Windows 11曝权限提升漏洞,攻击者300毫秒内可获取管理员权限
Windows 11曝权限提升漏洞,攻击者300毫秒内可获取管理员权限 邑安全 2025-04-16 08:45 更多全球网络安全资讯尽在邑安全 Windows 11 中的一个严重漏洞允许攻击者在短短 300 毫秒内从低权限用户升级到完全系统管理员权限。 该漏洞被跟踪为 CVE-2025-24076,通过复杂的 DLL 劫持技术利用了 Windows 11“移动设备”功能的弱点。 该安全漏洞于 2
继续阅读月度归档: 2025 年 4 月
Chrome曝高危漏洞,攻击者可窃取数据并越权访问
Chrome曝高危漏洞,攻击者可窃取数据并越权访问 邑安科技 邑安全 2025-04-16 08:45 更多全球网络安全资讯尽在邑安全 谷歌在发现两个高危漏洞后,已紧急为其Chrome浏览器推出安全更新。这些漏洞可能允许攻击者窃取敏感数据并越权访问用户系统。 编号为CVE-2025-3619和CVE-2025-3620的漏洞影响以下版本: – Windows/Mac :低于135.0.
继续阅读Apache Roller 漏洞让攻击者获得未经授权的访问
Apache Roller 漏洞让攻击者获得未经授权的访问 邑安科技 邑安全 2025-04-16 08:45 更多全球网络安全资讯尽在邑安全 在 Apache Roller 中发现了一个严重的安全漏洞,允许攻击者在更改密码后保持对博客系统的未经授权的访问。 漏洞 CVE-2025-24859 已获得 CVSS v4 的最高评分 10,表明受影响的系统面临严重风险。 该安全漏洞源于 Apache
继续阅读Chrome 曝高危漏洞:攻击者可窃取数据并获取未授权访问权限
Chrome 曝高危漏洞:攻击者可窃取数据并获取未授权访问权限 信息安全大事件 2025-04-16 08:28 谷歌公司发现Chrome浏览器存在两个高危漏洞后,紧急发布了安全更新。这些漏洞可能让攻击者窃取敏感数据并获取用户系统的未授权访问权限。 这两个漏洞编号为CVE-2025-3619和CVE-2025-3620,影响Windows和Mac平台135.0.7049.95/.96之前版本,以及
继续阅读腾讯云安全中心推出2025年3月必修安全漏洞清单
腾讯云安全中心推出2025年3月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-04-16 08:03 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读信息安全漏洞周报(2025年第15期)
信息安全漏洞周报(2025年第15期) 原创 CNNVD CNNVD安全动态 2025-04-16 07:45 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年4月7日至2025年4月13日)安全漏洞情况如下: 公开漏洞情况本周CNNVD采集安全漏洞976个。接报漏洞情况本周CNNVD接报漏洞9194个,其中信息技术产品漏洞(通用型漏洞)381个,网络信息系
继续阅读CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效
CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效 FreeBuf 2025-04-16 07:23 Apache Roller 开源博客服务器软件近日曝出一个高危安全漏洞,攻击者可利用该漏洞在用户修改密码后仍保持未授权访问。这款基于 Java 的博客平台存在会话管理缺陷,被赋予最高危险等级的 CVSS 10.0 评分。 01 漏洞详情(CVE-2025-2485
继续阅读美国CVE漏洞数据库面临资金枯竭危机
美国CVE漏洞数据库面临资金枯竭危机 原创 NightTeam 夜组OSINT 2025-04-16 07:10 美国非营利组织 MITRE 负责维护的全球网络安全关键漏洞数据库——“常见漏洞与披露”(CVE),由政府提供的资金将于本周三到期,或将面临停摆。 CVE漏洞数据库是全球网络安全生态系统的重要基石,为各组织提供漏洞编号、严重程度分级及详细描述。安全专家担忧,一旦CVE漏洞数据库停摆,将严
继续阅读AI挖洞 | 利用无问AI帮助甲方修复漏洞
AI挖洞 | 利用无问AI帮助甲方修复漏洞 原创 神农Sec 神农Sec 2025-04-16 06:55 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 利用无问AI帮助甲方修复漏洞 今天在渗透的时候,发
继续阅读一文吃透文件上传漏洞!路径遍历、后缀绕过、ZIP炸弹全解析
一文吃透文件上传漏洞!路径遍历、后缀绕过、ZIP炸弹全解析 原创 火力猫 季升安全 2025-04-16 06:45 🔍 文件上传漏洞Java源码审计详解(附代码分析) 文件上传是 Web 应用中极其常见的功能,但一旦实现不当,极易造成严重漏洞 ,如:上传 WebShell、任意文件写入、远程命令执行等。本篇将从源码审计角度,深入剖析文件上传中关键风险点,包含路径处理、文件大小限制、后缀校验、绕过
继续阅读【复现】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)风险通告
【复现】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)风险通告 赛博昆仑CERT 2025-04-16 06:18 赛博昆仑漏洞 安全风险通告 Oracle E-Business Suite远程代码执行漏洞 (CVE-2025-30727) 风险通告 漏洞描述 Oracle E-Business Suite(简称 EBS),是Oracle 公司开发的
继续阅读某天OA-workFlowService-多处SQL注入漏洞分析
某天OA-workFlowService-多处SQL注入漏洞分析 原创 chobits02 C4安全团队 2025-04-16 05:52 扫码加内部知识圈 获取漏洞资料 本文章由团队成员[ chobits02]授权转载并发布 我们是C4安全团队 ,师傅们别忘了 关注和 点赞,团队的成长离不开你们★~ 漏洞描述 01 某天OA系统是一个以技术领先著称的协同软件产品,具有极为突出的实用性、易用性和高
继续阅读SRC漏洞挖掘经验+技巧篇
SRC漏洞挖掘经验+技巧篇 k哥网络安全 2025-04-16 05:51 一、漏洞挖掘的前期–信息收集 虽然是前期,但是却是我认为最重要的一部分; 很多人挖洞的时候说不知道如何入手,其实挖洞就是信息收集+常规owasp top 10+逻辑漏洞(重要的可能就是思路猥琐一点),这些漏洞的测试方法本身不是特别复杂,一般混迹在安全圈子的人都能复现漏洞。接下来我就着重说一下我在信息收集方面的心得。 1、
继续阅读小白黑客成长日记:漏洞勋章与道德电流
小白黑客成长日记:漏洞勋章与道德电流 原创 冰雪封城 雾都的猫 2025-04-16 05:50 根据《医疗器械监督管理条例》第四十七条,非法篡改医疗设备参数最高可处货值金额30倍罚款。剧中所有医疗系统均为虚拟靶场设备,现实中的白帽子请严格遵循《网络安全漏洞管理规定》第十条,在获得书面授权后开展测试。本章出现的心电数据已通过生成对抗网络(GAN)合成,不存在真实患者信息。 林小白的瞳孔在应急灯下收
继续阅读赏金故事 | 多个漏洞组合拳拿下PayPal高危漏洞
赏金故事 | 多个漏洞组合拳拿下PayPal高危漏洞 白帽子左一 白帽子左一 2025-04-16 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 在寻找安全问题时,许多研究者往往会把注意力集中在未公开的资产和隐蔽的端点上,而忽略了一些明显却同样关键的功能点。 如果你将目标当作是第一次接受安全测试的系统,并对每一
继续阅读CISA警告:CrushFTP漏洞正遭利用,风险严峻!
CISA警告:CrushFTP漏洞正遭利用,风险严峻! 原创 紫队 紫队安全研究 2025-04-16 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 4月7日,美国网络安全与基础设施安全局(
继续阅读CVE停摆?全球通用漏洞数据库项目面临资金危机
CVE停摆?全球通用漏洞数据库项目面临资金危机 安全客 2025-04-16 03:25 由美国非营利研究机构MITRE主导的“通用漏洞与暴露(CVE)”计划,其资金支持于4月16日到期。这一全球网络安全领域的基石项目,长期以来在漏洞管理和防御方面发挥着举足轻重的作用。然而,由于美国国土安全部(DHS)未续签MITRE的资助合同,CVE项目的持续运营面临中断的风险。此举引发了全球安全行业的广泛关注
继续阅读漏洞预警 杭州三X SMG网关管理软件 changelogo.php 命令执行漏洞
漏洞预警 杭州三X SMG网关管理软件 changelogo.php 命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-16 03:23 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间
继续阅读赫兹租车公司披露数据泄露事件 起因系2024年Cleo系统零日漏洞攻击
赫兹租车公司披露数据泄露事件 起因系2024年Cleo系统零日漏洞攻击 鹏鹏同学 黑猫安全 2025-04-16 03:21 【安全事件通报】 2025年4月2日,赫兹公司正式确认其客户数据遭第三方非法获取。攻击者利用Cleo文件传输平台在2024年10月和12月曝出的两个零日漏洞(CVE-2024-50623,CVSS评分8.8),入侵了该公司系统。此次事件影响范围涵盖: 客户姓名、联系方式、出
继续阅读关键Apache Roller漏洞允许在密码更改后仍保留未授权访问权限
关键Apache Roller漏洞允许在密码更改后仍保留未授权访问权限 鹏鹏同学 黑猫安全 2025-04-16 03:21 Apache Roller开源博客软件曝出高危漏洞(CVE-2025-24859,CVSS评分10.0),该Java开发的博客服务器在6.1.5之前版本存在会话管理缺陷:修改密码后仍可沿用旧会话保持未授权访问。 该漏洞影响Apache Roller 6.1.4及更早版本,当
继续阅读一款全方位扫描工具,具备高效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能
一款全方位扫描工具,具备高效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能 黑白之道 2025-04-16 02:02 工具介绍 一款全方位扫描工具,具备高效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能, – 纯go实现的协议识别 丰富的扫描模式 支持端口扫描的乱序 (目标越大,速度越快,准确度越高) release默认编译nuclei的8000+漏洞, 支持自定
继续阅读安美酒店管理系统/get_user_enrollment.php接口 sql注入漏洞
安美酒店管理系统/get_user_enrollment.php接口 sql注入漏洞 Superhero Nday Poc 2025-04-16 01:59 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 安
继续阅读Oracle 2025年4月补丁日多产品高危漏洞安全风险通告
Oracle 2025年4月补丁日多产品高危漏洞安全风险通告 奇安信 CERT 2025-04-16 01:05 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2025年4月补丁日多产品高危漏洞 影响产品 Oracle MySQL Connectors、Oracle MySQL Server等 公开时间 2025-04-16 影响对象数量级 百万级 奇安信评级
继续阅读.NET 高级代码审计:一种绕过 GZip 叠加 BinaryFormatter 实现反序列化漏洞的技术
.NET 高级代码审计:一种绕过 GZip 叠加 BinaryFormatter 实现反序列化漏洞的技术 原创 专攻.NET安全的 dotNet安全矩阵 2025-04-16 00:33 在.NET反序列化漏洞审计与利用过程中,攻击者通过 BinaryFormatter 类型进行 payload 加载与执行。本文将从 GZip 技术基础出发,逐步分析如何结合 BinaryFormatter 触发
继续阅读【漏洞预警】Microsoft Edge信息泄露漏洞(CVE-2025-29834)
【漏洞预警】Microsoft Edge信息泄露漏洞(CVE-2025-29834) cexlife 飓风网络安全 2025-04-15 22:09 漏洞描述: Miсrоѕоft Edɡе(基于Chrоmium)中的跨界内存读允许未经授权的攻击者通过网络执行代码。 攻击场景: 攻击者可能通过网络执行代码,导致信息泄露 影响产品: 1.0.0.0<=Microsoft Edge (Chrom
继续阅读【成功复现】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108)
【成功复现】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108) 原创 弥天安全实验室 弥天安全实验室 2025-04-15 20:39 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Palo Alto Networks PAN-OS是美国Palo Alto N
继续阅读MCP漏洞利用实例:窃取WhatsAPP历史消息
MCP漏洞利用实例:窃取WhatsAPP历史消息 原创 孙志敏 AI与安全 2025-04-15 20:18 前边我们讲了MCP的工具投毒攻击(TPA)(MCP协议漏洞:工具投毒攻击(TPA)),本篇是一个具体的例子,展示了不受信任的 MCP 服务器如何攻击并窃取与受信任的 WhatsApp MCP 实例相连的代理系统的数据,从而绕过 WhatsApp 的加密和安全措施。 攻击设置 对于本文,我们
继续阅读【安全圈】Google Chrome 136 更新,修复 20 年前访问过的链接隐私漏洞
【安全圈】Google Chrome 136 更新,修复 20 年前访问过的链接隐私漏洞 安全圈 2025-04-15 19:00 关键词 安全漏洞 谷歌浏览器 136 版于 2025 年 4 月发布,引入了“访问链接分区”这一革命性功能,修复了困扰网络二十多年的隐私漏洞。 作为第一个实施这一强大防御措施的主流浏览器,Chrome 可确保用户的浏览历史记录不被窥探,标志着网络安全的重大飞跃。 消除
继续阅读更新第五章:ASAN原理解析 | 系统0day安全-二进制漏洞攻防(第4期)
更新第五章:ASAN原理解析 | 系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-04-15 18:01 更新:第五章:ASAN原理解析 5.1 开源asanhttps://www.kanxue.com/book-193-5339.htm 二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的底层代码中,一旦被利用,可能导致数据泄露、系统崩溃,甚至更严重的安全事
继续阅读