上周关注度较高的产品安全漏洞(20250310-20250316)
上周关注度较高的产品安全漏洞(20250310-20250316) 原创 CNVD CNVD漏洞平台 2025-03-17 18:49 一、境外厂商产品漏洞 1、Google Chrome代码执行漏洞(CNVD-2025-05091) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 132.0.6834.83之前版本存在代码执行漏洞,攻击者可
继续阅读标签: 代码执行
雷神众测漏洞周报2025.3.10-2024.3.16
雷神众测漏洞周报2025.3.10-2024.3.16 原创 雷神众测 雷神众测 2025-03-17 17:45 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读SRC漏洞挖掘之文件上传漏洞挖掘实战指南
SRC漏洞挖掘之文件上传漏洞挖掘实战指南 原创 炽汐安全屋 炽汐安全屋 2025-03-16 22:09 文件上传漏洞是Web应用程序中常见的安全隐患之一。通过上传恶意文件,攻击者可以实现远程代码执行、获取服务器权限甚至控制整个系统。本文将从文件上传漏洞的原理、分类到实际挖掘步骤进行详细解析,并结合实战案例,为你提供一份全面而实用的指南。一、文件上传漏洞的基本原理文件上传漏洞的本质在于Web应用程
继续阅读SRC漏洞挖掘之逻辑漏洞挖掘实战指南
SRC漏洞挖掘之逻辑漏洞挖掘实战指南 原创 炽汐安全屋 炽汐安全屋 2025-03-15 21:29 在SRC(安全漏洞挖掘与利用)领域,逻辑漏洞是一类特殊且高价值的漏洞类型。不同于常见的代码执行、SQL注入等技术性漏洞,逻辑漏洞更多依赖于对系统业务流程的深刻理解和分析。这类漏洞往往隐藏在应用程序的业务逻辑中,不容易被自动化工具检测出来,因此成为许多SRC玩家的追求。 本文将以教学为主,以SRC漏
继续阅读【安全圈】开源字体渲染库 FreeType 出现高危漏洞,可被黑客利用发起攻击
【安全圈】开源字体渲染库 FreeType 出现高危漏洞,可被黑客利用发起攻击 安全圈 2025-03-15 19:00 关键词 安全漏洞 3 月 14 日消息,Facebook 旗下的安全研究实验室日前透露, FreeType 在 2.13.0 以前的版本中存在安全漏洞 ,该漏洞代号为 CVE-2025-27363,漏洞评分为 8.1/10 分,评级为高风险。 注:FreeType 是一款开源的
继续阅读微软与VMware零日漏洞紧急修复指南
微软与VMware零日漏洞紧急修复指南 FreeBuf 2025-03-15 18:04 首席信息安全官(CISO)需督促管理员尽快修复Windows和VMware产品中的零日漏洞 ,避免其被广泛利用。 此外,Windows管理员还需留意一个已有公开利用证明的漏洞,威胁者很可能会对此发起攻击。 同时,使用OpenSSH进行安全远程登录的应用程序在发现两处中间人(MiTM)攻击和服务拒绝漏洞后,也需
继续阅读【高危漏洞】【POC公开】Apache Camel 任意命令执行漏洞
【高危漏洞】【POC公开】Apache Camel 任意命令执行漏洞 原创 moon 皓月当空w 2025-03-15 17:12 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称 : Apache Camel 任意命令执行漏洞 漏洞出现时间 :2025年3月13日 影响等级 :高危 漏洞说明: Apache Camel 中近期披露的一个安全漏洞(编号为 CVE –
继续阅读.NET v2.0 框架不用愁,通过 ysoserial_frmv2 触发反序列化漏洞
.NET v2.0 框架不用愁,通过 ysoserial_frmv2 触发反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-15 13:02 ViewStateDecoder2 是一个专门用于解析和分析 .NET ViewState 数据的工具,安全研究人员可以利用来查看其中存储的数据结构,检查是否存在用户数据泄露等,本篇文章将深入剖析 ViewStateDecod
继续阅读Apache ERP开源框架OFBiz高危RCE 漏洞复现分析
Apache ERP开源框架OFBiz高危RCE 漏洞复现分析 原创 HSCERT 山石网科安全技术研究院 2025-03-15 09:01 无需身份验证,攻击者就能轻松拿下你的服务器,你必须立刻知道! 在数字化时代,企业的核心业务系统如同一座座数字化城堡,而开源软件则是这些城堡的基石。然而,当基石出现裂缝时,整个城堡的安全都将受到严重威胁。近期,Apache OFBiz——一款广泛应用于企业资源
继续阅读【安全圈】GitLab 警告多个漏洞可让攻击者以有效用户身份登录
【安全圈】GitLab 警告多个漏洞可让攻击者以有效用户身份登录 安全圈 2025-03-14 19:03 关键词 安全漏洞 GitLab 发布了针对多个漏洞的关键安全补丁,这些漏洞可能允许攻击者以合法用户身份进行身份验证,甚至在特定情况下执行远程代码。 该公司已敦促所有自行管理的 GitLab 安装立即升级到社区版 (CE) 和企业版 (EE) 17.9.2、17.8.5 或 17.7.7 版
继续阅读Meta:FreeType 0day漏洞已遭活跃利用
Meta:FreeType 0day漏洞已遭活跃利用 Ravie Lakshmanan 代码卫士 2025-03-14 18:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Meta 提醒称,开源字体渲染库 FreeType 中的一个 0day漏洞 (CVE-2025-27363) 可能已遭在野利用。 该漏洞的CVSS评分为8.1,是一个高危级别的界外写漏洞。当解析某些字体文件时,可被
继续阅读XXE漏洞各种骚姿势
XXE漏洞各种骚姿势 迪哥讲事 2025-03-14 17:33 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4086 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 XML 外部实体(XXE)漏洞是现代网
继续阅读微软2025年3月补丁日重点漏洞安全预警
微软2025年3月补丁日重点漏洞安全预警 原创 山石漏洞管理中心 山石网科安全技术研究院 2025-03-14 17:15 微软官方发布3月安全更新 请及时安装补丁修复 补丁概述 2025年3月11日,微软官方发布了3月安全更新,针对57个Microsoft CVE和10个non-Microsoft CVE进行修复。Microsoft CVE中,包含6个严重漏洞(Critical)、50个重要
继续阅读Ballista僵尸网络利用TP-Link漏洞,6千台设备被攻击
Ballista僵尸网络利用TP-Link漏洞,6千台设备被攻击 数世咨询 2025-03-14 16:02 未打补丁的 TP-Link Archer 路由器正成为一种名为 Ballista 的新型僵尸网络攻击的目标,这是 Cato CTRL 团队最新发现的。 01 攻击原理与传播方式 安全研究人员 Ofek Vardi 和 Matan Mittelman 在一份技术报告中表示:“该僵尸网络利用
继续阅读紧急补丁发布:谷歌、苹果、微软联合应对高危零日漏洞 CVE-2025-24201
紧急补丁发布:谷歌、苹果、微软联合应对高危零日漏洞 CVE-2025-24201 安全客 2025-03-14 15:45 近期,谷歌、苹果和微软联合发布了紧急安全补丁,修复了一个正在被恶意利用的关键零日漏洞。该漏洞被标记为CVE-2025-24201,属于GPU上的越界写入漏洞,影响了多个平台和浏览器。苹果的安全工程与架构团队(Apple SEAR)最早在2025年3月5日报告了这一漏洞,并确认
继续阅读腾讯云安全中心推出2025年2月必修安全漏洞清单
腾讯云安全中心推出2025年2月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-03-14 09:45 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读.NET v2.0 框架不用愁,通过 ysoserial_frmv2 触发 ViewState 反序列化漏洞
.NET v2.0 框架不用愁,通过 ysoserial_frmv2 触发 ViewState 反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-14 08:23 ViewStateDecoder2 是一个专门用于解析和分析 .NET ViewState 数据的工具,安全研究人员可以利用来查看其中存储的数据结构,检查是否存在用户数据泄露等,本篇文章将深入剖析 Vie
继续阅读MFA告急!黑客利用高级技术绕过保护;WebKit零日漏洞被利用开展“极其复杂”定向攻击,苹果紧急修复 | 牛览
MFA告急!黑客利用高级技术绕过保护;WebKit零日漏洞被利用开展“极其复杂”定向攻击,苹果紧急修复 | 牛览 安全牛 2025-03-13 18:36 新闻速览 •英国网络安全行业收入增长12%突破130亿英镑 •机器身份数量超过人类用户4万倍,风险增加7.5倍 •MFA告急!黑客利用高级技术绕过保护 •微软修复6个零日漏洞和10个高风险漏洞 •新型Ebyte勒索软件来袭,采用先进加密策略攻击
继续阅读2025 Q1季度你需要关注的高危漏洞合集!
2025 Q1季度你需要关注的高危漏洞合集! 奇安信 CERT 2025-03-13 15:25 2025年第一季度,数字化进程的加速与新兴技术的普及,为企业带来效率提升的同时,也催生了更为复杂的安全威胁。从传统OA系统、办公软件到新兴的大模型基础设施,高危漏洞的爆发呈现 多维度、高破坏性 的特征:远程代码执行漏洞(RCE)可瞬间接管核心业务系统,SQL注入与身份认证绕过漏洞成为数据泄露的“隐形通
继续阅读【安全更新】微软3月安全更新多个产品高危漏洞通告
【安全更新】微软3月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2025-03-12 18:22 通告编号:NS-2025-0013 2025-03-12 TAG: 安全更新、Windows、Microsoft Office、Azure、Microsoft Visual Studio 漏洞危害: 攻击者利用本次安全更新中的漏洞,可造成权限提升、远程代码执行等 版本: 1.
继续阅读2025-03微软漏洞通告
2025-03微软漏洞通告 火绒安全 火绒安全 2025-03-12 18:12 微软官方发布了2025年3月的安全更新。 本月更新公布了256个漏洞,包含23个特权提升漏洞、23个远程执行代码漏洞、4个身份假冒漏洞、4个信息泄露漏洞、3个安全功能绕过漏洞、1个拒绝服务漏洞,其中6 个漏洞级别为“Critical”(高危),51 个为“Important”(严重)。其中包含检测到文件系统相关漏洞在
继续阅读【漏洞通告】Fortinet多产品前台远程代码执行漏洞(CVE-2024-45324)
【漏洞通告】Fortinet多产品前台远程代码执行漏洞(CVE-2024-45324) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-12 18:05 漏洞名称: Fortinet多产品前台远程代码执行漏洞(CVE-2024-45324) 组件名称: Fortinet多款产品 影响范围: 7.4.0≤FortiOS 7.4≤7.4.47.2.0≤FortiOS7.2≤7.2.97.0.
继续阅读微软三月补丁星期二值得关注的漏洞
微软三月补丁星期二值得关注的漏洞 综合编译 代码卫士 2025-03-12 17:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在三月补丁日中修复了57个漏洞,其中6个是已遭利用状态。除此以外,微软还在本月早些时候修复了多个 Mariner 漏洞和10个Edge 漏洞。 这些漏洞包括: 23个提权漏洞 3个安全特性绕过漏洞 23个远程代码执行漏洞 4个信息泄露漏洞 1个拒绝服务漏
继续阅读漏洞预警 | Apache Tomcat 存在远程代码执行漏洞(CVE-2025-24813)
漏洞预警 | Apache Tomcat 存在远程代码执行漏洞(CVE-2025-24813) 原创 烽火台实验室 Beacon Tower Lab 2025-03-12 15:45 1 漏洞概述 漏洞类型 远程代码执行 漏洞等级 高危 漏洞编号 CVE-2025-24813 漏洞评分 无 利用复杂度 中 影响版本 11.0.0-M1 至 11.0.2 10.1.0-M1 到 10.1.34 9.
继续阅读警惕 Apache Camel 漏洞 攻击者借此能注入任意标头
警惕 Apache Camel 漏洞 攻击者借此能注入任意标头 山卡拉 嘶吼专业版 2025-03-12 14:01 Apache Camel 中近期披露的一个安全漏洞(编号为 CVE – 2025 – 27636),已引发整个网络安全社区的高度警惕。该漏洞允许攻击者向 Camel Exec 组件配置注入任意标头,进而有可能实现远程代码执行(RCE)。 受此漏洞影响的版本众
继续阅读360漏洞情报月报2025年02期|全网捕获4000+漏洞,整体威胁水平处于高位
360漏洞情报月报2025年02期|全网捕获4000+漏洞,整体威胁水平处于高位 360漏洞云 2025-03-12 10:39 近日,360漏洞云情报平台发布2025年2月漏洞情报月报,综合分析当月全网漏洞安全态势,人工深度研判分析重点预警漏洞,并披露多起具有战略价值的网络安全事件。本文特摘录核心内容,为政企机构提供防御参考。 月报数据显示,2025年2月全网捕获漏洞4,078例,较2024年同
继续阅读微软3月补丁日多个产品安全漏洞风险通告:6个在野利用、6个紧急漏洞
微软3月补丁日多个产品安全漏洞风险通告:6个在野利用、6个紧急漏洞 奇安信 CERT 2025-03-12 09:23 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年3月补丁日多个产品安全漏洞 影响产品 Windows NTFS 文件系统、Windows 远程桌面服务、WSL2等。 公开时间 2025-03-12 影响对象数量级 千万级 奇安信评级 高危 利用可
继续阅读Apache Tomcat partial PUT文件上传反序列化漏洞(CVE-2025-24813)
Apache Tomcat partial PUT文件上传反序列化漏洞(CVE-2025-24813) 道玄安全 道玄网安驿站 2025-03-11 22:52 “ CVE-2025-24813” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透
继续阅读【漏洞预警】Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)
【漏洞预警】Apache Tomcat 远程代码执行漏洞(CVE-2025-24813) 原创 聚焦网络安全情报 安全聚 2025-03-11 22:12 高 危 公 告 近日,安全聚实验室监测到 Apache Tomcat 存在远程代码执行漏洞 ,编号为:CVE-2025-24813,CVSS:8.7 当应用程序启用Servlet写入功能,并使用Tomcat的默认会话持久化机制和存储位置,同时
继续阅读Apache Tomcat远程代码执行漏洞(CVE-2025-24813)
Apache Tomcat远程代码执行漏洞(CVE-2025-24813) 原创 HSCERT 山石网科安全技术研究院 2025-03-11 21:30 一、漏洞背景 3月11日,山石安研院关注到Apache Tomcat官方发布了一个安全公告,修复了一个特定条件的远程代码执行漏洞(CVE-2025-24813),通过公开的POC已经成功复现该漏洞,由于Tomcat DefaultServlet
继续阅读