CVE-2025-30406 CentreStack ViewState 反序列化漏洞分析 原创 llp 源影安全团队 2025-05-15 11:10 漏洞信息 漏洞名称:CVE-2025-30406 CentreStack ViewState 反序列化漏洞 漏洞原理:CentreStack 存在硬编码的 machineKey, 导致 ViewState 反序列化漏洞。 影响产品:Gladine
继续阅读Windows远程桌面网关曝双高危漏洞,可触发拒绝服务及远程代码执行 FreeBuf 2025-05-15 10:04 微软安全响应中心(MSRC)已发布重要安全更新,修复Windows远程桌面网关(RD)服务中的一个高危漏洞(CVE-2025-26677)。该漏洞可能允许未经授权的攻击者触发拒绝服务(DoS)条件,潜在影响企业环境中的远程访问能力。 此外,微软还针对RD网关远程代码执行漏洞(CV
继续阅读Bitpixie漏洞攻击路径曝光,5分钟即可绕过BitLocker加密 FreeBuf 2025-05-15 10:04 安全研究人员近日展示了一种纯软件技术,可在无需物理工具(如螺丝刀、焊枪)或硬件破解的情况下,成功绕过微软BitLocker加密防护。 通过利用名为Bitpixie(CVE-2023-21563)的漏洞,红队成员与攻防安全专家能够从内存中提取BitLocker卷主密钥(VMK),
继续阅读附下载 | 小米科技杨一帆:智能汽车渗透实战:从漏洞挖掘到控车攻击 谈思实验室 2025-05-15 10:03 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 4月1-2日,由谈思实验室、谈思汽车主办,上海市车联网协会联合主办的9周年行业年会 | AutoSec 2025中国汽车网络安全及数据安全合规峰会在上海盛大开幕。 会议上有来自上汽集团、理想汽车、一汽奔腾、小鹏汽车、小米科技、中汽研汽
继续阅读【漏洞预警】Node.js 异步加密错误处理不当漏洞(CVE-2025-23166) 原创 聚焦网络安全情报 安全聚 2025-05-15 10:00 中 危 公 告 近日,安全聚实验室监测到 Node.js 存在异步加密错误处理不当漏洞 ,编号为:CVE-2025-23166,CVSS:5.3 攻击者可以通过构造特定的异常输入,导致 Node.js 进程崩溃。 01 漏洞描述 VULNERAB
继续阅读【漏洞预警】Google Chrome 访问控制不当漏洞(CVE-2025-4664) 原创 聚焦网络安全情报 安全聚 2025-05-15 10:00 中 危 公 告 近日,安全聚实验室监测到 Google Chrome 存在访问控制不当漏洞 ,编号为:CVE-2025-4664,CVSS:4.3 攻击者可构造恶意网站诱导用户访问,导致泄露跨域数据。 01 漏洞描述 VULNERABILITY
继续阅读Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃 中科天齐软件安全中心 2025-05-15 10:00 点击 蓝字 关注中科天齐 Node.js团队近日发布重要安全公告,针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。 异步加密操作可能导致进程崩溃(CVE-2025-23166) 最严重的是一个被评定为&
继续阅读原创先锋 后台管理 存在未授权访问漏洞 Superhero Nday Poc 2025-05-15 09:57 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 原创先锋 后台管理存在未授权访问漏洞,攻击者可利
继续阅读从XSS到”RCE”的PC端利用链构建 原创 X1ly?S 蚁景网络安全 2025-05-15 09:41 前言 先铺垫一下。笔者有一个习惯,懒得记各种命令和payload,手工渗透测试时,遇到比较长的payload的情况下,不想一个一个地去手敲命令,于是我之前就在github上想寻找一个类似于记事本的软件,但是最好和我的记录命令的需求适配,于是就找到了一位师傅写的开源项目
继续阅读如何从漏洞POC或者EXP代码中学习漏洞原理? 原创 道玄安全 道玄网安驿站 2025-05-15 09:34 “ 逆推也很重要。” PS:有内网web自动化需求可以私信 01 — 导语 从漏洞POC(Proof of Concept)或EXP(Exploit)代码中学习漏洞原理和发现方法,是一个需要系统性分析、逆向思维和实践结合的过程。以下是具体步骤和方法: 1. 掌握基础知识 漏洞类型 :了
继续阅读【漏洞预警】Node.Js 异常处理不当漏洞 cexlife 飓风网络安全 2025-05-15 09:06 漏洞预警: Nodejs官方发布新版本,新版本中修复了多个安全漏洞,其中包括一个异常处理不当漏洞可导致拒绝服务攻击,该漏洞是由于C++方法SignTraits::DeriveBits () 在后台线程执行时,可能会基于用户提供的输入错误调用ThrowException(),从而导致Node
继续阅读【漏洞预警】Google Chrome访问控制不当漏洞 cexlife 飓风网络安全 2025-05-15 09:06 漏洞描述: Google Chrome发布新版本,修复了4个安全漏洞其中包括一个访问控制不当漏洞,该漏洞的存在是由于Loader的策略实施不足,远程攻击者可以诱骗受害者访问一个特别设计的网站,最终导致受害者浏览器信息泄露或任意代码执行,该漏洞存在在野利用。Google官方已经在新
继续阅读2025攻防演练必修组件漏洞 骇极安全 骇极安全 2025-05-15 08:59 2025年度的各类攻防大赛即将开启,在如今的网络世界里,每一次攻防演练都是一场没有硝烟的战争!看似坚不可摧的系统防线,实则暗藏致命缺口。而在现实世界里,网络攻防演练已成为检验企业安全体系实战能力的关键。攻击者正通过漏洞组合利用、社会工程学及自动化工具,突破传统防御壁垒,构建多维度攻击链。尤其在开发中广泛使用的组件(
继续阅读创宇安全智脑 | 灵当 CRM Playforrecord.php 任意文件读取等107个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-05-15 08:57 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出
继续阅读微软2025年5月补丁日重点漏洞安全预警 原创 NEURON 山石网科安全技术研究院 2025-05-15 08:31 微软官方发布5月安全更新 请及时安装补丁修复 补丁概述 2025年5月13日,微软官方发布了5月安全更新,针对78个Microsoft CVE和5个non-Microsoft CVE进行修复。Microsoft CVE中,包含11个严重漏洞(Critical)、66个重要漏洞
继续阅读F5 BIG-IP rce漏洞 CVE-2025-31644 原创 棉花糖糖糖 棉花糖网安情报站 2025-05-15 08:22 F5 BIG-IP 系统漏洞 CVE-2025-31644 CVE-2025-31644 原理示意图 受影响版本 F5 BIG-IP v16.1.4.1 漏洞验证过程 漏洞详情 漏洞特征 编号 : CVE-2025-31644 类型 : 设备模式下的命令注入漏洞 风险
继续阅读【已复现】Google Chrome 跨源数据泄露漏洞(CVE-2025-4664)安全风险通告 奇安信 CERT 2025-05-15 08:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome 跨源数据泄露漏洞 漏洞编号 QVD-2025-19630,CVE-2025-4664 公开时间 2024-05-14 影响量级 千万级 奇安信评级 高危
继续阅读Fortinet FortiOS 身份认证绕过漏洞(CVE-2025-22252)安全风险通告 奇安信 CERT 2025-05-15 08:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Fortinet FortiOS 身份认证绕过漏洞 漏洞编号 QVD-2025-19674,CVE-2025-22252 公开时间 2025-05-13 影响量级 十万级 奇安信评级
继续阅读CNNVD关于Fortinet多款产品安全漏洞的通报 原创 CNNVD CNNVD安全动态 2025-05-15 08:18 点击蓝字 关注我们 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于Fortinet多款产品安全漏洞(CNNVD-202505-1780、CVE-2025-32756)情况的报送。未经身份验证的远程攻击者可以通过发送特制的HTTP请求触发漏洞,进而执行任意代码。Fo
继续阅读利用浏览器漏洞绕过 Windows Defender 应用程序控制 (WDAC) Ots安全 2025-05-15 07:30 Windows Defender 应用程序控制 (WDAC)是 一项Windows 安全功能,可帮助防止未经授权的代码(例如恶意软件或不受信任的可执行文件和脚本)在系统上运行。它是一种应用程序白名单机制,可强制执行仅允许明确受信任的可执行文件、脚本和驱动程序在系统上运行的
继续阅读CVE-2024-55030:NASA fPrime 队列溢出导致 DoS 漏洞 Ots安全 2025-05-15 07:30 网址 Remote Code Execution and Critical Vulnerabilities in NASA fprime v3.4.3 目标 – fPrime≤v3.4.3 解释 fPrime 是一个用于航天应用和嵌入式系统的轻量级开发和部署软
继续阅读【漏洞通告】Apache IoTDB UDF远程代码执行漏洞 (CVE-2024-24780) 启明星辰安全简讯 2025-05-15 07:22 一、漏洞概述 漏洞名称 Apache IoTDB UDF远程代码执行漏洞 CVE ID CVE-2024-24780 漏洞类型 RCE 发现时间 2025-05-15 漏洞评分 9.8 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交
继续阅读漏洞挖掘之 FOFA 语法技巧 原创 骨哥说事 骨哥说事 2025-05-15 06:16 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4267 **不想错过任何消息?设置星标↓ ↓ ↓ 假设以 examp
继续阅读漏洞赏金故事 | 挖穿全球最大航空与酒店积分平台 白帽子左一 白帽子左一 2025-05-15 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 引言 在2023年3月至2023年5月期间,我们在 points.com 中发现了多个安全漏洞。该平台是众多航空公司和酒店积分奖励计划的后台服务提供商。这些漏洞可能使攻击
继续阅读【在野利用】Fortinet 系列产品 未认证远程代码执行(CVE-2025-32756) 原创 安全探索者 安全探索者 2025-05-15 03:58 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 FortiVoice用于企业级统一通信平台,支持语音通话、会议、即时通讯等功能;FortiMail 用于企业邮件安全网关,提供反垃圾邮件、防病毒和邮件加密服务;FortiNDR用于网络
继续阅读OttoKit插件CVSS 9.8“幽灵连接”提权漏洞(CVE-2025-27007)遭闪电利用,深度技术剖析与防御指南 原创 Hankzheng 技术修道场 2025-05-15 03:30 一款拥有超过10万活跃安装量的知名WordPress自动化插件——OttoKit (前身为SureTriggers)——正面临一场严峻的安全风暴。该插件被曝出包括一个CVSS评分为9.8(严重级别)的权限提
继续阅读漏洞预警 Salia PLCC check_req.php 命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-05-15 03:10 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损
继续阅读用友U8 CRM最新SQL注入漏洞及解决方法(CNVD-2025-09018) 原创 护卫神 护卫神说安全 2025-05-15 02:28 用友U8 CRM是用友网络针对成长型企业推出的客户关系管理系统,聚焦客户全生命周期管理。其核心功能涵盖客户信息整合、销售机会跟进、市场活动管理及售后服务处理,支持从线索挖掘到订单成交的全流程自动化。系统内置销售漏斗分析工具,可实时监控商机推进阶段,科学预测销
继续阅读安全快报 | 国际APT威胁组织利用SAP NetWeaver严重安全漏洞入侵全球581个关键基础设施系统 天懋信息 2025-05-15 02:05 本周安全事件速览 05月08日-05月14日 01 国际APT威胁组织利用SAP NetWeaver严重安全漏洞入侵全球581个关键基础设施系统 简要介绍**** 近期, 一个影响 SAP NetWeaver的严重安全漏洞 被威胁活动集群利用 以
继续阅读腾讯云安全中心推出2025年4月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-05-15 02:00 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读