2025攻防演练必修高危漏洞集合(1.0版)
2025攻防演练必修高危漏洞集合(1.0版) 漏洞情报中心 斗象科技 2025-05-22 10:15 高危风险漏洞一直是企业网络安全防护的薄弱点,也成为HW攻防演练期间红队的重要突破口;每年HW期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。 攻防演练在即,斗象XVI扩展漏洞情报依托漏洞盒子的实时海量漏洞数
继续阅读标签: 代码执行
Setuptools 漏洞导致数百万 Python 用户易受RCE攻击
Setuptools 漏洞导致数百万 Python 用户易受RCE攻击 Ddos 代码卫士 2025-05-22 09:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 广为使用的 setuptools 项目中存在一个严重的路径遍历漏洞CVE-2025-47273(CVSS v4 7.7),它可导致攻击者将文件写到受害者文件系统中的任意位置,在一定条件下可导致远程代码执行后果。该漏洞已修
继续阅读漏洞复现|无垠智能模糊测试系统实战复现OpenSSL高危漏洞
漏洞复现|无垠智能模糊测试系统实战复现OpenSSL高危漏洞 原创 Yannis 云起无垠 2025-05-22 08:30 本文将详细介绍如何使用无垠智能模糊测试系统复现OpenSSL中的CVE-2022-3602漏洞。平台不仅简化了模糊测试流程,还通过AI赋能大幅提升了漏洞挖掘的效率和准确性,为企业构建自动化安全测试体系提供了强有力的支持。 背景介绍 在网络安全领域,OpenSSL作为广泛应用
继续阅读突破限制模式:Visual Studio Code 中的 XSS 到 RCE
突破限制模式:Visual Studio Code 中的 XSS 到 RCE Ots安全 2025-05-21 11:19 2024 年 4 月,我发现了 Visual Studio Code(VS Code <= 1.89.1)中一个高严重性漏洞,该漏洞允许攻击者将跨站点脚本 (XSS) 漏洞升级为完全远程代码执行 (RCE)——即使在受限模式下也是如此。 桌面版 Visual Studi
继续阅读【AI风险通告】vLLM存在远程代码执行漏洞(CVE-2025-47277)
【AI风险通告】vLLM存在远程代码执行漏洞(CVE-2025-47277) 安恒研究院 安恒信息CERT 2025-05-21 10:15 漏洞概述 漏洞名称 vLLM存在远程代码执行漏洞(CVE-2025-47277) 安恒CERT评级 1级 CVSS3.1评分 9.8(安恒自评) CVE编号 CVE-2025-47277 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-
继续阅读vLLM 曝高危远程代码漏洞,AI 服务器面临攻击风险
vLLM 曝高危远程代码漏洞,AI 服务器面临攻击风险 FreeBuf 2025-05-21 10:04 研究人员近日披露了大型语言模型(LLM)高性能推理与服务引擎 vLLM 中存在的一个高危漏洞(编号 CVE-2025-47277)。该漏洞源于 PyNcclPipe 通信服务中存在的不安全反序列化缺陷,可导致远程代码执行(RCE),其 CVSS 评分为 9.8 分。 Part01 漏洞技术细节
继续阅读【CVE-2025-40634】缓冲区溢出 EXP 公布
【CVE-2025-40634】缓冲区溢出 EXP 公布 原创 骨哥说事 骨哥说事 2025-05-21 06:32 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/ **不想错过任何消息?设置星标↓ ↓ ↓ 概述 TP-Lin
继续阅读漏洞速递 | CVE-2025-0868 RCE漏洞(附EXP)
漏洞速递 | CVE-2025-0868 RCE漏洞(附EXP) 原创 Xiao 渗透Xiao白帽 2025-05-21 04:04 0x01 前言 DocsGPT 中存在导致远程代码执行 (RCE) 的漏洞。由于使用 eval() 对 JSON 数据进行解析不当,未经授权的攻击者可发送任意 Python 代码以通过 /api/remote 端点执行 。 0x02 漏洞等级 高危 0x03 漏洞影
继续阅读Hazy Hawk DNS漏洞攻击:知名机构云资源被劫持,网络安全警报高涨
Hazy Hawk DNS漏洞攻击:知名机构云资源被劫持,网络安全警报高涨 知机安全 知机安全 2025-05-21 03:59 1. Hazy Hawk威胁团伙利用DNS漏洞劫持知名机构云资源,进行网络诈骗 黑客组织Hazy Hawk通过DNS配置错误,非法获取并劫持了包括Amazon S3和Microsoft Azure在内的高知名度组织的云资源,利用这些资源托管恶意网站,通过TDS系统分发诈
继续阅读【漏洞通告】glibc静态setuid程序dlopen代码执行漏洞安全风险通告
【漏洞通告】glibc静态setuid程序dlopen代码执行漏洞安全风险通告 嘉诚安全 2025-05-21 00:39 漏洞背景 近日,嘉诚安全 监测到 glibc静态setuid程序dlopen代码执行漏洞,漏洞编号为: CVE-2025-4802 。 setuid二进制文件是具有特殊权限的程序,可以以文件拥有者的身份执行。dlopen是一个动态加载库的函数,通常用于在运行时加载共享库。 鉴
继续阅读30个云安全漏洞的发现与利用技巧,非常有用!
30个云安全漏洞的发现与利用技巧,非常有用! 原创 牛叫瘦 HACK之道 2025-05-21 00:03 云计算已成为企业数字化转型的核心基础设施,但其复杂性和开放性也带来了前所未有的安全挑战。作为渗透测试从业者,我们需深入理解云环境的脆弱点,并掌握针对性的发现与利用技术。以下从配置错误、身份管理、数据安全、API滥用、供应链攻击 等维度,结合实战经验,总结30个关键漏洞及应对技巧,仅供参考。
继续阅读漏洞预警 | 力软敏捷开发框架远程代码执行漏洞
漏洞预警 | 力软敏捷开发框架远程代码执行漏洞 浅安 浅安安全 2025-05-21 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 力软敏捷开发框架是一套基于智能化可扩展组件式的软件系统项目,采用当前主流开发技术,内置多种组件,适合企业管理软件和互联网平台后台系统开发,能帮助开发者快速构建高质量信息系统。 0x03 漏洞详情
继续阅读2025 HVV必修高危漏洞集合
2025 HVV必修高危漏洞集合 计算机与网络安全 2025-05-20 23:57 本次高危漏洞自查列表 漏洞名称 漏洞类型 所属厂商 影响版本 用友 NC FsConsoleService SQL 注入漏洞 SQL 注入漏洞 用友 NC633 NC65 NCC1811 NCC1903 NCC1909 NCC2005 Ingress NGINX 未授权 远程代码执行漏洞 远程代码执行漏洞 NGI
继续阅读Google Chrome 访问控制不当漏洞
Google Chrome 访问控制不当漏洞 上汽集团网络安全应急响应中心 2025-05-20 15:55 漏洞情报 Google Chrome 访问控制不当漏洞 【 漏洞编号 】 CVE-2025-4664 【 情报等级 】 中危 【 漏洞描述 】 360漏洞云监测到 Google Chrome 发布新版本,修复了4个安全漏洞,其中包括一个访问控制不当漏洞,该漏洞的存在是由于Loader的策略
继续阅读漏洞速递 | CVE-2025-29927漏洞(附EXP)
漏洞速递 | CVE-2025-29927漏洞(附EXP) 渗透Xiao白帽 2025-05-20 15:53 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Next.js是Vercel开源的一个 React 框架,Next.js 是一款基于 React 的热门 Web 应用程序框架,提供服务器端渲染、静态
继续阅读【安全圈】CISA最近将Chrome漏洞标记为被积极利用
【安全圈】CISA最近将Chrome漏洞标记为被积极利用 安全圈 2025-05-20 11:01 关键词 安全漏洞 周四,CISA警告美国联邦机构保护其系统免受利用Chrome网络浏览器中高严重性漏洞的持续攻击。 Solidlab安全研究员Vsevolod Kokorin发现了这个漏洞(CVE-2025-4664),并于5月5日在线分享了技术细节。released security update
继续阅读【安全圈】黑客在Pwn2Own柏林大赛中利用28个零日漏洞斩获107万美元奖金
【安全圈】黑客在Pwn2Own柏林大赛中利用28个零日漏洞斩获107万美元奖金 安全圈 2025-05-20 11:01 关键词 网络安全 在刚刚落幕的Pwn2Own柏林2025黑客大赛中,安全研究人员通过成功利用28个零日漏洞,累计斩获1,078,750美元奖金。在这场为期三天的赛事中,参赛者针对多个关键领域发起挑战,包括人工智能平台、网络浏览器、虚拟化软件、服务器基础设施、云原生/容器技术以及
继续阅读火狐修复Pwn2Own大会上利用的2个0day漏洞
火狐修复Pwn2Own大会上利用的2个0day漏洞 Ravie Lakshmanan 代码卫士 2025-05-20 10:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 公司已发布安全更新,修复位于火狐浏览器中的两个严重漏洞。这两个漏洞可被用于访问敏感数据或实现代码执行。 这两个漏洞均在刚刚结束的柏林 Pwn2Own 大赛上遭利用,简述如下: CVE-2025-491
继续阅读【漏洞通告】glibc静态setuid程序dlopen代码执行漏洞 (CVE-2025-4802)
【漏洞通告】glibc静态setuid程序dlopen代码执行漏洞 (CVE-2025-4802) 启明星辰安全简讯 2025-05-20 08:38 一、漏洞概述 漏洞名称 glibc静态setuid程序dlopen代码执行漏洞 CVE ID CVE-2025-4802 漏洞类型 代码执行 发现时间 2025-05-20 漏洞评分 9.8 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度
继续阅读CNVD漏洞周报2025年第18期
CNVD漏洞周报2025年第18期 国家互联网应急中心CNCERT 2025-05-20 02:02 2 0 2 5 年 0 5 月1 2 日 – 2 0 2 5 年 0 5 月18 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞 363个,其中高危漏洞181个
继续阅读CNVD漏洞周报2025年第18期
CNVD漏洞周报2025年第18期 国家互联网应急中心CNCERT 2025-05-20 02:02 2 0 2 5 年 0 5 月1 2 日 – 2 0 2 5 年 0 5 月18 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞 363个,其中高危漏洞181个
继续阅读GNU C(glibc)漏洞可以在数百万 Linux 系统执行任意代码
GNU C(glibc)漏洞可以在数百万 Linux 系统执行任意代码 会杀毒的单反狗 军哥网络安全读报 2025-05-20 01:00 导读 安全研究人员披露 GNU C 库 (glibc) 中的一个重大漏洞,可能影响全球数百万个 Linux 系统。 漏洞编号为 CVE-2025-4802,涉及静态链接的 setuid 二进制文件,这些二进制文件错误地搜索库路径,可能允许攻击者以提升的权限执行
继续阅读SAP漏洞风暴升级:BianLian、RansomExx及更多团伙利用组合拳攻击NetWeaver
SAP漏洞风暴升级:BianLian、RansomExx及更多团伙利用组合拳攻击NetWeaver 原创 Hankzheng 技术修道场 2025-05-20 00:03 导语: 企业核心系统SAP NetWeaver正面临严峻的安全挑战。 BianLian 、 RansomExx (Storm-2460) 等多个高级威胁团伙,以及包括 UNC5221 在内的其他攻击力量,均被发现利用SAP
继续阅读【漏洞预警】Invision Community themeeditor远程代码执行漏洞CVE-2025-47916
【漏洞预警】Invision Community themeeditor远程代码执行漏洞CVE-2025-47916 cexlife 飓风网络安全 2025-05-19 15:09 漏洞描述: Invision Community是一款流行的在线社区平台软件,提供论坛、博客、画廊、文件分享等多种功能,用于建立和管理各类在线社区。Invision Community5.0.0至5.0.6版本中存在一
继续阅读Firefox紧急修复两大零日漏洞!Pwn2Own柏林大赛黑客斩获$10万奖金
Firefox紧急修复两大零日漏洞!Pwn2Own柏林大赛黑客斩获$10万奖金 原创 道玄安全 道玄网安驿站 2025-05-19 14:26 “ 火狐0day。” PS:有内网web自动化需求可以私信 01 — 导语 在刚刚落幕的 Pwn2Own柏林2025 黑客大赛中,Mozilla Firefox浏览器成为焦点——两名安全研究员利用 两个零日漏洞(CVE-2025-4918和CVE-202
继续阅读【安全圈】glibc漏洞使数百万Linux系统面临代码执行风险
【安全圈】glibc漏洞使数百万Linux系统面临代码执行风险 安全圈 2025-05-19 11:01 关键词 安全漏洞 GNU C 库(glibc)中新报告的漏洞,是无数 Linux 应用程序的基本组成部分,它详细介绍了静态 setuid 二进制文件的共享库加载机制中可能可利用的弱点。 跟踪为 CVE-2025-4802,environment该漏洞源于静态 setuid 二进制文件在通过 d
继续阅读Pwn2Own大赛:黑客利用JavaScript零日漏洞攻破Firefox的技术细节
Pwn2Own大赛:黑客利用JavaScript零日漏洞攻破Firefox的技术细节 FreeBuf 2025-05-19 10:30 Mozilla已紧急修复Firefox浏览器中的两个关键零日漏洞(zero-day vulnerability),这两个漏洞均在上周柏林举行的Pwn2Own 2025黑客大赛中被成功利用。 Part01 漏洞利用过程 在这场以顶尖安全研究员挑战流行软件而闻名的赛事
继续阅读Windows远程桌面网关UAF漏洞可导致远程代码执行
Windows远程桌面网关UAF漏洞可导致远程代码执行 FreeBuf 2025-05-19 10:30 微软远程桌面网关(RD Gateway)中存在一个高危漏洞,攻击者可利用该漏洞在受影响系统上远程执行恶意代码。该漏洞编号为CVE-2025-21297,由微软在2025年1月安全更新中披露,目前已在野外被积极利用。 Part01 漏洞技术分析 该漏洞由昆仑实验室研究员VictorV发现并报告,
继续阅读2025年4月企业必修安全漏洞清单
2025年4月企业必修安全漏洞清单 腾讯安全 2025-05-19 10:15 前言 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,
继续阅读每周网安资讯 (5.13-5.19)| Siemens SIMATIC PCS neo漏洞预警
每周网安资讯 (5.13-5.19)| Siemens SIMATIC PCS neo漏洞预警 交大捷普 2025-05-19 10:14 2025[ 每周网安资讯 ]5.13-5.19 网安资讯 1、国家信息中心牵头编制的国家标准《数据安全技术 政务数据处理安全要求》正式发布 近日,《数据安全技术 政务数据处理安全要求》(GB/T 45396-2025)经国家市场监督管理总局、国家标准化管理委员
继续阅读