安美酒店管理系统 /list_qry.php接口 sql注入漏洞
安美酒店管理系统 /list_qry.php接口 sql注入漏洞 Superhero Nday Poc 2025-04-02 20:42 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 安美酒店管理系统 /
继续阅读月度归档: 2025 年 4 月
佳能打印机驱动中存在严重漏洞
佳能打印机驱动中存在严重漏洞 Eduard Kovacs 代码卫士 2025-04-02 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软提醒称,佳能的一些打印机驱动受严重漏洞 (CVE-2025-1268) 的影响。 佳能在上周发布安全公告表示,与多个生产打印机、办公室多功能打印机和激光打印机相关联的驱动受界外漏洞CVE-2025-1268的影响。该漏洞的CVSS评分为9.
继续阅读Apache Parquet Java 中存在CVSS满分漏洞
Apache Parquet Java 中存在CVSS满分漏洞 do son 代码卫士 2025-04-02 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 与列存储相关的开源数据文件格式 Apache Parquet 中被指存在一个严重漏洞,为使用 Apache Parquet Java 库的系统造成严重风险。 Apache Parquet 为有效存储和检索数据而设计,因高性能
继续阅读2025攻防演练必看:千起实战案例、600+历年漏洞汇编!
2025攻防演练必看:千起实战案例、600+历年漏洞汇编! 360数字安全 2025-04-02 18:02 随着国家攻防演练行动进入实战化深水区,攻击方技术手段持续升级,传统基于漏洞评分的”打补丁式防御”已难以应对复杂攻击链威胁。在2025攻防演练即将开启之际,360漏洞云基于对2023-2024年1372起真实攻防案例 的深度分析,发布《2025攻防演练必修漏洞合集》
继续阅读佳能打印机驱动曝高危漏洞,请及时更新
佳能打印机驱动曝高危漏洞,请及时更新 看雪学苑 看雪学苑 2025-04-02 17:59 近日,微软的进攻性安全研究与工程(MORSE)团队发现佳能打印机驱动中存在一个严重的代码执行漏洞,该漏洞被标记为CVE-2025-1268,CVSS评分为9.4,属于高危漏洞。 漏洞详情 该漏洞是一个越界问题,存在于某些生产打印机、办公/小型办公多功能打印机和激光打印机的驱动程序中,包括Generic Pl
继续阅读今日更新!系统0day安全-二进制漏洞攻防(第4期)
今日更新!系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-04-02 17:59 更新:第四章 模糊测试工具基础使用 4.6 AFL拓展 https://www.kanxue.com/book-193-5311.htm 二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的底层代码中,一旦被利用,可能导致数据泄露、系统崩溃,甚至更严重的安全事件。为了应对这一挑战
继续阅读新的 OpenSSH 漏洞使 SSH 服务器面临 MitM 攻击和拒绝服务攻击的风险
新的 OpenSSH 漏洞使 SSH 服务器面临 MitM 攻击和拒绝服务攻击的风险 胡金鱼 嘶吼专业版 2025-04-02 14:01 OpenSSH 发布了安全更新,修复了两个漏洞,一个是 MitM 攻击漏洞,另一个是拒绝服务漏洞,其中一个漏洞是在十多年前引入的。Qualys 发现了这两个漏洞,并向 OpenSSH 的维护人员展示了其可利用性。 OpenSSH(开放安全外壳)是 SSH(安全
继续阅读微信新版本 小漏洞or bug
微信新版本 小漏洞or bug ZAC安全 2025-04-01 23:30 今晚水群发现有位师傅发了个红包(已取得授权),当我点开后显示 “请求不成功” 我跟我的女朋友尝试复现了一下。步骤如下 1 在A群找到一张图片,编辑,然后点击发送 2 多选发送到其他B群,C群 3 发送完成后 会生成一个新的 D群(跟群A的内容一样) 4 在D群发红包 5 只有本人能领红包,其他成员无法领取(显示 请求
继续阅读【SRC实战】支付逻辑漏洞挖掘
【SRC实战】支付逻辑漏洞挖掘 小安 迪哥讲事 2025-04-01 23:07 前言 记录一次支付逻辑漏洞挖掘,这个支付漏洞很细,能挖出来需要十分细心和耐心,一点点看数据包,不然真的非常容易漏下,实际上这个漏洞的出现就是由于在确定订单价格时,后端数据校验缺失导致的。 这是一个新能源汽车充电小程序,出现问题的功能时购买电池的功能点,一开始选择购电,可以选择购买30度,50度,80度。不同电量对应了
继续阅读审计分析:验证缺陷导致文件上传漏洞的产生!
审计分析:验证缺陷导致文件上传漏洞的产生! 进击安全 2025-04-01 22:28 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! 0x01 前言 承接上文,继续从源码角度分析该系统漏洞,此系统功能点居多,代码量也非常大,也蛮好
继续阅读【高危漏洞预警】Vite任意文件读取漏洞(CVE-2025-31125)
【高危漏洞预警】Vite任意文件读取漏洞(CVE-2025-31125) cexlife 飓风网络安全 2025-04-01 22:16 漏洞描述: Vite框架中存在访问控制不当漏洞,该漏洞源于Vite中可以通过使用?inline&import或?raw?import来越权获取非允许文件内容,攻击者可以利用该漏洞读取设备上任意文件内容,该漏洞的利用需要特定的服务器配置。官方已发布新版本修
继续阅读一款图形化的 .DS_Store文件泄露、.git目录泄露、.svn目录泄露漏洞利用工具
一款图形化的 .DS_Store文件泄露、.git目录泄露、.svn目录泄露漏洞利用工具 Scorcsoft 无影安全实验室 2025-04-01 20:36 免责声明: 本篇文章仅用于技术交流, 请勿利用文章内的相关技术从事非法测试 , 由于传播、利用本公众号无影安全 实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责任,一旦造
继续阅读Web应用程序渗透测试和漏洞赏金狩猎的综合指南
Web应用程序渗透测试和漏洞赏金狩猎的综合指南 z1 Z1sec 2025-04-01 19:45 Web应用程序渗透测试和漏洞赏金狩猎的综合指南,涵盖识别和利用 的方法、工具和资源: 地址: https://github.com/xalgord/Massive-Web-Application-Penetration-Testing-Bug-Bounty-Notes
继续阅读漏洞盒子×阶跃星辰SRC | 漏洞盒子「企业SRC」新住客
漏洞盒子×阶跃星辰SRC | 漏洞盒子「企业SRC」新住客 漏洞盒子 2025-04-01 19:17 清明小长假倒计时! 挖蛙的踏青计划表已经写满 追春风、放纸鸢、啃青团…… 但总感觉少了点什么? 哦对!差点忘了带上蛙的新伙伴 TA不仅会写诗、画图、剪视频 还能用AI一眼看穿代码里的“小心思” 没错—— 阶跃星辰安全应急响应中心 正式入驻漏洞盒子啦! 即日起 阶跃星辰SRC欢迎广大白帽积极反馈安
继续阅读【安全圈】Ubuntu曝高危权限提升漏洞 三大绕过机制威胁Linux系统安全
【安全圈】Ubuntu曝高危权限提升漏洞 三大绕过机制威胁Linux系统安全 安全圈 2025-04-01 19:01 关键词 安全漏洞 网络安全研究人员近期发现Ubuntu Linux系统存在三项严重安全缺陷,可允许本地攻击者绕过系统防护机制,利用内核漏洞提升权限。该漏洞主要影响Ubuntu 23.10和24.04 LTS版本中基于AppArmor的用户命名空间限制功能。 三大核心技术绕过方式:
继续阅读【安全圈】Dell Unity 企业存储系统现严重漏洞,攻击者借此可实现 root 权限接管
【安全圈】Dell Unity 企业存储系统现严重漏洞,攻击者借此可实现 root 权限接管 安全圈 2025-04-01 19:01 关键词 安全漏洞 Dell Technologies 发布了一项关键的安全更新,以修复其 Unity 企业存储系统中存在的多个严重漏洞。这些漏洞可能会让攻击者以 root 权限执行任意命令、删除关键系统文件,并在无需进行身份验证的情况下开展其他恶意活动。 安全研究
继续阅读微软利用AI从开源引导加载器中找到20个0day漏洞
微软利用AI从开源引导加载器中找到20个0day漏洞 Bill Toulas 代码卫士 2025-04-01 18:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软通过其受AI驱动的 Security Copilot 在开源引导加载器 GRUB2、U-Boot 和 Barebox 中发现了20个0day漏洞。 GRUB2(GRand Unified Bootloader)是多数Li
继续阅读国际 | 运营商巨头赔偿超2.3亿元:因系统漏洞令用户损失巨额资金
国际 | 运营商巨头赔偿超2.3亿元:因系统漏洞令用户损失巨额资金 内生安全联盟 2025-04-01 18:28 3月31日消息,美国加州Greenberg Glusker律师事务所表示,该律所在针对T-Mobile的仲裁案件中成功获得3300万美元(约合人民币2.39亿元)的赔偿,该案涉及该无线运营商在SIM交换攻击中的失误。 SIM交换攻击是指威胁行为者联系受害者的无线运营商,并诱骗其员工将
继续阅读【支持排查与检测】Vite任意文件读取漏洞(CVE-2025-31125)
【支持排查与检测】Vite任意文件读取漏洞(CVE-2025-31125) 原创 NS-CERT 绿盟科技CERT 2025-04-01 18:20 通告编号:NS-2025-0020 2025-04-01 TAG: Vite、任意文件读取、CVE-2025-31125 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全公
继续阅读惠普HPE CMU曝高危漏洞:攻击者可绕过认证执行远程命令
惠普HPE CMU曝高危漏洞:攻击者可绕过认证执行远程命令 FreeBuf 2025-04-01 18:15 HPE Insight集群管理工具(CMU)v8.2版本中存在一个关键的无认证远程代码执行漏洞(CVE-2024-13804),攻击者可利用该漏洞绕过认证机制,在后端服务器上以root权限执行任意命令。 该高危漏洞影响用于管理高性能计算集群的工具,可能导致攻击者完全控制整个计算环境。漏洞根
继续阅读Ubuntu安全限制遭突破:攻击者可利用内核漏洞提权
Ubuntu安全限制遭突破:攻击者可利用内核漏洞提权 FreeBuf 2025-04-01 18:15 Ubuntu Linux 系统中存在三处关键安全限制绕过漏洞,允许本地攻击者提升权限并利用内核漏洞。这些漏洞影响 Ubuntu 23.10 和 24.04 LTS 系统,这些系统原本通过基于 AppArmor 的防护机制来限制命名空间滥用。 虽然这些漏洞本身无法直接获取完整的系统控制权,但当与需
继续阅读高危 PHP 漏洞可绕过验证加载恶意内容
高危 PHP 漏洞可绕过验证加载恶意内容 信息安全大事件 2025-04-01 18:00 PHP的libxml流组件中发现一个高危漏洞,可能影响依赖DOM或SimpleXML扩展处理HTTP请求的Web应用程序。该漏洞编号为CVE-2025-1219,源于处理重定向资源时对content-type标头的错误处理,可能导致文档解析错误和验证绕过等安全风险。 受影响PHP版本包括: –
继续阅读LLM+MCP=RCE?
LLM+MCP=RCE? 原创 闲聊趣说 闲聊趣说 2025-04-01 17:41 MCP协议的推出让大模型有了感知现实世界的能力,并且使用现实世界的工具并打通数据孤岛。下面是MCP协议架构(来源官网) MCP的官网对其中执行步骤进行了详细说明,可以看出MCP协议相当于usb接口,联通各种设备(mcp server)和主机(大模型) 1. 客户端把问题发送给claude claude分析可用的t
继续阅读【免费领】新手必备!Web安全漏洞挖掘实战入门教程
【免费领】新手必备!Web安全漏洞挖掘实战入门教程 蚁景网络安全 2025-04-01 17:31 点击蓝字/关注我们 今日福利 一线大佬漏洞实战经验总结 帮助零基础新手入门,速成漏洞实战技术 全程案例解析漏洞工具、检测及注入方法 限 时 福 利 , 请 及 时 领 取 哦 ~ 该资料内容较多,无法列出全部目录,以下为节选的部分目录: 长按识别下方二维码 ,回复 “0401” , 免费领取 ~ (
继续阅读新发现的Ubuntu安全绕过漏洞使攻击者可利用内核漏洞
新发现的Ubuntu安全绕过漏洞使攻击者可利用内核漏洞 邑安科技 邑安全 2025-04-01 17:23 更多全球网络安全资讯尽在邑安全 Ubuntu Linux权限限制遭突破:攻击者可利用三组漏洞绕过命名空间防护并提权 安全研究人员发现Ubuntu Linux系统中存在三组关键安全绕过漏洞,允许本地攻击者突破非特权用户命名空间限制,实现权限提升并利用内核漏洞。这些漏洞主要影响以下系统: • U
继续阅读关键 PHP 漏洞允许黑客绕过验证以加载恶意内容
关键 PHP 漏洞允许黑客绕过验证以加载恶意内容 邑安科技 邑安全 2025-04-01 17:23 更多全球网络安全资讯尽在邑安全 已在 PHP 的 libxml 流中发现了一个严重漏洞,该漏洞可能会影响依赖 DOM 或 SimpleXML 扩展进行 HTTP 请求的 Web 应用程序。 该漏洞被跟踪为 CVE-2025-1219,涉及在请求重定向资源时错误地处理标头,从而导致文档误读和验证绕
继续阅读Microsoft 使用 Copilot 在 GRUB2、U-Boot、Barebox 引导加载程序中发现了多个漏洞
Microsoft 使用 Copilot 在 GRUB2、U-Boot、Barebox 引导加载程序中发现了多个漏洞 邑安科技 邑安全 2025-04-01 17:23 更多全球网络安全资讯尽在邑安全 Microsoft 发现了多个影响广泛使用的引导加载程序(包括 GRUB2、U-Boot 和 Barebox)的严重漏洞。 这些安全漏洞可能会使系统面临复杂的启动级攻击,这些攻击甚至可能在作系统初始
继续阅读Cannon Printer 漏洞让攻击者可以执行任意代码
Cannon Printer 漏洞让攻击者可以执行任意代码 邑安科技 邑安全 2025-04-01 17:23 更多全球网络安全资讯尽在邑安全 Canon 已发布一个重要的安全公告,内容涉及在其多个打印机驱动程序中检测到的严重漏洞,该漏洞可能允许攻击者在受影响的系统上执行任意代码。 该漏洞被确定为 CVE-2025-1268,严重性 CVSS 基本分数为 9.4,表明对受影响 Canon 产品的用
继续阅读【漏洞通告】Vite 任意文件读取漏洞(CVE-2025-31125)
【漏洞通告】Vite 任意文件读取漏洞(CVE-2025-31125) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-01 17:11 漏洞名称: Vite 任意文件读取漏洞(CVE-2025-31125) 组件名称: Vite 影响范围: Vite ≤ 4.5.10 5.0.0 ≤ Vite ≤ 5.4.15 6.0.0 ≤ Vite ≤ 6.0.12 6.1.0 ≤ Vite ≤
继续阅读漏洞预警|金蝶 Apusic IIOP 反序列化远程代码执行漏洞
漏洞预警|金蝶 Apusic IIOP 反序列化远程代码执行漏洞 威胁情报运营中心 矢安科技 2025-04-01 17:05
继续阅读