更新:改造模糊测试工具 | 系统0day安全-二进制漏洞攻防(第4期)
更新:改造模糊测试工具 | 系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-06-05 09:59 更新:第六章:改造模糊测试工具 6.1 模糊测试挖掘命令注入漏洞 https://www.kanxue.com/book-193-5395.htm 6.2 模糊测试挖掘命令注入实现 https://www.kanxue.com/book-193-5420.htm 二进制漏洞,作
继续阅读标签: 信息泄露
谷歌披露威胁组织攻击方式:伪造Salesforce数据加载器实施钓鱼攻击
谷歌披露威胁组织攻击方式:伪造Salesforce数据加载器实施钓鱼攻击 邑安科技 邑安全 2025-06-05 09:30 更多全球网络安全资讯尽在邑安全 谷歌近日披露了一个以经济利益为动机的威胁组织UNC6040的详细情况。该组织专门通过语音钓鱼(vishing)攻击入侵企业的Salesforce系统,实施大规模数据窃取和后续勒索活动。 冒充IT支持人员的社交工程攻击 谷歌威胁情报团队追踪发现
继续阅读【已复现】DataEase 远程代码执行漏洞(CVE-2025-49002、CVE-2025-49001)
【已复现】DataEase 远程代码执行漏洞(CVE-2025-49002、CVE-2025-49001) 长亭安全应急响应中心 2025-06-05 08:06 DataEase是一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 2025年6月, 互联网 公开 披露 DataEase 存在多个高危漏洞(CVE-2025-48999、CVE-2025
继续阅读创宇安全智脑 | Cisco IOS XE 任意文件上传(CVE-2025-20188)等81个漏洞可检测
创宇安全智脑 | Cisco IOS XE 任意文件上传(CVE-2025-20188)等81个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-06-05 07:51 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实
继续阅读0Day漏洞曝光!多媒体综合业务显示系统面临严峻挑战
0Day漏洞曝光!多媒体综合业务显示系统面临严峻挑战 原创 禾小盾 数字人才创研院 2025-06-05 02:45 点击上方 蓝字 关注我们 BEGINNING OF SPRING 由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送文章,敬请大家动动手指设置“星标”,完成之后可以第一时间收到推送啦。 0x01 阅读须知 Reading Instruction
继续阅读漏洞预警 | 傲发办公通信专家系统SQL注入漏洞
漏洞预警 | 傲发办公通信专家系统SQL注入漏洞 浅安 浅安安全 2025-06-05 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 傲发办公通信专家系统是由深圳市傲发科技有限公司推出的,集协同办公、通信管理、客户管理等多种功能于一体,为中小企业提供一站式融合通信服务,助力企业提升办公效率、降低通信成本的综合办公通信解决方案
继续阅读Splunk Universal Forwarder for Windows 漏洞授予非管理员用户完全内容访问权限
Splunk Universal Forwarder for Windows 漏洞授予非管理员用户完全内容访问权限 网安百色 2025-06-04 11:30 已针对 Splunk Universal Forwarder for Windows 发布了关键安全公告 (SVD-2025-0602),解决了一个高严重性漏洞 (CVE-2025-20298),该漏洞使 Windows 系统面临潜在的权限
继续阅读【新安全事件】vBulletin 远程代码执行漏洞(CVE-2025-48827)安全风险通告
【新安全事件】vBulletin 远程代码执行漏洞(CVE-2025-48827)安全风险通告 奇安信 CERT 2025-06-04 10:53 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 vBulletin 远程代码执行漏洞 漏洞编号 QVD-2025-21254,CVE-2025-48827 公开时间 2025-05-27 影响量级 万级 奇安信评级 高危 CVSS
继续阅读慧与:注意这个严重的 StoreOnce 认证绕过漏洞
慧与:注意这个严重的 StoreOnce 认证绕过漏洞 Bill Toulas 代码卫士 2025-06-04 10:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 慧与 (HPE) 发布安全通告提醒称,基于磁盘的备份和冗余数据删除解决方案StoreOnce 中存在8个漏洞,其中最严重的是一个认证绕过漏洞CVE-2025-37093(CVSS 评分9.8),其余漏洞是四个RCE漏洞、两
继续阅读警惕!境外间谍借系统漏洞,直击党政科研要害!
警惕!境外间谍借系统漏洞,直击党政科研要害! 信息安全大事件 2025-06-04 09:03 近年来,境外间谍情报机关对我实施网络攻击窃密愈演愈烈,各种手段层出不穷,对我国家安全构成威胁,需引起警惕。 随意存密引“毒患” 某国家级重点实验室工作人员王某,为了盲目追求工作的方便快捷,故意绕开审批监管手续,在其个人联网计算机内违规存储了1000余份涉密文件和敏感资料。某天,王某收到一封主题为“会议通
继续阅读【论文速读】| SecVulEval:针对真实世界C/C++漏洞检测的LLM基准测试
【论文速读】| SecVulEval:针对真实世界C/C++漏洞检测的LLM基准测试 原创 知识分享者 安全极客 2025-06-04 08:51 基本信息 原文标题: SECVULEVAL:BenchmarkingLLMsforReal-WorldC/C++VulnerabilityDetection 原文作者: MdBasimUddinAhmed,NimaShiriHarzevili,Jiho
继续阅读Nacos漏洞实战攻防
Nacos漏洞实战攻防 稻草人 玄武盾网络技术实验室 2025-06-04 08:16 nacos介绍 Nacos 开放的端口 资产收集 下面可以看到icon图标,除了开始我们上面的一种,下面还有好几个,可以点击ico图标进一步扩大信息收集面 针对fofa总结语法: app=”nacos” && port=”8848″ || icon
继续阅读【漏洞通告】Google Chrome V8引擎越界读写漏洞(CVE-2025-5419)
【漏洞通告】Google Chrome V8引擎越界读写漏洞(CVE-2025-5419) 启明星辰安全简讯 2025-06-04 07:24 一、漏洞概述 漏洞名称 Google Chrome V8引擎越界读写漏洞 CVE ID CVE-2025-5419 漏洞类型 越界读写 发现时间 2025-06-04 漏洞评分 8.8 漏洞等级 高危 攻击向量 网络 所需权限 不需要 利用难度 低 用户交
继续阅读某园区0day代码审计
某园区0day代码审计 进击安全 2025-06-04 06:47 1、权限绕过 1.1、方法一 这里看spring-mvc 的配置,找到SpringMVC 拦截器 跟进拦截器,主要看看拦截规则写的什么,判断地址是否为白名单,如果部位白名单进入到 if (session.getAttribute(“sessional_user“) == null) { 循环中 白名单地址为
继续阅读从 Rebuild 企业级系统代码审计 SSRF 漏洞。
从 Rebuild 企业级系统代码审计 SSRF 漏洞。 闪石星曜CyberSecurity 2025-06-04 04:07 本篇为代码审计系列SSRF漏洞理论篇第五篇,看完本篇你将掌握关于SSRF漏洞的代码视角原理剖析、基础挖掘漏洞核心能力,看完如有技术错误欢迎评论区指正。 – 漏洞原理 业务视角DEMO代码 漏洞校验DEMO代码 实战审计案例 SSRF漏洞 一 漏洞原理 1.1业
继续阅读2025 年 6 月安卓安全更新修复 30 多个漏洞
2025 年 6 月安卓安全更新修复 30 多个漏洞 会杀毒的单反狗 军哥网络安全读报 2025-06-04 01:00 导读 谷歌针对 Android 操作系统的最新更新修补了 30 多个漏洞,这些漏洞均被归类为“高严重性”漏洞。 2025 年 6 月的 Android 安全公告显示,谷歌认为最严重的漏洞是 CVE-2025-26443,这是系统组件中的一个本地权限提升问题。利用该漏洞不需要额外
继续阅读漏洞预警 | JEEWMS SQL注入漏洞
漏洞预警 | JEEWMS SQL注入漏洞 浅安 浅安安全 2025-06-04 00:00 0x00 漏洞编号 – # CVE-2025-5384 CVE-2025-5386 CVE-2025-5388 0x01 危险等级 – 高危 0x02 漏洞概述 JEEWMS基于JAVA的仓库管理系统,包含PDA端和WEB端,功能涵盖WMS、OMS、BMS、TMS。 0x03 漏洞
继续阅读漏洞预警 | PrestaShop tshirtecommerce目录遍历漏洞
漏洞预警 | PrestaShop tshirtecommerce目录遍历漏洞 浅安 浅安安全 2025-06-04 00:00 0x00 漏洞编号 – # CVE-2023-27639 0x01 危险等级 – 高危 0x02 漏洞概述 PrestaShop是一款功能丰富、基于PHP和MySQL的开源电子商务平台,而PrestaShop tshirtecommerce是基于
继续阅读潜伏十年!Roundcube Webmail高危漏洞让黑客随意操控你的邮箱
潜伏十年!Roundcube Webmail高危漏洞让黑客随意操控你的邮箱 原创 道玄安全 道玄网安驿站 2025-06-03 23:00 “ webmail漏洞。” PS:有内网web自动化需求可以私信 01 — 导语 2024年10月,网络安全研究人员曝光了一个潜伏长达十年的Roundcube Webmail安全漏洞。这个被标识为 CVE-2024-37383 的严重安全缺陷,影响了全球
继续阅读天擎终端安全管理系统getsimilarlist存在SQL注入漏洞
天擎终端安全管理系统getsimilarlist存在SQL注入漏洞 原创 Enginge Enginge 2025-06-03 13:55 人皆知有用之用,而莫知无用之用也。——《庄子》 漏洞详情: 天擎终端安全管理系统getsimilarlist存在SQL注入漏洞,攻击者可通过此漏洞获取敏感信息。会导致数据库敏感信息泄露和重要数据被篡改等情况。 Query: banner="QiAnX
继续阅读SRC漏洞挖掘:别再盯着那些烂大街的姿势了!
SRC漏洞挖掘:别再盯着那些烂大街的姿势了! 龙哥网络安全 龙哥网络安全 2025-06-03 12:22 0x1 开场白:SRC挖洞,菜鸟的春天在哪儿? 别跟我说你还在死磕SQL注入、XSS那一套!大佬们早就把肉啃完了,汤都没给你剩。想在SRC或者渗透测试里混口饭吃,光靠教科书上的招式,怕是连门都摸不着。这篇文章,咱不讲高深的理论,就聊聊那些容易被忽略,但小白也能轻松上手的“冷门”漏洞。当然,别
继续阅读Edu实战记录 | 四个漏洞打包提交
Edu实战记录 | 四个漏洞打包提交 猎洞时刻 猎洞时刻 2025-06-03 10:46 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑灰产、非法入侵、攻击
继续阅读加密算法被破解而导致的漏洞,能按内部已知+通用漏洞忽略吗?
加密算法被破解而导致的漏洞,能按内部已知+通用漏洞忽略吗? 原创 棉花糖糖糖 棉花糖fans 2025-06-03 10:11 今天上午某src群中有关于漏洞审核相关的讨论,相信师傅们也已经看到了,本文将打码所有相关信息,以防未知的风险。 首先是提交漏洞的师傅的消息: image-20250603172638708 随后src审核方面发了如下图片,并说:“给你解释过了 不在多余解释” image-
继续阅读CNVD漏洞周报2025年第20期
CNVD漏洞周报2025年第20期 国家互联网应急中心CNCERT 2025-06-03 09:27 2 0 2 5 年 0 5 月26 日 – 2 0 2 5 年 0 6 月01 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 高。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞425个,其中高危漏洞251个、中
继续阅读上周关注度较高的产品安全漏洞(20250526-20250601)
上周关注度较高的产品安全漏洞(20250526-20250601) 原创 CNVD CNVD漏洞平台 2025-06-03 09:13 一、境外厂商产品漏洞 1、NETGEAR RAX30缓冲区溢出漏洞 NETGEAR RAX30是美国网件(NETGEAR)公司的一个双频无线路由器。NETGEAR RAX30存 在缓冲区溢出漏洞,该漏洞源于缺乏对用户提供的数据长度进行验证,攻击者可利用该漏洞执行任
继续阅读群晖DiskStation漏洞利用:从CVE-2024-10442到远程代码执行
群晖DiskStation漏洞利用:从CVE-2024-10442到远程代码执行 原创 GKDf1sh 山石网科安全技术研究院 2025-06-03 09:11 如何从简单的空字节写入漏洞演变为远程代码执行的致命攻击? 在网络安全领域,每一个新发现的漏洞都可能成为攻击者手中的利刃。2024年10月,安全研究人员在群晖科技(Synology)的DiskStation DS1823xs+型号设备上发现
继续阅读【AI高危漏洞预警】AstrBot路径遍历漏洞CVE-2025-48957
【AI高危漏洞预警】AstrBot路径遍历漏洞CVE-2025-48957 cexlife 飓风网络安全 2025-06-03 09:00 漏洞描述: AѕtrBоt是一个大型语言模型聊天机器人和开发框架,3.4.4到3.5.12版本中存在路径遍历漏洞,可能导致信息泄露,如LLM提供商的API密钥、账户密码和其他敏感数据,该漏洞已在Pull Rеԛuеѕt #1676中修复 ,并包含在版本3.5.
继续阅读【高危漏洞预警】YAML-LibYAML信息泄露漏洞(CVE-2025-40908)
【高危漏洞预警】YAML-LibYAML信息泄露漏洞(CVE-2025-40908) cexlife 飓风网络安全 2025-06-03 09:00 漏洞描述: YAML-LibYAML在0.903.0之前的Pеrl版本使用2-аrɡѕ ореn,允许现有文件被修改 攻击场景: 攻击者可能通过上传恶意文件,利用LoadFile函数的漏洞,导致信息泄露。 影响产品: 所有使用LoadFile函数的
继续阅读Linux崩溃报告漏洞(cve -2025- 5054,4598)暴露密码哈希
Linux崩溃报告漏洞(cve -2025- 5054,4598)暴露密码哈希 HackSee安全团队 HackSee黑望 2025-06-03 07:29 Qualys详细介绍了影响Apport和systemd-coredump等Linux崩溃报告工具的关键漏洞CVE-2025-5054和CVE-2025-4598。了解如何保护您的Ubuntu、Red Hat和Fedora系统。 Qualys的
继续阅读分享一款图形化的 .DS_Store文件泄露、.git目录泄露、.svn目录泄露漏洞利用工具
分享一款图形化的 .DS_Store文件泄露、.git目录泄露、.svn目录泄露漏洞利用工具 原创 白帽学子 白帽学子 2025-06-03 00:11 之前hvv期间我差点被甲方的运维经理追着跑——他们内网某台服务器突然暴露了.git历史记录,源码里连数据库密码都明文挂着。这种低级错误在红蓝对抗里可是要扣双倍分的,所以上线前我总要拿个扫雷工具过两遍。 图形化界面看着比命令行顺眼多了。上周给某电商
继续阅读