【已复现】泛微e-cology 前台SQL注入漏洞
【已复现】泛微e-cology 前台SQL注入漏洞 长亭安全应急响应中心 2025-04-14 10:02 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。2025年4月,泛微官方发布了新补丁,修复了一处 SQL 注入漏洞。经分析,攻击者无需认证即可利用该漏洞,建议受影响的客户尽快修复漏洞。 漏洞描述 Description 01 漏洞成
继续阅读月度归档: 2025 年 4 月
Fortinet 漏洞再现,攻击者利用新方法入侵
Fortinet 漏洞再现,攻击者利用新方法入侵 看雪学苑 看雪学苑 2025-04-14 10:02 近期,网络安全领域风波不断,Fortinet 防火墙漏洞问题再次引发广泛关注。据相关报道,Fortinet 承认攻击者已找到新方法,利用其认为已在去年修复的三个漏洞。这些漏洞涉及 FortiGate 和 FortiOS 设备,攻击者通过创建符号链接(symlinks),将用户链接到根文件系统,从
继续阅读BSSRC四周年活动联合礼包结果公示
BSSRC四周年活动联合礼包结果公示 BOSS直聘安全应急响应中心 2025-04-14 10:02
继续阅读推荐几款好用的Jwt漏洞工具
推荐几款好用的Jwt漏洞工具 原创 夜风Sec 夜风Sec 2025-04-14 09:55 集成的Jwt工具 – venom_jwt Github项目地址:https://github.com/z-bool/Venom-JWT jwttool02 爆破Jwt – c-jwt-cracker Github项目地址:https://github.com/brendan-riu
继续阅读你知道JWT漏洞如何进行攻击利用吗?
你知道JWT漏洞如何进行攻击利用吗? 原创 夜风Sec 夜风Sec 2025-04-14 09:55 JWT攻击 研究 JSON Web 令牌 (JWT) 的设计问题和处理缺陷如何导致网站容易受到各种高严重性攻击。由于 JWT 最常用于身份验证、会话管理和访问控制机制,这些漏洞可能会危及整个网站及其用户。 jwt-00 什么是JWT? JSON Web 令牌 (JWT) 是一种在系统之间发送加密签
继续阅读高危!Vite任意文件读取漏洞安全风险通告
高危!Vite任意文件读取漏洞安全风险通告 应急响应中心 亚信安全 2025-04-14 09:54 近日,亚信安全CERT监控到安全社区研究人员发布安全通告,Vite存在一个任意文件读取漏洞,编号为 CVE-2025-31486。由于Vite在处理特定URL请求时缺少对路径的安全检查,这导致攻击者可以通过构造特定的 URL 请求绕过服务器的保护机制,非法访问敏感文件。 目前官方已发布安全更新,亚
继续阅读雷神众测漏洞周报2025.4.7-2025.4.13
雷神众测漏洞周报2025.4.7-2025.4.13 原创 雷神众测 雷神众测 2025-04-14 09:51 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读当漏洞攻击遇上腾讯混元超能力:EdgeOne 的 Web 安全赛博决斗
当漏洞攻击遇上腾讯混元超能力:EdgeOne 的 Web 安全赛博决斗 腾讯安全 2025-04-14 09:44 《腾讯云2024年DDoS与应用安全威胁趋势报告》显示,利用漏洞和应用弱点的攻击手段愈发多样化和复杂化,2024年高危漏洞攻击总量超过 17亿次,面对这一严峻挑战,我们应该如何应对?接下来将为您讲解我们的最新尝试——基于大模型的漏洞识别能力,您可以通过托管规则-深度分析功能,率先体验
继续阅读网络安全动态 – 2025.04.14
网络安全动态 – 2025.04.14 Sugar Delta Insights 2025-04-14 09:30 网络安全动态 — Cyber Daily 2025.04.14 Tycoon2FA钓鱼工具再进化,利用SVG文件及Unicode绕过防护 关键词:钓鱼工具 检测绕过 2025年04月12日报道。 知名Phishing-as-a-Service平台Tycoon2FA近
继续阅读安全热点周报:PipeMagic 木马利用 Windows 零日漏洞部署勒索软件
安全热点周报:PipeMagic 木马利用 Windows 零日漏洞部署勒索软件 奇安信 CERT 2025-04-14 09:15 安全资讯导视 • 《数据安全技术 政务数据处理安全要求》等6项网络安全国家标准发布 • 摩洛哥国家社保基金遭网络攻击,近200万民众敏感数据或泄露 • 美国工业传感器上市公司森萨塔遭勒索攻击,生产运营被迫中断 PART01 漏洞情报 1.Foxmail for W
继续阅读日产 Leaf 电动汽车被曝存在漏洞,黑客可远程操控车辆
日产 Leaf 电动汽车被曝存在漏洞,黑客可远程操控车辆 原创 HackerNews 安全威胁纵横 2025-04-14 08:43 研究人员发现一系列漏洞,可被利用来远程控制日产Leaf电动汽车的功能,包括物理控制功能。 研究人员发现,日产Leaf电动汽车存在一系列漏洞,攻击者可利用这些漏洞远程入侵车辆,进行监视甚至接管车辆的多项功能。这项研究由提供汽车和金融服务行业渗透测试及威胁情报服务的公司
继续阅读记一次某EDU站点实战从任意文件读取漏洞到RCE
记一次某EDU站点实战从任意文件读取漏洞到RCE 原创 Mstir 星悦安全 2025-04-14 06:36 点击上方 蓝字 关注我们 并设为 星标 0x01 过程 前年的事情,漏洞已提交并修复,这里着重讲思路及漏 洞 利用 最大化. 一开始是模糊测试扫描到一个接口,发现这个接口可以去读取任意文件,并且返回Base64编码后的内容. 这里是需要看读取权限 的大小,若权限足够大,才可以读取到roo
继续阅读国外:一周网络安全态势回顾之第94期
国外:一周网络安全态势回顾之第94期 原创 铸盾安全 河南等级保护测评 2025-04-14 05:54 以下是本周回顾: 日立能源漏洞 美国CISA发布了两份公告,描述了日立能源产品中的漏洞。一份公告描述了RTU500系列产品中的两个高严重性和两个中等严重性漏洞,这些漏洞可用于发起DoS攻击。第二份公告描述了TRMTracker应用程序中的三个中等严重性漏洞,这些漏洞可导致远程命令执行、Web缓
继续阅读CVE-2021-31956 Windows 内核漏洞(NTFS 与 WNF)利用 —— 第二部分
CVE-2021-31956 Windows 内核漏洞(NTFS 与 WNF)利用 —— 第二部分 Alex Plaskett securitainment 2025-04-14 05:37 【翻译】CVE-2021-31956 Exploiting the Windows Kernel (NTFS with WNF) – Part 2 引言 在 第一部分[1] 中,我们主要讨论了以下内容: &#
继续阅读SpEL表达式漏洞注入内存马
SpEL表达式漏洞注入内存马 原创 暗月大徒弟 moonsec 2025-04-14 04:22 1.实验环境 jdk8 202 springboot 1.3.0.RELEASE 2.漏洞代码 package code.landgrey.controller; import org.springframework.expression.Expression; import org.springf
继续阅读赏金故事 | 入侵 Google 自家的漏洞追踪系统,并拿下1.5w$
赏金故事 | 入侵 Google 自家的漏洞追踪系统,并拿下1.5w$ 白帽子左一 白帽子左一 2025-04-14 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 你听说过 Google 的 Issue Tracker 吗?大概没有,除非你是 Google 的员工,或者是最近在使用 Google 工具时提交过漏
继续阅读针对漏洞安全研究人员的钓鱼攻击
针对漏洞安全研究人员的钓鱼攻击 原创 pandazhengzheng 安全分析与研究 2025-04-14 00:30 安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 通过GitHub项目钓鱼针对安全研究人员进行钓鱼攻击已经不是第一次了,此前Lazarus APT组织就曾使用GitHub项目针对漏洞研究人员进行钓鱼攻击,盗取漏洞研究人员高价值漏洞,该组织通过建立技术BLOG、发布漏洞分析
继续阅读从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486
从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486 船山信安 2025-04-13 16:04 最近有花了一些时间看vite任意文件读取相关的一系列漏洞,下面打算以漏洞发现者的视角,讲讲这些漏洞的一些要点 CVE-2025-30208 CVE-2025-30208这个漏洞其实是历史漏洞 CVE-2024-45811 的绕过,在CVE-2024-45811核
继续阅读工具推荐 | OSS存储桶遍历漏洞自动化利用工具
工具推荐 | OSS存储桶遍历漏洞自动化利用工具 jdr2021 星落安全团队 2025-04-13 16:02 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 由于经常遇到存储桶遍历漏洞,直接访问文件是下载,不方便预览,且甲方要求证明该存储桶的危害,,因此该工具应运而生。 使用javafx 做
继续阅读黑客如何用一张图片掏空你的服务器?揭秘SSRF漏洞的致命陷阱
黑客如何用一张图片掏空你的服务器?揭秘SSRF漏洞的致命陷阱 原创 筑梦网安 全栈安全 2025-04-13 16:01 SSRF(服务器端请求伪造)漏洞已成为黑客攻击的重要手段之一。通过利用这一漏洞,攻击者可以通过发送特制的请求,获取服务器内部的敏感信息,甚至完全控制服务器。本文将深入探讨SSRF漏洞的工作原理,以及黑客如何利用一张图片来实施攻击,揭示这一致命陷阱的本质。 开篇故事:一张“合法请
继续阅读通过HOST碰撞发现更多资产和漏洞|挖洞技巧
通过HOST碰撞发现更多资产和漏洞|挖洞技巧 X1lyS/Yf3te 渗透安全HackTwo 2025-04-13 16:01 0x01 前言 HOST碰撞的概念已提出很久了,但是网上的部分文章感觉都解释得不太详细,可能是作者水平比较高的缘故哈哈,自行省略了很多细节没谈。于是想写一篇新手师傅也能看懂的HOST碰撞的文章,解释清楚HOST碰撞到底原理是啥,怎么利用?怎么修复? 参考文章:https
继续阅读EncryptHub 与 Windows 系统上的 MMC 零日漏洞攻击有关
EncryptHub 与 Windows 系统上的 MMC 零日漏洞攻击有关 Rhinoer 犀牛安全 2025-04-13 16:01 一个名为 EncryptHub 的攻击者被发现与利用本月修补的 Microsoft 管理控制台漏洞的 Windows 零日漏洞攻击有关。 趋势科技员工研究员 Aliakbar Zahravi 发现,这种安全功能绕过(被称为“MSC EvilTwin”,目前跟踪为
继续阅读Zyxel-硬编码后门账户漏洞-CVE-2020-29583
Zyxel-硬编码后门账户漏洞-CVE-2020-29583 原创 骇客安全 骇客安全 2025-04-13 16:00 漏洞描述 Zyxel固件中发现的后门被称为关键固件漏洞,CVE编号CVE-2020-29583,得分为7.8 CVSS。虽然CVSS评分看似不是很高,但却不可小觑。研究人员表示,这是一个极为严重的漏洞,所有者必须立即更新其系统。因为任何人都可以轻松利用这个漏洞,从DDoS僵尸网
继续阅读Zyxel-USG-Series-账户硬编码漏洞(CVE-2020-29583)
Zyxel-USG-Series-账户硬编码漏洞(CVE-2020-29583) 原创 骇客安全 骇客安全 2025-04-13 16:00 FOFA: title="USG40" Username: zyfwp Password: PrOw!aN_fXp 该帐户可以同时在SSH和Web界面上使用。 $ ssh [email protected] Password: Pr*
继续阅读CVE-2025-24813:Apache Tomcat 漏洞POC
CVE-2025-24813:Apache Tomcat 漏洞POC z1 Z1sec 2025-04-13 15:15 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! CVE-2025-24813是一个影响Apache Tomc
继续阅读一个自动化PWN利用框架,专为CTF比赛和二进制漏洞利用设计,集成了栈溢出、格式化字符串等多种漏洞利用技术
一个自动化PWN利用框架,专为CTF比赛和二进制漏洞利用设计,集成了栈溢出、格式化字符串等多种漏洞利用技术 heimao-box 夜组安全 2025-04-13 12:46 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有
继续阅读【安全圈】WordPress插件漏洞导致网站遭受关键文件包含攻击
【安全圈】WordPress插件漏洞导致网站遭受关键文件包含攻击 安全圈 2025-04-13 11:00 关键词 网络攻击 在InstaWP Connect WordPress 插件中发现了一个严重的安全漏洞,可能使数千个网站面临远程攻击。 Wordfence 的安全研究人员发现并报告了这个严重漏洞 (CVE-2025-2636),该漏洞允许未经身份验证的攻击者在受影响的网站上执行任意代码。该
继续阅读【安全圈】TP-Link 漏洞:Wi-Fi 凭据面临泄露风险
【安全圈】TP-Link 漏洞:Wi-Fi 凭据面临泄露风险 安全圈 2025-04-13 11:00 关键词 安全漏洞 TP-Link Tapo H200 V1 物联网智能集线器存在一个严重漏洞,该漏洞可能会让用户的 Wi-Fi 凭据暴露给攻击者。 该漏洞编号 CVE-2025-3442,其根源在于该设备的固件以明文形式存储敏感信息,这使得能够实际接触到该设备的攻击者可以获取这些信息。该漏洞被归
继续阅读价值 $25,000 的hackerone 漏洞
价值 $25,000 的hackerone 漏洞 原创 漏洞集萃 漏洞集萃 2025-04-13 10:57 这个故事的标题听起来有点怪,但确实如此。故事围绕的是在 HackerOne 发现的一个安全漏洞展开,这个漏洞会暴露 HackerOne 的漏洞报告者(也就是“黑客”)和项目团队成员账户的敏感个人数据。所谓敏感数据,包括报告者/团队的邮箱、电话号码、OTP 备用码、GraphQL 密钥令牌、
继续阅读elestio memos SSRF漏洞 (CVE-2025-22952)
elestio memos SSRF漏洞 (CVE-2025-22952) Superhero Nday Poc 2025-04-13 10:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 eleest
继续阅读