【漏洞预警】Google Chrome 访问控制不当漏洞(CVE-2025-4664)
【漏洞预警】Google Chrome 访问控制不当漏洞(CVE-2025-4664) 原创 聚焦网络安全情报 安全聚 2025-05-15 10:00 中 危 公 告 近日,安全聚实验室监测到 Google Chrome 存在访问控制不当漏洞 ,编号为:CVE-2025-4664,CVSS:4.3 攻击者可构造恶意网站诱导用户访问,导致泄露跨域数据。 01 漏洞描述 VULNERABILITY
继续阅读标签: 代码执行
如何从漏洞POC或者EXP代码中学习漏洞原理?
如何从漏洞POC或者EXP代码中学习漏洞原理? 原创 道玄安全 道玄网安驿站 2025-05-15 09:34 “ 逆推也很重要。” PS:有内网web自动化需求可以私信 01 — 导语 从漏洞POC(Proof of Concept)或EXP(Exploit)代码中学习漏洞原理和发现方法,是一个需要系统性分析、逆向思维和实践结合的过程。以下是具体步骤和方法: 1. 掌握基础知识 漏洞类型 :了
继续阅读【漏洞预警】Google Chrome访问控制不当漏洞
【漏洞预警】Google Chrome访问控制不当漏洞 cexlife 飓风网络安全 2025-05-15 09:06 漏洞描述: Google Chrome发布新版本,修复了4个安全漏洞其中包括一个访问控制不当漏洞,该漏洞的存在是由于Loader的策略实施不足,远程攻击者可以诱骗受害者访问一个特别设计的网站,最终导致受害者浏览器信息泄露或任意代码执行,该漏洞存在在野利用。Google官方已经在新
继续阅读2025攻防演练必修组件漏洞
2025攻防演练必修组件漏洞 骇极安全 骇极安全 2025-05-15 08:59 2025年度的各类攻防大赛即将开启,在如今的网络世界里,每一次攻防演练都是一场没有硝烟的战争!看似坚不可摧的系统防线,实则暗藏致命缺口。而在现实世界里,网络攻防演练已成为检验企业安全体系实战能力的关键。攻击者正通过漏洞组合利用、社会工程学及自动化工具,突破传统防御壁垒,构建多维度攻击链。尤其在开发中广泛使用的组件(
继续阅读微软2025年5月补丁日重点漏洞安全预警
微软2025年5月补丁日重点漏洞安全预警 原创 NEURON 山石网科安全技术研究院 2025-05-15 08:31 微软官方发布5月安全更新 请及时安装补丁修复 补丁概述 2025年5月13日,微软官方发布了5月安全更新,针对78个Microsoft CVE和5个non-Microsoft CVE进行修复。Microsoft CVE中,包含11个严重漏洞(Critical)、66个重要漏洞
继续阅读F5 BIG-IP rce漏洞 CVE-2025-31644
F5 BIG-IP rce漏洞 CVE-2025-31644 原创 棉花糖糖糖 棉花糖网安情报站 2025-05-15 08:22 F5 BIG-IP 系统漏洞 CVE-2025-31644 CVE-2025-31644 原理示意图 受影响版本 F5 BIG-IP v16.1.4.1 漏洞验证过程 漏洞详情 漏洞特征 编号 : CVE-2025-31644 类型 : 设备模式下的命令注入漏洞 风险
继续阅读利用浏览器漏洞绕过 Windows Defender 应用程序控制 (WDAC)
利用浏览器漏洞绕过 Windows Defender 应用程序控制 (WDAC) Ots安全 2025-05-15 07:30 Windows Defender 应用程序控制 (WDAC)是 一项Windows 安全功能,可帮助防止未经授权的代码(例如恶意软件或不受信任的可执行文件和脚本)在系统上运行。它是一种应用程序白名单机制,可强制执行仅允许明确受信任的可执行文件、脚本和驱动程序在系统上运行的
继续阅读【漏洞通告】Apache IoTDB UDF远程代码执行漏洞 (CVE-2024-24780)
【漏洞通告】Apache IoTDB UDF远程代码执行漏洞 (CVE-2024-24780) 启明星辰安全简讯 2025-05-15 07:22 一、漏洞概述 漏洞名称 Apache IoTDB UDF远程代码执行漏洞 CVE ID CVE-2024-24780 漏洞类型 RCE 发现时间 2025-05-15 漏洞评分 9.8 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交
继续阅读【在野利用】Fortinet 系列产品 未认证远程代码执行(CVE-2025-32756)
【在野利用】Fortinet 系列产品 未认证远程代码执行(CVE-2025-32756) 原创 安全探索者 安全探索者 2025-05-15 03:58 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 FortiVoice用于企业级统一通信平台,支持语音通话、会议、即时通讯等功能;FortiMail 用于企业邮件安全网关,提供反垃圾邮件、防病毒和邮件加密服务;FortiNDR用于网络
继续阅读安全快报 | 国际APT威胁组织利用SAP NetWeaver严重安全漏洞入侵全球581个关键基础设施系统
安全快报 | 国际APT威胁组织利用SAP NetWeaver严重安全漏洞入侵全球581个关键基础设施系统 天懋信息 2025-05-15 02:05 本周安全事件速览 05月08日-05月14日 01 国际APT威胁组织利用SAP NetWeaver严重安全漏洞入侵全球581个关键基础设施系统 简要介绍**** 近期, 一个影响 SAP NetWeaver的严重安全漏洞 被威胁活动集群利用 以
继续阅读腾讯云安全中心推出2025年4月必修安全漏洞清单
腾讯云安全中心推出2025年4月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-05-15 02:00 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读CVE-2025-4076 BL-Link远程代码执行漏洞挖掘
CVE-2025-4076 BL-Link远程代码执行漏洞挖掘 原创 Gray ChaMd5安全团队 2025-05-15 00:01 招新小广告CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱 [email protected](带上简历和想加入的小组) 漏洞描述 漏洞复现设备:BL-AC3600 漏洞原理
继续阅读微软5月安全更新:78漏洞深度透视,5大零日实战利用链及Azure DevOps CVSS 10漏洞攻防策略
微软5月安全更新:78漏洞深度透视,5大零日实战利用链及Azure DevOps CVSS 10漏洞攻防策略 原创 Hankzheng 技术修道场 2025-05-14 23:55 核心看点 (TL;DR): 微软2025年5月补丁日修复78个漏洞,11个严重,5个零日(已被利用) 。 零日重灾区: Scripting Engine (RCE), DWM (EoP), CLFS (EoP x2)
继续阅读Fortinet修复了已被积极利用的FortiVoice零日漏洞
Fortinet修复了已被积极利用的FortiVoice零日漏洞 鹏鹏同学 黑猫安全 2025-05-14 23:00 Fortinet发布安全更新,修复了一个已被用于攻击FortiVoice企业电话系统的关键远程代码执行零日漏洞(编号CVE-2025-32756)。该漏洞为栈溢出漏洞,影响FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamer
继续阅读Fortinet紧急修复零日漏洞CVE-2025-32756:远程代码执行风险威胁FortiVoice系统
Fortinet紧急修复零日漏洞CVE-2025-32756:远程代码执行风险威胁FortiVoice系统 原创 道玄安全 道玄网安驿站 2025-05-14 23:00 “ CVE-2025-32756。” PS:有内网web自动化需求可以私信 01 — 一.漏洞概述 近日,Fortinet披露了一个被野外利用的关键零日漏洞 CVE-2025-32756 ,该漏洞影响其多款安全产品,包括企业语
继续阅读微软2025年5月”补丁星期二”安全更新修复了5个已被积极利用的零日漏洞
微软2025年5月”补丁星期二”安全更新修复了5个已被积极利用的零日漏洞 鹏鹏同学 黑猫安全 2025-05-14 23:00 微软”补丁星期二”安全更新修复了75个安全漏洞,涉及Windows及组件、Office及组件、.NET与Visual Studio、Azure、Nuance PowerScribe、远程桌面网关服务以及微软 Defender
继续阅读严重的 Erlang/OTP SSH RCE 漏洞现已公开,请立即修补
严重的 Erlang/OTP SSH RCE 漏洞现已公开,请立即修补 Rhinoer 犀牛安全 2025-05-14 16:01 目前,针对一个严重的 Erlang/OTP SSH 漏洞(编号为 CVE-2025-32433)的公开攻击已被公开,该漏洞允许未经身份验证的攻击者在受影响的设备上远程执行代码。 德国波鸿鲁尔大学的研究人员于周三披露了这一漏洞,并警告所有运行该守护进程的设备都存在漏洞。
继续阅读【漏洞预警】Apache IoTDB远程代码执行漏洞
【漏洞预警】Apache IoTDB远程代码执行漏洞 cexlife 飓风网络安全 2025-05-14 14:59 漏洞描述: Apache IoTDB是一款专为物联网(IoT)场景设计的高性能时序数据库管理系统由清华大学发起是Apache基金会旗下的Top-Level项目。它采用端边云协同的轻量化架构,支持一体化的物联网时序数据收集、存储、管理与分析Apache IoTDB存在一个远程代码执行
继续阅读JNDI注入漏洞分析
JNDI注入漏洞分析 原创 锐鉴安全 锐鉴安全 2025-05-14 12:01 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标,不定期有宠粉福利 引言 近年来,JNDI注入漏洞因其高危害性(如Log4j的Log4Shell漏洞)成为安全领域的焦点。攻击者可通过此类
继续阅读微软修复78个漏洞,5个零日漏洞被利用,Azure惊现满分漏洞
微软修复78个漏洞,5个零日漏洞被利用,Azure惊现满分漏洞 看雪学苑 看雪学苑 2025-05-14 09:59 本周二,微软发布月度安全更新,共修复78个安全漏洞,其中包含5个已被黑客组织实际利用的”零日漏洞”,以及一个影响Azure DevOps Server的CVSS满分(10分)高危漏洞。此次修复涉及Windows系统、Office套件、Azure云平台等核心产
继续阅读【风险通告】微软5月安全更新补丁和多个高危漏洞风险提示
【风险通告】微软5月安全更新补丁和多个高危漏洞风险提示 安恒研究院 安恒信息CERT 2025-05-14 09:57 漏洞公告 微软官方发布了5月安全更新公告,包含了Kernel Streaming Service Driver、Universal Print Management Service、Web Threat Defense (WTD.sys)、Microsoft Office、Win
继续阅读Ivanti 修复已用于代码执行攻击中的两个 EPMM 0day 漏洞,与开源库有关
Ivanti 修复已用于代码执行攻击中的两个 EPMM 0day 漏洞,与开源库有关 Sergiu Gatlan 代码卫士 2025-05-14 09:36 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今天,Ivanti 公司督促客户修复 Ivanti Endpoint Manager Mobile (EPMM) 软件中的两个漏洞CVE-2025-4427和CVE-2025-4428,它
继续阅读微软5月补丁星期二值得关注的漏洞
微软5月补丁星期二值得关注的漏洞 综合编译 代码卫士 2025-05-14 09:36 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在5月补丁星期二中共修复了75个CVE漏洞,其中12个是“严重”级别,余下的是“重要”级别。微软提到,其中5个漏洞已遭活跃利用,其它2个是公开已知的。 已遭利用的5个0day CVE-2025-30397 是位于Scripting Engine 中的内存
继续阅读Windows 远程桌面漏洞允许攻击者通过网络执行恶意代码
Windows 远程桌面漏洞允许攻击者通过网络执行恶意代码 邑安科技 邑安全 2025-05-14 09:31 更多全球网络安全资讯尽在邑安全 Microsoft 的 2025 年 5 月补丁星期二解决了 Windows 远程桌面服务中的几个关键漏洞,这些漏洞可能允许攻击者远程执行恶意代码。安全专家敦促用户立即应用这些补丁,以保护他们的系统免受潜在漏洞的攻击。 在本月安全更新中修复的 72 个缺陷
继续阅读2025-05微软漏洞通告
2025-05微软漏洞通告 火绒安全 火绒安全 2025-05-14 09:29 微软官方发布了2025年05月的安全更新。本月更新公布了268个漏洞,包含29个远程执行代码漏洞、20个特权提升漏洞、16个信息泄露漏洞、7个拒绝服务漏洞、4个身份假冒漏洞、2个安全功能绕过漏洞,其中11个漏洞级别为“Critical”(高危),66个为“Important”(严重)。 建议用户及时使用火绒安全软件(
继续阅读Ivanti Endpoint Manager Mobile 多个漏洞安全风险通告
Ivanti Endpoint Manager Mobile 多个漏洞安全风险通告 奇安信 CERT 2025-05-14 07:45 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Endpoint Manager Mobile 多个漏洞 漏洞编号 CVE-2025-4427、CVE-2025-4428 公开时间 2025-05-13 影响量级 万级 奇安信评级
继续阅读2025年5月微软补丁日多个高危漏洞安全风险通告
2025年5月微软补丁日多个高危漏洞安全风险通告 嘉诚安全 2025-05-14 07:39 漏洞背景 近日,嘉诚安全监测到Microsoft官方发布了5月安全更新,本次更新修复了78个漏洞,涵盖权限提升、远程代码执行、安全功能绕过等多种漏洞类型。 鉴于漏洞危害较大,嘉诚安全提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。 漏洞详情 经研判以下漏洞影响较大 1、CV
继续阅读【漏洞通告】微软5月多个安全漏洞
【漏洞通告】微软5月多个安全漏洞 启明星辰安全简讯 2025-05-14 06:48 一、漏洞概述 2025年 5 月 14 日,启明星辰集团VSRC监测到微软发布了 5 月安全更新,本次更新修复了 78 个漏洞,涵盖权限提升、远程代码执行、安全功能绕过等多种漏洞类型。漏洞级别分布如下: 11 个严重级别漏洞, 66 个重要级别漏洞, 1 个 低危 级别漏洞( 漏洞 级别依据微软官方数据)。 其中
继续阅读微软5月补丁日多个产品安全漏洞风险通告:5个在野利用、11个紧急漏洞
微软5月补丁日多个产品安全漏洞风险通告:5个在野利用、11个紧急漏洞 奇安信 CERT 2025-05-14 01:10 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年5月补丁日多个产品安全漏洞 影响产品 Windows 通用日志文件系统驱动程序、Windows 脚本引擎、Microsoft SharePoint Server等。 公开时间 2025-05-14
继续阅读漏洞研究(7):XXL-JOB执行器未授权访问漏洞(RESTful API)
漏洞研究(7):XXL-JOB执行器未授权访问漏洞(RESTful API) 原创 罗锦海 OneMoreThink 2025-05-13 16:00 组件介绍 原理与危害 影响版本 利用方式 加固措施 开启身份认证 限制端口访问 升级至安全版本 1. 组件介绍 XXL-JOB是一个分布式任务调度 平台,分为调度中心和执行器两部分。 在调度中心添加执行器后,调度中心可以对执行器进行命令执行,属于集
继续阅读