FastJSON 安全审计简洁实用指南:黑盒免测也能揪出漏洞
FastJSON 安全审计简洁实用指南:黑盒免测也能揪出漏洞 原创 火力猫 季升安全 2025-05-06 00:15 FastJSON 漏洞源码审计简易版 📌 本文讲解如何在源码层面快速识别 FastJSON 的危险用法,即使不跑 POC、不用 Burp,也能定位风险点。 📦 什么是 FastJSON ? FastJSON 是阿里巴巴开源的 Java JSON 解析库,以高性能著称,广泛用于企业
继续阅读标签: 命令执行
IBM X-Force 2025威胁情报指数报告
IBM X-Force 2025威胁情报指数报告 计算机与网络安全 2025-05-05 23:57 扫码加入知识星球: 网络安全攻防(HVV) 下载本篇和全套资料 《IBM X-Force 2025威胁情报指数报告》基于对全球130多个国家/地区、日均1500亿起安全事件的监测与分析,揭示了网络攻击策略的显著转变及新兴威胁趋势。 身份攻击成为主流,凭证盗窃激增 2024年,30%的网络入侵源
继续阅读JAVA代审之XSS漏洞
JAVA代审之XSS漏洞 T3Ysec T3Ysec 2025-05-05 15:06 一般来说, XSS 的危害性没有 SQL 注入的大, 但是一次有效的 XSS 攻击可以做很多 事情, 比如获取 Cookie、 获取用户的联系人列表、 截屏、 劫持等。 根据服务器后端代码 的不同, XSS 的种类也不相同, 一般可以分为反射型、 存储型以及和反射型相近的 DOM 型。 漏洞危害有: 窃取 Co
继续阅读Apache Parquet Java 远程代码执行漏洞
Apache Parquet Java 远程代码执行漏洞 网安百色 2025-05-05 11:26 在 Apache Parquet Java 中发现一个高严重性漏洞 (CVE-2025-46762),该漏洞使使用 parquet-avro 模块的系统面临远程代码执行 (RCE) 攻击。 Apache Parquet 贡献者 Gang Wu 于 2025 年 5 月 2 日披露了该漏洞,该漏洞影
继续阅读vLLM框架曝高危远程代码执行漏洞,威胁AI基础设施安全
vLLM框架曝高危远程代码执行漏洞,威胁AI基础设施安全 FreeBuf 2025-05-05 10:02 高性能大语言模型(LLM)推理服务框架vLLM近日曝出高危安全漏洞(编号CVE-2025-32444),该漏洞CVSS评分达到满分10分,可能通过Mooncake集成组件引发远程代码执行(RCE)风险。作为GitHub上获得46,000星标的热门开源项目,vLLM凭借其卓越的速度和灵活性,被
继续阅读【极思】一个伪0day的抓捕实录
【极思】一个伪0day的抓捕实录 A9 Team 2025-05-05 02:10 “ 文章中质量较好的,有意义的文章已经让朋友帮助备份到这里,等极思和A9关停后,还能找地方看到。五一劳动节全程在劳动,修过电灯吸过尘,陪过家人写过文。没有旅行的五一,也可以是完美的五一。 【极思】安全运营第6年实践总结 ” 零、前言 如果你问一个职场人员最6的是啥,大部分人会回答你是Boss,如果你问一个安全行业的
继续阅读漏洞复现篇 | CraftCMS 任意命令执行漏洞,CVE-2025-32432
漏洞复现篇 | CraftCMS 任意命令执行漏洞,CVE-2025-32432 原创 零日安全实验室 零日安全实验室 2025-05-04 22:00 免责声明! 本 公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。 大 纲 0x01 漏洞概述 0x02 影响范围 0x03 资产测绘 0x04 漏洞利用及复现过程 0
继续阅读SAP NetWeaver RCE 漏洞 (CVE-2025-31324):深度剖析、高级威胁与全方位防御策略
SAP NetWeaver RCE 漏洞 (CVE-2025-31324):深度剖析、高级威胁与全方位防御策略 sec0nd安全 2025-05-04 13:58 针对 SAP NetWeaver 的高危远程代码执行漏洞 CVE-2025-31324,攻击活动仍在持续,已对包括多家世界500强在内的全球企业构成实质性威胁。 SAP NetWeaver:企业数字化引擎,安全重于泰山 SAP NetW
继续阅读7天如何从捡破烂到成功挖出一堆0day
7天如何从捡破烂到成功挖出一堆0day sekirolove UKFC安全 2025-05-04 12:07 这是一个在2月初就酝酿要写的博客,因为本人大三下处于关键的十字路口考虑升学or就业实习,时间紧迫,以及厂商迟迟未出补丁,故搁置良久,恰逢此刻已到新的人生阶段,并且看到近期厂商已经发了修复后的固件,突然想起,便写下此文 时间线 根据厂商的要求,在修补后的固件发布之前,我对该漏洞的细节进行了保
继续阅读zyxel路由器CVE-2024-9200漏洞调用链分析
zyxel路由器CVE-2024-9200漏洞调用链分析 CLan_nad 看雪学苑 2025-05-04 10:02 本文主要是针对于zyxel厂商的路由器的zhttpd程序进行漏洞分析,作者在挖掘zyxel设备漏洞时,翻到一篇较新的漏洞公告: Zyxel security advisory for buffer overflow and post-authentication command
继续阅读CVE-2025-24893|XWiki Platform远程代码执行漏洞(POC)
CVE-2025-24893|XWiki Platform远程代码执行漏洞(POC) alicy 信安百科 2025-05-04 10:00 0x00 前言 XWiki是一个开源的企业级知识管理平台,它使用Java编写,并提供了一个完整的框架用于创建、管理和分享信息。XWiki采用Wiki概念,允许团队成员通过Web界面协作编辑文档。其核心特性包括强大的版本控制、权限管理、模板和宏系统以及多语言支
继续阅读CVE – 2025 – 29927 POC Next.js 存在严重漏洞,可导致黑客绕过授权
CVE – 2025 – 29927 POC Next.js 存在严重漏洞,可导致黑客绕过授权 Khan安全团队 2025-05-04 09:34 在 Next.js 这个开源 Web 开发框架中发现了编号为 CVE-2025-29927 的严重漏洞,该漏洞可能允许攻击者绕过授权检查,使其无需经过关键安全检查就能发送到达目标路径的请求。Next.js 是一个流行的 Reac
继续阅读AirBorne漏洞可导致苹果设备被完全劫持
AirBorne漏洞可导致苹果设备被完全劫持 网络安全与人工智能研究中心 2025-05-04 08:48 苹果AirPlay协议及SDK中的漏洞使苹果及第三方设备面临攻击风险,包括远程代码执行。 网络安全公司Oligo在苹果AirPlay协议及软件开发套件(SDK)中发现一系列严重漏洞(统称为AirBorne),影响苹果及第三方设备。攻击者可利用这些漏洞实施零点击/单点击远程代码执行(RCE)、
继续阅读SimpleHelp复现
SimpleHelp复现 船山信安 2025-05-03 22:12 免责声明 由于传播、利用本博客所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本博客及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢! 介绍 SimpleHelp 是一个促进远程支持、访问和工作以及其他用途的系统。它主要由 IT 专业人员和支持团队使用,以允许他
继续阅读[靶场复现]CyberStrikeLab-Gear
[靶场复现]CyberStrikeLab-Gear sec0nd安全 2025-05-03 13:18 前言 建议大家把公众号“离别钩PartingHook ”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标 】即可。 flag1(CMS Made Simple RCE) http://www.my.c
继续阅读入侵苹果——SQL注入远程代码执行
入侵苹果——SQL注入远程代码执行 Ots安全 2025-05-03 05:48 介绍 在上一篇博文中,我们深入研究了 Lucee 的内部工作原理,并查看了 Masa/Mura CMS 的源代码,并意识到其潜在的攻击面之广。显然,花时间理解代码是值得的。经过一周的探索,我们偶然发现了几个可以利用的切入点,包括一个关键的 SQL 注入漏洞,我们可以利用该漏洞在 Apple 的 Book Travel
继续阅读CVE-2025-32432|Craft CMS反序列化代码执行漏洞(POC)
CVE-2025-32432|Craft CMS反序列化代码执行漏洞(POC) 信安百科 2025-05-02 02:20 0x00 前言 Craft CMS是一个开源的内容管理系统,它专注于用户友好的内容创建过程,可以用来创建个人或企业网站也可以搭建企业级电子商务系统。 Craft界面简洁优雅,逻辑清晰明了,是一个高度自由,高度自定义设计的平台。虽然不需要专业的编程知识,要对模板语法有所了解才能
继续阅读Clash Verge rev 本地提权/远程命令执行漏洞 POC(5月1日更新)
Clash Verge rev 本地提权/远程命令执行漏洞 POC(5月1日更新) Web安全工具库 2025-05-01 16:00 暗月渗透测试04入门学习8课合集下载 链接:https://pan.quark.cn/s/d26dd0ba8b77 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息
继续阅读【安全圈】苹果隔空播放(AirPlay)协议存在可蠕虫的远程代码执行漏洞 可批量感染大量设备
【安全圈】苹果隔空播放(AirPlay)协议存在可蠕虫的远程代码执行漏洞 可批量感染大量设备 安全圈 2025-05-01 11:00 关键词 安全漏洞 安全研究团队近日披露,苹果AirPlay无线协议及其软件开发套件存在重大安全缺陷,可能引发全球范围内的大规模”蠕虫式”网络攻击。该漏洞集合被命名为”AirBorne”,涉及23个独立安全漏洞,其中1
继续阅读从IBM《2025年X-Force威胁情报指数报告》看安全文化的必要性
从IBM《2025年X-Force威胁情报指数报告》看安全文化的必要性 原创 HardyXie 超安全 2025-05-01 05:38 IBM 于近期发布了《2025年 X-Force威胁情报指数 报告》,该报告 基于对 130多个国家或地区每天监控超过1,500亿个安全事件所获得的洞察分析和观察结果 。深入 了解攻击者的策略对于保护 组织 的员工、数据和基础设施至关重要。本文将透过报告探析攻击
继续阅读【情报】CVE出现罕见的10.0评分漏洞,SAP NetWeaver存在RCE漏洞
【情报】CVE出现罕见的10.0评分漏洞,SAP NetWeaver存在RCE漏洞 原创 visionsec 安全视安 2025-05-01 05:21 漏洞概述 SAP NetWeaver Visual Composer的Metadata Uploader模块缺失必要的授权校验,攻击者可通过未经身份验证的POST请求向/developmentserver/metadatauploader 端点上
继续阅读CraftCMS 存在前台命令执行漏洞 (CVE-2025-32432)
CraftCMS 存在前台命令执行漏洞 (CVE-2025-32432) 菜狗安全 2025-05-01 05:13 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Craft CMS是一个开源的内容管理系统,它专注于用户友好的内容创建过程,逻辑清晰明了,是一个高度自由,高度自定义设计的平台吗,可以用来创建个人或企业网站也可以搭建企业级电子商务系统。 Fofa指纹:header=̶
继续阅读AirPlay 协议中易受蠕虫攻击的零点击远程代码执行 (RCE) 漏洞使 Apple 和 IoT 设备面临风险
AirPlay 协议中易受蠕虫攻击的零点击远程代码执行 (RCE) 漏洞使 Apple 和 IoT 设备面临风险 Ots安全 2025-05-01 04:17 Oligo Security Research 发现 Apple 的 AirPlay 协议和 AirPlay 软件开发工具包 (SDK) 中存在一组新的漏洞,第三方供应商使用该工具包将 AirPlay 集成到第三方设备中。 这些漏洞会导致一
继续阅读紧急!朝鲜Kimsuky组织利用BlueKeep漏洞,疯狂攻击日韩!
紧急!朝鲜Kimsuky组织利用BlueKeep漏洞,疯狂攻击日韩! 原创 紫队 紫队安全研究 2025-05-01 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 网络安全的警报再次拉响!近
继续阅读vLLM 的 Mooncake 存在严重 RCE 漏洞(10)
vLLM 的 Mooncake 存在严重 RCE 漏洞(10) 独眼情报 2025-05-01 01:53 CVE-2025-29783 CVE-2025-32444 vLLM vulnerability 在 vLLM 中发现了一个关键的安全漏洞,vLLM 是一个流行的开源库,用于高性能推理和大型语言模型(LLM)的服务。该漏洞被追踪为 CVE-2025-32444 ,具有最高的 CVSS 评分
继续阅读【成功复现】XWiki Platform系统远程代码执行漏洞(CVE-2025-24893)
【成功复现】XWiki Platform系统远程代码执行漏洞(CVE-2025-24893) 原创 弥天安全实验室 弥天安全实验室 2025-04-30 12:31 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍XWiki Platform是XWiki开源的一套用于创建Web协作应用程序的Wiki平台。XW
继续阅读【漏洞处置SOP】PHP CGI代码注入漏洞(CVE-2024-4577)
【漏洞处置SOP】PHP CGI代码注入漏洞(CVE-2024-4577) 原创 just4fun 方桥安全漏洞防治中心 2025-04-30 10:02 01 SOP基本信息 SOP名称: PHP CGI代码注入漏洞(CVE-2024-4577)处置标准作业程序(SOP) 版本: 1.0 发布日期: 2025-04-08 作者:just4fun 审核人: T小组 修订记录: 初始版本: 创建SO
继续阅读某开源cms 0day挖掘
某开源cms 0day挖掘 用户9528 马哥网络安全 2025-04-30 09:05 作者:用户9528 原文链接:https://xz.aliyun.com/news/17601 如侵权请联系删除 简介 简介 CicadasCMS是用springboot+mybatis+beetl开发的一款CMS,支持自定义内容模型、模板标签、全站静态化等功能。 漏洞挖掘 sql注入(成功) 漏洞发生位置在
继续阅读创宇安全智脑 | 小皮面板 JWT 硬编码认证绕过等71个漏洞可检测
创宇安全智脑 | 小皮面板 JWT 硬编码认证绕过等71个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-04-30 07:50 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态势、
继续阅读