微软发现针对伊拉克库尔德民兵的间谍活动中存在0day漏洞利用
微软发现针对伊拉克库尔德民兵的间谍活动中存在0day漏洞利用 会杀毒的单反狗 军哥网络安全读报 2025-05-13 01:00 导读 微软研究人员周一表示,一个有土耳其背景的网络间谍组织似乎利用了一款通讯应用程序中的 0 day 漏洞来监视伊拉克库尔德人的军事行动。 据微软威胁情报显示,这些名为 Marbled Dust 的黑客自 2024 年 4 月以来一直在入侵 Output Messeng
继续阅读月度归档: 2025 年 5 月
华硕预装软件DriverHub中存在漏洞,可被利用来执行远程代码
华硕预装软件DriverHub中存在漏洞,可被利用来执行远程代码 会杀毒的单反狗 军哥网络安全读报 2025-05-13 01:00 导读 新西兰安全研究员“MrBruh”表示,华硕主板预装的驱动程序软件 DriverHub 中存在两个漏洞,可被远程利用执行任意代码。 这两个漏洞编号为CVE-2025-3462(CVSS 评分为 8.4)和CVE-2025-3463(CVSS 评分为 9.4),可
继续阅读【0day】Turkey Global全开源9语言交易所审计
【0day】Turkey Global全开源9语言交易所审计 阿乐你好 2025-05-13 01:00 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 项目编号-10004 漏洞评估:9.8 Turkey Global全开源9语言交易所源码/币币交易/合约交易/秒合约交易/C2C交易/新币认购/理财,后端是fastadmin框架,计划任务用的是宝塔的监控插件,手机端没有k线,pc端有
继续阅读漏洞预警 | 润申企业标准化管理系统SQL注入漏洞
漏洞预警 | 润申企业标准化管理系统SQL注入漏洞 浅安 浅安安全 2025-05-13 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 润申信息科技企业标准化管理系统通过给客户提供各种灵活的标准法规信息化管理解决方案,帮助他们实现了高效的标准法规管理,完成个性化标准法规库的信息化建设。 0x03 漏洞详情 漏洞类型: SQL
继续阅读漏洞预警 | Kibana原型污染漏洞
漏洞预警 | Kibana原型污染漏洞 浅安 浅安安全 2025-05-13 00:01 0x00 漏洞编号 – # CVE-2025-25014 0x01 危险等级 – 高危 0x02 漏洞概述 Kibana是开源的分析和可视化平台,与Elasticsearch协同工作。 0x03 漏洞详情 CVE-2025-25014 漏洞类型: 原型污染 影响: 执行任意代码 简述:
继续阅读紧急!华硕DriverHub曝高危漏洞,请立即更新!—远程攻击者可通过HTTP请求劫持你的主板驱动管理
紧急!华硕DriverHub曝高危漏洞,请立即更新!—远程攻击者可通过HTTP请求劫持你的主板驱动管理 原创 道玄安全 道玄网安驿站 2025-05-12 23:01 “ CVE-2025-3462” PS:有内网web自动化需求可以私信 01 — 一.漏洞速览:两大RCE漏洞威胁主板安全 近日,华硕官方发布紧急安全公告,其主板驱动管理工具 ASUS DriverHub 被曝存在两个严重远程代
继续阅读漏洞研究(6):XXL-JOB调度中心默认口令漏洞
漏洞研究(6):XXL-JOB调度中心默认口令漏洞 原创 罗锦海 OneMoreThink 2025-05-12 17:17 1. 组件介绍 XXL-JOB是一个分布式任务调度 平台,分为调度中心和执行器两部分。 在调度中心添加执行器后,调度中心可以对执行器进行命令执行,属于集权系统,可以帮助攻击者批量获取服务器权限。 同时,通过调度中心横向到执行器,往往可以帮助攻击者实现跨网横移,这在网络策略严
继续阅读小皮面板从未授权到RCE
小皮面板从未授权到RCE 原创 clockwise Clock安全 2025-05-12 12:37 影响版本:XPanel v1.3.3之前 存在鉴权绕过,可构造恶意请求直接访问后台管理接口,结合任意文件下载获取数据库文件,并提取ssh私钥,实现RCE。 fofa:icon_hash=”-1458616391″ 绕过安全入口及未授权进入后台 由于小皮面板有安全入口,访问登
继续阅读EKing-管理易 FileDownload 任意文件读取漏洞
EKing-管理易 FileDownload 任意文件读取漏洞 Superhero Nday Poc 2025-05-12 12:07 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 EKing-管理易 Fi
继续阅读PHP 静态分析漏洞挖掘:挑战、对策与研究进展综述
PHP 静态分析漏洞挖掘:挑战、对策与研究进展综述 网安探索员 网安探索员 2025-05-12 12:00 原文链接: https://forum.butian.net/share/4308 静态应用安全测试 SAST(Static Application Security Testing)是指基于静态分析技术,在无需实际运行程序的情况下分析代码的语义和行为,找出潜在的漏洞从而保障软件的安全。本
继续阅读万户OA DocumentHistory.jsp sql注入漏洞
万户OA DocumentHistory.jsp sql注入漏洞 Superhero Nday Poc 2025-05-12 11:19 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 万户 ezOFFICE
继续阅读【粽情挖洞,安全有礼】端午漏洞征集限时活动
【粽情挖洞,安全有礼】端午漏洞征集限时活动 顺丰安全应急响应中心 2025-05-12 11:16 端午 DUANWU 五月初五 农历 端 午 活 动 【粽情挖洞,安全有礼】 粽叶飘香五月五,浓情端午共安康 年年岁岁皆如愿,又是佳节好时光 恰逢粽叶飘香、龙舟竞渡的端午佳节准备来临,我们提前向所有白帽子们致以诚挚的节日问候! 为感谢大家一直以来对顺丰SRC的关注,我们特别推出「粽情挖洞,安全有礼」端
继续阅读【安全圈】黑客利用微软 SharePoint 版 Copilot AI 漏洞窃取密码及敏感数据
【安全圈】黑客利用微软 SharePoint 版 Copilot AI 漏洞窃取密码及敏感数据 安全圈 2025-05-12 11:02 关键词 人工智能 微软SharePoint版本的Copilot AI近期被发现存在严重安全漏洞,让攻击者能够非法获取企业存储的密码、API密钥等核心机密资料。随着AI助手在企业中的普及应用,这类安全漏洞正带来前所未有的数据泄露风险。 攻击技术深度分析 安全机构P
继续阅读谷歌发布《2024年零日漏洞利用分析》:安全产品风险激增
谷歌发布《2024年零日漏洞利用分析》:安全产品风险激增 原创 安全419 安全419 2025-05-12 10:24 近日,谷歌发布了《2024年零日漏洞利用分析》,报告揭示了攻击者不断变化的零日漏洞利用方式,以及零日漏洞利用正瞄准数量更多、种类更广泛的企业产品。现将部分观点摘录如下,以供参考。 零日漏洞利用仍在逐步增加 2024 年在实际攻击中被利用的零日漏洞有 75 个,这一数量相比 20
继续阅读【漏洞预警】Docker Desktop信息泄露漏洞(CVE-2025-1696)
【漏洞预警】Docker Desktop信息泄露漏洞(CVE-2025-1696) cexlife 飓风网络安全 2025-05-12 10:04 漏洞描述: 在Dосkеr Dеѕktор4.39.0版本之前的版本中存在一个漏洞,可能导致通过应用程序日志无意中泄露敏感信息。在受影响的版本中,每当通过代理进行HTTP GET请求时,代理配置数据(可能包括敏感细节)会被以明文形式写入日志文件。具有读
继续阅读包教包会包分配项目,单月斩获漏洞赏金2.7W!
包教包会包分配项目,单月斩获漏洞赏金2.7W! FreeBuf培训 FreeBuf 2025-05-12 10:02 前言 有的人循迹各大外卖平台抢满25-15的外卖券怒省10块, 有的人毕业即分配项目,月结2.7万赏金,再也不用担心“最难就业季”! 学习和赚钱,就是可以复制的! 01 内部众测项目收获2.7W! 还在为 “学完就废” 的魔咒苦恼? 快看咱学员的真实案例,往期两位学员,学成之后靠内
继续阅读CVE-2024-26809利用nftables双重释放漏洞获取Root权限
CVE-2024-26809利用nftables双重释放漏洞获取Root权限 FreeBuf 2025-05-12 10:02 Linux内核的nftables子系统(特别是net/netfilter模块)中发现一个高危漏洞,攻击者可利用nft_pipapo_destroy()函数中的双重释放(double-free)漏洞实现本地提权。该漏洞编号为CVE-2024-26809,影响内核版本6.1-
继续阅读安全漏洞管理的4个常见误区
安全漏洞管理的4个常见误区 原创 Richard 方桥安全漏洞防治中心 2025-05-12 10:01 4个常见误区 10年过去了,还像2015年那样调度漏洞扫描任务。 每次发现“危急”漏洞都在救火。 还没实现自动处理日常琐事。 对软件供应链安全漏洞风险不上心。 这里不详细解释。 感兴趣可查看: https://www.csoonline.com/article/3970955/4-big-mi
继续阅读CNVD漏洞周报2025年第17期
CNVD漏洞周报2025年第17期 原创 CNVD CNVD漏洞平台 2025-05-12 09:38 2 0 2 5 年 0 4 月 28 日 – 2 0 2 5 年 0 5 月11 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞536个,其中高危漏洞272个
继续阅读一次edu站点从前台sql注入到后台rce
一次edu站点从前台sql注入到后台rce 原创 十二 起凡安全 2025-05-12 09:19 前台sql注入 这个网站访问 http://xxxx/lab/Login/LoginB.aspx是下面这样的 访问http://xxxx/MIC/Login/LoginB.aspx则是下面这样,这个姓名处存在sql注入 抓包,测试payload: AND+IIF(1=1,’a’,1/0)
继续阅读【1day】⼤华智慧园区综合管理平台⽂件上传(CNVD2024-35419)
【1day】⼤华智慧园区综合管理平台⽂件上传(CNVD2024-35419) 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-05-12 09:00 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 系统介绍 大华智慧园区综
继续阅读MiSRC 端午漏洞活动开启,等你超凡出 “粽”
MiSRC 端午漏洞活动开启,等你超凡出 “粽” 小米安全中心 小米安全中心 2025-05-12 08:58 MiSRC 端午漏洞活动来啦~ 官网已更新 《小米安全中心漏洞奖励规则 V9.0》 本期有 三个活动 ,请注意测试范围以及测试内容哦 阅读下文获取详细规则~ ✦ 参与活动 ✦ 1 活动时间 ◆5月12日 – 5月21日 2 参与方式 ◆ 漏洞报告标题前标注【端午活动】 ,若
继续阅读安全热点周报:谷歌修复了 Android 上被积极利用的 FreeType 漏洞
安全热点周报:谷歌修复了 Android 上被积极利用的 FreeType 漏洞 奇安信 CERT 2025-05-12 08:55 安全资讯导视 • 中国人民银行发布《中国人民银行业务领域数据安全管理办法》 • 美国白宫发布2026财年预算提案,拟削减网络安全预算4.91亿美元 • 巴基斯坦军方声称网络攻击已使印度70%电网瘫痪,印度否认 PART01 漏洞情报 1.Elastic Kiban
继续阅读雷神众测漏洞周报2025.5.6-2025.5.11
雷神众测漏洞周报2025.5.6-2025.5.11 原创 雷神众测 雷神众测 2025-05-12 08:09 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读WordPress depicter插件 Sql注入漏洞 (CVE-2025-2011)
WordPress depicter插件 Sql注入漏洞 (CVE-2025-2011) Superhero Nday Poc 2025-05-12 08:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述
继续阅读【漏洞通告】Sourcecodester在线大学图书馆系统 SQL注入(CVE-2025-4504)
【漏洞通告】Sourcecodester在线大学图书馆系统 SQL注入(CVE-2025-4504) 安迈信科应急响应中心 2025-05-12 07:57 01 漏洞概况 Android 15之前的libsavscmn库中存在越界写入漏洞,允许本地攻击者执行任意代码。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Sourcecodester 在线大学图书馆系统 SQL 注入漏洞漏洞编
继续阅读【漏洞通告】D-Link DIR-605L 无线路由器缓冲器溢出(CVE-2025-4441)
【漏洞通告】D-Link DIR-605L 无线路由器缓冲器溢出(CVE-2025-4441) 安迈信科应急响应中心 2025-05-12 07:57 01 漏洞概况 D-Link DIR-605L 2.13B01存在一个被分类为严重的漏洞。这个漏洞影响了formSetWAN_Wizard534功能。对参数curTime的操作会导致缓冲区溢出。攻击者可以远程发起攻击。02 漏洞处置综合处
继续阅读SAP NetWeaver漏洞利用进入第二波威胁活动
SAP NetWeaver漏洞利用进入第二波威胁活动 原创 David 信息安全D1net 2025-05-12 07:54 点击上方“蓝色字体 ”,选择 “设为星标 ” 关键讯息,D1时间送达! 网络安全机构发现,利用SAP NetWeaver Visual Composer高危漏洞(CVE-2025-31324,CVSS 10分)的第二波攻击浪潮正在全球蔓延。Onapsis与Mandiant已
继续阅读分享一下我的漏洞挖掘经验
分享一下我的漏洞挖掘经验 原创 xiaoliangliu xiaoliangliu 2025-05-12 06:44 最近看到了一篇 Google 的模糊测试文章,发现其模糊测试的方法与我的思路有相似之处,也触发我个人想做一次总结和分享。 在进行漏洞挖掘时,我主要专注于Windows内核和应用层的模糊测试,尚未在其他方向进行太多拓展。因此我想分享一下对模糊测试 Windows 内核的经验。 目前,
继续阅读java代码审计之常见漏洞学习
java代码审计之常见漏洞学习 原创 Z0安全 Z0安全 2025-05-12 06:24 前言 Java代码审计中常见的一些漏洞学习总结以及一些审计思路。 1. SQL注入:数据库的隐形杀手 成因 未过滤的用户输入直接拼接至SQL语句,导致恶意SQL执行。 高危场景 • MyBatis:使用${} 动态拼接参数(如like ‘%${title}%’ ) • Hiberna
继续阅读