Arm Mali GPU 漏洞允许绕过 MTE 和任意内核代码执行漏洞
Arm Mali GPU 漏洞允许绕过 MTE 和任意内核代码执行漏洞 网安百色 2025-05-27 11:32 在 Arm Mali GPU 驱动程序中发现了一个被确定为 CVE-2025-0072 的严重漏洞,该漏洞对采用命令流前端 (CSF) 架构的较新 Mali GPU 的设备构成重大威胁,包括 Google 的 Pixel 7、Pixel 8 和 9 系列。 该漏洞由安全研究人员于 2
继续阅读月度归档: 2025 年 5 月
Apache Tomcat 允许远程执行代码漏洞
Apache Tomcat 允许远程执行代码漏洞 网安百色 2025-05-27 11:32 Apache Tomcat 中的一个关键路径等效漏洞(称为 CVE-2025-24813)在概念验证漏洞利用代码公开发布后被广泛利用。 该漏洞于 2025 年 3 月 10 日披露,允许在特定服务器配置下执行未经身份验证的远程代码,并影响全球数百万个基于 Java 的 Web 应用程序。 安全研究人员在漏
继续阅读若依Vue漏洞检测工具 – ruoyi-Vue-tools
若依Vue漏洞检测工具 – ruoyi-Vue-tools GSDK安全团队 2025-05-27 11:00 01 项目地址 https://github.com/kk12-30/ruoyi-Vue-tools 02 项目介绍 项目描述 工具适用于若依vue的漏洞检测 注: 工具仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连
继续阅读【高危漏洞预警】Wing FTP Server安全漏洞CVE-2025-5196
【高危漏洞预警】Wing FTP Server安全漏洞CVE-2025-5196 cexlife 飓风网络安全 2025-05-27 10:52 漏洞描述: 在Wing FTP Server直到7.4.3中已发现分类为致命的漏洞,受此漏洞影响的是未知功能的组件Lua Admin Console,该作会导致使用不必要的权限执行。攻击可以远程发起,攻击的复杂性相当高,开发似乎很困难,升级到版本7.4.
继续阅读【漏洞预警】DedeCMS信息泄露漏洞(CVE-2025-5137)
【漏洞预警】DedeCMS信息泄露漏洞(CVE-2025-5137) cexlife 飓风网络安全 2025-05-27 10:52 漏洞描述: 在DеdеCMS 5.7.117中发现了一个漏洞,该漏洞已被分类为严重。受影响的是文件dеdе/ѕуѕ_vеrifiеѕ.рhр?асtiоn=ɡеtfilеѕ中的未知函数,该组件存在不完全修复的CVE-2018-9175,对参数rеfilеѕ的操作导致
继续阅读GitLab Duo 漏洞可导致攻击者通过隐藏的提示劫持AI响应
GitLab Duo 漏洞可导致攻击者通过隐藏的提示劫持AI响应 Ravie Lakshmanan 代码卫士 2025-05-27 10:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 以色列网络安全公司 Legit Security 的研究员在 GitLab的人工智能 (AI) 编程助手 Duo 中发现了一个间接提示注入漏洞,可导致攻击者窃取源代码并将不可信的HTML插入响应中,将受
继续阅读CISA提醒注意已遭利用的 Commvault 0day漏洞
CISA提醒注意已遭利用的 Commvault 0day漏洞 Ionut Arghire 代码卫士 2025-05-27 10:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA提到,正遭利用的 Commvault 0day漏洞可能是更广范围的软件即服务 (SaaS) 解决方案的一部分。 该漏洞的编号是CVE-2025-3928(CVSS 评分8.7),可导致远程攻击者创建和执行
继续阅读记某众测Fastjson<=1.2.68反序列化RCE过程
记某众测Fastjson<=1.2.68反序列化RCE过程 脚*猪 亿人安全 2025-05-27 09:30 原文首发在:先知社区 https://xz.aliyun.com/news/17489 前言 在某次众测过程中使用搜索引擎找到某单位部署的旁站,通过前端JS信息分析找到一处ssrf漏洞。在ssrf测试时根据提示信息得到服务端接收的数据格式为json格式,再通过构造json报错语句时
继续阅读十四年连冠|绿盟漏洞扫描与管理产品再获佳绩
十四年连冠|绿盟漏洞扫描与管理产品再获佳绩 绿盟君 绿盟科技 2025-05-27 09:19 全文共426 字,阅读大约需1 分钟。 近日,国际数据公司(IDC)发布《2024年中国IT安全软件市场跟踪报告,2024H2》,绿盟科技在中国响应和编排软件市场占有率位列第一,实现漏洞扫描与管理产品十四年(2011年~2024年)连冠。 绿盟漏洞扫描与管理产品市场份额十四年连冠 绿盟漏洞扫描与管理产品
继续阅读通报丨ComfyUI存在多个高危漏洞
通报丨ComfyUI存在多个高危漏洞 网络安全和信息化 2025-05-27 08:56 ComfyUI是一款AI绘图工具,专为图像生成任务设计,通过将深度学习模型的工作流程简化为图形化节点,使用户操作更加直观和易于理解。近期,北京市网络与信息安全信息通报中心发现,ComfyUI存在任意文件读取、远程代码执行等多个历史高危漏洞(CVE-2024-10099、CVE-2024-21574、CVE-2
继续阅读量子计算破解RSA加密难度降低20倍,后量子密码学迫在眉睫;国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞 | 牛览
量子计算破解RSA加密难度降低20倍,后量子密码学迫在眉睫;国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞 | 牛览 安全牛 2025-05-27 08:54 新闻速览 •国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞 •国家互联网应急中心提醒防范 “游蛇”黑产攻击活动的风险 •量子计算破解RSA加密难度降低20倍,后量子密码学迫在眉睫 •SilverRAT远控木马源代码泄露,
继续阅读【论文速读】|基于大型语言模型的上下文增强漏洞检测
【论文速读】|基于大型语言模型的上下文增强漏洞检测 原创 知识分享者 安全极客 2025-05-27 08:35 原文标题:Context-Enhanced Vulnerability Detection Based on Large Language Model 原文作者:Yixin Yang, Bowen Xu, Xiang Gao, Hailong Sun 作者单位:北京航空航天大学复杂与关
继续阅读研究者利用OpenAI o3模型发现Linux内核远程零日漏洞
研究者利用OpenAI o3模型发现Linux内核远程零日漏洞 原创 JunYi 毅心安全 2025-05-27 07:42 研究者利用OpenAI o3模型发现Linux内核远程零日漏洞 文章背景 文章的主角是 Sean Heelan,一位资深安全研究员,他在审计 Linux 内核的 SMB 实现 ksmbd 时,利用 OpenAI 最新推出的 o3 模型,成功发现了一个远程零日漏洞 CVE-
继续阅读【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防
【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 原创 solarsec solar应急响应团队 2025-05-27 06:50 1.引言 在现代操作系统中,文件资源管理器(File Explorer)不仅是用户交互的核心组件,也是系统自动处理文件元数据的关键模块。2025年3月披露的 CVE-2025-24071 漏洞揭示了该组件在处理 .library-ms
继续阅读WordPress Madara 本地文件包含漏洞 (CVE-2025-4524)
WordPress Madara 本地文件包含漏洞 (CVE-2025-4524) Superhero Nday Poc 2025-05-27 06:48 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 适用
继续阅读2025攻防演练必修高危漏洞集合(2.0版)
2025攻防演练必修高危漏洞集合(2.0版) 斗象智能安全 2025-05-27 06:47 高危风险漏洞一直是企业网络安全防护的薄弱点,也成为HW攻防演练期间红队的重要突破口;每年HW期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。 攻防演练在即,斗象XVI扩展漏洞情报依托漏洞盒子的实时海量漏洞数据、白帽社
继续阅读黑客发起全球间谍行动,政府邮箱被利用XSS漏洞入侵
黑客发起全球间谍行动,政府邮箱被利用XSS漏洞入侵 网络攻防情报小组 C4安全团队 2025-05-27 06:05 近日,安全研究人员披露,一个名为“RoundPress” 的全球网络间谍活动正在持续展开,攻击者通过 Webmail 服务中的数个XSS漏洞,对全球多国政府和关键机构发起邮件窃密攻击。该行动被认为与黑客组织 APT28(又称“Fancy Bear”或“Sednit”)有关。 一、行
继续阅读发现与 IXON VPN 客户端相关的三个新漏洞,可导致本地权限提升 (LPE)
发现与 IXON VPN 客户端相关的三个新漏洞,可导致本地权限提升 (LPE) Ots安全 2025-05-27 04:23 本文详细披露了瑞典网络安全公司 Shelltrail 发现的 IXON VPN 客户端中的三个新漏洞(CVE-2025-ZZZ-01、CVE-2025-ZZZ-02 和 CVE-2025-ZZZ-03),这些漏洞可能导致 Windows 和 Linux 系统上的本地权限提
继续阅读关注 | ComfyUI存在多个高危漏洞
关注 | ComfyUI存在多个高危漏洞 中国信息安全 2025-05-27 03:38 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 ComfyUI是一款AI绘图工具,专为图像生成任务设计,通过将深度学习模型的工作流程简化为图形化节点,使用户操作更加直观和易于理解。近期,北京市网络与信息安全信息通报中心发现,ComfyUI存在任意文件读取、远程代码执行等多个
继续阅读MVS系统漏洞检测产品亮相OpenHarmony安全委员会,展示终端安全实践成果
MVS系统漏洞检测产品亮相OpenHarmony安全委员会,展示终端安全实践成果 AVL威胁情报团队 安天AVL威胁情报中心 2025-05-27 02:00 点击上方 蓝字 关注我们 近日,OpenHarmony安全委员会第八次会议 暨“聚智聚力,共筑OpenHarmony安全生态”论坛在武汉国家网络安全空间人才与创新基地成功召开。安天移动作为委员单位受邀参与了此次会议,并以“面向OpenHar
继续阅读WebShell 绕过 EDR 监控,不调用 cmd 也能实现命令执行
WebShell 绕过 EDR 监控,不调用 cmd 也能实现命令执行 专攻.NET安全的 dotNet安全矩阵 2025-05-27 00:20 在红队渗透环境中, 攻防对抗的深度不断升级,安全厂商纷纷将注意力从传统病毒特征识别,转向对行为链的监控和阻断。 红队常用的 cmd.exe 指令执行方式在越来越多的场景中被标记为高危操作。即便你伪装得再好,只要触发了这一调用链,如EDR、HIDS就可
继续阅读全新下一代目录爆破扫描工具,一个全方位的目录爆破的解决方案|漏洞探测
全新下一代目录爆破扫描工具,一个全方位的目录爆破的解决方案|漏洞探测 M09Ic 渗透安全HackTwo 2025-05-26 16:00 0x01 工具介绍 spray 是一个非常强大的安全扫描工具,主要用来收集信息、进行爆破攻击、扫描目录和挖掘漏洞。它可以通过字典和规则生成来进行爆破,并且内置了智能过滤功能,可以帮助快速检测一些常见的安全问题。还可以自定义请求、使用断点续传功能、以及做递归扫描
继续阅读【漏洞预警】新华三Gr-5400ax缓冲区溢出漏洞
【漏洞预警】新华三Gr-5400ax缓冲区溢出漏洞 cexlife 飓风网络安全 2025-05-26 13:38 漏洞描述: 在H3C GR-5400AX版本至100R008中发现一个被归类为严重的安全漏洞,该漏洞影响文件/routing/goform/aspForm中的EditWlanMacList函数,对参数param的操纵导致缓冲区溢出,攻击可远程发起,该漏洞利用已公开,并可能被使用。 受
继续阅读618 领券 | 稍后读软件 Pocket 即将关闭,这个更强的工具能担起重任!
618 领券 | 稍后读软件 Pocket 即将关闭,这个更强的工具能担起重任! 网络空间信息安全学习 2025-05-26 13:02 前两天 浏览器 Firefox 母公司, Mozilla 旗下的 稍后阅读产品 Pocket 宣布, 将于 2025 年 7 月 8 日关闭服务。 作为 2007 年就发布的老牌稍后读工具, Pocket 可能是很多朋友用过的第一款类似软件,现在也成
继续阅读查找高级文件上传漏洞的完整指南
查找高级文件上传漏洞的完整指南 原创 红云谈安全 红云谈安全 2025-05-26 12:23 兄弟们,先养眼 什么是文件上传漏洞? 文件上传漏洞源于不安全的文件上传实现,尤其是当组件对上传的文件执行了不完善的验证或根本不执行验证时。 这种行为可能导致不良行为者上传恶意负载(例如 PHP 或 ASP 文件),并尝试在目标服务器上执行代码。 文件上传表单示例 因此,文件上传漏洞通常本质上具有影响,并
继续阅读【漏洞预警】Grafana未授权跨站点脚本攻击xss和SSRF漏洞(CVE-2025-4123)
【漏洞预警】Grafana未授权跨站点脚本攻击xss和SSRF漏洞(CVE-2025-4123) PokerSec PokerSec 2025-05-26 11:11 先关注,不迷路. 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞介绍
继续阅读【安全圈】ViciousTrap 利用思科漏洞操控全球 5,300 台设备构建蜜罐监控网络
【安全圈】ViciousTrap 利用思科漏洞操控全球 5,300 台设备构建蜜罐监控网络 安全圈 2025-05-26 11:00 关键词 安全漏洞 名为“ViciousTrap”的攻击者团伙被曝已攻陷全球 84 个国家近 5,300 台网络边缘设备,并将其构建成一个类似蜜罐的监控网络。 网络安全研究人员指出,该团伙利用思科多款小型企业路由器(包括 RV016、RV042、RV042G、RV08
继续阅读首次利用OpenAI o3模型发现Linux内核零日漏洞
首次利用OpenAI o3模型发现Linux内核零日漏洞 安全内参 2025-05-26 10:46 关注我们 带你读懂网络安全 12000行代码看100遍揪出,无需调用任何工具,修复方案也比人类好。 AI成功找到Linux安全漏洞,还是内核级别的零日漏洞 。 刚刚,OpenAI总裁转发了独立研究员 Seen Heelan的实验成果:用o3模型找到了Linux内核SMB实现中的一个远程零日漏洞。
继续阅读黑客组织ViciousTrap利用思科漏洞入侵84个国家,构建全球蜜罐网络
黑客组织ViciousTrap利用思科漏洞入侵84个国家,构建全球蜜罐网络 FreeBuf 2025-05-26 10:15 网络安全研究人员近日披露,一个代号为ViciousTrap的威胁组织已入侵全球84个国家近5300台网络边缘设备,将其改造成类蜜罐网络。该组织利用思科小型企业路由器(型号包括RV016、RV042、RV042G、RV082、RV320和RV325)的关键漏洞CVE-2023
继续阅读OpenAI大语言模型漏洞挖掘
OpenAI大语言模型漏洞挖掘 点击关注→ 智探AI应用 2025-05-26 10:15 该事件引发了业内广泛关注,标志着AI在漏洞挖掘领域的实用能力正从理论走向现实。 来源|安全客 以下为全文 近日,一个编号为CVE-2025-37899的Linux内核0Day漏洞被披露。不同于传统由人类安全研究员或自动化工具挖掘,本次漏洞的发现者是OpenAI最新发布的大语言模型ChatGPT o3。该事件
继续阅读