超越漏洞修复的安全观
超越漏洞修复的安全观 原创 tonghuaroot RedTeam 2025-05-07 10:08 前言 前两天休假看到了spaceraccoon的一篇关于网络安全反模式的文章,讲的是无效忙碌陷阱这个概念,说实话挺有意思的。作为一个经常和漏洞打交道的安全工程师,很多内容说到了我的心坎里,花点时间整理一下笔记。 那些年,把我们淹没的告警海洋 老实说,这篇文章里描述的John Doe的故事在我见过的
继续阅读月度归档: 2025 年 5 月
谷歌修复安卓遭活跃利用的 FreeType 0day漏洞
谷歌修复安卓遭活跃利用的 FreeType 0day漏洞 Bill Toulas 代码卫士 2025-05-07 10:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布安卓2025年5月的安全更新,共修复45个漏洞,其中一个是已遭活跃利用的零点击 FreeType 2代码执行漏洞 CVE-2025-27363。 FreeType 是一款热门的开源字体渲染库,能够显示并以编程的方
继续阅读严重的Langflow RCE 漏洞被用于攻击AI app 服务器
严重的Langflow RCE 漏洞被用于攻击AI app 服务器 Bill Toulas 代码卫士 2025-05-07 10:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 将Langflow RCE漏洞标记为已遭利用,督促组织机构尽快应用安全更新和缓解措施。 该漏洞的编号是CVE-2025-3248,是一个严重的未认证RCE漏洞,可导致
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第18期,总第36期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第18期,总第36期] 原创 安钥 方桥安全漏洞防治中心 2025-05-07 10:01 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读使用区间分析识别智能合约中的漏洞
使用区间分析识别智能合约中的漏洞 pureGavin【译】 看雪学苑 2025-05-07 09:59 本文作为我们研究的进展报告,重点在于利用区间分析这一已有的静态分析方法来检测智能合约中的漏洞。我们展示了一些具有代表性的易受攻击的智能合约示例,并分享了我们使用多个现有检测工具进行实验的结果。我们的发现表明,这些工具未能检测出我们示例中的漏洞。为了提高检测能力,我们在现有检测工具 Slither
继续阅读【风险通告】Elastic Kibana存在原型污染致任意代码执行漏洞(CVE-2025-25014)
【风险通告】Elastic Kibana存在原型污染致任意代码执行漏洞(CVE-2025-25014) 安恒研究院 安恒信息CERT 2025-05-07 09:45 漏洞概述 漏洞名称 Elastic Kibana存在原型污染致任意代码执行漏洞(CVE-2025-25014) 安恒CERT评级 1级 CVSS3.1评分 9.1 CVE编号 CVE-2025-25014 CNVD编号 未分配 CN
继续阅读WordPress depicter插件SQL注入漏洞(CVE-2025-2011)
WordPress depicter插件SQL注入漏洞(CVE-2025-2011) 清晨 摸鱼划水 2025-05-07 08:49 FOFA "wp-content/plugins/depicter/" 影响版本 depicter <= 3.6.1 POC http://127.0.0.1/wp-admin/admin-ajax.php?s=test%25’%20AN
继续阅读【漏洞预警】Elastic Kibana 原型污染致任意代码执行漏洞(CVE-2025-25014)
【漏洞预警】Elastic Kibana 原型污染致任意代码执行漏洞(CVE-2025-25014) 原创 安全探索者 安全探索者 2025-05-07 08:35 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Kibana 是一款开源的数据可视化和分析平台,主要用于与 Elasticsearch 集成,帮助用户通过直观的界面和丰富的 可视化工具 快速分析和探索数据,广泛应用于日志分
继续阅读紧急预警!微软Telnet惊现”零点击”核弹级漏洞,旧系统用户速查!
紧急预警!微软Telnet惊现”零点击”核弹级漏洞,旧系统用户速查! 原创 赵小龙 红岸基地网络安全 2025-05-07 07:14 一、漏洞直击:30秒看懂致命威胁 漏洞代号 :MS-TNAP身份验证倒置 杀伤力 :💣 0Click攻击(无需用户交互) 攻击效果 :黑客可完全绕过密码验证,直取系统管理员权限,如同用万能钥匙打开所有保险库! 技术深剖 : 漏洞根源在于NT
继续阅读Apache OFBiz 路径遍历漏洞(CVE-2024-36104)
Apache OFBiz 路径遍历漏洞(CVE-2024-36104) 原创 清欢予 秋风有意染黄花 2025-05-07 06:28 微信公众号:【秋风有意染黄花】 分享安全学习的心得和笔记。问题与建议,请公众号留言或私信。 前言 Apache OFBiz 是一款开源的企业资源计划(ERP)系统。Apache OFBiz 对 URL 中特殊编码字符限制不当,导致存在路径遍历漏洞。攻击者可以利用该
继续阅读Nacos Derby RCE代码审计
Nacos Derby RCE代码审计 原创 T3Ysec T3Ysec 2025-05-07 06:03 漏洞: com/alibaba/nacos/config/server/controller/ConfigOpsController. java 跟踪到路由 databaseOperate. dataImport(file) 看翻译也可以知道数据库操作类的方法, 但是传入的是文件类 跟入代
继续阅读PoC | 三星 MagicINFO 9 服务器中的漏洞 (CVE-2024-7399) 被利用
PoC | 三星 MagicINFO 9 服务器中的漏洞 (CVE-2024-7399) 被利用 独眼情报 2025-05-07 05:28 截至 2025 年 5 月初,Arctic Wolf 已观察到三星 MagicINFO 9 服务器(用于管理和远程控制数字标牌显示器的内容管理系统 (CMS))中存在 CVE-2024-7399 漏洞的利用情况。该漏洞允许未经身份验证的用户写入任意文件,并且
继续阅读Apache Parquet Java 漏洞 CVE-2025-46762 使系统暴露于远程代码执行攻击
Apache Parquet Java 漏洞 CVE-2025-46762 使系统暴露于远程代码执行攻击 独眼情报 2025-05-07 05:28 CVE-2025-46762 Apache Parquet Java 中发现了一个漏洞,可能导致系统暴露于远程代码执行 (RCE) 攻击。Apache Parquet 贡献者 Gang Wuhttps://github.com/wgtmac 发现了
继续阅读被忽视的暗面:客户端应用漏洞挖掘之旅
被忽视的暗面:客户端应用漏洞挖掘之旅 嗨嗨安全 2025-05-07 04:32 被忽视的暗面:客户端应用漏洞挖掘之旅 key@中孚信息元亨实验室 前言 在2023年12月15日,我有幸参加了由“字节跳动安全中心”举办的“安全范儿”沙龙活动。作为“中孚信息元亨实验室”的一员,我被邀请分享名为“被忽视的暗面:客户端应用漏洞挖掘之旅”的技术议题。 客户端应用漏洞是许多人在进行漏洞挖掘和安全测试时容易忽
继续阅读出洞如此简单!一次轻松的小程序漏洞挖掘
出洞如此简单!一次轻松的小程序漏洞挖掘 sec0nd安全 2025-05-07 04:30 扫码领资料 获网安教程 本文由掌控安全学院 – zzzxby 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x01前言 本文只是记录一次轻松的小程序漏洞挖掘。 0x02漏洞挖掘 小程序一般目标发现都比较随机,直接在小程序搜索小学,中学,
继续阅读Apple及物联网设备面临风险 | 空中传播:AirPlay 协议中的零点击蠕虫式远程代码执行漏洞
Apple及物联网设备面临风险 | 空中传播:AirPlay 协议中的零点击蠕虫式远程代码执行漏洞 白帽子左一 白帽子左一 2025-05-07 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 概要 Oligo 安全研究团队发现了 Apple 的 AirPlay 协议及其软件开发工具包(SDK)中的一组新漏洞,后
继续阅读Elastic Kibana 原型污染致任意代码执行漏洞(CVE-2025-25014)安全风险通告
Elastic Kibana 原型污染致任意代码执行漏洞(CVE-2025-25014)安全风险通告 奇安信 CERT 2025-05-07 03:32 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Elastic Kibana 原型污染致任意代码执行漏洞 漏洞编号 QVD-2025-18453,CVE-2025-25014 公开时间 2025-05-06 影响量级 十万级
继续阅读雷神众测漏洞周报2025.4.28-2025.5.5
雷神众测漏洞周报2025.4.28-2025.5.5 原创 雷神众测 雷神众测 2025-05-07 03:10 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读用友NC ncmsgservlet 反序列化RCE
用友NC ncmsgservlet 反序列化RCE Superhero Nday Poc 2025-05-07 02:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 用友NC ncmsgservlet
继续阅读用友NC jiuqisingleservlet 反序列化RCE
用友NC jiuqisingleservlet 反序列化RCE Superhero Nday Poc 2025-05-07 02:07 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 用友NC jiuqis
继续阅读基于AWVSapi实现的漏洞扫描网站
基于AWVSapi实现的漏洞扫描网站 黑白之道 2025-05-07 02:06 工具介绍 VulnScan,基于AWVSapi实现的漏洞扫描网站。 功能介绍 登录注册功能 :通过Kaptcha、spring security实现验证码登录,密码加密,用户验证。 目标扫描功能 :添加扫描目标地址,并设置扫描速度、扫描类型、登录设置(用户名密码登录、Cookie登录)等信息。添加扫描后利用WebSo
继续阅读审计分析 | 某次.NET源码的前台漏洞审计流程
审计分析 | 某次.NET源码的前台漏洞审计流程 WK安全 2025-05-07 01:17 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 之前的一个项目了,客户要求审计出来前台漏洞,这里分析一下,得到的dll文件也不是全部的文件,比较分散,好在成功找到一个前台SQL注入。
继续阅读价值2500 美元的漏洞:通过供应链攻击实现RCE
价值2500 美元的漏洞:通过供应链攻击实现RCE 原创 骨哥说事 骨哥说事 2025-05-07 01:15 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4236 **不想错过任何消息?设置星标↓ ↓ ↓
继续阅读微软 0-Click Telnet 漏洞可导致无需用户操作即可窃取凭证
微软 0-Click Telnet 漏洞可导致无需用户操作即可窃取凭证 会杀毒的单反狗 军哥网络安全读报 2025-05-07 01:03 导读 微软的 Telnet 客户端 (telnet.exe) 中发现一个严重漏洞,攻击者可以利用该漏洞从毫无戒心的用户那里窃取 Windows 凭据,甚至在某些网络场景下无需交互即可实现。 安全研究人员警告称,这种“零点击”漏洞可能在企业环境中被轻易利用,对网
继续阅读三星MagicINFO漏洞在PoC发布几天后被利用
三星MagicINFO漏洞在PoC发布几天后被利用 会杀毒的单反狗 军哥网络安全读报 2025-05-07 01:03 导读 漏洞PoC 发布几天后,威胁组织就开始利用三星 MagicINFO 中的漏洞。 三星 MagicINFO 9 服务器是一种流行的内容管理系统,广泛部署用于管理和控制零售、交通和企业环境中的数字标牌显示器。 漏洞 (CVE-2024-7399) 源于服务器文件上传功能中输入验
继续阅读漏洞扫描结果差异背后的评分标准揭秘:国内外主流体系对比
漏洞扫描结果差异背后的评分标准揭秘:国内外主流体系对比 原创 ralap 网络个人修炼 2025-05-07 01:00 在使用了多个厂家的漏洞扫描工具后,发现针对同一版本应用扫描结果和评分也可能存在明显差异。好奇之下,研究了相关漏洞评分标准。 一、国内评分标准:GB/T 30279 – 2020 中国国家标准化管理委员会发布的 GB/T 30279 – 2020《信息安全
继续阅读AirPlay 曝“AirBorne”蠕虫级 0-Click RCE 漏洞!无需交互即可入侵 iPhone/Mac
AirPlay 曝“AirBorne”蠕虫级 0-Click RCE 漏洞!无需交互即可入侵 iPhone/Mac 原创 Hankzheng 技术修道场 2025-05-07 00:53 紧急安全警报!如果您是苹果用户或使用任何支持苹果 AirPlay 无线投屏/音频流技术的设备,请务必关注:以色列网络安全公司 Oligo 近日披露了 AirPlay 协议中存在的一组被命名为 “AirBorne”
继续阅读漏洞预警 | SmartBI任意用户删除漏洞
漏洞预警 | SmartBI任意用户删除漏洞 浅安 浅安安全 2025-05-06 23:50 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 Smartbi是广州思迈特软件有限公司旗下的企业级商业智能和大数据分析品牌,致力于为企业客户提供一站式商业智能解决方案。 0x03 漏洞详情 漏洞类型: 任意用户删除 影响: 删除任意用户 简述:
继续阅读立即更新!Google修复已被攻击者利用的Android高危漏洞(CVE-2025-27363)
立即更新!Google修复已被攻击者利用的Android高危漏洞(CVE-2025-27363) 原创 道玄安全 道玄网安驿站 2025-05-06 23:02 “ CVE-2025-27363。” PS:有内网web自动化需求可以私信 01 — 导语 2025年5月6日,Google在月度安全更新中修复了46个Android系统漏洞, 其中高危漏洞CVE-2025-27363已被证实遭攻击者实
继续阅读谷歌修复了已被积极利用的Android漏洞CVE-2025-27363
谷歌修复了已被积极利用的Android漏洞CVE-2025-27363 鹏鹏同学 黑猫安全 2025-05-06 23:00 谷歌在五月份Android安全更新中修复了46个漏洞,其中包含一个已被野外利用的高危漏洞(CVE-2025-27363,CVSS评分8.1)。该公司未透露攻击细节或利用该漏洞的威胁行为者信息。 该漏洞存在于系统组件中,成功利用可导致本地代码执行。2025年5月Android
继续阅读