漏洞预警 | JEEWMS任意文件读取漏洞
漏洞预警 | JEEWMS任意文件读取漏洞 浅安 浅安安全 2025-05-29 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 JEEWMS基于JAVA的仓库管理系统,包含PDA端和WEB端,功能涵盖WMS、OMS、BMS、TMS。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: JEEWMS的
继续阅读月度归档: 2025 年 5 月
【APT与高危漏洞追踪】国家级黑客UNC5221利用Ivanti漏洞,关键基础设施安全再敲警钟
【APT与高危漏洞追踪】国家级黑客UNC5221利用Ivanti漏洞,关键基础设施安全再敲警钟 原创 Hankzheng 技术修道场 2025-05-29 00:00 国家级高级持续性威胁(APT)活动与高危漏洞的利用,持续对全球关键基础设施、政府机构和重要企业构成严峻挑战。本周,多个APT组织的活跃踪迹以及一系列关键软件的高危漏洞被披露,再次凸显了 proactive(主动)威胁情报、漏洞管理和
继续阅读AI用于软件安全和漏洞挖掘
AI用于软件安全和漏洞挖掘 GRCC IoVSecurity 2025-05-28 23:50 点击上方 蓝色字体 ,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 人工智能 和网络安全 AI in Security 人工智能 赋能安全应用
继续阅读攻防演练连个Nday都扫不出?你只是Nday的打开方式不对!
攻防演练连个Nday都扫不出?你只是Nday的打开方式不对! 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-05-28 23:01 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 众所周知,在一年接着一年的攻防演练加持下
继续阅读紧急警报!Mimo黑客利用Craft CMS高危漏洞发动双重攻击:挖矿劫持+流量窃取
紧急警报!Mimo黑客利用Craft CMS高危漏洞发动双重攻击:挖矿劫持+流量窃取 原创 道玄安全 道玄网安驿站 2025-05-28 23:00 “ 挖矿。” PS:有内网web自动化需求可以私信 01 — 导语 一场针对全球网站管理员的隐秘攻击正在上演 。知名黑客组织”Mimo”近期利用Craft CMS中的高危漏洞(CVE-2025-32432),向数千台服务器同
继续阅读Windows10 Penetration渗透系统,一套环境通吃内网、Web、APP全渗透,工具包实战指南|漏洞探测
Windows10 Penetration渗透系统,一套环境通吃内网、Web、APP全渗透,工具包实战指南|漏洞探测 makoto56 渗透安全HackTwo 2025-05-28 16:00 0x01 工具介绍 渗透测试套件工具集是一款基于Windows 10打造的一体化安全测试环境,集成了400多种专业工具,涵盖Web渗透、移动安全、内网攻防、社会工程学等多个领域。内置WSL2 Kali Li
继续阅读【严重漏洞预警】vBulletin replaceAdTemplat远程代码执行漏洞(CVE-2025-48827)
【严重漏洞预警】vBulletin replaceAdTemplat远程代码执行漏洞(CVE-2025-48827) cexlife 飓风网络安全 2025-05-28 14:34 漏洞描述: vBulletin是一个商业论坛程序,vBulletin replaceAdTemplat存在远程代码执行漏洞,攻击者可构造恶意请求在无需登录的情况下执行任意代码控制服务器。 攻击场景: 攻击者可能通过未认
继续阅读【AI高危漏洞预警】LLama-Index CLI命令执行漏洞(CVE-2025-1753)
【AI高危漏洞预警】LLama-Index CLI命令执行漏洞(CVE-2025-1753) cexlife 飓风网络安全 2025-05-28 14:34 漏洞描述: LLаmа-Indех CLI版本v0.12.20包含一个OS命令注入漏洞,该漏洞源于对–filеѕ参数的不当处理,该参数直接传递给оѕ.ѕуѕtеm如果攻击者控制了此参数的内容,可以注入并执行任意ѕhеll命令,如果
继续阅读英飞达影像存档与通讯PACS系统 WebUserLogin.asmx 信息泄露漏洞
英飞达影像存档与通讯PACS系统 WebUserLogin.asmx 信息泄露漏洞 HK安全小屋 2025-05-28 12:27 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 英飞达医学影像存档与通信系统 WebUserLog
继续阅读PagerMaid-Pyro run_sh接口存在远程命令执行漏洞 附POC
PagerMaid-Pyro run_sh接口存在远程命令执行漏洞 附POC 2025-5-28更新 南风漏洞复现文库 2025-05-28 12:20 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. PagerMaid-Pyro简介
继续阅读GitHub MCP Server漏洞:通过MCP访问私有仓库
GitHub MCP Server漏洞:通过MCP访问私有仓库 玄月调查小组 2025-05-28 11:10 TL;DR Invariant近日发现了https://github.com/github/github-mcp-server的一个注入漏洞。攻击者可以通过创建恶意Issue劫持agent,从而泄露私有仓库数据。 攻击场景 用户拥有两个权限不同的仓库: – /public-r
继续阅读【漏洞复现】vBulletin replaceAdTemplat 远程代码执行漏洞(CVE-2025-48827/48828)
【漏洞复现】vBulletin replaceAdTemplat 远程代码执行漏洞(CVE-2025-48827/48828) 安全探索者 安全探索者 2025-05-28 11:03 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 vBulletin 是互联网上最广泛使用的商业论坛解决方案之一,为从利基爱好者网站到大型科技论坛的数千个在线社区提供支持。它主要使用 PHP 开发,具有类
继续阅读【安全圈】全球互联网因BGP协议漏洞出现大规模路由震荡
【安全圈】全球互联网因BGP协议漏洞出现大规模路由震荡 安全圈 2025-05-28 11:01 关键词 BGP协议 2025年5月20日UTC时间7时,一条异常的BGP路由通告在互联网骨干网中传播,触发多个主流BGP实现方案的意外行为,导致全球范围内持续数十分钟的路由不稳定事件。 该事件的起因是某些自治系统(AS)在网络中传播了携带错误BGP Prefix-SID属性的路由更新。该属性通常仅用于
继续阅读【漏洞复现】dify任意密码重置
【漏洞复现】dify任意密码重置 yzcrnx 安全鸭 2025-05-28 10:49 原文:https://github.com/langgenius/dify/issues/18114 瞎逛GitHub的时候发现dify新出一个漏洞,任意密码重置实现任意用户接管。通过调用api完成任意用户密码重置,简单复现如下: 获取token POST /console/api/forgot-passwo
继续阅读AI工具ComfyUI惊现多个高危漏洞,已有境外组织发起网络攻击
AI工具ComfyUI惊现多个高危漏洞,已有境外组织发起网络攻击 点击关注→ 智探AI应用 2025-05-28 10:46 该工具被发现存在任意文件读取、远程代码执行等多个历史高危漏洞,攻击者可利用漏洞窃取系统数据,目前已有境外组织针对该漏洞发起网络攻击,伺机窃取重要敏感数据。 来源|智探AI应用 以下为全文 5月27日,国家网络安全通报中心发布安全预警,称AI绘图工具ComfyUI存在多个高危
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第21期,总第39期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第21期,总第39期] 原创 安钥 方桥安全漏洞防治中心 2025-05-28 10:36 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读阿迪达斯数据泄露,第三方服务商漏洞致客户信息外泄
阿迪达斯数据泄露,第三方服务商漏洞致客户信息外泄 FreeBuf FreeBuf 2025-05-28 10:07 德国运动品牌巨头阿迪达斯已确认发生重大数据泄露事件,攻击者通过入侵第三方客户服务提供商获取了客户联系信息。2025年5月23日的泄露事件导致曾与该公司客服中心互动过的消费者联系方式外泄,但密码、信用卡数据等支付相关信息未受影响。 该事件凸显了大型零售商面临的日益严峻的网络安全挑战。根
继续阅读2个月荣登字节SRC年榜第一,云上漏洞秘籍首公开!
2个月荣登字节SRC年榜第一,云上漏洞秘籍首公开! FreeBuf FreeBuf 2025-05-28 10:07 XIAOHUOJU 关于小火炬 不!可!思!议! 小火炬独领风骚,在字节SRC疯狂乱杀 两个月直接登顶年榜TOP1! 字节SRC排名截图 喜!大!普!奔! 5月28日本周三晚20:00 小火炬带着他的“通杀全家桶”现身FreeBuf/知识大陆直播间! 点!击!预!约! XIAOHU
继续阅读DragonForce 勒索团伙瞄准MSP,发动供应链攻击
DragonForce 勒索团伙瞄准MSP,发动供应链攻击 Alexander Culafi 代码卫士 2025-05-28 10:04 聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多元,复
继续阅读Windows Server 2025 “BadSuccessor”漏洞可导致域控接管(PoC已公开,暂无补丁)
Windows Server 2025 “BadSuccessor”漏洞可导致域控接管(PoC已公开,暂无补丁) 信息安全大事件 2025-05-28 10:01 漏洞概述 Windows Server 2025操作系统中新发现的”BadSuccessor”安全漏洞(CVE编号待分配)允许攻击者完全接管Active Directory(活动目录)域控
继续阅读官方通报ComfyUI存多个高危漏洞:已被境外黑客利用对我国网络实施攻击
官方通报ComfyUI存多个高危漏洞:已被境外黑客利用对我国网络实施攻击 安世加 安世加 2025-05-28 10:00 快科技5月27日消息,今日,国家网络安全通报中心发布通报, 称AI绘图工具ComfyUI存在多个高危漏洞。 据了解,ComfyUI存在任意文件读取、远程代码执行等多个历史高危漏洞(CVE-2024-10099、CVE-2024-21574、CVE-2024-21575、CVE
继续阅读Salesforce 将以 80 亿美元收购 Informatica
Salesforce 将以 80 亿美元收购 Informatica 绵总 安在 2025-05-28 09:54 Salesforce 已宣布计划收购 Informatica,一家由人工智能驱动的云数据管理公司,交易价值 80 亿美元。 这一举措正值 Salesforce 寻求巩固其在人工智能领域的地位之际。该公司计划整合 Informatica 的技术,以构建一个 “用于智能代理人工智能的统一
继续阅读NASA开源软件被曝存在多个安全漏洞;提示注入威胁:GitHub MCP服务器漏洞允许攻击者访问私有代码库 | 牛览
NASA开源软件被曝存在多个安全漏洞;提示注入威胁:GitHub MCP服务器漏洞允许攻击者访问私有代码库 | 牛览 安全牛 2025-05-28 09:43 新闻速览 •《喜马拉雅》《好大夫在线》等63款APP因违法违规收集使用个人信息被通报 •美国政府启动NIST国家漏洞数据库审计,解决积压问题 •伊朗黑客认罪参与RobbinHood勒索软件攻击,面临30年刑期 •GitHub成为欧洲恶意软件
继续阅读Netfilter Tunnel 之殇:CVE-2025-22056分析
Netfilter Tunnel 之殇:CVE-2025-22056分析 原创 獬豸实验室 京东安全应急响应中心 2025-05-28 09:01 在一个多月前,Linux 内核中的 Netfilter 模块下针对 nft_tunnel 中存在的一处越界写漏洞补丁被提交到内核主线,该漏洞被分配为 CVE-2025-22056 ,本篇文章旨在通过利用该漏洞对内核实现提权,同时该漏洞影响 Linu
继续阅读逐帧分析:Kernel Streaming 持续暴露漏洞
逐帧分析:Kernel Streaming 持续暴露漏洞 Angelboy securitainment 2025-05-28 08:17 【翻译】Frame by Frame, Kernel Streaming Keeps Giving Vulnerabilities 这是一系列关于 Kernel Streaming 攻击面的研究。建议先阅读以下文章: – Windows Kern
继续阅读北京警方通报:境外黑客组织利用ComfyUI漏洞对我实施攻击
北京警方通报:境外黑客组织利用ComfyUI漏洞对我实施攻击 安全内参 2025-05-28 08:05 关注我们 带你读懂网络安全 目前已有境外黑客组织利用ComfyUI漏洞对我网络资产实施网络攻击,伺机窃取重要敏感数据。 ComfyUI是一款AI绘图工具,专为图像生成任务设计,通过将深度学习模型的工作流程简化为图形化节点,使用户操作更加直观和易于理解。 近期,北京市网络与信息安全信息通报中心发
继续阅读AI 安全|DIFY 大模型平台漏洞预警(已复现)
AI 安全|DIFY 大模型平台漏洞预警(已复现) 原创 灵悉实验室 灵悉实验室 2025-05-28 08:02 前言 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,灵悉安全团队以及文章作者不为此承担任何责任。灵悉安全团队有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经灵悉安全团队允许,不得任意修改或者
继续阅读已公开漏洞的认知“真相”
已公开漏洞的认知“真相” 摄星 数世咨询 2025-05-28 08:00 当我们过于追逐未公开漏洞与0day漏洞时,却往往忽视了更危险的威胁——那些已被公开却未被认知的漏洞。实际上存在的是,已公开你所知道的,已公开你所不知道的。这种认知上的选择性的安全盲区,本质上成为数字时代的”装聋作哑”。 01 已公开编号漏洞的重叠度和差异 当前,各国网络安全政策和战略,都强调了漏洞信
继续阅读【业界动态】ComfyUI存在多个高危漏洞
【业界动态】ComfyUI存在多个高危漏洞 信息安全研究 2025-05-28 07:01 ComfyUI是一款AI绘图工具,专为图像生成任务设计,通过将深度学习模型的工作流程简化为图形化节点,使用户操作更加直观和易于理解。近期,北京市网络与信息安全信息通报中心发现,ComfyUI存在任意文件读取、远程代码执行等多个历史高危漏洞(CVE-2024-10099、CVE-2024-21574、CVE-
继续阅读Mimo 回归:CVE-2025-32432 被用于加密货币挖矿和代理软件活动
Mimo 回归:CVE-2025-32432 被用于加密货币挖矿和代理软件活动 Ots安全 2025-05-28 06:35 Sekoia 最新的威胁情报报告揭露了一起针对 CVE-2025-32432 的攻击活动。CVE-2025-32432 是一个影响 Craft CMS 平台的严重未经身份验证的远程代码执行 (RCE) 漏洞。此次攻击的幕后黑手是 Mimo 或 Hezb,他们部署了一套由 W
继续阅读