Steam 客户端漏洞 &&从csgo角度看待网络安全
Steam 客户端漏洞 &&从csgo角度看待网络安全 原创 梅苑 梅苑安全 2025-04-27 15:43 Steam 客户端漏洞 原文链接: https://hackerone.com/reports/667242 打开特定的 steam:// URL 会覆盖任意位置的文件 如果用户打开 steam://devkit-1/list-shortcuts?response=/tm
继续阅读月度归档: 2025 年 4 月
记一次漏洞复现威胁情报导致的漏洞
记一次漏洞复现威胁情报导致的漏洞 原创 湘南第一深情 湘安无事 2025-04-27 14:12 声明: 由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。如有侵权烦请告知,我们会立即删除并致歉。谢谢! 0x00前言 起因是 3月份下班坐地铁 无聊 在wx公众号
继续阅读今天省 1 千漏洞修复费,明天赔 10 万应急款:漏洞沉默成本到底如何算?
今天省 1 千漏洞修复费,明天赔 10 万应急款:漏洞沉默成本到底如何算? sec0nd安全 2025-04-27 14:05 友情提醒 本文阅读时间推荐10min 如想讨论 以下内容 ▼ 欢迎关注公众号联系我哟 ▼ OSCP备考经验(已通过认证) CISSP备考经验(已通过认证) CCSK(云安全)(已通过认证) ISO/IEC 27001 Foundation(已通过认证) 01 文章背景 在
继续阅读【成功复现】CrushFTP身份认证绕过漏洞(CVE-2025-2825)
【成功复现】CrushFTP身份认证绕过漏洞(CVE-2025-2825) sec0nd安全 2025-04-27 14:05 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍CrushFTP 是由 CrushFTP LLC 开发的文件传输服务器软件,它的主要用途是提供安全、可靠的文件传输服务。它允许用户通过
继续阅读【安全圈】CVE-2025-3248:Langflow 开源平台严重远程代码执行漏洞威胁 AI 工作流安全
【安全圈】CVE-2025-3248:Langflow 开源平台严重远程代码执行漏洞威胁 AI 工作流安全 安全圈 2025-04-27 11:01 关键词 安全漏洞 网络安全研究人员在 Langflow 中发现了一个严重的远程代码执行(RCE)漏洞。Langflow 是一个被广泛用于以可视化方式构建由人工智能驱动的智能体和工作流程的开源平台。 这个高严重性漏洞被编号为 CVE-2025-3248
继续阅读盛邦安全获评“国家信息安全漏洞库(CNNVD)一级技术支撑单位”
盛邦安全获评“国家信息安全漏洞库(CNNVD)一级技术支撑单位” 盛邦安全WebRAY 2025-04-27 10:47 近日,盛邦安全荣膺“国家信息安全漏洞库CNNVD一级技术支撑单位”称号,这一殊荣充分肯定了公司在漏洞研究、0day输出、应急响应以及在野漏洞跟踪分析等方面的卓越能力。 作为始终站在攻防对抗前沿的网安企业,盛邦安全凭借自主研发的漏洞挖掘引擎,结合多年来在漏洞深度分析、自动化风险评
继续阅读每周网安资讯 (4.22-4.27)|Johnson Controls ICU漏洞预警
每周网安资讯 (4.22-4.27)|Johnson Controls ICU漏洞预警 交大捷普 2025-04-27 10:15 2025[ 每周网安资讯 ]4.22-4.27 网安资讯 1、全国数标委公开征求《可信数据空间 技术架构(征求意见稿)》技术文件意见 为贯彻落实《国家数据基础设施建设指引》《可信数据空间发展行动计划(2024—2028年)》等政策文件要求,充分考虑可信数据空间作为数据
继续阅读SAP修复已遭利用的0day漏洞
SAP修复已遭利用的0day漏洞 Bill Toulas 代码卫士 2025-04-27 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SAP 公司紧急修复位于 NetWeaver 中的一个远程代码执行 (RCE) 0day 漏洞,它可用于劫持服务器。 该漏洞的编号是CVE-2025-31324,CVSS评分10分,是一个位于SAP NetWeaver Visual Compo
继续阅读Craft CMS RCE利用链用于窃取数据
Craft CMS RCE利用链用于窃取数据 Lawrence Abrams 代码卫士 2025-04-27 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Orange Cyberdefense 公司提到,Craft CMS 中存在两个漏洞,可用于攻陷服务器和窃取数据。 这两个漏洞是由 Orange Cyberdefense 公司的部门CSIRT在调查一台受陷服务器时发现的。这
继续阅读【已复现】Craft CMS generate-transform 反序列化代码执行漏洞(CVE-2025-32432)
【已复现】Craft CMS generate-transform 反序列化代码执行漏洞(CVE-2025-32432) 原创 安全探索者 安全探索者 2025-04-27 10:07 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Craft CMS 是一个灵活、用户友好的内容管理系统,用于创建自定义的数字网络体验和其他体验。 搜索语法: app=”craft-cms&#
继续阅读CVSS10分!Erlang/OTP SSH远程代码执行漏洞安全风险通告
CVSS10分!Erlang/OTP SSH远程代码执行漏洞安全风险通告 应急响应中心 亚信安全 2025-04-27 10:07 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Erlang/OTP存在一个远程代码执行漏洞,编号为 CVE-2025-32433。攻击者可以通过构造特定 SSH 协议消息,在未进行身份验证的情况下在受影响的系统上执行任意代码。这一漏洞使得攻击者能够获取系统
继续阅读同步漏洞行动:朝鲜Lazarus APT组织针对韩国供应链发起攻击
同步漏洞行动:朝鲜Lazarus APT组织针对韩国供应链发起攻击 FreeBuf 2025-04-27 10:06 与朝鲜有关的Lazarus组织在一项名为”同步漏洞行动”(Operation SyncHole)的网络间谍活动中,针对至少六家韩国企业发起攻击。 卡巴斯基研究人员报告称,这个朝鲜背景的APT(高级持续性威胁)组织自2024年11月以来持续活跃,采用水坑攻击手
继续阅读【工具分享】SMS_Bomb_Fuzzer漏洞挖掘之短信轰炸辅助绕过插件
【工具分享】SMS_Bomb_Fuzzer漏洞挖掘之短信轰炸辅助绕过插件 秀龙叔 黑客之道HackerWay 2025-04-27 09:58 简介: SMS_Bomb_Fuzzer是一个为Burpsuite设计的插件,主要用于辅助进行短信轰炸测试。它集成了多种绕过策略和数据变形方法,旨在帮助安全研究人员评估系统在面对恶意构造的请求时的安全性。该插件默认情况下是使用JDK 1.8版本进行编译的,这
继续阅读SAP NetWeaver中存在严重漏洞,面临主动利用威胁
SAP NetWeaver中存在严重漏洞,面临主动利用威胁 原创 David Jones 信息安全D1net 2025-04-27 09:44 点击上方“蓝色字体 ”,选择 “设为星标 ” 关键讯息,D1时间送达! 已观察到攻击者正在投放webshell后门程序,研究人员警告称,该应用程序在政府机构中颇受欢迎。 安全研究人员警告称,黑客正在积极利用SAP NetWeaver Visual Comp
继续阅读【免费领】超400页!Android系统漏洞实战权威指南
【免费领】超400页!Android系统漏洞实战权威指南 蚁景网络安全 2025-04-27 09:35 点击蓝字/关注我们 今日福利 世界顶尖级黑客倾力编著 最全面的一本Android系统安全手册 利用工具结合实例详解安卓系统漏洞实战 限时福利,请及时领取哦 ~ 该资料内容较多,无法列出全部目录,以下为节选的部分目录: 扫描下方二维码 ,回复 “0427” , 即可免费领取 ~ (限7日内领取)
继续阅读猎洞时刻漏洞挖掘SRC培训第三期塞满干货来袭!
猎洞时刻漏洞挖掘SRC培训第三期塞满干货来袭! 原创 猎洞时刻 猎洞时刻 2025-04-27 09:27 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑灰产
继续阅读工信部:关于防范WinRAR安全绕过漏洞的风险提示
工信部:关于防范WinRAR安全绕过漏洞的风险提示 安全内参 2025-04-27 09:06 关注我们 带你读懂网络安全 攻击者可构造恶意链接诱导用户点击,导致恶意代码执行等危害。 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,WinRAR存在安全绕过高危漏洞。 WinRAR是德国RARLAB公司开发的压缩文件管理工具,广泛用于数据压缩、备份和文件传输。由于WinRAR
继续阅读预警丨防范WinRAR安全绕过漏洞
预警丨防范WinRAR安全绕过漏洞 网络安全和信息化 2025-04-27 09:03 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现, WinRAR 存在安全绕过高危漏洞。 WinRAR 是德国 RARLAB 公司开发的压缩文件管理工具,广泛用于数据压缩、备份和文件传输。由于 WinRAR 在解析包含符号链接的文件时会绕过 Windows 内置的“网页标记”( MoT
继续阅读容器镜像安全:安全漏洞扫描神器Trivy
容器镜像安全:安全漏洞扫描神器Trivy 马哥网络安全 2025-04-27 09:00 目录 – 一.系统环境 二.前言 三.Trivy简介 四.Trivy漏洞扫描原理 五.利用trivy检测容器镜像的安全性 六.总结 一.系统环境 本文主要基于Docker version 20.10.14和Linux操作系统Ubuntu 18.04。 服务器版本 docker软件版本 CPU架构
继续阅读【二次更新已复现】SAP NetWeaver MetadataUploader 文件上传漏洞(CVE-2025-31324)
【二次更新已复现】SAP NetWeaver MetadataUploader 文件上传漏洞(CVE-2025-31324) 原创 安全探索者 安全探索者 2025-04-27 07:57 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 SAP NetWeaver是SAP的集成技术平台,是自从SAP Business Suite以来的所有SAP应用的技术基础。SAP NetWeaver
继续阅读【文章转载】DragonForce与Anubis再掀风暴:勒索软件“加盟制”全面升级,你的数据还安全吗?
【文章转载】DragonForce与Anubis再掀风暴:勒索软件“加盟制”全面升级,你的数据还安全吗? solarsec solar应急响应团队 2025-04-27 07:41 点击蓝字 关注我们 尽管国际执法部门成功打击了多个知名勒索软件组织,但网络犯罪分子依然展现出极强的韧性和适应能力。2025年,Secureworks® 威胁对抗中心(Counter Threat Unit™,简称CTU
继续阅读一个漏洞仓库免费送~
一个漏洞仓库免费送~ 菜狗 富贵安全 2025-04-27 06:29 后台回复 POC即可获得地址 – CMS漏洞 74cms v4.2.1 v4.2.129 后台getshell漏洞 74cms v5.0.1 后台跨站请求伪造漏洞 CVE-2019-11374 Anchor CMS 0.12.7 跨站请求伪造 CVE-2020-23342 AspCMS commentList.as
继续阅读分享常见的逻辑漏洞挖掘方法(第二部分)
分享常见的逻辑漏洞挖掘方法(第二部分) sec0nd安全 2025-04-27 05:58 001 引言 上次我们给大家介绍了常见的逻辑漏洞越权和任意用户注册,如果你还没看,记得看哦,文章在这里。 分享常见的逻辑漏洞挖掘方法(第一部分) 这次我们继续给大家介绍几个逻辑漏洞:任意密码重置和支付漏洞,这两个漏洞的危害也是不容小觑,具体怎么挖掘呢,我们一探究竟。 002 逻辑漏洞介绍 上一篇已经介绍
继续阅读whisper多商户客服系统存在前台SQL注入漏洞
whisper多商户客服系统存在前台SQL注入漏洞 原创 XingYue404 星悦安全 2025-04-27 05:48 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 某兄弟向我求助一站,领导要求拿到后台权限,打开一看发现是 二开的 whisper 多商户客服系统,搜索网络已知漏洞 发现有XSS+任意文件读取,但目标站点貌似修复了. 于是去网上找到源码 开始审计 框架:ThinkPH
继续阅读BleedingTooth:Linux 蓝牙零点击远程代码执行
BleedingTooth:Linux 蓝牙零点击远程代码执行 Ots安全 2025-04-27 05:36 介绍 我注意到 syzkaller 已经对网络子系统进行了广泛的模糊测试,但对蓝牙等子系统的覆盖程度较低。总体而言,对蓝牙主机攻击面的研究似乎相当有限——蓝牙中大多数公开的漏洞仅影响固件 或 规范 本身 ,并且仅允许攻击者窃听和/或操纵信息。 但是,如果攻击者可以完全控制设备会怎么样呢?最
继续阅读智能汽车漏洞挖掘案例分享
智能汽车漏洞挖掘案例分享 锐鉴安全 2025-04-27 05:21 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标, 不定期有宠粉福利 前言 随着人工智能、5G通信与车联网技术的深度融合,智能网联汽车正从理论验证阶段快速迈进规模化商用时代。截至目前,我国L3-L4
继续阅读注意!朝鲜Kimsuky组织利用BlueKeep漏洞,疯狂攻击日韩
注意!朝鲜Kimsuky组织利用BlueKeep漏洞,疯狂攻击日韩 原创 紫队 紫队安全研究 2025-04-27 03:59 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 在网络安全的战场上,威胁总是
继续阅读【高危漏洞预警】Craft CMS generate-transform反序列化代码执行漏洞(CVE-2025-32432)
【高危漏洞预警】Craft CMS generate-transform反序列化代码执行漏洞(CVE-2025-32432) cexlife 飓风网络安全 2025-04-27 03:57 漏洞描述: Craft CMS是一个灵活、用户友好的内容管理系统,用于创建自定义的数字网络体验和其他体验,攻击者可构造恶意请求利用generate-transform端点触发反序列化,执行任意代码控制服务器,未
继续阅读【漏洞预警】Grafana权限管理不当漏洞
【漏洞预警】Grafana权限管理不当漏洞 cexlife 飓风网络安全 2025-04-27 03:57 漏洞描述: Grafana官方发布安全公告,修复了Grafana中的多个安全漏洞,其中包括一个权限管理不当漏洞,该漏洞于Grafana 11.6.x引入,查看者无论被分配何种访问权限,都能访问所有仪表板,编辑者则可以查看、编辑和删除同一组织内的任何仪表板,使用匿名身份验证的实例特别容易受到攻
继续阅读黑客利用MS-SQL服务器漏洞部署Ammyy Admin以获取远程访问权限
黑客利用MS-SQL服务器漏洞部署Ammyy Admin以获取远程访问权限 邑安科技 邑安全 2025-04-27 03:29 更多全球网络安全资讯尽在邑安全 已发现一个针对易受攻击的 Microsoft SQL Server 的复杂网络攻击活动,旨在部署远程访问工具和权限提升恶意软件。 安全研究人员已经发现,威胁行为者专门利用安全性不佳的 MS-SQL 实例来安装 Ammyy Admin,这是一
继续阅读