CVE-2025-26794|Exim存在SQL注入漏洞
CVE-2025-26794|Exim存在SQL注入漏洞 alicy 信安百科 2025-03-01 10:01 0x00 前言 Exim是基于GPL协议的开源软件,由英国剑桥大学的Philip Hazel开发。Exim 是一个MTA(邮件传输代理) ,负责邮件的路由,转发和投递。Exim可运行于绝大多数的类 UNIX 系统上,包括了 Solaris、AIX、Linux 等。 0x01 漏洞描述
继续阅读标签: 信息泄露
针对Swagger接口泄露未授权访问的各种姿势
针对Swagger接口泄露未授权访问的各种姿势 原创 神农Sec 神农Sec 2025-03-01 01:00 扫码领资料 获网安教程 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 加内部圈子,文末有彩蛋 (知识星球 优惠卷)。 0x1 前言 这篇文章的话主要是给师傅们
继续阅读漏洞预警 | 脸爱云一脸通智慧平台信息泄露漏洞
漏洞预警 | 脸爱云一脸通智慧平台信息泄露漏洞 浅安 浅安安全 2025-03-01 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 脸爱云一脸通智慧管理平台是一套功能强大,运行稳定,操作简单方便,用户界面美观,轻松统计数据的一脸通系统。 0x03 漏洞详情 漏洞类型: 信息泄露 影响: 获取敏感信息**** 简述: 脸爱云一
继续阅读漏洞预警 | 金和OA SQL注入漏洞
漏洞预警 | 金和OA SQL注入漏洞 浅安 浅安安全 2025-03-01 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。 0x03 漏洞详情 漏洞类型: SQL注入 影
继续阅读如何修复常见的WEB漏洞
如何修复常见的WEB漏洞 xsser xsser的博客 2025-02-28 15:24 常见Web漏洞修复解决方案 一、SQL注入漏洞 漏洞原理 攻击者通过构造恶意输入篡改SQL语句逻辑,绕过身份验证或直接操纵数据库。例如,输入 ‘ OR 1=1– 使查询条件恒为真,泄露全表数据。 虚构修复方案 动态语法树重组(Dynamic Syntax Tree Reshaping, DSTR
继续阅读报告:89%的企业生成式AI使用不可见,或造成严重风险
报告:89%的企业生成式AI使用不可见,或造成严重风险 THN 代码卫士 2025-02-28 10:36 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 组织机构要么已经正在使用生成式AI (GenAI) 解决方案,要么正在评估将这些工具集成到业务计划中的策略,要么这两项工作都在做。要做出明智决策并进行有效规划,硬数据的获取至关重要,但此类数据仍然少得令人惊奇。 LayerX 公司发布《2
继续阅读【风险提示】 DeepSeek等大模型私有化服务器部署近九成在“裸奔”,已知漏洞赶紧处理!
【风险提示】 DeepSeek等大模型私有化服务器部署近九成在“裸奔”,已知漏洞赶紧处理! 奇安信 CERT 2025-02-28 08:33 问题概述 近期,随着国产大模型 DeepSeek 的迅速流行,越来越多的企业和个人选择将其进行私有化部署。然而,根据奇安信资产测绘鹰图平台的监测数据,在 8971 个运行 Ollama 大模型框架的服务器中,有 6449 个活跃服务器,其中 88.9% 的
继续阅读【已复现】Ollama 未授权访问漏洞
【已复现】Ollama 未授权访问漏洞 长亭安全应急响应中心 2025-02-28 07:38 Ollama 是一个开源的大语言模型(LLM)运行环境和工具集,旨在帮助开发者轻松部署、管理和使用模型(如 DeepSeek 等)。近期互联网披露,如果 Ollama 直接暴露服务端口(默认为 11434)于公网,并且未启用身份认证机制,远程攻击者可以在未授权的情况下访问其高危接口。建议受影响的用户尽快
继续阅读关于举办“数据安全技能能手”和移动互联网安全工程师(CAPPSEC)2025年第1期培训班的通知
关于举办“数据安全技能能手”和移动互联网安全工程师(CAPPSEC)2025年第1期培训班的通知 赛查查 2025-02-28 06:44 各相关单位: 为深入学习贯彻党的二十大精神,提升专业人才在数据安全领域的知识水平和技能素养,加强各行业数据安全人才队伍建设,在中国软件评测中心(工业和信息化部软件与集成电路促进中心)和数据安全关键技术与产业应用评价工业和信息化部重点实验室联合指导下,中国计算机
继续阅读74cms 最新 getshell 漏洞
74cms 最新 getshell 漏洞 1398133550745333 神农Sec 2025-02-28 01:01 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 加内部圈子,文末有彩蛋 (知识星球 优惠卷)。 原文链接:https://xz
继续阅读棉花糖居然被开盒了!
棉花糖居然被开盒了! 棉花糖糖糖 阿乐你好 2025-02-28 01:00 前情提要: 由于我被逆天哥开盒,所以本文将带领大家细说这位逆天开盒哥:红岸基地赵小龙的逆天事迹。 有些师傅不知道赵小龙是谁,给大家讲一下。 暗影网安实验室,红岸基地网络安全,这俩公众号都是他的 (有一说一,红岸、暗影,中不中二啊….自己起名字的时候笑没笑) ,我的好友列表甚至还有不少关注,看到这篇文章请你自行
继续阅读.NET 逻辑绕过漏洞审计思路和挖掘
.NET 逻辑绕过漏洞审计思路和挖掘 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-28 00:34 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项逻辑绕过漏洞的发现引起了广泛关注。攻击者只需构造一个特定的URL请求,便能实现让接口泄露管理员敏感信息,包括用户名和密码, 因此,在日常的代码审计和评估的环节需要格外留意该漏洞类型引发的安全漏洞。 01
继续阅读告别CVE焦虑!KEV:已知被利用漏洞才是真威胁!
告别CVE焦虑!KEV:已知被利用漏洞才是真威胁! 华顺信安 2025-02-28 00:31 “ “截至2025年,全球新增漏洞数量屡屡突破新高,漏洞洪峰的来临,传统基于CVSS评分和SLA的漏洞管理策略已全面失效,面对漏洞治理效率困境,我们正在用20世纪的手术刀,应对21世纪的数字疫情。” ” 在当前复杂的网络安全环境中,稍具规模的企业通常会面临着数量庞大的漏洞基数,这使得全面修复所有漏洞变得
继续阅读(0day)漏洞预警 | 时空智友企业信息管理系统任意文件读取漏洞
(0day)漏洞预警 | 时空智友企业信息管理系统任意文件读取漏洞 原创 深潜sec安全团队 深潜sec安全团队 2025-02-28 00:21 0x01 漏洞编号 • 暂无 0x02 危险等级 • 高危 0x03 漏洞概述 北京时空智友科技有限公司是一家经营范围包括技术开发、技术推广、技术转让、技术咨询、技术服务等的公司。 0x04 漏洞详情 漏洞类型:任意文件读取漏洞 影响:获取敏感信息 简
继续阅读07 漏洞从哪里来?——引狼入室
07 漏洞从哪里来?——引狼入室 原创 Richard 方桥安全漏洞防治中心 2025-02-28 00:01 商业采购中的供应商管理失控、合同约束缺失、补丁维护脱节等系统性缺陷,以及开源组件选型失察、版本混乱、投毒攻击等生态性威胁,都可能导致最终交付上线的软件系统存在可被利用的安全漏洞。 以下从“软件供应链”角度,分两个方向分析软件安全漏洞来源: 方向一:采购型软件供应链风险 (基于商业采购关系
继续阅读网络安全事件分级分类
网络安全事件分级分类 原创 洁说安全 网络安全和等保测评 2025-02-27 23:05 网络安全事件分级分类是指根据网络安全事件的性质、危害程度、影响范围等因素,将其划分为不同的等级和类别,以便于采取相应的应对措施和管理策略。以下是对分级分类含义的详细解释: · 含义 · 1.网络安全事件分级 是对网络安全事件的严重程度进行量化和区分,一般从低到高分为不同级别,主要目的是为了清晰地界定事件的危
继续阅读分布式自动化信息收集、漏洞扫描-V1.6
分布式自动化信息收集、漏洞扫描-V1.6 渗透安全HackTwo 2025-02-27 16:00 网-址 • 官网:https://www.scope-sentry.top• Github: https://github.com/Autumn-27/ScopeSentry• 插件市场:https://plugin.scope-sentry.top• 更新说明:https://www.scope-
继续阅读风云卫×DeepSeek-R1(四):当AI侦探团遇上“漏洞迷案”
风云卫×DeepSeek-R1(四):当AI侦探团遇上“漏洞迷案” 绿盟科技 2025-02-27 09:56 全文共3126字,阅读大约需6分钟。 在绿盟科技,一场关于漏洞分析的“最强大脑”对决正悄然上演。绿盟科技的安全专家将DeepSeek-R1的深度推理能力应用于漏洞情报分析,探索其在这一领域的潜力与可行性。在与风云卫安全大模型进行实测对比后,我们发现,DeepSeek-R1在问题分解和知识
继续阅读9.9分漏洞或导致2850多台Ivanti设备系统完全受损;三星系统推出业界首款后量子加密芯片S3SSE2A | 牛览
9.9分漏洞或导致2850多台Ivanti设备系统完全受损;三星系统推出业界首款后量子加密芯片S3SSE2A | 牛览 安全牛 2025-02-27 09:39 点击蓝字·关注我们 / aqniu 新闻速览 •OpenSSF发布Linux开源软件安全基线标准 •红队工具MITRE Caldera关键漏洞曝光,PoC代码已公开 •黑客组织EncryptHub疯狂入侵618家机构,盗取敏感数据 •
继续阅读创宇安全智脑 | NUUO 网络录像机 handle_site_config.php 远程命令执行等67个漏洞可检测
创宇安全智脑 | NUUO 网络录像机 handle_site_config.php 远程命令执行等67个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-02-27 09:10 创宇安全智脑是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和
继续阅读众智维发布|天巢SkyNest R1多模态版本 – 网络安全风险的睿智“听风者”
众智维发布|天巢SkyNest R1多模态版本 – 网络安全风险的睿智“听风者” 众智维安 2025-02-27 06:00 在当今数字化浪潮席卷全球的时代,网络安全已成为保护企业和个人数字信息资产的核心关键与命脉所在。 南京众智维信息科技有限公司(以下简称:众智维科技)自主开发的天巢SkyNest安全风险运营平台(以下简称:SkyNest)应运而生,依托OPENX麒麟实验室的顶尖技术
继续阅读【已复现】NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)安全风险通告
【已复现】NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)安全风险通告 奇安信 CERT 2025-02-27 03:40 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 NAKIVO Backup & Replication任意文件读取漏洞 漏洞编号 QVD-2025-8756,CVE-2024-48248
继续阅读实战纪实 | 真实HW漏洞流量告警分析
实战纪实 | 真实HW漏洞流量告警分析 实战安全研究 2025-02-27 02:01 扫码领资料 获网安教程 本文由掌控安全学院 – 满心欢喜 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 今年七月,我去到了北京某大厂参加HW行动,因为是重点领域—-jr,所以每天态势感知设备上都有大量的告警,当时非常累,感觉每天睡醒就是盯屏
继续阅读暗网 0day 漏洞售卖预警
暗网 0day 漏洞售卖预警 独眼情报 2025-02-27 01:43 一名以“Vanger”为别名的网络犯罪分子出现在地下论坛上,提供针对 VMware ESXi 虚拟机管理程序的0day。 据称,该漏洞可实现虚拟机逃逸 (VME),其售价高达 15 万美元。如果属实,该漏洞可让攻击者从客户虚拟机 (VM) 侵入主机系统,对虚拟化环境构成严重威胁。 据报道,该漏洞影响 VMware ESXi
继续阅读工具集:AppMessenger【一款适用于以APP病毒分析、APP漏洞挖掘等场景的Android、iOS、鸿蒙辅助分析工具】
工具集:AppMessenger【一款适用于以APP病毒分析、APP漏洞挖掘等场景的Android、iOS、鸿蒙辅助分析工具】 wolven 风铃Sec 2025-02-27 00:28 工具介绍 一款适用于以APP病毒分析、APP漏洞挖掘、APP开发、HW行动/红队/渗透测试团队为场景的移动端(Android、iOS、鸿蒙)辅助分析工具,可以帮助APP开发工程师、病毒分析师、漏洞/安全研究员提高
继续阅读.NET 通过代码审计发现某办公系统逻辑绕过漏洞可泄露管理员账户和密码
.NET 通过代码审计发现某办公系统逻辑绕过漏洞可泄露管理员账户和密码 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-27 00:27 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项逻辑绕过漏洞的发现引起了广泛关注。攻击者只需构造一个特定的URL请求,便能实现让接口泄露管理员敏感信息,包括用户名和密码, 因此,在日常的代码审计和评估的环节需要格外留
继续阅读漏洞预警 | 锐明技术Crocus系统信息泄露漏洞
漏洞预警 | 锐明技术Crocus系统信息泄露漏洞 浅安 浅安安全 2025-02-27 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 锐明技术作为一家专注于AI和视频技术的商用车智能物联解决方案提供商,Crocus系统是其核心产品之一。 0x03 漏洞详情 漏洞类型: 信息泄露 影响: 获取敏感信息 简述: Crocus
继续阅读(0day)漏洞预警 | 安美数字酒店宽带运营系统SQL注入漏洞
(0day)漏洞预警 | 安美数字酒店宽带运营系统SQL注入漏洞 原创 深潜sec安全团队 深潜sec安全团队 2025-02-27 00:01 0x01 漏洞编号 • 暂无 0x02 危险等级 • 高危 0x03 漏洞概述 安美数字酒店宽带运营系统是通过提供系统数据分析报表和带宽动态管理功能来确保在有限的资源内优化上网体验并改善服务质量。 0x04 漏洞详情 漏洞类型:SQL注入 影响:获取敏感
继续阅读【漏洞通告】Exim存在SQL注入漏洞
【漏洞通告】Exim存在SQL注入漏洞 安迈信科应急响应中心 2025-02-26 07:43 01 漏洞概况 Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,主要用于在Unix和类Unix系统中发送、接收和转发电子邮件。该产品主要使用客户行业分布广泛。 攻击者可以通过向易受攻击的Exim服务器发送特制的ETRN请求来利用此漏洞,从而可能导
继续阅读Fluent Bit 0-day漏洞使数十亿生产环境面临网络攻击威胁
Fluent Bit 0-day漏洞使数十亿生产环境面临网络攻击威胁 e安在线 e安在线 2025-02-26 03:26 研究人员发现了 Fluent Bit 中的关键 0-day 漏洞,这款日志收集工具广泛应用于 AWS、Google Cloud 和 Microsoft Azure 等主要云服务提供商的云基础设施中。这两个漏洞被追踪为 CVE-2024-50608 和 CVE-2024-506
继续阅读