天擎终端安全管理系统getsimilarlist存在SQL注入漏洞
天擎终端安全管理系统getsimilarlist存在SQL注入漏洞 原创 Enginge Enginge 2025-06-03 13:55 人皆知有用之用,而莫知无用之用也。——《庄子》 漏洞详情: 天擎终端安全管理系统getsimilarlist存在SQL注入漏洞,攻击者可通过此漏洞获取敏感信息。会导致数据库敏感信息泄露和重要数据被篡改等情况。 Query: banner="QiAnX
继续阅读月度归档: 2025 年 6 月
SRC凭什么要为“废物”白帽子的真实漏洞付费?
SRC凭什么要为“废物”白帽子的真实漏洞付费? 原创 一个不正经的黑客 一个不正经的黑客 2025-06-03 13:23 今天刷到一个瓜,某个白帽子参加了某SRC的专项漏洞活动,这个活动也非常专业哈! 一些主流大厂比如美团、腾讯、阿里这些大型SRC举办过此类似活动。 般来说,举办这类专项活动的厂商其实偏少,但通常都有一个非常明显的特征: 主办厂商会为本次活动准备非常充裕的资金支持,目的就是聚焦挖
继续阅读vBulletin replaceAdTemplate 远程代码执行漏洞 (CVE-2025-48827)
vBulletin replaceAdTemplate 远程代码执行漏洞 (CVE-2025-48827) Superhero Nday Poc 2025-06-03 12:24 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担
继续阅读SRC漏洞挖掘:别再盯着那些烂大街的姿势了!
SRC漏洞挖掘:别再盯着那些烂大街的姿势了! 龙哥网络安全 龙哥网络安全 2025-06-03 12:22 0x1 开场白:SRC挖洞,菜鸟的春天在哪儿? 别跟我说你还在死磕SQL注入、XSS那一套!大佬们早就把肉啃完了,汤都没给你剩。想在SRC或者渗透测试里混口饭吃,光靠教科书上的招式,怕是连门都摸不着。这篇文章,咱不讲高深的理论,就聊聊那些容易被忽略,但小白也能轻松上手的“冷门”漏洞。当然,别
继续阅读【1day】某医药系统存在前台SQL注入漏洞
【1day】某医药系统存在前台SQL注入漏洞 原创 XingYue404 星悦安全 2025-06-03 11:29 点击上方 蓝字 关注我们 并设为 星标 0x01 漏洞分析 XX医药管理系统 工具一把梭哈找前台接口,分析代码 /admin/caiwuchongxiao/OrderHandler.ashx context.Response.Write(GetData("list&quo
继续阅读【安全圈】谷歌修复导致 AI 概览称“现在是 2024 年”的漏洞
【安全圈】谷歌修复导致 AI 概览称“现在是 2024 年”的漏洞 安全圈 2025-06-03 11:01 关键词 AI漏洞 AI 工具常被宣传为能协助你轻松完成研究、编程、摘要撰写和各种知识查找的得力助手。但有时候,连最简单的问题也会难倒它们。例如,谷歌的 AI 概览(AI Overviews)最近就搞不清楚现在是几年了。 过去几天,有多位用户反馈称,当他们询问谷歌“今年是哪一年”时,AI 概
继续阅读【安全圈】OneDrive 文件选择器漏洞让应用程序获取用户整个云盘的访问权限
【安全圈】OneDrive 文件选择器漏洞让应用程序获取用户整个云盘的访问权限 安全圈 2025-06-03 11:01 关键词 安全漏洞 近日,网络安全公司 Oasis Security 的研究人员披露了微软 OneDrive 文件选择器(File Picker)在权限管理上的一个重大疏漏:这一机制允许众多热门 Web 应用(包括 ChatGPT、Slack、Trello 和 ClickUp)在
继续阅读Edu实战记录 | 四个漏洞打包提交
Edu实战记录 | 四个漏洞打包提交 猎洞时刻 猎洞时刻 2025-06-03 10:46 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑灰产、非法入侵、攻击
继续阅读【风险通告】Roundcube Webmail存在反序列化漏洞(CVE-2025-49113)
【风险通告】Roundcube Webmail存在反序列化漏洞(CVE-2025-49113) 安恒研究院 安恒信息CERT 2025-06-03 10:36 漏洞概述 漏洞名称 Roundcube Webmail存在反序列化漏洞(CVE-2025-49113) 安恒CERT评级 1级 CVSS3.1评分 9.9 CVE编号 CVE-2025-49113 CNVD编号 未分配 CNNVD编号 未分
继续阅读高通:速修复这三个已遭利用的 Adreno GPU 漏洞
高通:速修复这三个已遭利用的 Adreno GPU 漏洞 Ryan Naraine 代码卫士 2025-06-03 10:35 其中 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 周一,手机芯片制造商高通提醒称,专业黑客已在利用三个新修复的 Adreno GPU 漏洞,高通正在督促电话制造商立即推出可用的修复方案。 高通并未提供这些攻击的详情,不过援引“谷歌威胁分析组织的指标”提到,三个漏
继续阅读隐秘的 npm 供应链攻击:误植域名导致RCE和数据破坏
隐秘的 npm 供应链攻击:误植域名导致RCE和数据破坏 Ddos 代码卫士 2025-06-03 10:35 聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列
继续阅读加密算法被破解而导致的漏洞,能按内部已知+通用漏洞忽略吗?
加密算法被破解而导致的漏洞,能按内部已知+通用漏洞忽略吗? 原创 棉花糖糖糖 棉花糖fans 2025-06-03 10:11 今天上午某src群中有关于漏洞审核相关的讨论,相信师傅们也已经看到了,本文将打码所有相关信息,以防未知的风险。 首先是提交漏洞的师傅的消息: image-20250603172638708 随后src审核方面发了如下图片,并说:“给你解释过了 不在多余解释” image-
继续阅读CVSS10分!vBulletin远程代码执行漏洞安全风险通告
CVSS10分!vBulletin远程代码执行漏洞安全风险通告 应急响应中心 亚信安全 2025-06-03 10:03 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,vBulletin 存在两个远程代码执行漏洞,编号为 CVE-2025-48827和CVE-2025-48828。 这两个漏洞虽然在原理上有所不同,但都可以导致执行任意代码,并允许攻击者通过发送特制的请求进行利用。具体而
继续阅读小心全屏“障眼法”!苹果浏览器曝BitM攻击漏洞,登录凭证面临失窃风险!
小心全屏“障眼法”!苹果浏览器曝BitM攻击漏洞,登录凭证面临失窃风险! 原创 Hankzheng 技术修道场 2025-06-03 09:34 近期,网络安全研究机构SquareX披露,苹果Safari浏览器存在一个安全薄弱点,可被黑客利用发起一种极具欺骗性的“全屏浏览器中的中间人”(Fullscreen Browser-in-the-Middle, BitM)攻击,使用户在不知不觉中将账户凭证
继续阅读【免费领】智能设备安全干货:路由器0day漏洞实战大全
【免费领】智能设备安全干货:路由器0day漏洞实战大全 蚁景网络安全 2025-06-03 09:30 点击蓝字/关注我们 今日福利 全网稀缺的智能设备安全实战指南 案例解析路由器Web应用、栈溢出漏洞 “一站式”全面学习路由器漏洞挖掘技能 限时福利,请及时领取哦 ~ 该资料内容较多,无法列出全部目录,以下为节选的部分目录: 长按识别下方二维码 ,回复 “0603” , 免费领取 ~ (限7日内领
继续阅读CNVD漏洞周报2025年第20期
CNVD漏洞周报2025年第20期 国家互联网应急中心CNCERT 2025-06-03 09:27 2 0 2 5 年 0 5 月26 日 – 2 0 2 5 年 0 6 月01 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 高。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞425个,其中高危漏洞251个、中
继续阅读上周关注度较高的产品安全漏洞(20250526-20250601)
上周关注度较高的产品安全漏洞(20250526-20250601) 原创 CNVD CNVD漏洞平台 2025-06-03 09:13 一、境外厂商产品漏洞 1、NETGEAR RAX30缓冲区溢出漏洞 NETGEAR RAX30是美国网件(NETGEAR)公司的一个双频无线路由器。NETGEAR RAX30存 在缓冲区溢出漏洞,该漏洞源于缺乏对用户提供的数据长度进行验证,攻击者可利用该漏洞执行任
继续阅读群晖DiskStation漏洞利用:从CVE-2024-10442到远程代码执行
群晖DiskStation漏洞利用:从CVE-2024-10442到远程代码执行 原创 GKDf1sh 山石网科安全技术研究院 2025-06-03 09:11 如何从简单的空字节写入漏洞演变为远程代码执行的致命攻击? 在网络安全领域,每一个新发现的漏洞都可能成为攻击者手中的利刃。2024年10月,安全研究人员在群晖科技(Synology)的DiskStation DS1823xs+型号设备上发现
继续阅读Chrome 浏览器V8引擎越界读写漏洞(CVE-2025-5419)
Chrome 浏览器V8引擎越界读写漏洞(CVE-2025-5419) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-06-03 09:04 漏洞名称: Chrome 浏览器V8引擎越界读写漏洞(CVE-2025-5419) 组件名称: 谷歌-Chrome 影响范围: Chrome (Windows) < 137.0.7151.68 漏洞类型: 代码执行 利用条件: 1、用户认证:不需
继续阅读【高危漏洞预警】YAML-LibYAML信息泄露漏洞(CVE-2025-40908)
【高危漏洞预警】YAML-LibYAML信息泄露漏洞(CVE-2025-40908) cexlife 飓风网络安全 2025-06-03 09:00 漏洞描述: YAML-LibYAML在0.903.0之前的Pеrl版本使用2-аrɡѕ ореn,允许现有文件被修改 攻击场景: 攻击者可能通过上传恶意文件,利用LoadFile函数的漏洞,导致信息泄露。 影响产品: 所有使用LoadFile函数的
继续阅读【AI高危漏洞预警】AstrBot路径遍历漏洞CVE-2025-48957
【AI高危漏洞预警】AstrBot路径遍历漏洞CVE-2025-48957 cexlife 飓风网络安全 2025-06-03 09:00 漏洞描述: AѕtrBоt是一个大型语言模型聊天机器人和开发框架,3.4.4到3.5.12版本中存在路径遍历漏洞,可能导致信息泄露,如LLM提供商的API密钥、账户密码和其他敏感数据,该漏洞已在Pull Rеԛuеѕt #1676中修复 ,并包含在版本3.5.
继续阅读漏洞通告 | llama_Index SQL注入漏洞
漏洞通告 | llama_Index SQL注入漏洞 原创 微步情报局 微步在线研究响应中心 2025-06-03 08:49 漏洞概况 llama_Index是一个用于构建基于数据的LLM驱动代理的领先框架。 微步情报局获取到llama_Index SQL注入漏洞(CVE-2025-1750)。该漏洞由于llama_Index的DuckDBVectorStore组件中的ref_doc_id参数直
继续阅读粉丝福利*3《攻击网络协议:协议漏洞的发现+利用+保护》
粉丝福利*3《攻击网络协议:协议漏洞的发现+利用+保护》 异步图书 亿人安全 2025-06-03 08:12 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——用
继续阅读Nacos Derby命令执行漏洞利用脚本
Nacos Derby命令执行漏洞利用脚本 风铃Sec 2025-06-03 08:05 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!【文末获取工具】 0x01 工具介绍 Nacos Derby命令执行漏洞利用脚本,默认使用User-Agent绕过漏洞进行利用,支持打入 jMG 生成的内存马。 注意:-c/–memclass 参数值是jMG生成的内存马的注入
继续阅读当漏洞成为“数字战争”的弹药,谁能改写攻防规则?(文末赠书)
当漏洞成为“数字战争”的弹药,谁能改写攻防规则?(文末赠书) 0x6270安全团队 0x6270安全团队 2025-06-03 08:00 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜
继续阅读Linux崩溃报告漏洞(cve -2025- 5054,4598)暴露密码哈希
Linux崩溃报告漏洞(cve -2025- 5054,4598)暴露密码哈希 HackSee安全团队 HackSee黑望 2025-06-03 07:29 Qualys详细介绍了影响Apport和systemd-coredump等Linux崩溃报告工具的关键漏洞CVE-2025-5054和CVE-2025-4598。了解如何保护您的Ubuntu、Red Hat和Fedora系统。 Qualys的
继续阅读【漏洞通告】Google Chrome越界读写漏洞安全风险通告
【漏洞通告】Google Chrome越界读写漏洞安全风险通告 嘉诚安全 2025-06-03 07:26 漏洞背景 近日,嘉诚安全 监测到 Google Chrome越界读写漏洞,漏洞编号为: CVE-2025-5419 。 Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件,目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaS
继续阅读SRC实战篇-还在交Druid的低危漏洞?
SRC实战篇-还在交Druid的低危漏洞? 原创 lvwv1 OneTS安全团队 2025-06-03 07:00 声明 本文属于OneTS安全团队成员lvwv1 的原创文章,转载请声明出处!本文章仅用于学习交流使用,因利用此文信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,OneTS安全团队及文章作者不为此承担任何责任。 使用ARL-plus框框一顿扫得到资产 http://IP:4
继续阅读【漏洞预警】Google Chrome 越界读写漏洞(CVE-2025-5419)
【漏洞预警】Google Chrome 越界读写漏洞(CVE-2025-5419) 原创 聚焦网络安全情报 安全聚 2025-06-03 05:29 高 危 公 告 近日,安全聚实验室监测到 Google Chrome 存在越界读写漏洞 ,编号为:CVE-2025-5419,CVSS:8.8 攻击者可构造特定代码触发内存越界访问,从而读取或写入超出预期范围的内存区域,绕过 Chrome 的沙箱隔
继续阅读搭建靶场、Windows/Linux系统安全、sql注入、XSS、代码审计/RCE、木马免杀、暴力破解、SSRF、提权
搭建靶场、Windows/Linux系统安全、sql注入、XSS、代码审计/RCE、木马免杀、暴力破解、SSRF、提权 计算机与网络安全 2025-06-03 04:57 渗透测试工程师(高级) 5天直播课 (6月29号,7月5、6、12、13号) 线上考试,2周左右下证 终身有效,无需维持 扫码报名咨询 618抽奖 抽奖礼品为iPhone16、618元现金红包 第一波:5月31 日中午 12:0
继续阅读