【水文】聚合漏洞情报平台(新增推送服务)
【水文】聚合漏洞情报平台(新增推送服务) 原创 Pings菜鸡 法克安全 2025-05-14 08:57 每日最新CVE漏洞情报平台: http://vul.hackersafe.cn:8025 如果不方便web访问,可以在扫描下方二维码添加钉钉推送群。 群内自带github监控,安全社区文章推送,每日CVE漏洞推送
继续阅读月度归档: 2025 年 5 月
美国 CVE 计划深陷混乱,欧盟火速上线新型漏洞数据库
美国 CVE 计划深陷混乱,欧盟火速上线新型漏洞数据库 原创 HackerNews 安全威胁纵横 2025-05-14 08:46 欧盟正式启动欧洲漏洞数据库(EUVD),整合多源漏洞数据并关联CVE标识,提供三大风险看板及补丁指南,旨在构建自主漏洞管理体系,以应对美国CVE体系资金不稳的行业挑战。 GitHub Action 中广泛使用的 tj-actions/changed-files 被攻破
继续阅读3个月测一站!漏洞挖掘纯享版
3个月测一站!漏洞挖掘纯享版 蚁景网安 2025-05-14 08:30 好久前偶遇一个站点,前前后后大概挖了三个月才基本测试完毕,出了好多漏洞,也有不少高危,现在对部分高危漏洞进行总结分析。 nday进后台: 开局一个登录框: 通过熊猫头插件提取接口,并结合js分析,跑遍了提取到的路径也没有结果。尝试弱口令登录,但是由于连用户名提示都没有,也以失败告终。最后根据页面title关键字搜索找到该平台
继续阅读逆向专题分析 – Strcpy缓冲区溢出漏洞
逆向专题分析 – Strcpy缓冲区溢出漏洞 原创 chobits02 C4安全团队 2025-05-14 08:27 WELCOME 网络安全·诚邀合作 我们 C4安全团队是一支专业 、高效 、 富有经验 、 团结的信息安全服务团队,由一群经验丰富、技术精湛的安全专家组成,他们在网络安全领域都有各自发光发亮的地方和大量的实战经验。在红蓝攻防、日常渗透测试、CTF比赛中也获取很
继续阅读“欧洲版CVE”上线,EUVD释放漏洞治理新信号
“欧洲版CVE”上线,EUVD释放漏洞治理新信号 安全客 2025-05-14 08:23 Abstract 在CVE项目因资金危机陷入不确定之际,欧盟推出独立漏洞数据库EUVD ,旨在强化数字主权,提升网络安全生态韧性。 01 EUVD上线:NIS2指令落地的重要一环 为落实《网络与信息安全指令2》(NIS2),欧洲网络与信息安全局(ENISA)正式推出“欧洲漏洞数据库(EUVD)” ,作为欧盟
继续阅读信息安全漏洞周报(2025年第19期)
信息安全漏洞周报(2025年第19期) 原创 CNNVD CNNVD安全动态 2025-05-14 08:02 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年5月5日至2025年5月11日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞921个。 接报漏洞情况 本周CNNVD接报漏洞6920个,其中信息技术产品漏洞(通用型漏洞)226个,网络
继续阅读2025年度(第一期)CNNVD漏洞奖励评选结果公告
2025年度(第一期)CNNVD漏洞奖励评选结果公告 CNNVD CNNVD安全动态 2025-05-14 08:02 点击蓝字 关注我们 近期,CNNVD开展了2025年度(第一期)接报漏洞奖励评选工作,其中22个漏洞在我国网络安全漏洞预警及风险消控工作中发挥了积极作用,获奖名单如下。 特此公告 国家信息安全漏洞库(CNNVD) 2025年5月14日
继续阅读swagger-api未授权访问漏洞及防治方法
swagger-api未授权访问漏洞及防治方法 原创 EBCloud EBCloud 2025-05-14 08:00 Swagger是一款开源软件框架,专门用于设计、构建、文档化以及使用RESTful风格的Web服务。它通过提供交互式文档页面,极大地便利了开发者查看和测试API接口。然而,Swagger的这种便捷性也可能带来安全隐患,未经授权的访问可能会导致安全漏洞。本文将详细介绍如何解决Swa
继续阅读Ivanti Endpoint Manager Mobile 多个漏洞安全风险通告
Ivanti Endpoint Manager Mobile 多个漏洞安全风险通告 奇安信 CERT 2025-05-14 07:45 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Endpoint Manager Mobile 多个漏洞 漏洞编号 CVE-2025-4427、CVE-2025-4428 公开时间 2025-05-13 影响量级 万级 奇安信评级
继续阅读2025年5月微软补丁日多个高危漏洞安全风险通告
2025年5月微软补丁日多个高危漏洞安全风险通告 嘉诚安全 2025-05-14 07:39 漏洞背景 近日,嘉诚安全监测到Microsoft官方发布了5月安全更新,本次更新修复了78个漏洞,涵盖权限提升、远程代码执行、安全功能绕过等多种漏洞类型。 鉴于漏洞危害较大,嘉诚安全提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。 漏洞详情 经研判以下漏洞影响较大 1、CV
继续阅读【漏洞通告】微软5月多个安全漏洞
【漏洞通告】微软5月多个安全漏洞 启明星辰安全简讯 2025-05-14 06:48 一、漏洞概述 2025年 5 月 14 日,启明星辰集团VSRC监测到微软发布了 5 月安全更新,本次更新修复了 78 个漏洞,涵盖权限提升、远程代码执行、安全功能绕过等多种漏洞类型。漏洞级别分布如下: 11 个严重级别漏洞, 66 个重要级别漏洞, 1 个 低危 级别漏洞( 漏洞 级别依据微软官方数据)。 其中
继续阅读漏洞挖掘—利用查询功能获取敏感信息
漏洞挖掘—利用查询功能获取敏感信息 原创 haosha 网安日记本 2025-05-14 06:01 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 前言 上次更新之后说要做到周更, 原本这次是想更新一次通杀思路的,但确实漏洞都还没有审核完成
继续阅读趁乱上位,欧洲漏洞数据库上线
趁乱上位,欧洲漏洞数据库上线 GoUpSec 2025-05-14 03:53 在美国的NVD漏洞数据库因预算削减和漏洞披露机制混乱而备受质疑之际,欧洲趁势推出了自己的“欧洲漏洞数据库”(EUVD)。这不仅填补了全球漏洞管理生态中日益扩大的空白,也释放出欧盟在网络安全主权上的强烈信号。 欧盟网络与信息安全局(ENISA)于本周二正式宣布EUVD全面上线运行,标志着欧洲在漏洞披露和风险缓解体系上进入
继续阅读小迪VPC1红队内网渗透靶场-PHPRCE-永恒之蓝-防火墙上线-密码喷射-DC域控提权-weblogic
小迪VPC1红队内网渗透靶场-PHPRCE-永恒之蓝-防火墙上线-密码喷射-DC域控提权-weblogic Pass_security 亿人安全 2025-05-14 03:37 原文链接:https://www.freebuf.com/articles/web/430751.html 引言 近期利用闲暇时间,我对小迪老师提供的靶场环境进行了全面的渗透测试实战演练。本次记录旨在详细还原整个渗透过程
继续阅读昂捷CRM cwsapprove.asmx SQL注入漏洞
昂捷CRM cwsapprove.asmx SQL注入漏洞 Superhero Nday Poc 2025-05-14 03:02 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 昂捷CRM cwsappro
继续阅读上周关注度较高的产品安全漏洞(20250428-20250511)
上周关注度较高的产品安全漏洞(20250428-20250511) 金瀚信安 2025-05-14 02:41 一、境外厂商产品漏洞 1、Esri ArcGIS Enterprise信息泄露漏洞 Esri ArcGIS Enterprise是美国环境系统研究所(Esri)公司的一套GIS(地理信息系统 )的基础软件。Esri ArcGIS Enterprise存在信息泄露漏洞,该漏洞源于程序对敏感
继续阅读微软5月补丁日多个产品安全漏洞风险通告:5个在野利用、11个紧急漏洞
微软5月补丁日多个产品安全漏洞风险通告:5个在野利用、11个紧急漏洞 奇安信 CERT 2025-05-14 01:10 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年5月补丁日多个产品安全漏洞 影响产品 Windows 通用日志文件系统驱动程序、Windows 脚本引擎、Microsoft SharePoint Server等。 公开时间 2025-05-14
继续阅读【0day漏洞复现】某华智慧园区综合管理平台文件上传漏洞(CNVD2024-35311)
【0day漏洞复现】某华智慧园区综合管理平台文件上传漏洞(CNVD2024-35311) 如棠安全 如棠安全 2025-05-14 00:10 ❝ 「此公众号所分享的网络安全知识、信息及工具仅供学习和研究使用,不得用于非法活动。此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供
继续阅读漏洞预警 | 致远OA代码注入漏洞
漏洞预警 | 致远OA代码注入漏洞 浅安 浅安安全 2025-05-14 00:00 0x00 漏洞编号 – # CVE-2025-4531 0x01 危险等级 – 高危 0x02 漏洞概述 致远OA是一款由用友成员企业致远软件开发的办公自动化软件,采用J2EE技术开发,功能完善,流程管理、文档管理等功能较为成熟,在产品化领域优势较为明显。 0x03 漏洞详情 CVE-20
继续阅读漏洞预警 | 灵当CRM任意文件读取漏洞
漏洞预警 | 灵当CRM任意文件读取漏洞 浅安 浅安安全 2025-05-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 灵当CRM是一款专为中小企业打造的智能客户关系管理工具。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取 敏感信息 简述: 灵当CRM的 /crm/modules/Accounts/Pla
继续阅读漏洞预警 | 上海华测监测预警系统SQL注入漏洞
漏洞预警 | 上海华测监测预警系统SQL注入漏洞 浅安 浅安安全 2025-05-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 上海华测监测预警系统是一套科学完善的地质灾害监测预警平台,实现了地质灾害防治管理的科学化、信息化、标准化和可视化。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 上
继续阅读100页PPT Web漏洞挖掘
100页PPT Web漏洞挖掘 计算机与网络安全 2025-05-13 23:57 扫码加入知识星球: 网络安全攻防(HVV) 下载本篇和全套资料 | –
继续阅读苹果发布安全更新以修复iOS和macOS中的多个漏洞
苹果发布安全更新以修复iOS和macOS中的多个漏洞 鹏鹏同学 黑猫安全 2025-05-13 23:00 苹果紧急发布iOS和macOS安全更新,修复可能让攻击者仅通过打开特制图片/视频/网站就能执行恶意代码的关键漏洞: • AppleJPEG漏洞(CVE-2025-31251)——处理恶意制作的媒体文件可能导致应用意外终止或进程内存损坏 • CoreMedia漏洞(CVE-2025-31233
继续阅读【1day】⼤华智慧园区综合管理平台⽂件上传(CNVD2024-34322)
【1day】⼤华智慧园区综合管理平台⽂件上传(CNVD2024-34322) 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-05-13 23:00 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 系统介绍 大华智慧园区综
继续阅读英特尔处理器“幽灵”漏洞防御机制再遭突破:分支预测竞争条件引发新型攻击
英特尔处理器“幽灵”漏洞防御机制再遭突破:分支预测竞争条件引发新型攻击 原创 网空闲话 网空闲话plus 2025-05-13 22:50 Theregister网站5月13日报道称,苏黎世联邦理工学院的研究团队在2025年5月披露了一项重大安全发现,揭示了英特尔处理器针对Spectre v2漏洞的硬件防御机制存在根本性缺陷。这项研究通过论文《Branch Privilege Injection:
继续阅读HotSwappableTargetSource+XString利用分析
HotSwappableTargetSource+XString利用分析 船山信安 2025-05-13 16:01 HotSwappableTargetSource+XString利用分析 前言:为什么 XString 需要配合 HotSwappableTargetSource 进行利用而不能直接单独使用由 equals 调用到 tostring 方法。 XString 构造 这里先尝试只用 X
继续阅读漏洞研究(7):XXL-JOB执行器未授权访问漏洞(RESTful API)
漏洞研究(7):XXL-JOB执行器未授权访问漏洞(RESTful API) 原创 罗锦海 OneMoreThink 2025-05-13 16:00 组件介绍 原理与危害 影响版本 利用方式 加固措施 开启身份认证 限制端口访问 升级至安全版本 1. 组件介绍 XXL-JOB是一个分布式任务调度 平台,分为调度中心和执行器两部分。 在调度中心添加执行器后,调度中心可以对执行器进行命令执行,属于集
继续阅读安卓逆向 — 分析某库登录逻辑以及协议复现
安卓逆向 — 分析某库登录逻辑以及协议复现 yyyyyyzh 逆向有你 2025-05-13 16:00 工具准备:Pixel XL // 该软件不支持模拟器 雷电APP(脱壳用,不会脱壳,哭) frIDA 本贴仅作技术交流,如有侵权请在联系我立即删帖 符合360加固的特征,用雷电脱个壳,扔jadx编译一下
继续阅读顺景ERP UploadInvtSpFile接口存在任意文件上传漏洞 附POC
顺景ERP UploadInvtSpFile接口存在任意文件上传漏洞 附POC 2025-5-13更新 南风漏洞复现文库 2025-05-13 15:18 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 顺景ERP简介 微信公众号搜索:
继续阅读CNVD-2024-22977 金和C6协同管理平台文件上传漏洞
CNVD-2024-22977 金和C6协同管理平台文件上传漏洞 原创 chobits02 C4安全团队 2025-05-13 13:48 WELCOME 网络安全·诚邀合作 我们 C4安全团队是一支专业 、高效 、 富有经验 、 团结的信息安全服务团队,由一群经验丰富、技术精湛的安全专家组成,他们在网络安全领域都有各自发光发亮的地方和大量的实战经验。在红蓝攻防、日常渗透测试、CTF比赛中
继续阅读