CVE-2024-0012&CVE-2025-0108 PAN-OS 从配置文件中寻找认证绕过漏洞 原创 KCyber 自在安全 2025-04-20 02:14 漏洞概述 Palo Alto Networks PAN-OS 先后爆出2 个认证绕过漏洞CVE-2024-0012 和CVE-2025-0108 ,漏洞原理比较类似,都是因为在多级配置转发的过程中存在逻辑缺陷,导致可通过构造特殊
继续阅读[网络侦查] 一款使用简单的批量信息收集与供应链漏洞探测工具 原创 子午猫 网络侦查研究院 2025-04-20 02:01 网络侦查工作的痛点与突破 在现代网络安全领域, 网络侦查的工作往往面临着重复性高、效率低下的问题。为了优化工作流程,减少机械性操作,一款名为dddd的批量信息收集与供应链漏洞探测工具应运而生。这款工具不仅功能强大,而且使用简单,能够显著提升 网络侦查的工作效率。本文将详细介
继续阅读利用 API 和硬件漏洞控制数百万台智能称重机 原创 T10Ng7_7 山石网科安全技术研究院 2025-04-20 01:02 通过一个漏洞,竟然能控制百万台智能体重秤! 在数字化浪潮席卷生活的当下,智能设备的普及带来了前所未有的便利,但同时也引发了新的安全担忧。最近,一篇关于智能体重秤安全漏洞的研究文章引起了极大的关注。作者通过逆向工程和漏洞挖掘,竟然发现了可以控制数百万台智能体重秤的漏洞!这
继续阅读通杀系统分析 | 某系统前台文件上传漏洞(可Getshell) 原创 匿名白帽子 WK安全 2025-04-20 00:31 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! 背景 本次系统的审计挖掘过程,借助了阿呆安全的审计辅助插件
继续阅读紧急预警!CVE-2025-24054漏洞遭主动攻击,文件下载竟成“钓鱼陷阱”! 原创 道玄安全 道玄网安驿站 2025-04-19 23:00 “ CVE-2025-24054。” 01 — 事件背景 近日,安全研究人员监测到 高危漏洞CVE-2025-24054 正被黑客组织大规模利用,攻击者通过伪装“文件下载”操作,诱导用户触发恶意请求,窃取Windows系统的 NTLM凭据 。该漏洞已造
继续阅读rConfig-ajaxEditTemplate.php-后台远程命令执行漏洞 骇客安全 骇客安全 2025-04-19 16:01 漏洞描述 rConfig ajaxEditTemplate.php 存在后台远程命令执行 漏洞影响 rConfig FOFA app="rConfig" 漏洞复现 漏洞文件为 rconfig/www/lib/ajaxHandlers/ajaxEd
继续阅读rConfig-ajaxArchiveFiles.php-后台远程命令执行漏洞 原创 骇客安全 骇客安全 2025-04-19 16:01 漏洞描述 rConfig ajaxArchiveFiles.php文件中由于对path参数和ext参数进行命令拼接,导致攻击者可以远程命令执行获取服务器权限 漏洞影响 rConfig FOFA app="rConfig" 漏洞复现 存在漏洞
继续阅读英国因 2022 年勒索软件漏洞对软件提供商罚款 307 万英镑 Rhinoer 犀牛安全 2025-04-19 16:00 英国信息专员办公室 (ICO) 对高级计算机软件集团有限公司处以 307 万英镑的罚款,原因是 2022 年的一次勒索软件攻击泄露了 79,404 人的敏感个人数据,其中包括国家医疗服务体系 (NHS) 患者。 此次网络攻击发生在 2022 年 8 月初,当时包括 111
继续阅读CVE-2024-22243 Spring Web UriComponentsBuilder URL 解析不当漏洞分析 船山信安 2025-04-19 16:00 漏洞描述 Spring Framework 是一个开源的 Java 应用程序框架,UriComponentsBuilder 是 Spring Web 中用于构建和操作 URI 的工具类。 受影响版本中,由于 UriComponentsB
继续阅读【漏洞复现】CVE-2025-24071|Windows 文件资源管理器欺骗漏洞 sec0nd安全 2025-04-19 12:59 0x00 前言 Window s 文件资源管理器(File Explorer)是Windows操作系统的核心组件,主要用于浏览、管理和操作本地及网络文件、文件夹、驱动器等资源。它提供直观的图形化界面,支持文件创建、复制、移动、删除、重命名等基础操作,同时集成网络共享
继续阅读Parameter is null引发的一次五千漏洞赏金记录 小乳酸 Z2O安全攻防 2025-04-19 12:44 0x01 前言 Missing parameter?Parameter is null?一次众测实战教你如何高效的找出缺少的参数。 0x02 漏洞背景 一次众测项目,称其为https://uctenter.target.com。 0x03 漏洞挖掘过程 前期通过信息收集,找到一处
继续阅读CTF PWN新手的终极利器!一键搞定栈溢出与格式化字符串漏洞! 黑白之道 2025-04-19 12:42 引言 你是否还在为CTF PWN题目中的栈溢出漏洞和格式化字符串漏洞头疼不已? 你是否还在手动计算溢出字符数、苦苦寻找ROP链、反复调试libc版本? 别担心,PwnPasi来了!这款专为CTF PWN新手设计的自动化工具,将彻底改变你的PWN学习之路! pwnpasi pwnpasi 是
继续阅读【安全圈】Windows NTLM 漏洞肆虐,低交互高风险、可提权窃取敏感数据 安全圈 2025-04-19 11:00 关键词 漏洞 科技媒体 bleepingcomputer 昨日(4 月 17 日)发布博文,报道称已有证据表明,黑客利用 Windows 漏洞(CVE-2025-24054),在网络钓鱼活动中,通过 .library-ms 文件诱导用户泄露 NTLM 哈希值,从而绕过身份认证和
继续阅读FreeBuf周报 | CVE漏洞数据库项目面临停摆危机;Apache Roller 高危漏洞改密后会话仍有效 FreeBuf 2025-04-19 10:02 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 🔐美国国土安全部终止资助,CVE漏洞数据库项目面临停摆危机 🛡️美国CISA紧急拨款维持CVE漏洞数据
继续阅读CVE-2025-27218|Sitecore CMS远程代码执行漏洞 alicy 信安百科 2025-04-19 10:00 0x00 前言 Sitecore Experience Platform™ (XP) 是一款基于.NET WebForm技术构建的内容管理系统,可以将客户数据、分析、人工智能与营销自动化功能相结合,在任何渠道上实时提供个性化的内容,从而在客户旅程中与客户建立良好的关系。
继续阅读华硕警告称,启用 AiCloud 的路由器存在身份验证绕过漏洞CVE-2025-2492(9.2) 独眼情报 2025-04-19 09:33 华硕警告称,启用 AiCloud 的路由器存在身份验证绕过漏洞,该漏洞可能允许远程攻击者在设备上执行未经授权的功能。 该漏洞编号为CVE-2025-2492,级别为严重(CVSS v4 评分:9.2),可通过特制请求进行远程利用,且无需身份验证,因此特别危
继续阅读某电力公司web.config的RCE之旅 点击关注👉 马哥网络安全 2025-04-19 09:02 报告来源于某漏洞平台,是已公开的报告,作者: @Kaibro 0x01 叙述 https://ebppsmtp.taipower.com.tw/uploadfile/UploadFile.aspx 存在任意文件上传漏洞,上传文件內容及路径攻击者可控。 由于 web目录不在常见路径下,所以沒办法
继续阅读渗透测试,从初学者到专家!这是一份有关 Web 应用程序渗透测试和漏洞赏金搜索的综合指南,涵盖了识别和利用漏洞的方法、工具和资源 Ots安全 2025-04-19 08:54 渗透测试,从初学者到专家! 本指南面向初学者和经验丰富的渗透测试人员,涵盖 Web 应用程序渗透测试的方方面面,包括基础概念、使用 Burp Suite 和 bWAPP 等工具搭建测试环境,以及识别和利用漏洞(尤其是 OWA
继续阅读“改密码就能防住?”全网疯传的Meta夺号案,撕开2FA致命漏洞 勤奋的运营姐姐 EnhancerSec 2025-04-19 08:03 第一章:破碎的友情 小a颤抖着手指刷新手机屏幕,冷汗浸透了后背——她的Ins账号突然显示在异地登录,所有私人照片被替换成血腥恐怖图片,粉丝列表被清空,连与男友的甜蜜合照也变成了一行刺眼的红字:“这是你背叛的代价!” 她瞬间想起三天前与闺蜜小c的争吵。那天,她偶
继续阅读某短视频矩阵营销系统前台RCE漏洞审计 原创 Swimt 星悦安全 2025-04-19 05:19 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Fofa语句:请见文末 搭建完之后长这样. ThinkPHP框架,需要将目录设置为Public. 这套系统洞挺多的,大家可以研究学习一下 目录结构 控制器全都是简单的eval加密: 0x01 前台任意文件读取+SSRF 在 /applica
继续阅读【大佬赋能】1000万漏洞赏金获得者,带你走向SRC漏洞挖掘大师之路! 网络尖刀 2025-04-19 04:02 小编寄语 小笼包携手黑色键盘,两位大佬强强联合,开始授课啦,小编给大家要了个福利,即报“ 网络尖刀 ”暗号可享早鸟价格哦~ SRC大师课 小笼包 & 黑色键盘 & 神秘嘉宾 《联合打造》 SRC漏洞挖掘培训班 01 导师介绍 黑色 键盘 阿里巴巴核心白帽子; 职
继续阅读【漏洞复现】Zyxel NAS设备 setCookie 未授权命令注入漏洞(CVE-2024-29973) 骇客安全 2025-04-19 03:40 0x01 产品简介 Zyxel-NAS 是指由 Zyxel Communications Corporation(合勤科技股份有限公司)开发和生产的网络附加存储(Network Attached Storage,简称 NAS)设备。NAS 是一种专
继续阅读【一周安全资讯0419】九部门印发《关于加快推进教育数字化的意见》;Windows11高危漏洞:300毫秒即可提权至管理员 聚铭网络 2025-04-19 03:00 WEEKLY NEWS 每周安全资讯 新鲜资讯热点都在这里 要闻速览 1 中国人民银行等六部门联合印发《促进和规范金融业数据跨境流动合规指南》 2 教育部等九部门印发《关于加快推进教育数字化的意见》 3 最后一刻的“缓刑”:CISA
继续阅读IngressNightmare:揭秘CVE-2025-1974 Kubernetes RCE漏洞 原创 mag1c7 山石网科安全技术研究院 2025-04-19 01:00 Kubernetes安全警报:一个漏洞,足以颠覆你的容器帝国! 在云计算和容器化技术日益成熟的今天,Kubernetes作为容器编排的领头羊,其安全性一直是社区关注的焦点。然而,最近发现的一个名为IngressNightm
继续阅读AD域内网渗透-三种漏洞利用方式 jzhoucdc 泷羽Sec 2025-04-19 00:11 本文基于AD域内网渗透中三种漏洞利用的学习记录。 PrintNightmare PrintNightmare包括两项漏洞CVE-2021-34527 和 CVE-2021-1675,这些漏洞存在于Windows操作系统上的打印后台处理程序(Print Spooler)服务中。目前基于该漏洞,已经有很多
继续阅读漏洞预警 | Oracle Scripting iSurvey模块远程代码执行漏洞 浅安 浅安安全 2025-04-19 00:00 0x00 漏洞编号 – # CVE-2025-30727 0x01 危险等级 – 高危 0x02 漏洞概述 Oracle Scripting是Oracle E-Business Suite中的一个组件,用于创建和管理在线调查、表单及动态脚本。
继续阅读漏洞预警 | JieLink+智能终端操作平台SQL注入漏洞 浅安 浅安安全 2025-04-19 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 捷顺JeLink+智能终端操作平台是捷顺历经多年行业经验积累,集智能硬件技术视频分析技术、互联网技术等多种技术融合,基于B/S架构,实现核心业务处理模型的搭建;基于C/S架构实现岗
继续阅读deepseek分析代码变动推测漏洞 原创 进击的hack 进击的HACK 2025-04-18 23:51 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢 ! 文章有疑问的,可以公众号发消息问我,或者留言。我每天都会看的。 字数 447,阅读大约需 3 分钟 前言 日常
继续阅读安全提醒:Apple 零日漏洞正被利用于攻击 祺印说信安 2025-04-18 16:01 美国网络安全和基础设施安全局 (CISA) 发布了紧急公告,警告称,目前有多个 Apple 0day漏洞正被有针对性的攻击所利用。这些严重的安全漏洞影响了包括 iOS、iPadOS、macOS 和其他相关系统在内的多种 Apple 产品,使用户容易受到利用以前未知的安全漏洞的复杂威胁行为者的攻击。苹果零日漏
继续阅读