札 2025-04-21 13:31 在第一部分中,我们展示了如何欺骗大语言模型(LLM)来执行数据。这一次,我们将了解这在现实世界的检索增强生成(RAG)系统中是如何发挥作用的 —— 在现实世界中,被污染的上下文会导致网络钓鱼、数据泄露和绕过防护措施,甚至在内部应用程序中也是如此。 在本系列的第一篇文章 中,我们
继续阅读【漏洞预警】PyTorch反序列化远程代码执行漏洞CVE-2025-32434 cexlife 飓风网络安全 2025-04-21 13:16 产品简介: PyTorch是一个用于机器学习和深度学习的开源深度学习框架,由Facebook于2016年发布,其主要实现了自动微分功能,并引入动态计算图使模型建立更加灵活。Pytorch可分为前后端两个部分,前端是与用户直接交互的python API,后端
继续阅读速达软件 多款产品 doSavePrintTpl.action Struts2 远程代码执行漏洞 Superhero Nday Poc 2025-04-21 12:49 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01
继续阅读【JAVA代码审计】启航电商ERP2.0漏洞挖掘 原创 星悦 星悦安全 2025-04-21 11:34 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 █ 该文章来自零日防线社区用户投稿 █ 启航电商ERP系统2.0版本是一个完整开箱即用的开源电商ERP系统,经历1.0版本的迭代优化和客户使用验证。开发者可以直接部署即可使用。一个专注核心订单处理业务,主体功能包括:商品库管理(商品、
继续阅读【漏洞速递】PyTorch模型加载远程代码执行漏洞(CVE-2025-32434) 安全狐 2025-04-21 11:31 漏洞背景 PyTorch作为由Meta AI开发的开源深度学习框架,被广泛应用于计算机视觉、自然语言处理等领域。其模型加载机制的安全性问题直接关系到数百万开发者和研究机构的生产环境安全。2025年4月披露的该漏洞颠覆了开发者对weights_only=True 参数的安全认
继续阅读【安全圈】Speedify VPN macOS 漏洞使攻击者能够提升权限 安全圈 2025-04-21 11:00 关键词 安全漏洞 Speedify VPN 的macOS 应用程序中发现了一个重大安全漏洞,编号为 CVE-2025-25364,该漏洞使用户面临本地权限提升和整个系统被入侵的风险。 SecureLayer7 发现的该漏洞存在于特权辅助工具 me.connectify.SMJobB
继续阅读CNVD漏洞周报2025年第15期 原创 CNVD CNVD漏洞平台 2025-04-21 10:33 2 0 2 5 年 0 4 月 14 日 – 2 0 2 5 年 0 4 月20 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称 CNVD)本周共收集、整理信息安全漏洞335个,其中高危漏洞 16
继续阅读华硕确认AiCloud路由器存在严重漏洞;敦促用户更新固件 走狗是狗哥 安在 2025-04-21 10:24 ASUS(华硕)已披露一个影响启用AiCloud功能的路由器的严重安全漏洞,该漏洞可能会使远程攻击者在易受攻击的设备上执行未经授权的功能。 此漏洞被追踪为CVE-2025-2492,其CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)评分
继续阅读安全热点周报:零日漏洞瞄准 iPhone,苹果紧急发布安全补丁 奇安信 CERT 2025-04-21 10:12 安全资讯导视 • 六部门联合印发《促进和规范金融业数据跨境流动合规指南》 • 哈尔滨市公安局公开通缉3名美国国家安全局特工 • 超1.4万台Fortinet设备长期被黑客入侵,约1100台位于中国 PART01 漏洞情报 1.Apple iOS与iPadOS多个在野高危漏洞安全风险
继续阅读【风险通告】PyTorch存在远程代码执行漏洞(CVE-2025-32434) 安恒研究院 安恒信息CERT 2025-04-21 10:06 漏洞概述 漏洞名称 PyTorch 存在远程代码执行漏洞(CVE-2025-32434) 安恒CERT评级 1级 CVSS3.1评分 9.8(安恒自评) CVE编号 CVE-2025-32434 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编
继续阅读华硕AiCloud功能现重大安全漏洞 看雪学苑 看雪学苑 2025-04-21 09:59 近日,华硕公司发布了一则紧急安全警告,其多款启用AiCloud功能的路由器被发现存在一个严重的身份验证绕过漏洞,该漏洞被追踪为CVE-2025-2492,CVSS v4评分高达9.2,属于“危急”级别。这意味着攻击者无需任何身份验证,仅通过精心构造的网络请求,就可能远程利用该漏洞,在路由器上执行未经授权的操
继续阅读APP上线安全预警 | 全方位发现应用风险漏洞 原创 梆梆安全 梆梆安全 2025-04-21 09:56 数字经济正在高速发展,移动应用深度融入用户生活与业务场景,但安全威胁也在同步升级: – 漏洞风险方面:某金融企业因使用存在已知漏洞的开源组件,遭投毒攻击导致千万级用户数据泄露; 信息泄露方面:某AI平台因在代码库中硬编码API令牌,导致超12000个有效凭证泄露,涉及AWS、Sl
继续阅读华硕:启用AiCloud 的路由器中存在严重的认证绕过漏洞 Bill Toulas 代码卫士 2025-04-21 09:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 华硕提醒称,启用 AiCloud 的路由器中存在一个认证绕过漏洞,可导致远程攻击者在设备上执行未授权函数执行。 该漏洞的编号是CVE-2025-2492,CVSS v4评分为9.2,可通过一个特殊构造的请求遭远程利用且
继续阅读PyTorch 中存在严重的RCE漏洞 Ddos 代码卫士 2025-04-21 09:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 最有名的深度学习框架 PyTorch 中存在一个严重的远程命令执行 (RCE) 漏洞CVE-2025-32434,CVSS v4 评分9.3,影响 PyTorch ≤ 2.5.1,位于 torch.load() 函数中。具体而言,当通过参数 weigh
继续阅读MIPS栈溢出漏洞实战解析:从DVRF题目看ROP链构造 原创 秋名山上的小柠 蚁景网络安全 2025-04-21 09:29 前言 最近导师要搞IOT漏洞挖掘项目,我得找找IOT学习资料,DVRF就适合IOT设备漏洞挖掘从入门到入坟….(bushi 固件分析 Squashfs系统,还是小端序,提取一下文件 有漏洞的程序在pwnable目录下 不过DVRF里面还附带有程序的源码,所以我们先看看源码
继续阅读白宫平面图等敏感信息泄露,特朗普政府又一次曝出安全漏洞 赛博研究院 赛博研究院 2025-04-21 09:14 日前,《华盛顿邮报》查阅的内部记录显示,美国政府一机构因管理漏洞,导致敏感文件被不当共享。据悉,文件包括可能属于机密的白宫平面图、白宫游客中心拟建防爆门的详细信息,以及协助特朗普政府新闻发布会的供应商银行账户信息。 报道称,美国总务管理局(GSA)的职业雇员被指对此次事件负有责任。记录
继续阅读SpEL 漏洞渗透测试实战:全网最全姿势集合! 原创 火力猫 季升安全 2025-04-21 08:52 🔍 SpEL 黑盒探测不止靠 1+1,还可以这样搞! 提到 SpEL 注入,很多人黑盒测试的第一反应就是试试 1+1 看看会不会变成 2 。但真正在实战中,SpEL 的“藏身之处”远不止那么简单!它可能伪装在表达式参数、权限注解、规则引擎,甚至是配置文件中。 本文将带你深入挖掘黑盒测试中如何
继续阅读【星闻周报】TP-Link存在严重漏洞,Wi-Fi 凭据面临泄露风险 星河君 星河安全 2025-04-21 06:45 星闻周报 每周安全资讯全知道 周报速览 TP-Link存在严重漏洞,Wi-Fi 凭据面临泄露风险 超1.4万台Fortinet设备长期被黑客入侵,约1100台位于中国 苹果紧急修复两枚被用于定向攻击iPhone的零日漏洞 政策要闻:工信部办公厅关于组织开展2025年工业互联网一
继续阅读价值$10,000的PS5内核漏洞!TheFlow再曝索尼系统级缺陷 原创 骨哥说事 骨哥说事 2025-04-21 06:37 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4186 **不想错过任何消息?
继续阅读安全动态回顾|国家计算机病毒应急处理中心监测发现13款违规移动应用 SonicWall SMA设备存在被积极利用的漏洞 胡金鱼 嘶吼专业版 2025-04-21 06:00 2025.4.7—4.13安全动态周回顾 2025.3.31—4.6安全动态周回顾 2025.3.24—3.30安全动态周回顾 2025.3.17—3.23安全动态周回顾 2025.3.10—3.16安全动态周回顾 2025.
继续阅读CVE-2025-22457:基于堆栈的远程缓冲区溢出的POC验证脚本 原创 z1 Z1sec 2025-04-21 05:19 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! CVE-2025-22457介绍: 基于堆栈的远程缓
继续阅读WordPress wpdm-premium-packages SQL注入漏洞(CVE-2025-24659) 船山信安 2025-04-21 05:00 插件介绍: Premium Packages 是一款免费的全功能 WordPress 电子商务插件,可轻松销售数字产品。 漏洞描述: Premium Packages – Sell Digital Products Securely
继续阅读严重 PyTorch 漏洞 CVE-2025-32434 允许远程代码执行 独眼情报 2025-04-21 04:27 PyTorch 是目前最受欢迎的深度学习框架之一,如今被发现存在一个严重漏洞。安全研究员周吉安发现,PyTorch 中最受开发人员信赖的函数之一存在一个严重远程命令执行 (RCE) 漏洞,即使已进行安全配置,该函数也用于安全加载模型。 该漏洞编号为 CVE-2025-32434,
继续阅读MRCMS(蘑菇建站)跨站脚本漏洞及解决方法(CNVD-2025-05252、CVE-2025-2195) 原创 护卫神 护卫神说安全 2025-04-21 03:40 MRCMS(蘑菇建站)是一款基于Java开发的开源内容管理系统,专为中小型网站设计。它支持跨平台运行,功能完善,易于部署和扩展。MRCMS通过数据模型、模板和插件实现灵活定制,满足企业官网、个人博客、行业门户等多样化需求。其遵循G
继续阅读【工具分享】ruoyi-Vue-tools-若依Vue漏洞检测工具v4更新 秀龙叔 黑客之道HackerWay 2025-04-21 03:30 简介: 若依Vue漏洞检测工具,v3新增敏感信息提取功能,v4支持定义基础前缀接口路径。 公众号回复“ 1638 ”获取下载链接 用您发财的小手点个赞鼓励一下吧❥(^_-) 关注公众号便于更好的为您分享(#^.^#) 免责声明 本公众号“黑客之道Hack
继续阅读