月度归档: 2025 年 4 月

Vite 任意文件读取漏洞 (CVE-2025-32395)

发布于 作者:

Vite 任意文件读取漏洞 (CVE-2025-32395) Superhero Nday Poc 2025-04-13 09:33 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 漏洞源于Vite在处理带有

继续阅读

【漏洞复现】Vite 任意文件读取系列漏洞(附POC)

发布于 作者:

【漏洞复现】Vite 任意文件读取系列漏洞(附POC) 原创 仇辉攻防 仇辉攻防 2025-04-13 07:46 Vite是什么,和Next.js有什么区别? 上一篇文章刚介绍了Next.js漏洞的复现: 【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927 Vite 和 Next.js 是两个不同类型的前端工具,它们各自的用途、架构和适用场景有所不同。 Vite 是什么?

继续阅读

浅谈AI部署场景下的web漏洞

发布于 作者:

浅谈AI部署场景下的web漏洞 黑白之道 2025-04-13 05:44 文章首发在:奇安信攻防社区 https://forum.butian.net/share/4259 总结了一些部署过程中出现可能的漏洞点位,并且分析了对应的攻防思路 要想知道对应的大模型在本地部署过程中可能存在的漏洞,就要先了解大模型是如何进行本地部署的。这里笔者给出了两个轻量化的解决方案,让大家了解一下一般开发者对大模型

继续阅读

从CVE-2025-30208看任意文件读取利用

发布于 作者:

从CVE-2025-30208看任意文件读取利用 骨哥说事 2025-04-13 05:38 微信公众号:渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-2025-

继续阅读

3月成绩出炉,这届白帽子太卷了!地图大师新手SRC漏洞课程3月学员成绩报喜!!

发布于 作者:

3月成绩出炉,这届白帽子太卷了!地图大师新手SRC漏洞课程3月学员成绩报喜!! 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2025-04-13 03:38 01**** 成绩报喜 三月过去了,又有一些认真学习、默默钻研的同学,在这个月悄悄收获了成果。 有人第一次独立提交漏洞,有人拿到了期盼已久的SRC奖励,也有人继续在原有基础上稳步提升。对我来说,每一个“出洞”,都是大家在挤时间、啃思路、熬夜

继续阅读

CVE-2025-22457

发布于 作者:

CVE-2025-22457 Khan安全团队 2025-04-13 02:36 远程未经身份验证的基于堆栈的缓冲区溢出漏洞影响 Ivanti Connect Secure、Pulse Connect Secure、Ivanti Policy Secure 和 ZTA 网关。 针对存在漏洞的 Ivanti Connect Secure 目标(版本 22.7r2.4)运行此脚本,如下所示: 启动 n

继续阅读

Vite import存在任意文件读取漏洞CVE-2025-31125 附POC

发布于 作者:

Vite import存在任意文件读取漏洞CVE-2025-31125 附POC 2025-4-13更新 南风漏洞复现文库 2025-04-13 01:50 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Vite简介 微信公众号搜索:

继续阅读

警惕!NVIDIA Triton推理服务器整数溢出漏洞曝光:原理、复现与修复全解析

发布于 作者:

警惕!NVIDIA Triton推理服务器整数溢出漏洞曝光:原理、复现与修复全解析 原创 mag1c7 山石网科安全技术研究院 2025-04-13 01:00 一个小小的整数溢出,竟可能引发整个推理服务的崩溃! 在当今人工智能飞速发展的时代,推理服务器作为模型部署的关键环节,其安全性至关重要。然而,即使是像NVIDIA Triton Inference Server这样被广泛使用的推理平台,也可

继续阅读

实战|SQL注入漏洞

发布于 作者:

实战|SQL注入漏洞 原创 bcloud 蓝云Sec 2025-04-13 00:13 声明 任何网络安全相关测试均需取得授权,本文章中所有内容仅供学习交流,严禁用于商业用途和非法用途,否则由此产生的一切后果均与文章作者无关! 前言 一次渗透测试实战中的SQL注入,从延时注入耗费大量时间到用户名密码获取至整个网站数据信息泄露的一次真实记录。 渗透开始 首先开局登录框,任意输入用户名密码admin:

继续阅读

heapdump未经授权漏洞利用

发布于 作者:

heapdump未经授权漏洞利用 原创 simeon的文章 小兵搞安全 2025-04-12 23:48 在实际渗透过程中碰到api泄露以及类似若以cms监控等,可以对heapdump文件进行导出,通过分析,可以获取一些敏感信息,通过利用泄露的敏感信息可以获取一些有用的资料,有的甚至可以直接获取服务器权限。本文对heapdump利用的方法进行总结和介绍。 1.1HeapDump及HeapDump_

继续阅读

RCE

发布于 作者:

RCE 迪哥讲事 2025-04-12 21:01 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4132 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 今天和大家分享一个国外白帽子在一个私有赏金项目上有趣

继续阅读

Langflow code接口存在远程代码执行漏洞CVE-2025-3248 附POC

发布于 作者:

Langflow code接口存在远程代码执行漏洞CVE-2025-3248 附POC 2025-4-12更新 南风漏洞复现文库 2025-04-12 15:08 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Langflow简介 微

继续阅读

【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927

发布于 作者:

【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927 原创 仇辉攻防 仇辉攻防 2025-04-12 11:03 什么是Next.js? Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server-side Rendering (SSR) 和静态站点生成(SSG)项目。Next.js 支持传统的

继续阅读

【安全圈】微软4月安全更新:修复125个漏洞,12个存在高利用风险

发布于 作者:

【安全圈】微软4月安全更新:修复125个漏洞,12个存在高利用风险 安全圈 2025-04-12 11:00 关键词 漏洞 一、漏洞概述 📊 漏洞总数 :125个 漏洞级别分布 : 🟢 11个 严重级别漏洞 🟡 112个 重要级别漏洞 🟠 2个 低危级别漏洞 高风险漏洞 : 🚨 12个漏洞被标记为 “更可能被利用”  或 “已检测到利用情形” ,存在较高的利用风险,建议优先修复。 二、重点漏洞简介

继续阅读

Linux USB音频驱动漏洞正被恶意USB设备在野利用

发布于 作者:

Linux USB音频驱动漏洞正被恶意USB设备在野利用 FreeBuf 2025-04-12 10:31 Linux内核中的USB音频驱动存在一个可能导致内存越界读取的关键漏洞,该漏洞已由SUSE公司的Takashi Iwai通过最新补丁修复。攻击者若获得系统物理访问权限,可利用恶意USB设备实现权限提升、篡改系统内存或执行任意代码。 Linux基金会Greg Kroah-Hartman于202

继续阅读

CrushFTP新安全漏洞:未授权访问和CVE-2025-31161

发布于 作者:

CrushFTP新安全漏洞:未授权访问和CVE-2025-31161 知机安全 知机安全 2025-04-12 10:24 Agentic AI在SOC中的应用:提升效率与价值 本文探讨了Agentic AI(有时称为Agentic Security)在安全运营中心(SOC)中的作用,对比了它与传统辅助型AI(Copilots)的区别。Agentic AI具备自主性,能独立感知、规划、调查和结论,

继续阅读

XSS漏洞挖掘下

发布于 作者:

XSS漏洞挖掘下 GG安全 2025-04-12 09:38 免责声明 由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此 承担任何责任,一旦造成后果请自行承担!本文为连载文章欢迎大家关注红云谈安全公众号! 前言 你碰到WAF是不是都绕不过去? 你是不是只会使用别人的绕过语句? 你是不是只要别人的绕过语句给拦了就束手无

继续阅读

NAVIDROME 权限绕过漏洞(CVE-2025-27112)

发布于 作者:

NAVIDROME 权限绕过漏洞(CVE-2025-27112) Superhero Nday Poc 2025-04-12 09:15 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 在某些 Subsoni

继续阅读

Langflow 远程命令执行漏洞(CVE-2025-3248)

发布于 作者:

Langflow 远程命令执行漏洞(CVE-2025-3248) Superhero Nday Poc 2025-04-12 08:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 1.3.0 之前的 L

继续阅读

src 挖掘| 奇怪的任意用户重置密码组合拳漏洞

发布于 作者:

src 挖掘| 奇怪的任意用户重置密码组合拳漏洞 听风安全 2025-04-12 07:09 免责声明 由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 公众号现在只对常读和星标的公众号才展示大图推送, 建议大家把 听风安全 设为星标

继续阅读

【已复现】Vite 文件读取漏洞(CVE-2025-32395)(已经出了四个CVE了!!!!)

发布于 作者:

【已复现】Vite 文件读取漏洞(CVE-2025-32395)(已经出了四个CVE了!!!!) 原创 安全探索者 安全探索者 2025-04-12 05:06 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Vite  是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力,广泛应用于 Vue.js 项目的开发过程中。 fofa语句: body=”/@v

继续阅读

【漏洞预警】Vite 任意文件读取漏洞(CVE-2025-32395)

发布于 作者:

【漏洞预警】Vite 任意文件读取漏洞(CVE-2025-32395) 原创 聚焦网络安全情报 安全聚 2025-04-12 03:55 中 危 公 告 近日,安全聚实验室监测到 Vite 存在任意文件读取漏洞 ,编号为:CVE-2025-32395,CVSS:6.0  由于没有对请求的路径进行严格的安全检查和限制,攻击者可利用该漏洞获取敏感信息,可能导致系统数据泄露等严重后果。 01 漏洞描述

继续阅读