两大Linux漏洞曝光,可致敏感数据泄露
两大Linux漏洞曝光,可致敏感数据泄露 鹏鹏同学 黑猫安全 2025-06-02 23:00 Qualys研究人员发现Apport与systemd-coredump存在竞争条件漏洞,本地攻击者可窃取密码哈希等关键信息 漏洞概述 安全公司Qualys威胁研究团队(TRU)披露两个影响Linux核心转储机制的高危漏洞: 1. CVE-2025-5054 影响对象:Ubuntu内置崩溃报告工具Appo
继续阅读标签: 信息泄露
漏洞预警 | PrestaShop tshirtecommerce SQL注入漏洞
漏洞预警 | PrestaShop tshirtecommerce SQL注入漏洞 浅安 浅安安全 2025-06-02 23:00 0x00 漏洞编号 – # CVE-2023-27637 0x01 危险等级 – 高危 0x02 漏洞概述 PrestaShop是一款功能丰富、基于PHP和MySQL的开源电子商务平台,而PrestaShop tshirtecommerce是
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇)
【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 安全有术 2025-06-02 12:26 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是我决
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇)
【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 安全有术 2025-06-02 12:26 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是我决
继续阅读关键 Linux 漏洞暴露了全球数百万个 Linux 系统上的密码哈希
关键 Linux 漏洞暴露了全球数百万个 Linux 系统上的密码哈希 网安百色 2025-06-02 11:29 两个严重的本地信息泄露漏洞影响着全球数百万个 Linux 系统,可能允许攻击者通过核心转储纵来提取敏感的密码数据。 Qualys 威胁研究部门 (TRU) 披露了两个针对主要 Linux 发行版上的核心转储处理程序的争用条件漏洞。第一个漏洞 CVE-2025-5054 影响 Ubun
继续阅读严重Linux漏洞致全球数百万系统密码哈希值泄露
严重Linux漏洞致全球数百万系统密码哈希值泄露 FreeBuf 2025-06-02 10:01 全球数百万Linux系统受到两个严重的本地信息泄露漏洞影响,攻击者可能通过操控核心转储(core dump)获取敏感密码数据。Qualys威胁研究部门(TRU)披露了这两个针对主流Linux发行版核心转储处理程序的竞争条件漏洞: – CVE-2025-5054: 影响Ubuntu的App
继续阅读Linux系统安全警报:Ubuntu和RHEL发现信息泄露漏洞,CVE-2025-4598被评为Moderate
Linux系统安全警报:Ubuntu和RHEL发现信息泄露漏洞,CVE-2025-4598被评为Moderate 知机安全 知机安全 2025-06-02 09:12 1. Ubuntu、Fedora和RHEL系统中发现两个信息泄露漏洞 信息安全专家Qualys Threat Research Unit (TRU) 发现了两个信息泄露漏洞,分别存在于Ubuntu的Apport和Fedora及RHE
继续阅读新的 Linux 漏洞允许通过 Ubuntu、RHEL、Fedora 中的核心内存转储窃取密码哈希值
新的 Linux 漏洞允许通过 Ubuntu、RHEL、Fedora 中的核心内存转储窃取密码哈希值 会杀毒的单反狗 军哥网络安全读报 2025-06-02 02:15 导读 据 Qualys 威胁研究部门 (TRU) 称,Ubuntu、Red Hat Enterprise Linux 和 Fedora 中的核心转储处理程序apport和systemd-coredump中发现了两个信息泄露漏洞。
继续阅读紧急预警!Linux核心转存漏洞曝光,Ubuntu、红帽系统密码哈希可被窃取
紧急预警!Linux核心转存漏洞曝光,Ubuntu、红帽系统密码哈希可被窃取 原创 道玄安全 道玄网安驿站 2025-06-01 23:00 “ 条件竞争。” PS:有内网web自动化需求可以私信 01 — 导语 国家网络安全机构近日监测到新型高危漏洞威胁: 多个主流Linux发行版的核心转存(core dump)机制存在严重安全缺陷 ,攻击者可借此 窃取系统密码哈希、加密密钥等敏感内存数据 。
继续阅读Supermap iServer任意文件读取漏洞
Supermap iServer任意文件读取漏洞 原创 Enginge Enginge 2025-06-01 15:51 “ 清夜无尘,月色如银。 ” 漏洞详情: Supermap iServer 存在文件读取漏洞,攻击者可以通过访问特定路径读取敏感文件,如用于认证的 tokenKey,从而可能导致未授权访问和数据泄露。 Query: app="SuperMap-iServer"
继续阅读这12个API漏洞赏金技巧,你一定要在目标上试试!
这12个API漏洞赏金技巧,你一定要在目标上试试! 原创 千里 东方隐侠安全团队 2025-06-01 15:01 网安知识分享 DFYX’s KNOWLEDGE & NEWS 科普知识 一起成长 东方隐侠·悟剑堂 引言 数字化时代, API(应用程序编程接口)已成为企业数据交互的核心枢纽。 然而, API暴露的攻击面正日益成为黑客攻击的主要目标。漏洞赏金计划(Bug Bounty P
继续阅读AI绘图工具ComfyUI爆高危漏洞,境外黑客已发起攻击!
AI绘图工具ComfyUI爆高危漏洞,境外黑客已发起攻击! 原创 道玄安全 道玄网安驿站 2025-06-01 07:57 “ AI漏洞。” PS:有内网web自动化需求可以私信 01 — 导语 国家网络安全通报中心于5月27日发布紧急安全警报:广受欢迎的AI绘图工具 ComfyUI存在多个高危漏洞 ,已被境外黑客组织利用对我国网络资产实施攻击。 这一消息在AI创作圈引发震动。作为一款 通过图形
继续阅读某校大数据管理后台Docker API未授权漏洞
某校大数据管理后台Docker API未授权漏洞 原创 大荒Sec 太乙Sec实验室 2025-06-01 05:58 免责声明: 本公众号 太乙Sec实验室 所提供的实验环境均是本地搭建,仅限于网络安全研究与学习 。旨在为安全爱好者提供技术交流。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作,所导致的直接或间接后果及损失,均由使用者本人负责。太乙Sec实验室 及作者对此不承担任何责任
继续阅读国家网络安全中心发高危漏洞预警
国家网络安全中心发高危漏洞预警 黑白之道 2025-06-01 00:48 一、概述 📣 发布单位:国家网络安全通报中心。 涉及工具:AI绘图工具ComfyUI。 主要问题 存在多个高危漏洞(CVE-2024-10099、CVE-2024-21574、CVE-2024-21575、CVE-2024-21576、CVE-2024-21577), attackers could exploithes
继续阅读【儿童节快乐】CVE-2025-4664:单个标头泄露敏感数据
【儿童节快乐】CVE-2025-4664:单个标头泄露敏感数据 原创 破天KK KK安全说 2025-05-31 16:00 上周,谷歌修补了Chrome 中一个已被广泛利用的高危漏洞。该漏洞编号为CVE-2025-4664,影响 Chrome 的加载器组件,攻击者可能利用Link 标头中的巧妙小技巧窃取其他网站的敏感数据。**** 让我们简单解释一下它的工作原理以及它的重要性。 步骤 1:有缺陷
继续阅读【安全圈】国家网络安全中心发高危漏洞预警
【安全圈】国家网络安全中心发高危漏洞预警 安全圈 2025-05-31 11:00 关键词 漏洞预警 一、概述 📣 发布单位:国家网络安全通报中心。 涉及工具:AI绘图工具ComfyUI。 主要问题 存在多个高危漏洞(CVE-2024-10099、CVE-2024-21574、CVE-2024-21575、CVE-2024-21576、CVE-2024-21577), attackers coul
继续阅读CVE-2025-22252|FortiOS TACACS+身份认证绕过漏洞
CVE-2025-22252|FortiOS TACACS+身份认证绕过漏洞 alicy 信安百科 2025-05-31 10:59 0x00 前言 FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统,FortiOS本身就具有多种功能,防火墙、IPSec VPN、SSL-VPN、IPS、防病毒、Web过滤、反垃圾邮件和应用控制(即时通讯和
继续阅读CVE-2025-41225|VMware vCenter Server认证命令执行漏洞
CVE-2025-41225|VMware vCenter Server认证命令执行漏洞 alicy 信安百科 2025-05-31 10:59 0x00 前言 VMware vCenter Server是美国威睿(VMware)公司的一套服务器和虚拟化管理软件。广泛的应用于企业私有云内网中,通过使用vCenter,管理员可以轻松的管理上百台虚拟化环境该软件提供了一个用于管理VMware vSph
继续阅读CVE-2024-26809|Linux提权漏洞(PoC)
CVE-2024-26809|Linux提权漏洞(PoC) alicy 信安百科 2025-05-31 10:59 0x00 前言 Linux系统是一种开源的类Unix操作系统内核 , 由于其强大的可定制性和稳定性,Linux已被广泛应用于服务器、移动设备、物联网设备等多个领域。 Linux系统在发展过程中吸引了全球范围内的开发者,形成了一个强大的社区。它采用了GNU通用公共许可证(GPL),这意
继续阅读突破浅层测试桎梏:多维度漏洞挖掘突破与实践探索
突破浅层测试桎梏:多维度漏洞挖掘突破与实践探索 富贵安全 2025-05-31 00:47 在漏洞挖掘领域,刚入门新手常受限于浅层测试模式,他们多止步于基础功能验证,扫描接口时若未发现铭感信息便迅速转换目标,并只关注首次探测到的接口忽略前置接口的检查; 信息泄露单纯明文id鉴权场景以大幅减少唯有探索新的测试手法才能突破瓶颈 本文整合许多优秀师傅分享思路与笔者事件经验,萃取其中精华皆在拓展读者挖掘视
继续阅读阿迪达斯曝数据泄露事件,NASA开源软件发现安全漏洞|一周特辑
阿迪达斯曝数据泄露事件,NASA开源软件发现安全漏洞|一周特辑 威努特安全网络 2025-05-30 23:59 阿迪达斯再曝数据泄露事件 第三方服务商遭黑客入侵 全球知名运动品牌阿迪达斯近日确认发生一起数据泄露事件,起因是其合作的第三方客户服务提供商遭到黑客入侵。 阿迪达斯在5月24日发布的声明中表示,他们已立即采取措施控制事态发展,并聘请顶级信息安全专家展开全面调查。初步调查显示,泄露数据主要
继续阅读海外SRC漏洞挖掘|助力成为百万赏金猎人
海外SRC漏洞挖掘|助力成为百万赏金猎人 迪哥讲事 2025-05-30 12:47 0x01 培训介绍 在SRC漏洞挖掘当中,随着攻击面的缩小,常规姿势与技巧已经无法挖掘出比较满意的漏洞。那么本课程将会给你带来国内外SRC漏洞挖掘 的骚姿势以及奇淫技巧!通过丰富的案例以及生动且简单易懂的教学带你快速上手漏洞挖掘当中的方方面面。通过本课程,了解国内外漏洞挖掘不同的思路,并且提升国内外漏洞挖掘的能力
继续阅读GitHub MCP服务器漏洞使攻击者可访问私有代码库
GitHub MCP服务器漏洞使攻击者可访问私有代码库 网络安全与人工智能研究中心 2025-05-30 12:36 Part01 漏洞概述 GitHub广泛使用的模型上下文协议(Model Context Protocol,MCP)服务器被发现存在严重安全漏洞,攻击者可通过恶意提示注入(prompt injection)手段获取私有代码库数据。该漏洞影响所有使用GitHub MCP集成的代理系统
继续阅读【攻防实战】ThinkPHP-RCE集锦
【攻防实战】ThinkPHP-RCE集锦 原创 儒道易行 儒道易行 2025-05-30 12:00 善恶终有报,天道好轮回;不信抬头看,苍天饶过谁 ThinkPHP 2.x RCE漏洞 0、漏洞描述 ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由: $res = preg_replace(‘@(\w+)’.$depr.'([^’.$depr.’\/]+)@e’,
继续阅读【安全圈】微软 OneDrive 被曝安全漏洞:文件选择器权限过宽恐致数据泄露
【安全圈】微软 OneDrive 被曝安全漏洞:文件选择器权限过宽恐致数据泄露 安全圈 2025-05-30 11:01 关键词 安全漏洞 网络安全团队 Oasis Research Team 于 5 月 28 日发布博文,报告称微软 OneDrive 文件选择器(File Picker)存在严重安全漏洞。 IT之家援引博文介绍,该团队表示这个漏洞的根源,在于文件选择器请求的权限过于宽泛,缺乏精细
继续阅读【安全圈】苹果 Safari 全屏模式曝中间人攻击漏洞
【安全圈】苹果 Safari 全屏模式曝中间人攻击漏洞 安全圈 2025-05-30 11:01 关键词 安全漏洞 安全研究人员披露苹果Safari浏览器存在设计缺陷,攻击者可利用全屏模式实施“浏览器中间人攻击”(BitM)窃取用户凭证 。该漏洞源于网页通过Fullscreen API进入全屏模式时,Safari缺乏明确警示机制,使恶意窗口得以隐藏地址栏并伪装成合法登录页面。 网络安全公司Squa
继续阅读GitHub MCP 漏洞:通过 MCP 访问私有仓库
GitHub MCP 漏洞:通过 MCP 访问私有仓库 Ots安全 2025-05-30 10:06 我们展示了 GitHub 官方 MCP 服务器的一个严重漏洞,该漏洞允许攻击者访问私有存储库数据。该漏洞是 Invariant 用于检测恶意代理流的安全分析器首次发现的漏洞之一。 Invariant 发现了一个影响广泛使用的GitHub MCP 集成(GitHub 上 1.4 万颗星)的严重漏洞。
继续阅读荐读丨连锁反应:海上网络的安全漏洞
荐读丨连锁反应:海上网络的安全漏洞 工业安全产业联盟平台 2025-05-30 10:02 2023年5月,微软在关岛基地(美国太平洋行动的关键节点)检测到恶意软件攻击美国关键基础设施。该攻击手法简单,若未被发现,黑客可能成功篡改工具和命令。2024年初,美国对伊朗(据称)间谍船“贝沙德号”成功实施网络攻击。尽管公开信息有限,但攻击目的明确:阻止其与胡塞武装的情报共享。消息人士还透露,近期对某主要
继续阅读聊热点|国家安全部发布使用AI应用保密安全指南、OpenAI o3模型单挑Linux内核,竟揪出一个0-day高危漏洞……
聊热点|国家安全部发布使用AI应用保密安全指南、OpenAI o3模型单挑Linux内核,竟揪出一个0-day高危漏洞…… 中国电信安全 2025-05-30 08:13 01 行业动态 国家安全部发布使用AI应用保密安全指南 随着人工智能技术的迅猛发展,AI应用在文字处理、数据分析、个性化服务等领域展现了卓越的能力,前所未有地融入我们工作和生活的方方面面。需要注意的是,我们在享受技术红利之时,也
继续阅读svnExploit【SVN源代码泄露全版本Dump源码工具】
svnExploit【SVN源代码泄露全版本Dump源码工具】 原创 白帽学子 白帽学子 2025-05-30 07:52 之前给某政务系统做渗透测试,发现他们把.svn文件夹直接扔在webroot下。这玩意儿就像在服务器门口放了个透明保险箱,黑客随便敲个/.svn/entries就能看到整个项目结构。这时候SvnExploit就成”开箱神器”。 记得去年某电商平台重保期间
继续阅读