每周网安资讯 (5.20-5.26)| Poedit 安全漏洞
每周网安资讯 (5.20-5.26)| Poedit 安全漏洞 交大捷普 2025-05-26 10:14 2025[ 每周网安资讯 ]5.20-5.26 网安资讯 1、中央网信办等三部门印发《2025年深入推进IPv6规模部署和应用工作要点》 近日,中央网信办、国家发展改革委、工业和信息化部联合印发《2025年深入推进IPv6规模部署和应用工作要点》(以下简称《工作要点》)。《工作要点》要求,坚
继续阅读月度归档: 2025 年 5 月
浅析SpringBoot框架常见未授权访问漏洞
浅析SpringBoot框架常见未授权访问漏洞 Jack 黑曜网安实验室 2025-05-26 10:07 星标公众号可大图观看! 前言 在对 Java 站点进行渗透测试的过程中,经常会遇见各类未授权访问漏洞,本文来总结学习下常见的几类未授权访问漏洞的检测和利用方法。 SpringBoot 站点的简单识别方法: 1) 通过 API 接口的 Web 服务。通俗的来讲,Swagger 就是将项目中所有
继续阅读历史首次!o3找到Linux内核零日漏洞,12000行代码看100遍揪出,无需调用任何工具
历史首次!o3找到Linux内核零日漏洞,12000行代码看100遍揪出,无需调用任何工具 网络安全与人工智能研究中心 2025-05-26 09:51 AI成功找到Linux安全漏洞,还是内核级别的零日漏洞 。 刚刚,OpenAI总裁转发了独立研究员 Seen Heelan的实验成果:用o3模型找到了Linux内核SMB实现中的一个远程零日漏洞。 更让人惊讶的是,整个过程中没有用到任何复杂的工具
继续阅读安全热点周报:Ivanti EPMM 远程代码执行漏洞已被利用于有限的攻击中
安全热点周报:Ivanti EPMM 远程代码执行漏洞已被利用于有限的攻击中 奇安信 CERT 2025-05-26 09:45 安全资讯导视 • 零售巨头马莎百货因勒索攻击运营中断数月,预计损失近30亿元 • 超1.84亿条账号密码泄露,涉苹果、谷歌、小米等众多知名公司 • 国内一打印机品牌官方软件感染窃密木马超半年 PART01 新增在野利用 1.MagicINFO 任意文件上传漏洞(CVE
继续阅读地盘战打响,DragonForce争夺勒索软件市场主导权;AI助手DIANNA首次成功识别大语言模型生成的恶意软件 | 牛览
地盘战打响,DragonForce争夺勒索软件市场主导权;AI助手DIANNA首次成功识别大语言模型生成的恶意软件 | 牛览 安全牛 2025-05-26 09:32 新闻速览 •《网络交易平台收费行为合规指南》面向社会征求意见 •FBI警告:SRG索团伙针对律师事务所发动攻击 •国际”终局行动”重创恶意软件生态系统:DanaBot被瓦解,QakBot头目被起诉 • DIA
继续阅读漏洞通告 | Grafana 开放重定向与服务端请求伪造漏洞
漏洞通告 | Grafana 开放重定向与服务端请求伪造漏洞 原创 微步情报局 微步在线研究响应中心 2025-05-26 09:01 漏洞概况 Grafana 是一个开源分析平台,用于可视化来自 Prometheus 和 InfluxDB 等来源的数据。 微步情报局获取到Grafana 开放重定向与服务端请求伪造漏洞情报(CVE-2025-4123、CNNVD-202505-3274)。该漏洞由
继续阅读Windows Server 2025 “BadSuccessor”漏洞解析:dMSA 新特性反成“权限赠予后门”,域控一击即溃
Windows Server 2025 “BadSuccessor”漏洞解析:dMSA 新特性反成“权限赠予后门”,域控一击即溃 原创 Hankzheng 技术修道场 2025-05-26 09:00 大家好!安全攻防的战场上,意想不到的“友军火力”往往最为致命。Windows Server 2025 被寄予厚望用以加固防线的新特性——委派托管服务账户 (dMSA),竟被曝出存在一个名为 “Bad
继续阅读上周关注度较高的产品安全漏洞(20250519-20250525)
上周关注度较高的产品安全漏洞(20250519-20250525) 原创 CNVD CNVD漏洞平台 2025-05-26 08:28 一、境外厂商产品漏洞 1、Google Chrome安全绕过漏洞(CNVD-2025-10056) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 136.0.7103.59之前版本存在安全绕过漏洞,该漏洞源
继续阅读CNVD漏洞周报2025年第19期
CNVD漏洞周报2025年第19期 原创 CNVD CNVD漏洞平台 2025-05-26 08:28 2 0 2 5 年 0 5 月1 9 日 – 2 0 2 5 年 0 5 月25 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞315个,其中高危漏洞169个
继续阅读关键基础设施遭受攻击:漏洞成为黑客首选武器
关键基础设施遭受攻击:漏洞成为黑客首选武器 数世咨询 2025-05-26 08:00 黑客越来越多地利用漏洞来入侵关键基础设施系统 。IBM X-Force 的数据显示,去年其响应的安全事件中,70%发生在关键基础设施领域,其中超过四分之一是通过漏洞利用实现的。 IBM X-Force 战略威胁分析经理 Michelle Alvarez 表示:“过去一年,我们观察到攻击手段持续转向身份攻击,尤其
继续阅读Pichome 任意文件读取漏洞 (CVE-2025-1743)
Pichome 任意文件读取漏洞 (CVE-2025-1743) Superhero Nday Poc 2025-05-26 07:56 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 Pichome ind
继续阅读工具 | 漏洞挖掘小工具-SeeMore
工具 | 漏洞挖掘小工具-SeeMore 渗透安全团队 2025-05-26 07:05 介绍 1、在某系统发现在导入文件时,文件内容没有进行过滤导致存储型xss注入,可以发送任何人或提交模板(管理员会审查)危害挺大的,然后提交漏洞后他进行了修复。 2、但是 程序员只是将导入功能的元素添加”display: none;”隐藏起来了, 但是这个功能还是存在,所以可以通过将&#
继续阅读AI首次独立发现Linux内核可利用0Day漏洞
AI首次独立发现Linux内核可利用0Day漏洞 安全客 2025-05-26 06:45 近日,一个编号为CVE-2025-37899 的Linux内核0Day漏洞 被披露。不同于传统由人类安全研究员或自动化工具挖掘,本次漏洞的发现者是OpenAI 最新发布的大语言模型ChatGPT o3 。该事件引发了业内广泛关注,标志着AI在漏洞挖掘领域的实用能力正从理论走向现实 。 漏洞概述 CVE-20
继续阅读【1day】某无提示云挖矿4链盗u系统前台文件上传漏洞
【1day】某无提示云挖矿4链盗u系统前台文件上传漏洞 原创 Mstir 星悦安全 2025-05-26 05:52 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 项目编号:10033 内部编号:XY-101547 无授权提示云挖矿4链盗u系统,修复后台无法登录问题,代码全开源无后门,优化后台模板 修复刷新余额报错问题,去授权提示 带最新4链提币接口 后台可直接提币. Fofa
继续阅读车联网安全 | 通过API漏洞控制全球日产LEAF车辆功能
车联网安全 | 通过API漏洞控制全球日产LEAF车辆功能 白帽子左一 白帽子左一 2025-05-26 04:03 小编寄语:虽然是很老的报告,但小编认为在当下仍然具有启发意义 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 上个月,我在挪威为 ProgramUtvikling 做了一场培训,他们是我非常喜欢的 NDC
继续阅读黑客宣称利用 API 接口漏洞窃取 12 亿 Facebook 用户记录
黑客宣称利用 API 接口漏洞窃取 12 亿 Facebook 用户记录 三沐 三沐数安 2025-05-26 03:15 背景: 攻击者声称通过滥用Meta旗下Facebook的应用程序接口(API)非法获取了包含12亿条用户记录的数据库,并将该数据集发布于知名数据泄露论坛。 若得到证实,这将成为Facebook历史上最大规模的数据泄露事件之一。 网络安全媒体Cybernews研究团队对攻击
继续阅读“国补”政策下的黑色产业链分析报告:黑灰产如何利用漏洞套取补贴?
“国补”政策下的黑色产业链分析报告:黑灰产如何利用漏洞套取补贴? 数说安全 2025-05-26 02:50 2024 年起,消费品以旧换新的国家补贴政策,下文简称“国补”政策,在汽车、数码、家电三大领域全面推行,以推动消费升级、节能减排等。活动补贴力度显著,如新能源车补贴 2 万元,数码产品补贴 15%,覆盖多个电商线上平台及线下品牌门店。 在政策红利背后,也存在套取补贴获利的行为;为防止黑灰产
继续阅读AI 赋能漏洞变种分析:从已知到未知,Hacktron 发现 Ivanti EPMM 新攻击向量的启示
AI 赋能漏洞变种分析:从已知到未知,Hacktron 发现 Ivanti EPMM 新攻击向量的启示 原创 JunYi 毅心安全 2025-05-26 02:47 AI 赋能漏洞变种分析:从已知到未知,Hacktron 发现 Ivanti EPMM 新攻击向量的启示 漏洞原文 https://www.hacktron.ai/blog/posts/ivanti-epmm-variant-analy
继续阅读一款专为安全研究人员和白帽子设计的漏洞赏金工具
一款专为安全研究人员和白帽子设计的漏洞赏金工具 黑白之道 2025-05-26 01:56 0x01 工具介绍 漏洞赏金工具是一款专为安全研究人员和白帽子黑客设计的图形化渗透测试工具集。它集成了多个常用的安全测试工具,提供了直观的用户界面,让漏洞挖掘变得更加简单和高效。 0x02 主要特性 🎨 美观的图形界面 支持多种主题切换(超级英雄风、赛博朋克、暗黑模式等) 实时日志输出展示 简洁直观的工具选
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇)
【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 赤弋安全团队 2025-05-26 01:48 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇)
【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 赤弋安全团队 2025-05-26 01:48 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇)
【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 赤弋安全团队 2025-05-26 01:48 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇)
【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 赤弋安全团队 2025-05-26 01:48 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是
继续阅读PHP中的session漏洞利用
PHP中的session漏洞利用 船山信安 2025-05-26 01:47 前言 同样是以前在学习PHP安全相关的时候,针对php中session的利用。 session反序列化 session的存储机制 php <?php error_reporting(0); echo "serialize_handler: ".ini_get("session.seri
继续阅读APT组织利用 Ivanti 漏洞攻击关键部门
APT组织利用 Ivanti 漏洞攻击关键部门 会杀毒的单反狗 军哥网络安全读报 2025-05-26 01:01 导读 据 EclecticIQ 报道,一个网络黑客组织利用最近的两个 Ivanti Endpoint Manager Mobile (EPMM) 漏洞,针对欧洲、北美和亚太地区的关键部门发动攻击。 这两个漏洞的严重程度为中等,分别为 CVE-2025-4427 和 CVE-2025-
继续阅读crAPI – 存在漏洞的API项目
crAPI – 存在漏洞的API项目 原创 qife 网络安全技术点滴分享 2025-05-26 00:35 crAPI 是一个OWASP提供的故意设计存在漏洞的API项目,通过这个项目,可以安全地运行并训练自己识别和利用API中的安全漏洞。 项目概述 crAPI 模拟了一个汽车维修服务的B2C应用,采用微服务架构构建。用户可以通过Web界面进行注册、管理车辆、联系技师、购买配件以及在
继续阅读Web3 漏洞眼: Cetus AMM 2 亿美元被黑事件
Web3 漏洞眼: Cetus AMM 2 亿美元被黑事件 原创 一个不正经的黑客 一个不正经的黑客 2025-05-26 00:30 字数 2672,阅读大约需 14 分钟 Web3 漏洞眼: Cetus AMM 2 亿美元被黑事件 前言 这算是本公众号第一次发表关于Web3区块链漏洞技术的文章,未来会持续输出越来越多Web3的知识。 之前看好sui在投资SUI和链上赚币赚了一点小钱,反而在ce
继续阅读APT利用SaaS零日漏洞(CVE-2025-3928)攻陷Azure云!Commvault事件剖析M365数据安全与防御体系
APT利用SaaS零日漏洞(CVE-2025-3928)攻陷Azure云!Commvault事件剖析M365数据安全与防御体系 原创 Hankzheng 技术修道场 2025-05-26 00:03 安全警报再次升级至高危等级!美国网络安全和基础设施安全局 (CISA) 近日拉响警报,直指潜伏在微软 Azure 云环境中的软件即服务 (SaaS) 应用正面临高级持续性威胁 (APT) 的精准打击。
继续阅读漏洞预警 | 妖气山视频管理系统SQL注入漏洞
漏洞预警 | 妖气山视频管理系统SQL注入漏洞 浅安 浅安安全 2025-05-26 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 妖气山视频管理系统是一款运用Javaex前端框架与SSM后端框架开发的视频管理软件。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 窃取敏感信息 简述: 妖气山视频管理系统的/api/ge
继续阅读漏洞预警 | VMware vCenter Server认证命令执行漏洞
漏洞预警 | VMware vCenter Server认证命令执行漏洞 浅安 浅安安全 2025-05-26 00:00 0x00 漏洞编号 – # CVE-2025-41225 0x01 危险等级 – 高危 0x02 漏洞概述 vCenter是VMware提供的集中管理平台,用于管理VMware vSphere环境中的虚拟化资源。 0x03 漏洞详情 CVE-2025-
继续阅读