漏洞可能导致与任意谷歌账户关联的手机号码遭泄露
漏洞可能导致与任意谷歌账户关联的手机号码遭泄露 鹏鹏同学 黑猫安全 2025-06-12 01:20 化名”brutecat”的安全研究员发现,通过滥用谷歌账户恢复功能漏洞,可暴力破解任意谷歌账户关联的手机号码。该漏洞存在于谷歌已停用的无JavaScript支持的用户名找回页面,该版本缺乏防滥用保护机制。 数月前,研究员在浏览器禁用JavaScript测试谷歌服务兼容性时,
继续阅读月度归档: 2025 年 6 月
SAP 2025年6月安全补丁日修复关键NetWeaver漏洞
SAP 2025年6月安全补丁日修复关键NetWeaver漏洞 鹏鹏同学 黑猫安全 2025-06-12 01:20 SAP 2025年6月安全补丁修复了关键NetWeaver漏洞(编号CVE-2025-42989,CVSS评分9.6),该漏洞可能导致攻击者绕过授权检查并提升权限。 根据安全公告显示:”RFC入站处理未对认证用户执行必要的授权检查,导致权限提升。成功利用此漏洞将严重影响
继续阅读微软 Copilot 严重漏洞可能引发零点击攻击
微软 Copilot 严重漏洞可能引发零点击攻击 会杀毒的单反狗 军哥网络安全读报 2025-06-12 01:01 导读 研究人员表示,微软 Copilot AI 工具中最近修复的一个严重漏洞可能让远程攻击者只需发送电子邮件即可窃取组织的敏感数据。 该漏洞被命名为 EchoLeak,漏洞编号为CVE-2025-32711,黑客可利用该漏洞在目标用户未采取任何行动的情况下发起攻击。 Aim Sec
继续阅读【复现】契约锁远程代码执行漏洞风险通告
【复现】契约锁远程代码执行漏洞风险通告 赛博昆仑CERT 2025-06-12 01:01 赛博昆仑漏洞 安全风险通告 契约锁远程代码执行漏洞 风险通告 漏洞描述 契约锁,是一个电子签章及印章管控平台,提供的电子文件具有与纸质文件一样的法律效力。平台上签署大体的流程是:由合同发起方上传需签署的合同文档,文档会进入“契约锁”的数据库,以加密形式存储;选择好所发对象后,会通过包含链接的短信、微信等方式
继续阅读Roundcube RCE 漏洞被迅速利用,超过 8 万台服务器受到影响
Roundcube RCE 漏洞被迅速利用,超过 8 万台服务器受到影响 会杀毒的单反狗 军哥网络安全读报 2025-06-12 01:01 导读 Roundcube 中的一个严重远程代码执行 (RCE) 漏洞在修补几天后被利用,影响了超过 80,000 台服务器。 补丁发布几天后,威胁组织就利用了 Roundcube 中一个严重远程代码执行 (RCE) 漏洞(CVE-2025-49113 ),攻
继续阅读深度剖析JSONP注入漏洞:JavaScript回调函数引发的会话弹窗劫持
深度剖析JSONP注入漏洞:JavaScript回调函数引发的会话弹窗劫持 tangkaixing 开心网安 2025-06-12 00:58 免责声明 由于传播、利用本公众号开心网安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号开心网安 及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢! 1 概述 在Web应用安全领域
继续阅读Sharp4Shell:.NET 一款集交互与横向于一体的内网渗透神器
Sharp4Shell:.NET 一款集交互与横向于一体的内网渗透神器 专攻.NET安全的 dotNet安全矩阵 2025-06-12 00:40 在红队渗透测试的过程中,内网横向移动 是获取高价值目标与深入网络核心的关键一步。如何在目标网络中高效执行命令、提权、收集信息并进一步横向,是对攻击者实战能力的深刻考验。为此,Sharp4Shell.exe 应运而生,它不仅具备交互式 Shell 支
继续阅读【PHP代审】记一次某海外酒店管理系统漏洞复现分析+0day挖掘
【PHP代审】记一次某海外酒店管理系统漏洞复现分析+0day挖掘 原创 C@ig0 菜狗安全 2025-06-12 00:31 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由 使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 文章目录 前言 漏洞复现(
继续阅读撕掉“银狐们”的“隐身衣”:黑产猎人,上线!
撕掉“银狐们”的“隐身衣”:黑产猎人,上线! 原创 ThreatBook 微步在线 2025-06-12 00:29 当“银狐”变种通过企业微信群发“税务稽查通知”,当医疗机构员工点开伪造的”2025医保结算单更新程序“……如今越来越多企业人员正成为黑产猖狂攻击企业的跳板。而面对技术快速迭代的黑产,企业传统安全防线约等于零防护。 为避免被检测到,黑产团伙从“社工伪装”,到“
继续阅读漏洞预警 | Apache Kafka任意文件读取和远程代码执行漏洞
漏洞预警 | Apache Kafka任意文件读取和远程代码执行漏洞 浅安 浅安安全 2025-06-12 00:01 0x00 漏洞编号 – # CVE-2025-27817 CVE-2025-27818 CVE-2025-27819 0x01 危险等级 – 高危 0x02 漏洞概述 Apache Kafka是一个开源分布式事件流平台,通常用于高性能数据管道、流分析、数据
继续阅读一次奇妙的降价支付逻辑漏洞挖掘之旅
一次奇妙的降价支付逻辑漏洞挖掘之旅 富贵安全 2025-06-12 00:01 前言 记录一次支付逻辑漏洞挖掘,这个支付漏洞很细,能挖出来需要十分细心和耐心,一点点看数据包,不然真的非常容易漏下,实际上这个漏洞的出现就是由于在确定订单价格时,后端数据校验缺失导致的。 这是一个新能源汽车充电小程序,出现问题的功能时购买电池的功能点,一开始选择购电,可以选择购买30度,50度,80度。不同电量对应了不
继续阅读DNSLog 平台克隆版(自定义域名支持)便于内网渗透测试与痕迹收集,同时绕过部分安全设备对 dnslog.cn 的拦截。
DNSLog 平台克隆版(自定义域名支持)便于内网渗透测试与痕迹收集,同时绕过部分安全设备对 dnslog.cn 的拦截。 Secur1ty0 夜组安全 2025-06-12 00:01 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉
继续阅读漏洞挖掘—EDU SRC证书站漏洞挖掘记录(2)
漏洞挖掘—EDU SRC证书站漏洞挖掘记录(2) 原创 haosha 网安日记本 2025-06-11 23:01 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 前言 最近工作有些忙,又是好久没有更新了,前端时间EDU SRC新上了一个证书
继续阅读【漏洞复现】九思oa漏洞之SQL注入
【漏洞复现】九思oa漏洞之SQL注入 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-06-11 23:00 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 指纹 body="/jsoa/login.jsp&qu
继续阅读流行iClicker 网站遭黑客攻击,通过伪造的 CAPTCHA 向学生发送恶意软件
流行iClicker 网站遭黑客攻击,通过伪造的 CAPTCHA 向学生发送恶意软件 Rhinoer 犀牛安全 2025-06-11 16:06 流行的学生参与平台 iClicker 的网站在一次 ClickFix 攻击中遭到入侵,该攻击使用虚假的 CAPTCHA 提示诱骗学生和教师在其设备上安装恶意软件。 iClicker 是麦克米伦的子公司,是一款数字课堂工具,允许教师点名、实时提问或进行调查
继续阅读使用异或/或运算绕过符号过滤 — RCE-XOR(6月11日更新)
使用异或/或运算绕过符号过滤 — RCE-XOR(6月11日更新) pluvo070 Web安全工具库 2025-06-11 16:02 暗月渗透测试33 项目实战渗透合集实战项目四 完整的渗透测试实例 链接:https://pan.quark.cn/s/cff5e3567c0a =================================== 免责声明 请勿利用文章内的相关技术
继续阅读一个web指纹识别工具,支持多线程、HTTP代理、批量识别、保存结果、截图展示、可自行添加指纹|漏洞探测
一个web指纹识别工具,支持多线程、HTTP代理、批量识别、保存结果、截图展示、可自行添加指纹|漏洞探测 login546 渗透安全HackTwo 2025-06-11 16:01 0x01 工具介绍 httpgo 是一款高效的开源 Web 指纹识别工具,专为网络安全设计,支持多线程、HTTP 代理和批量 URL 识别。它能快速识别网站技术栈,生成 CSV、JSON、HTML 格式结果,并提供截图
继续阅读【高危漏洞预警】Autodesk Installer权限提升漏洞(CVE-2025-5335)
【高危漏洞预警】Autodesk Installer权限提升漏洞(CVE-2025-5335) cexlife 飓风网络安全 2025-06-11 15:37 漏洞描述: Autodesk是世界领先的设计软件和 数字内容创建公司,用于建设设计、土地资源开发,生产、公用设施、通信、媒体和娱乐。始建于1982年,Autodesk 提供设计软件、Internet 门户服务、无线 开发平台及定点应用, 恶
继续阅读漏洞预警:用友NC loadDoc.ajax接口存在任意文件读取漏洞 附POC
漏洞预警:用友NC loadDoc.ajax接口存在任意文件读取漏洞 附POC 2025-6-11更新 南风漏洞复现文库 2025-06-11 15:36 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友NC简介 微信公众号搜索:南
继续阅读阿里员工内网发表万字离职帖,引发万人共鸣,马云亲自回复
阿里员工内网发表万字离职帖,引发万人共鸣,马云亲自回复 AI赋能汽车 2025-06-11 15:02 这几天,阿里内网热闹了,有篇快一万字的离职帖子火得不行。 发帖的厂友是钉钉的一位产研负责人,花名叫元安,在阿里干了好些年,他的汇报上级是无招-2,职级大概在P8到P9之间。 这篇离职帖子写得那叫一个敢说,把公司里的各种问题都给指出来了。 帖子一发布,立马在阿里同事之前引起热议,大家都特别认可,有
继续阅读一个$1,337的漏洞
一个$1,337的漏洞 迪哥讲事 2025-06-11 12:30 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4434 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 几个月前,国外白帽小哥在浏览器上禁用
继续阅读【安全圈】Outlook 高危漏洞曝光:无需用户操作即可远程执行代码,微软紧急应对 CVE-2025-47176
【安全圈】Outlook 高危漏洞曝光:无需用户操作即可远程执行代码,微软紧急应对 CVE-2025-47176 安全圈 2025-06-11 11:02 关键词 outlook 微软邮件客户端 Outlook 曝出重大安全漏洞,编号为 CVE-2025-47176,公布于 2025 年 6 月 10 日,CVSS 评分为 7.8,危害级别“重要”。该漏洞允许攻击者在目标系统上远程执行任意代码,尽
继续阅读【安全圈】微软警告:Windows远程桌面服务重大漏洞(CVE-2025-32710)可被远程执行代码,影响多版本服务器系统
【安全圈】微软警告:Windows远程桌面服务重大漏洞(CVE-2025-32710)可被远程执行代码,影响多版本服务器系统 安全圈 2025-06-11 11:02 关键词 Windows 微软近日披露,Windows远程桌面服务中存在一个严重的安全漏洞(CVE-2025-32710),攻击者无需身份验证即可远程执行任意代码。该漏洞于2025年6月10日公开,CVSS评分为8.1,危害等级为“高
继续阅读契约锁电子签章系统RCE简单分析
契约锁电子签章系统RCE简单分析 原创 Ha1ey 安全白白 2025-06-11 10:53 契约锁电子签章系统RCE简单分析 Ha1ey@深蓝攻防实验室 本文章仅供学习交流使用,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 前言 写一下近期契约锁修复的一个漏洞 分析 契约锁分为三块服务:电子签约签署平台、电子签约管理控
继续阅读建立一个成熟漏洞管理程序的七个步骤
建立一个成熟漏洞管理程序的七个步骤 原创 安全419 安全419 2025-06-11 10:43 过去的两年中,软件和硬件产品公开漏洞激增,显著增加了网络安全团队优先处理补丁管理的难度,对此,Axonius高级销售工程师Jon Ridyard在Infosecurity Europe 2025大会上发表演讲,提出了构建成熟漏洞管理流程,并避免团队倦怠的七个最佳实践。 一、整合CTEM概念 Jon
继续阅读渗透笔记:如何通过SQL注入漏洞拿到系统的管理员权限
渗透笔记:如何通过SQL注入漏洞拿到系统的管理员权限 蓝云Sec 2025-06-11 10:42
继续阅读Ivanti Workspace Control硬编码密钥漏洞暴露 SQL 凭据
Ivanti Workspace Control硬编码密钥漏洞暴露 SQL 凭据 Sergiu Gatlan 代码卫士 2025-06-11 10:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司发布安全更新,修复了位于该公司 Workspace Control (IWC) 解决方案中的三个高危硬编码密钥漏洞。 IWC 助力企业管理员管理桌面和应用程序,是操作系统和用
继续阅读2025-06微软漏洞通告
2025-06微软漏洞通告 火绒安全 火绒安全 2025-06-11 10:25 微 软官方发布了2025年06月的安全更新。本月更新公布了80个漏洞,包含26个远程执行代码漏洞、17个信息泄露漏洞、14个特权提升漏洞、6个拒绝服务漏洞、3个安全功能绕过漏洞、2个身份假冒漏洞,其中11个漏洞级别为“Critical”(高危),57个为“Important”(严重)。 建议用户及时使用火绒安全软件(
继续阅读【风险通告】微软6月安全更新补丁和多个高危漏洞风险提示
【风险通告】微软6月安全更新补丁和多个高危漏洞风险提示 安恒研究院 安恒信息CERT 2025-06-11 10:02 漏洞公告 微软官方发布了6月安全更新公告,包含了Windows Common Log File System Driver、Windows Installer、Microsoft Word、Web Distributed Authoring and Versioning (WEB
继续阅读Windows WebDAV 零日远程代码执行漏洞遭野外利用
Windows WebDAV 零日远程代码执行漏洞遭野外利用 信息安全大事件 2025-06-11 10:01 微软已确认其Web分布式创作和版本控制(WebDAV)实现中存在一个严重的零日漏洞正遭攻击者野外利用,这促使微软在2025年6月的补丁星期二发布紧急安全更新。 该漏洞编号为CVE-2025-33053,属于严重的远程代码执行(RCE)缺陷,允许未经授权的攻击者通过外部控制WebDAV中的
继续阅读