Spring Security CVE-2025-22234 引入用户名枚举向量
Spring Security CVE-2025-22234 引入用户名枚举向量 Ots安全 2025-05-03 05:48 产品: Spring Security 受影响的软件包: spring-security-crypto 受影响的版本: =5.7.16、=5.8.18、=6.0.16、=6.1.14、=6.2.10、=6.3.8、=6.4.4 GitHub 仓库: https://spr
继续阅读月度归档: 2025 年 5 月
手把手教你写好一份完整的漏洞报告
手把手教你写好一份完整的漏洞报告 原创 玲珑安全 玲珑安全 2025-05-03 05:47 玲珑安全第六期SRC培训开启招生 点击 下方卡片 查看招生细则 欢迎广大朋友咨询参加 引言 我们发现,许多初学者乃至一些已有一定经验的师傅,在撰写漏洞报告时容易出现表述混乱、结构不清等问题,常常让甲方或漏洞审核人员看得一头雾水、难以理解。为此,本文将通过模板,手把手教你如何写出一份清晰、完整、专业的漏洞报
继续阅读CVE-2025-33028:WinZip 漏洞通过 MotW 绕过导致用户遭受静默代码执行
CVE-2025-33028:WinZip 漏洞通过 MotW 绕过导致用户遭受静默代码执行 TtTeam 2025-05-03 05:47 热门文件压缩工具 WinZip 被曝光存在严重安全漏洞(CVE-2025-33028),致使数百万用户面临静默代码执行风险。作为 Windows 抵御网络钓鱼与恶意软件的重要防线,Web 标记(MotW)功能通过标记互联网下载文件、触发运行前安全警告,有效拦
继续阅读用友U8Cloud getReportIdsByTaskId方法-多处SQL注入漏洞分析
用友U8Cloud getReportIdsByTaskId方法-多处SQL注入漏洞分析 蓝云Sec 2025-05-02 16:01 一、漏洞简介 U8cloud系统getReportIdsByTaskId 方法存在SQL注入漏洞,未经权限校验调用该方法的服务就会存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。 二、影响版本 1.0,2.0,2.1,
继续阅读网络入侵新态势:凭证窃取与边界漏洞利用激增,钓鱼攻击持续衰退
网络入侵新态势:凭证窃取与边界漏洞利用激增,钓鱼攻击持续衰退 黑白之道 2025-05-02 14:26 根据 Verizon 和谷歌旗下 Mandiant 的独立报告数据,网络犯罪分子的初始入侵手段正在发生显著转变。Mandiant 事件响应团队指出,攻击者更倾向于利用目标环境中现有工具,而非构建新恶意软件或配置漏洞利用后工具。 01 入侵手段演变趋势 Mandiant 调查显示,2024年漏洞
继续阅读从代理到后门:Mihomo Party漏洞直通SYSTEM权限,你的设备已经在裸奔。
从代理到后门:Mihomo Party漏洞直通SYSTEM权限,你的设备已经在裸奔。 原创 RCS-TEAM安全团队 小白嘿课 2025-05-02 14:17 PART.01 免责声明 RCS-TEAM作为独立安全实验室,于2025年4月发现Mihomo Party存在未公开本地提权0day漏洞。根据《漏洞披露国际准则》,我方已提前通过多途径联系开发团队,但未获有效回应。基于漏洞已遭野外利用且百
继续阅读信息安全漏洞周报【第020期】
信息安全漏洞周报【第020期】 零零捌信安观察 银天信息 2025-05-02 11:13 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读若依Vue漏洞检测工具
若依Vue漏洞检测工具 kk12-30 菜鸟学信安 2025-05-02 02:33 介绍 若依Vue漏洞检测工具。 下载地址 https://github.com/kk12-30/ruoyi-Vue-tools
继续阅读CVE-2025-32432|Craft CMS反序列化代码执行漏洞(POC)
CVE-2025-32432|Craft CMS反序列化代码执行漏洞(POC) 信安百科 2025-05-02 02:20 0x00 前言 Craft CMS是一个开源的内容管理系统,它专注于用户友好的内容创建过程,可以用来创建个人或企业网站也可以搭建企业级电子商务系统。 Craft界面简洁优雅,逻辑清晰明了,是一个高度自由,高度自定义设计的平台。虽然不需要专业的编程知识,要对模板语法有所了解才能
继续阅读CVE-2025-31324|SAP Netweaver代码执行漏洞(POC)
CVE-2025-31324|SAP Netweaver代码执行漏洞(POC) alicy 信安百科 2025-05-02 02:20 0x00 前言 SAP NetWeaver是基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。 0x01 漏洞描述 SAP NetWeaver Visual Composer Me
继续阅读突发!国家级黑客利用零日漏洞入侵Commvault Azure环境,数据安全再响警报
突发!国家级黑客利用零日漏洞入侵Commvault Azure环境,数据安全再响警报 原创 道玄安全 道玄网安驿站 2025-05-01 23:00 “ CVE-2025-3928。” 01 — 导语 近日,全球知名数据备份服务商Commvault证实,其Microsoft Azure环境遭到国家级黑客组织攻击。攻击者利用未公开的零日漏洞 CVE-2025-3928 ,通过合法凭证渗透系统,并在
继续阅读Clash Verge rev 本地提权/远程命令执行漏洞 POC(5月1日更新)
Clash Verge rev 本地提权/远程命令执行漏洞 POC(5月1日更新) Web安全工具库 2025-05-01 16:00 暗月渗透测试04入门学习8课合集下载 链接:https://pan.quark.cn/s/d26dd0ba8b77 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息
继续阅读漏洞管理中的四大常见误区及改进方案
漏洞管理中的四大常见误区及改进方案 黑白之道 2025-05-01 14:35 图片来源:Shutterstock 漏洞管理的新挑战 现代漏洞管理已从简单的勾选框任务演变为需要实时可视化、风险优先级排序和自动化处理的系统工程。当前IT环境具有高度动态性,攻击者的进化速度与防御措施同步提升。若仍依赖传统工具和策略,系统管理员不仅会落后于时代,更可能为攻击者大开方便之门。 四大常见误区及解决方案 误区
继续阅读【安全圈】苹果隔空播放(AirPlay)协议存在可蠕虫的远程代码执行漏洞 可批量感染大量设备
【安全圈】苹果隔空播放(AirPlay)协议存在可蠕虫的远程代码执行漏洞 可批量感染大量设备 安全圈 2025-05-01 11:00 关键词 安全漏洞 安全研究团队近日披露,苹果AirPlay无线协议及其软件开发套件存在重大安全缺陷,可能引发全球范围内的大规模”蠕虫式”网络攻击。该漏洞集合被命名为”AirBorne”,涉及23个独立安全漏洞,其中1
继续阅读从IBM《2025年X-Force威胁情报指数报告》看安全文化的必要性
从IBM《2025年X-Force威胁情报指数报告》看安全文化的必要性 原创 HardyXie 超安全 2025-05-01 05:38 IBM 于近期发布了《2025年 X-Force威胁情报指数 报告》,该报告 基于对 130多个国家或地区每天监控超过1,500亿个安全事件所获得的洞察分析和观察结果 。深入 了解攻击者的策略对于保护 组织 的员工、数据和基础设施至关重要。本文将透过报告探析攻击
继续阅读【情报】CVE出现罕见的10.0评分漏洞,SAP NetWeaver存在RCE漏洞
【情报】CVE出现罕见的10.0评分漏洞,SAP NetWeaver存在RCE漏洞 原创 visionsec 安全视安 2025-05-01 05:21 漏洞概述 SAP NetWeaver Visual Composer的Metadata Uploader模块缺失必要的授权校验,攻击者可通过未经身份验证的POST请求向/developmentserver/metadatauploader 端点上
继续阅读CraftCMS 存在前台命令执行漏洞 (CVE-2025-32432)
CraftCMS 存在前台命令执行漏洞 (CVE-2025-32432) 菜狗安全 2025-05-01 05:13 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Craft CMS是一个开源的内容管理系统,它专注于用户友好的内容创建过程,逻辑清晰明了,是一个高度自由,高度自定义设计的平台吗,可以用来创建个人或企业网站也可以搭建企业级电子商务系统。 Fofa指纹:header=̶
继续阅读AirPlay 协议中易受蠕虫攻击的零点击远程代码执行 (RCE) 漏洞使 Apple 和 IoT 设备面临风险
AirPlay 协议中易受蠕虫攻击的零点击远程代码执行 (RCE) 漏洞使 Apple 和 IoT 设备面临风险 Ots安全 2025-05-01 04:17 Oligo Security Research 发现 Apple 的 AirPlay 协议和 AirPlay 软件开发工具包 (SDK) 中存在一组新的漏洞,第三方供应商使用该工具包将 AirPlay 集成到第三方设备中。 这些漏洞会导致一
继续阅读紧急!朝鲜Kimsuky组织利用BlueKeep漏洞,疯狂攻击日韩!
紧急!朝鲜Kimsuky组织利用BlueKeep漏洞,疯狂攻击日韩! 原创 紫队 紫队安全研究 2025-05-01 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 网络安全的警报再次拉响!近
继续阅读面临困境的漏洞管理生态系统
面临困境的漏洞管理生态系统 591zll SecLink安全空间 2025-05-01 02:18 全文共计约1950字,预计阅读10分钟 近日,漏洞管理生态系统遭遇惊人消息:被行业广泛采用的漏洞标准——CVE(通用漏洞披露) 与CWE(通用缺陷枚举) 项目突遭断资,面临关停风险。这引发了该生态上下游24小时的恐慌,直至网络安全和基础设施安全局(CISA)出面延续项目赞助,才维持其本年度 运营。但
继续阅读一次从注册功能隐藏到发现的sql注入漏洞
一次从注册功能隐藏到发现的sql注入漏洞 lo2us 实战安全研究 2025-05-01 02:02 1.访问站点 打开burpsuite,配置代理等完成一系列抓取流量的配置操作后,开始访问目标系统 发现只有一个登录框。 我们随便输入账号密码,点击登录,观察请求包和响应包 发现提示账号不存在(其实一个小漏洞,用户名遍历已到手)。 注意此时我们的路径是/dev-api/auth/login。 2.注
继续阅读vLLM 的 Mooncake 存在严重 RCE 漏洞(10)
vLLM 的 Mooncake 存在严重 RCE 漏洞(10) 独眼情报 2025-05-01 01:53 CVE-2025-29783 CVE-2025-32444 vLLM vulnerability 在 vLLM 中发现了一个关键的安全漏洞,vLLM 是一个流行的开源库,用于高性能推理和大型语言模型(LLM)的服务。该漏洞被追踪为 CVE-2025-32444 ,具有最高的 CVSS 评分
继续阅读CVE-2025-32433 PoC 漏洞利用发布 – Erlang/OTP 中的严重 SSH 漏洞
CVE-2025-32433 PoC 漏洞利用发布 – Erlang/OTP 中的严重 SSH 漏洞 TtTeam 2025-04-30 17:41 波鸿鲁尔大学专家日前发现 Erlang/OTP 平台 SSH 组件存在高危漏洞(CVE-2025-32433),并于周三通过 OpenWall 邮件列表公开披露。该漏洞因平台处理 SSH 协议消息机制缺陷,导致恶意攻击者在身份验证前即可发
继续阅读