【海外SRC实战】一个支付逻辑漏洞,怒赚 $9000 赏金
【海外SRC实战】一个支付逻辑漏洞,怒赚 $9000 赏金 原创 Milad Safdari Z2O安全攻防 2025-05-13 13:33 前言 去年,我读了一些关于企业急于采用最新技术时发生的不安全实施的文章。众所周知,正确实施安全性总是昂贵且耗时的。这里的要点是,大多数开发人员在集成新技术时并没有完全阅读整个文档。有时,一个段落甚至一个句子都会使整个系统变得脆弱。 通过关注这些被忽视的细节
继续阅读月度归档: 2025 年 5 月
【成功复现】Elestio Memos服务器端请求伪造漏洞(CVE-2025-22952)【SSRF】
【成功复现】Elestio Memos服务器端请求伪造漏洞(CVE-2025-22952)【SSRF】 弥天安全实验室 弥天安全实验室 2025-05-13 12:13 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Memos是Memos开源的一个具有知识管理和社交功能的开源自托管备忘录中心。Memos 0
继续阅读VMware Tools 存在允许攻击者篡改文件以触发恶意作漏洞
VMware Tools 存在允许攻击者篡改文件以触发恶意作漏洞 网安百色 2025-05-13 11:36 VMware Tools 中存在一个中等严重性漏洞,该漏洞可能允许具有有限权限的攻击者在虚拟机中纵文件并触发不安全的作。 该漏洞被跟踪为 CVE-2025-22247,影响 VMware Tools 11.x.x 和 12.x.x 的 Windows 和 Linux 版本,其中 macOS
继续阅读【1day】⼤华智慧园区综合管理平台⽂件上传(CNVD2024-35311)
【1day】⼤华智慧园区综合管理平台⽂件上传(CNVD2024-35311) 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-05-13 11:34 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 系统介绍 大华智慧园区综
继续阅读【安全圈】华硕DriverHub漏洞致高危攻击:恶意网站可获取管理员权限
【安全圈】华硕DriverHub漏洞致高危攻击:恶意网站可获取管理员权限 安全圈 2025-05-13 11:01 关键词 安全漏洞 漏洞概述 华硕官方驱动管理工具DriverHub 被曝存在远程代码执行漏洞(CVE-2025-3462/CVE-2025-3463) ,允许恶意网站通过诱导用户访问特定页面,直接以系统管理员权限 在目标设备上执行任意命令。 该漏洞由新西兰安全研究员Paul(网名“M
继续阅读苹果修复iOS、macOS 平台上的多个严重漏洞
苹果修复iOS、macOS 平台上的多个严重漏洞 Ryan Naraine 代码卫士 2025-05-13 10:23 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周一,苹果修复了 macOS、iPhone 和 iPad 软件栈中的多个漏洞,提醒称只需打开一个特殊构造的图片、视频或网站,就能触发这些代码执行漏洞。 iOS 18.5更新与 iPadOS 补丁一起推出,涵盖 AppleJP
继续阅读华硕修复严重的DriverHub 漏洞
华硕修复严重的DriverHub 漏洞 Ravie Lakshmanan 代码卫士 2025-05-13 10:23 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 华硕发布更新,修复了影响DriverHub 的两个漏洞。这两个漏洞如遭成功利用,可导致攻击者利用 DriverHub 实现远程代码执行。 DriverHub 工具旨在自动检测计算机的主板型号,通过与托管在 “driverhub.
继续阅读华硕DriverHub漏洞允许恶意网站以管理员权限执行命令
华硕DriverHub漏洞允许恶意网站以管理员权限执行命令 FreeBuf 2025-05-13 10:16 华硕DriverHub驱动程序管理工具存在一个严重的远程代码执行漏洞,可使恶意网站在安装该软件的设备上执行任意命令。 Part01 漏洞发现与技术细节 该漏洞由新西兰独立网络安全研究员Paul(化名”MrBruh”)发现。研究发现该软件对发送至DriverHub后台
继续阅读macOS远程视图服务沙箱逃逸漏洞PoC公开,攻击者可突破系统限制
macOS远程视图服务沙箱逃逸漏洞PoC公开,攻击者可突破系统限制 FreeBuf 2025-05-13 10:16 苹果公司近日针对macOS系统中新披露的CVE-2025-31258漏洞发布补丁,该漏洞可能允许恶意应用程序突破沙箱限制,获取未授权的系统资源访问权限。在安全研究员Seo Hyun-gyu公开概念验证(PoC)利用代码后,该漏洞已在macOS Sequoia 15.5版本中得到修复
继续阅读GNU Screen 多漏洞曝光,本地提权与终端劫持风险浮现
GNU Screen 多漏洞曝光,本地提权与终端劫持风险浮现 FreeBuf 2025-05-13 10:16 SUSE安全团队全面审计发现,广泛使用的终端复用工具GNU Screen存在一系列严重漏洞,包括可导致本地提权至root权限的缺陷。这些问题同时影响最新的Screen 5.0.0版本和更普遍部署的Screen 4.9.x版本,具体影响范围取决于发行版配置。 尽管GNU Screen是类U
继续阅读【漏洞通告】F5 BIG-IP Appliance 模式命令执行漏洞(CVE-2025-31644)
【漏洞通告】F5 BIG-IP Appliance 模式命令执行漏洞(CVE-2025-31644) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-05-13 10:15 漏洞名称: F5 BIG-IP Appliance 模式命令执行漏洞(CVE-2025-31644) 组件名称: F5 BIG-IP 影响范围: 17.1.0 ≤ F5 BIG-IP < 17.1.2.2 16.1.
继续阅读【勒索防护】Mallox新变种再度来袭,正利用产品漏洞对国内企业实施攻击
【勒索防护】Mallox新变种再度来袭,正利用产品漏洞对国内企业实施攻击 深盾终端实验室 深信服千里目安全技术中心 2025-05-13 10:15 恶意文件名称: Mallox 威胁类型: 勒索病毒 简单描述: Mallox勒索病毒首次出现于2021年10月,采用RaaS(勒索软件即服务)模式运营,将企业作为其攻击目标,利用产品漏洞阶段性实施大范围攻击。此次新变种于2024年10月底开始出现,其
继续阅读车机Android系统安全漏洞深入浅出
车机Android系统安全漏洞深入浅出 StaticCodeAnalysis 2025-05-13 10:09
继续阅读客户端漏洞在红蓝对抗中的挖掘与利用
客户端漏洞在红蓝对抗中的挖掘与利用 原创 白鵺实验室 京东安全应急响应中心 2025-05-13 10:08 客户端风险 背景概述 客户端软件是指在用户的设备上运行的程序,通常用于访问和与服务器进行交互。它们可以提供各种功能,包括数据处理、用户界面和网络连接。常见的客户端软件有办公软件(Office、WPS等),浏览器(Google Chrome, Safari等),邮箱(Microsoft Ou
继续阅读PoC 发布:CVE-2025-31644 漏洞利用通过设备模式命令注入授予 F5 BIG-IP 的 Root 访问权限
PoC 发布:CVE-2025-31644 漏洞利用通过设备模式命令注入授予 F5 BIG-IP 的 Root 访问权限 Ots安全 2025-05-13 09:41 F5 的 BIG-IP 系统在 Appliance 模式下运行,发现了一个高危漏洞,编号为 CVE-2025-31644。该漏洞可能允许经过身份验证的管理用户执行任意 bash 命令并获得 root 级访问权限。该漏洞由德勤的 Ma
继续阅读Apache Calcite Avatica 远程代码执行
Apache Calcite Avatica 远程代码执行 蚁景网安 2025-05-13 08:31 前段时间看到Apache Calcite Avatica远程代码执行漏洞 CVE-2022-36364 在网上搜索也没有找到相关的分析和复现文章,于是想着自己研究一下,看能不能发现可以利用的方法。 首先利用一下最近比较热门的 Deepseek ,询问他是否清楚漏洞相关的信息。 通过回答我们可以了
继续阅读Google因生物识别数据侵权支付创纪录13.75亿美元和解金;华硕驱动管理工具安全漏洞允许恶意网站悄然执行管理员级命令 |牛览
Google因生物识别数据侵权支付创纪录13.75亿美元和解金;华硕驱动管理工具安全漏洞允许恶意网站悄然执行管理员级命令 |牛览 安全牛 2025-05-13 08:30 新闻速览 •Google因生物识别数据侵权支付创纪录13.75亿美元和解金 •涉嫌暗中收集儿童用户数据,Roblox面临侵犯隐私集体诉讼 •网络攻击手法升级:FakeUpdates领跑4月全球恶意软件榜单 •美国驱逐航空公司Gl
继续阅读ASUS DriverHub安全更新修复RCE漏洞,提防隐秘网络攻击
ASUS DriverHub安全更新修复RCE漏洞,提防隐秘网络攻击 知机安全 知机安全 2025-05-13 07:13 1. ASUS发布DriverHub安全更新修复RCE漏洞 ASUS已经针对影响其DriverHub的两个安全漏洞发布了更新,这些漏洞可能导致远程代码执行(RCE)。DriverHub是一个自动检测计算机主板型号并从特定网站(driverhub.asus.com)获取必要驱动
继续阅读【漏洞复现】F5 BIG-IP IControl REST和TMSH 命令执行漏洞(CVE-2025-31644)
【漏洞复现】F5 BIG-IP IControl REST和TMSH 命令执行漏洞(CVE-2025-31644) 原创 安全探索者 安全探索者 2025-05-13 06:29 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。 app=”f5-BIGIP”
继续阅读高危漏洞预警:Apache Tomcat远程代码执行漏洞曝光!
高危漏洞预警:Apache Tomcat远程代码执行漏洞曝光! 原创 mag1c7 山石网科安全技术研究院 2025-05-13 05:45 Apache Tomcat曝出严重远程代码执行漏洞,攻击者可轻易控制服务器,你的系统安全吗? 在数字化时代,服务器的安全性是保障企业运营和用户数据安全的关键防线。然而,最近山石网科应急响应中心监测到一个严重的安全漏洞,Apache Tomcat的反序列化漏洞
继续阅读黑客利用 Output Messenger 0 Day 漏洞部署恶意负载
黑客利用 Output Messenger 0 Day 漏洞部署恶意负载 邑安科技 邑安全 2025-05-13 05:24 更多全球网络安全资讯尽在邑安全 Microsoft 威胁情报已确定针对伊拉克库尔德军事实体的复杂网络间谍活动。自 2024 年 4 月以来,被称为 Marbled Dust 的威胁行为者一直在利用 Output Messenger 中的零日漏洞来收集敏感的用户数据并在受害者
继续阅读VMware Tools 漏洞允许攻击者篡改文件以触发恶意作
VMware Tools 漏洞允许攻击者篡改文件以触发恶意作 邑安科技 邑安全 2025-05-13 05:24 更多全球网络安全资讯尽在邑安全 VMware Tools 中存在一个中等严重性漏洞,该漏洞可能允许具有有限权限的攻击者在虚拟机中纵文件并触发不安全的作。 该漏洞被跟踪为 CVE-2025-22247,影响 VMware Tools 11.x.x 和 12.x.x 的 Windows 和
继续阅读【高危漏洞预警】SAP NetWeaver Visual Composer反序列化漏洞CVE-2025-42999
【高危漏洞预警】SAP NetWeaver Visual Composer反序列化漏洞CVE-2025-42999 cexlife 飓风网络安全 2025-05-13 03:45 漏洞描述: 当特权用户可以上传不受信任或恶意的内容时,SAP NetWeaver Visual Composer Metadata Uploader容易受到攻击,这些内容在反序列化时可能会导致主机系统的机密性、完整性和可
继续阅读智邦国际ERP GetPrintTemplate.ashx SQL注入漏洞
智邦国际ERP GetPrintTemplate.ashx SQL注入漏洞 Superhero Nday Poc 2025-05-13 02:53 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 智邦国际ER
继续阅读内存镜像分析实战:破解攻击者入侵路径,全程可复现!
内存镜像分析实战:破解攻击者入侵路径,全程可复现! 原创 夜风Sec 夜风Sec 2025-05-13 02:44 关注公众号夜风Sec ,持续分享各种工具和学习记录,共同进步:) 在公众号回复solar获取相关附件 题目信息 题目资源 题目来源:第一届Solar应急响应比赛 题目文件:SERVER-2008-20241220-162057 背景 & 题目 请找到rdp连接的跳板地址 &#
继续阅读中标价85万防火墙,网购仅300元?;|苹果自研 5G 基带首个漏洞被修复:可拦截流量,中国安全专家发现;
中标价85万防火墙,网购仅300元?;|苹果自研 5G 基带首个漏洞被修复:可拦截流量,中国安全专家发现; 黑白之道 2025-05-13 02:06 重要!!!HW中高级急聘,薪资从优,急速面试,项目优先, 加V:Hacker-ED 详情请点击: 重要!2025HW招募! 中标价85万防火墙,网购仅300元?; 75万元采购防火墙实为299元路由器!重庆三峡学院:出现违法、违规行为,项目终止采购
继续阅读ECShop存在逻辑缺陷漏洞(CNVD-2025-08499)
ECShop存在逻辑缺陷漏洞(CNVD-2025-08499) 原创 护卫神 护卫神说安全 2025-05-13 02:03 ECShop是一款基于PHP+MySQL开发的开源B2C独立网店系统,专为中小企业及个人卖家设计。它功能全面,涵盖商品管理、订单处理、会员系统、支付集成、物流跟踪等核心电商模块,支持多语言、多货币及灵活的模板定制,满足个性化需求。系统采用模块化设计,便于二次开发与功能扩展,
继续阅读漏洞预警 上海上X信息技术股份有限公司 堡垒机 RepeatSend 命令执行漏洞
漏洞预警 上海上X信息技术股份有限公司 堡垒机 RepeatSend 命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-05-13 01:58 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间
继续阅读【文末抽奖】Springscan+:Spring未授权访问漏洞检测Chrome插件 by Lumns
【文末抽奖】Springscan+:Spring未授权访问漏洞检测Chrome插件 by Lumns 原创 EDI EDI安全 2025-05-13 01:30 EDI JOIN US ▶▶▶ 招新 EDI安全的CTF战队经常参与各大CTF比赛,了解CTF赛事。 欢迎各位师傅加入EDI,大家一起打CTF,一起进步。( 诚招web re crypto pwn misc方向的师傅)有意向的师傅请联系
继续阅读研究人员发现华硕预装软件DriverHub存在”一键式”远程代码执行漏洞
研究人员发现华硕预装软件DriverHub存在”一键式”远程代码执行漏洞 鹏鹏同学 黑猫安全 2025-05-13 01:19 安全研究人员”MrBruh”在华硕主板预装的驱动程序DriverHub中发现两个漏洞(编号CVE-2025-3462,CVSS评分8.4;CVE-2025-3463,CVSS评分9.4)。远程攻击者可利用这些漏洞实现任意代码
继续阅读