从披露到被利用仅4小时!WordPress插件漏洞使黑客肆意创建管理员账户
从披露到被利用仅4小时!WordPress插件漏洞使黑客肆意创建管理员账户 看雪学苑 看雪学苑 2025-04-15 18:01 4月10日,WordPress插件SureTriggers被曝出存在一个严重的身份验证绕过漏洞(CVE-2025-3102),该漏洞在公开披露后仅4小时内就被黑客积极利用,全球超过10万个使用该插件的网站面临巨大安全威胁。 漏洞详情 SureTriggers是一款拥有超
继续阅读月度归档: 2025 年 4 月
EncryptHub的双重生活:网络罪犯与Windows漏洞赏金研究人员
EncryptHub的双重生活:网络罪犯与Windows漏洞赏金研究人员 胡金鱼 嘶吼专业版 2025-04-15 14:00 据悉,臭名昭著的威胁分子EncryptHub向微软报告了两个Windows零日漏洞,揭示了介于网络犯罪和安全研究之间的矛盾人物。 报告的漏洞是CVE-2025-24061 (Web绕过标记)和CVE-2025-24071(文件浏览器欺骗),微软在2025年3月的补丁星期二
继续阅读360漏洞情报月报2025年03期 | 漏洞总量持续高位运行,核心系统威胁加剧
360漏洞情报月报2025年03期 | 漏洞总量持续高位运行,核心系统威胁加剧 360漏洞云 2025-04-15 10:09 近日,360漏洞云情报平台发布2025年3月漏洞情报月报,综合分析当月全网漏洞安全态势,人工深度研判分析重点预警漏洞,并披露多起具有战略价值的网络安全事件。本文特摘录核心内容,为政企机构提供防御参考。 月报数据显示, 2025年3月全网捕获漏洞4279例,较2024年同期
继续阅读悬赏通缉!3名美国特工对亚冬会实施网攻窃密被锁定
悬赏通缉!3名美国特工对亚冬会实施网攻窃密被锁定 央视新闻 独眼情报 2025-04-15 02:02 前期,“2025年哈尔滨第九届亚冬会”(以下简称:亚冬会)遭受境外网络攻击事件经媒体报道后,引发全球主流媒体和网民的广泛关注,国家计算机病毒应急处理中心和亚冬会赛事网络安全保障团队,及时向哈尔滨市公安局提交了亚冬会遭受网络攻击的全部数据。 近日,记者从哈尔滨市公安局了解到,哈尔滨市公安局高度重视
继续阅读硬编码导致的前台上传漏洞
硬编码导致的前台上传漏洞 xiaoQ 实战安全研究 2025-04-15 02:00 一、前言 对于用户身份校验不全面,导致的前台文件上传漏洞。分享一下挖掘过程。 二、代码分析 很明显的ThinkPhp架构,针对TP的路由,一般就是/index.php/cpntroller/method,这里我们可以抓一下登录的数据包,来确定一下路由。 大概也就猜出来了,account控制器,login方法 三、
继续阅读漏洞预警 西部数据 NAS safepoints_api.php network_get_sharefolder 命令执行漏洞
漏洞预警 西部数据 NAS safepoints_api.php network_get_sharefolder 命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-15 01:18 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入
继续阅读CPTS考前PATH全部Flags合集
CPTS考前PATH全部Flags合集 原创 高级红队专家 高级红队专家 2025-04-15 01:08 一、关于考前PATH CPTS认证在考前是需要完成所有课程以及课后题(PATH)才可以约考的,因此打PATH算是考前必经之路,目前最新课程一共28个模块,每个模块下会有多个章节,课后题就在这些章节之中。 目前来看,课后题主要分为理论知识的填空题和实操技能的flag题,填空题直接写答案即可,f
继续阅读某代理商管理系统存在RCE漏洞
某代理商管理系统存在RCE漏洞 原创 狐狸 狐狸说安全 2025-04-15 01:01 免责声明 由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 狐狸说安全 及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢! 0x01 概述 由于此代理商管理系统使用Struts2开发框架组件,均存在历史
继续阅读国际象棋网站漏洞 从XSS到账户接管的探索之旅
国际象棋网站漏洞 从XSS到账户接管的探索之旅 原创 子午猫 网络侦查研究院 2025-04-15 01:00 前言 在网络安全的世界里,每一次探索都是一次冒险。今天,我要分享的是一个关于如何发现并利用Chess.com漏洞的故事。这个过程充满了曲折和意外,但也正是这些意外,让我最终找到了那个“大奖”。 背景:初次探索与XSS尝试 2019年11月,我第一次开始研究Chess.com的漏洞。当时,
继续阅读工具集: CTFTool-All-in-One【集信息收集、漏洞利用、提权、文件传输等功能于一体的CTF综合工具】
工具集: CTFTool-All-in-One【集信息收集、漏洞利用、提权、文件传输等功能于一体的CTF综合工具】 风铃Sec 2025-04-15 00:30 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规! 🐉工具介绍 该工具平台能够集成多个常用的网络安全工具,并提供一个统一的用户界面和操作界面,使得参赛者可以在一个平台上完成信息收集、漏洞利用、提权、文件传输等操作。
继续阅读一次就学会网络钓鱼“骚”姿势
一次就学会网络钓鱼“骚”姿势 obse**** 菜鸟学信安 2025-04-15 00:30 作者: obse**** 转载于先知社区:https://xz.aliyun.com/news/12128 一、什么是网络钓鱼 网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。 二、网络
继续阅读漏洞分析 | Apache Skywalking的log4shell分析
漏洞分析 | Apache Skywalking的log4shell分析 原创 杂七 杂七杂八聊安全 2025-04-15 00:02 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把 杂七杂八聊安全“ 设为星标”, 否则可能就看不到了啦~ 0x01触发点位置 graphql.GraphQL#parseAndValidate 调用堆栈: parseAndValidate:504, Gr
继续阅读漏洞预警 | NetMizer日志管理系统远程命令执行和SQL注入漏洞
漏洞预警 | NetMizer日志管理系统远程命令执行和SQL注入漏洞 浅安 浅安安全 2025-04-15 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 NetMizer日志管理系统是一款可以记录流经设备的所有会话日志并将其传送到外部的管理中心上的系统。 0x03 漏洞详情 漏洞类型: 远程 命令 执行 影响: 执行任意代
继续阅读基于ESP8266水质检测 (MQTT上报小程序和HA)
基于ESP8266水质检测 (MQTT上报小程序和HA) 原创 大表哥吆 kali笔记 2025-04-15 00:00 在前面的文章中,我们讲到了基于Arduino读取水质传感器的数据。详情可以阅读历史文章。 但由于Arduino的限制,无法将数据上传至网络。因此,本文为大家带来基于Esp8266配置水质传感器进行数据上报。 准备 Esp8266 水质传感器 MQTT服务器 线路连接 VCC &
继续阅读300页 Android 应用安全:缓解黑客攻击和安全漏洞
300页 Android 应用安全:缓解黑客攻击和安全漏洞 原创 计算机与网络安全 计算机与网络安全 2025-04-14 23:57 扫码加入知识星球: 网络安全攻防(HVV) 下载全套资料 《Android应用安全:缓解黑客攻击与安全漏洞(第二版)》一书深入探讨了保护Android应用免受恶意攻击的实用策略与技术。书中强调,Android应用面临的主要威胁包括数据泄露、逆向工程、权限滥用以及不
继续阅读安全人员如何对漏洞进行定级?
安全人员如何对漏洞进行定级? 进击的HACK 2025-04-14 23:50 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢 ! 文章有疑问的,可以公众号发消息问我,或者留言。我每天都会看的。 你是否奇怪过,漏洞的高危中危低危是基于什么给出的? 为什么同样是RCE,有的
继续阅读【工具分享】供应链漏洞探测工具
【工具分享】供应链漏洞探测工具 信安魔方 锐鉴安全 2025-04-14 23:00 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标,不定期有宠粉福利 工具介绍 dddd是一款使用简单的批量信息收集,供应链漏洞探测工具,旨在优化红队工作流,减少伤肝的机械性操作。支持
继续阅读如何发现AI chatbot 中的RCE
如何发现AI chatbot 中的RCE 原创 漏洞集萃 漏洞集萃 2025-04-14 22:59 引言 近年来,AI聊天机器人凭借其高效的客户服务、增强的用户互动以及简化的业务运营,迅速在各行各业中流行起来。这些智能系统依托复杂的算法和自然语言处理技术,与用户实现无缝交互。然而,与所有软件一样,它们也无法完全免疫安全漏洞的威胁。 背景故事:发现的起点 目标平台是一个功能强大的业务管理平台,集成
继续阅读【漏洞预警】泛微E-Cology9前台SQL注入漏洞
【漏洞预警】泛微E-Cology9前台SQL注入漏洞 cexlife 飓风网络安全 2025-04-14 13:43 产品介绍: 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。 漏洞描述: 该漏洞是由于泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现 SQL 注入漏洞。 漏洞影响: 攻击者
继续阅读【漏洞预警】OpenSourceMatters Joomla 未授权SQL注入漏洞
【漏洞预警】OpenSourceMatters Joomla 未授权SQL注入漏洞 cexlife 飓风网络安全 2025-04-14 13:43 漏洞描述: Joomla!开源的一个自由、开放源代码的内容管理系统,Joomla!官方发布安全公告,其中公开披露了一个SQL注入漏洞,该漏洞源于数据库包的quoteNameStr方法处理标识符不当,导致SQL注入漏洞。 修复建议: 正式防护方案: 厂商
继续阅读JeeWMS cgAutoListController.do SQL注入漏洞
JeeWMS cgAutoListController.do SQL注入漏洞 Superhero Nday Poc 2025-04-14 12:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 JeeWM
继续阅读窗外有”眼”:IP摄像头安全漏洞与默认密码危机
窗外有”眼”:IP摄像头安全漏洞与默认密码危机 原创 VlangCN HW安全之路 2025-04-14 11:33 在当今数字化高度发展的时代,网络安全已成为各行各业必须面对的重要课题。特别是物联网设备的广泛应用,使得安全漏洞变得更加普遍。今天,我们就来探讨一个常被忽视却十分关键的安全问题:IP摄像头的安全隐患。 安全隐患的现实案例 在国际冲突事件中,IP摄像头的安全问题
继续阅读思科设备曝出七年旧漏洞 攻击者可远程执行代码
思科设备曝出七年旧漏洞 攻击者可远程执行代码 FreeBuf 2025-04-14 11:15 思科网络设备中存在一个长达七年的安全漏洞,至今仍对未打补丁的系统构成重大风险,攻击者可利用该漏洞远程执行代码。 该漏洞编号为CVE-2018-0171,最初于2018年发现,针对思科的Smart Install(智能安装)功能。该功能是一种即插即用配置工具,旨在简化网络设备部署。 尽管漏洞年代久远,但最
继续阅读泛微Ecology后台远程代码执行漏洞风险通告
泛微Ecology后台远程代码执行漏洞风险通告 赛博昆仑CERT 2025-04-14 11:02 赛博昆仑漏洞 安全风险通告 泛微Ecology后台远程代码执行漏洞风险通告 漏洞描述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,形成了一系列的通
继续阅读直播回顾 | 2025百家说事:企业出海之安全观
直播回顾 | 2025百家说事:企业出海之安全观 原创 管窥蠡测 安在 2025-04-14 10:47 在“一带一路”深化与全球供应链重构驱动下,中国企业的全球化进程正从产品输出转向生态共建,但同时面临着数据跨境合规、基础设施网络攻击、员工安全及地缘政治风险等多重安全挑战。对此,网络安全厂商开启“双轨出海”:既通过海外设点构建全球化安全服务体系,也伴随企业出海全周期提供贴身安全赋能,形成攻防协同
继续阅读日产Leaf被曝存在远程控制漏洞
日产Leaf被曝存在远程控制漏洞 原创 PCAutomotive 安全脉脉 2025-04-14 10:46 近日,PCAutomotive在BlackHat Asia 2025会议上披露了一项针对日产Leaf的研究成果。研究人员通过一系列漏洞成功实现了对车辆的远程监控和物理控制。 PCAutomotive选择了2020年生产的第二代日产Leaf作为研究对象。 攻击者可以利用这些漏洞实现以下操作:
继续阅读上周关注度较高的产品安全漏洞(20250407-20250413)
上周关注度较高的产品安全漏洞(20250407-20250413) 原创 CNVD CNVD漏洞平台 2025-04-14 10:10 一、境外厂商产品漏洞 1、IBM Sterling File Gateway信息泄漏漏洞(CNVD-2025-06655) IBM Sterling File Gateway是美国国际商业机器(IBM)公司的一套文件传输软件。该软件可整合不同的文件传输活动中心,并
继续阅读黑客利用已修复的Fortinet FortiGate设备漏洞获取Root权限
黑客利用已修复的Fortinet FortiGate设备漏洞获取Root权限 信息安全大事件 2025-04-14 10:04 Fortinet发现威胁攻击者使用了一种复杂的后利用技术,即使在初始漏洞修复后仍能维持对FortiGate设备的未授权访问。 根据Fortinet最新调查报告,攻击者利用了三个已知漏洞(FG-IR-22-398、FG-IR-23-097和FG-IR-24-015)入侵Fo
继续阅读系统0day安全-IOT设备漏洞挖掘
系统0day安全-IOT设备漏洞挖掘 Ms08067实验室 Ms08067安全实验室 2025-04-14 10:02 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureN
继续阅读