SpEL表达式漏洞注入内存马
SpEL表达式漏洞注入内存马 原创 暗月大徒弟 moonsec 2025-04-14 04:22 1.实验环境 jdk8 202 springboot 1.3.0.RELEASE 2.漏洞代码 package code.landgrey.controller; import org.springframework.expression.Expression; import org.springf
继续阅读标签: 命令执行
从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486
从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486 船山信安 2025-04-13 16:04 最近有花了一些时间看vite任意文件读取相关的一系列漏洞,下面打算以漏洞发现者的视角,讲讲这些漏洞的一些要点 CVE-2025-30208 CVE-2025-30208这个漏洞其实是历史漏洞 CVE-2024-45811 的绕过,在CVE-2024-45811核
继续阅读浅谈AI部署场景下的web漏洞
浅谈AI部署场景下的web漏洞 黑白之道 2025-04-13 05:44 文章首发在:奇安信攻防社区 https://forum.butian.net/share/4259 总结了一些部署过程中出现可能的漏洞点位,并且分析了对应的攻防思路 要想知道对应的大模型在本地部署过程中可能存在的漏洞,就要先了解大模型是如何进行本地部署的。这里笔者给出了两个轻量化的解决方案,让大家了解一下一般开发者对大模型
继续阅读从CVE-2025-30208看任意文件读取利用
从CVE-2025-30208看任意文件读取利用 骨哥说事 2025-04-13 05:38 微信公众号:渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-2025-
继续阅读3月成绩出炉,这届白帽子太卷了!地图大师新手SRC漏洞课程3月学员成绩报喜!!
3月成绩出炉,这届白帽子太卷了!地图大师新手SRC漏洞课程3月学员成绩报喜!! 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2025-04-13 03:38 01**** 成绩报喜 三月过去了,又有一些认真学习、默默钻研的同学,在这个月悄悄收获了成果。 有人第一次独立提交漏洞,有人拿到了期盼已久的SRC奖励,也有人继续在原有基础上稳步提升。对我来说,每一个“出洞”,都是大家在挤时间、啃思路、熬夜
继续阅读【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927
【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927 原创 仇辉攻防 仇辉攻防 2025-04-12 11:03 什么是Next.js? Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server-side Rendering (SSR) 和静态站点生成(SSG)项目。Next.js 支持传统的
继续阅读CrushFTP新安全漏洞:未授权访问和CVE-2025-31161
CrushFTP新安全漏洞:未授权访问和CVE-2025-31161 知机安全 知机安全 2025-04-12 10:24 Agentic AI在SOC中的应用:提升效率与价值 本文探讨了Agentic AI(有时称为Agentic Security)在安全运营中心(SOC)中的作用,对比了它与传统辅助型AI(Copilots)的区别。Agentic AI具备自主性,能独立感知、规划、调查和结论,
继续阅读Langflow 远程命令执行漏洞(CVE-2025-3248)
Langflow 远程命令执行漏洞(CVE-2025-3248) Superhero Nday Poc 2025-04-12 08:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 1.3.0 之前的 L
继续阅读MindshaRE: 使用 Binary Ninja API 检测潜在的 Use-After-Free 漏洞
MindshaRE: 使用 Binary Ninja API 检测潜在的 Use-After-Free 漏洞 Reno Robert securitainment 2025-04-12 05:37 【翻译】MindshaRE Using Binary Ninja API to Detect Potential Use-After-Free Vulnerabilities Use-after-fre
继续阅读CVE-2025-22457:Ivanti Connect Secure X-Forwarded-For 堆栈缓冲区溢出漏洞
CVE-2025-22457:Ivanti Connect Secure X-Forwarded-For 堆栈缓冲区溢出漏洞 Ots安全 2025-04-12 04:53 目标 – Ivanti Connect Secure <= 22.7R2.5 Pulse Connect Secure (EOS) <= 9.1R18.9 Ivanti Policy Secure <
继续阅读工具集: DahuaExploitGUI【dahua综合漏洞利用工具】
工具集: DahuaExploitGUI【dahua综合漏洞利用工具】 风铃Sec 2025-04-12 02:34 声明:仅用于授权测试,用户滥用造成的一切后果和作者无关 请遵守法律法规!【文末附下载】 🐉工具介绍 dahua综合漏洞利用工具,此项目主要用于在授权情况下对大华系列产品进行漏洞检测。 dahua综合漏洞利用工具 收录漏洞如下: 大华DSS数字监控系统attachment_clear
继续阅读利用solidity与EVM本身的漏洞进行攻击二
利用solidity与EVM本身的漏洞进行攻击二 NEURON SAINTSEC 2025-04-12 01:00 未初始化的指针 # 原理 在solc小于0.4.24的版本中,如果函数中有未初始化的结构体对象,那么这个变量会指向其他的变量区域,并能改变这个值。 pragma solidity ^0.4.24; contract example{ uint public a; ad
继续阅读泛微云桥20240725存在未授权文件上传漏洞
泛微云桥20240725存在未授权文件上传漏洞 tj 神农Sec 2025-04-12 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 原文链接: https://xz.aliyun.com/n
继续阅读参数** _session_name= RCE
参数** _session_name= RCE Khan安全团队 2025-04-12 00:15 Payload: &**=’.print((id)).’
继续阅读【漏洞复现】帆软报表 /view/ReportServer SQL注入漏洞
【漏洞复现】帆软报表 /view/ReportServer SQL注入漏洞 原创 PumpkinBridge 红细胞安全实验室 2025-04-11 13:57 前言 这里拿到目标站,结合漏扫指纹库可以发现是帆软数据决策系统,需要各位师傅收集系统指纹路径 登录页面 这里可以通过该路径查看当前版本,个别情况根目录可能没有webroot /webroot/dicision/system/info /d
继续阅读WordPress插件身份验证漏洞披露数小时后即遭利用
WordPress插件身份验证漏洞披露数小时后即遭利用 FreeBuf 2025-04-11 11:02 在公开披露仅数小时后,黑客就开始利用WordPress的OttoKit(原SureTriggers)插件中一个可绕过身份验证的高危漏洞。安全专家强烈建议用户立即升级至本月初发布的OttoKit/SureTriggers最新版本1.0.79。 01 插件功能与影响范围 OttoKit插件允许用户
继续阅读【漏洞预警】Foxmail远程代码执行漏洞风险通告
【漏洞预警】Foxmail远程代码执行漏洞风险通告 原创 MasterC 企业安全实践 2025-04-11 09:51 一、漏洞描述 Foxmail是一款由腾讯公司开发的非常流行的电子邮件客户端软件,可以免费下载。它以其简洁的界面、强大的功能和稳定的性能,适用于个人用户和商务用户。 近日,互联网上披露了关于Foxmail中存在一个远程代码执行漏洞。 在受影响版本中,该漏洞源于Foxmail邮件正
继续阅读RemoteMonologue: 利用 DCOM 进行 NTLM 认证强制攻击
RemoteMonologue: 利用 DCOM 进行 NTLM 认证强制攻击 Andrew Oliveau securitainment 2025-04-11 09:37 【翻译】RemoteMonologue Weaponizing DCOM for NTLM authentication coercions 随着微软加强针对凭证窃取的防御措施以及端点检测与响应 (EDR) 解决方案的不断进步
继续阅读漏洞预警 Optilink 管理系统 upgrade.php 任意命令执行漏洞
漏洞预警 Optilink 管理系统 upgrade.php 任意命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-11 09:18 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后
继续阅读安全威胁情报周报(2025/04/05-2025/04/11)
安全威胁情报周报(2025/04/05-2025/04/11) 观安无相实验室 2025-04-11 09:02 #本期热点 0 1 热点安全事件 微软在安全公告上感谢勒索软件组织EncryptHub Oracle 因涉嫌云泄露事件被起诉,影响数百万美元 Sec-Gemini v1 – 谷歌发布了网络安全新 AI 模型 新型恶意软件威胁 Android 通话,号码替换引发信息安全危机 ChatGP
继续阅读Foxmail 官方致谢!APT-Q-12 利用邮件客户端高危漏洞瞄准国内企业用户
Foxmail 官方致谢!APT-Q-12 利用邮件客户端高危漏洞瞄准国内企业用户 红雨滴团队 奇安信集团 2025-04-11 08:42 概述 奇安信威胁情报中心红雨滴团队于2025年初在威胁情报狩猎过程中观测到客户网络中的异常行为, 协助应急响应时溯源到最初的邮件攻击来源,提取到了相关邮件,分析显示攻击者组合利用了 Foxmail 客户端存在的高危漏洞 (QVD-2025-13936),受害
继续阅读午夜代码影:黑客捉奸背后的 Azure 漏洞暗战
午夜代码影:黑客捉奸背后的 Azure 漏洞暗战 勤奋的运营姐姐 EnhancerSec 2025-04-11 07:39 前因 凌晨两点,私家侦探林默的电脑屏幕在昏暗的房间里泛着幽幽蓝光。他盯着客户发来的信息,嘴角勾起一丝冷笑,“三天内,拿到我丈夫和那个女人的聊天记录,钱不是问题。” 客户的丈夫是某知名社交平台“蜜语“的CTO,而平台最近刚迁移到Azure云,采用了一套自动化CI/CD流水线——
继续阅读Foxmail 官方致谢!Foxmail for Windows 远程代码执行漏洞(QVD-2025-13936)安全风险通告
Foxmail 官方致谢!Foxmail for Windows 远程代码执行漏洞(QVD-2025-13936)安全风险通告 奇安信 CERT 2025-04-11 06:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Foxmail for Windows 远程代码执行漏洞 漏洞编号 QVD-2025-13936,CNVD-2025-06036 公开时间 2025-0
继续阅读【安全圈】Adobe 紧急发布安全更新,修复十二款产品多项漏洞
【安全圈】Adobe 紧急发布安全更新,修复十二款产品多项漏洞 安全圈 2025-04-10 19:00 关键词 安全漏洞 Adobe 已发布了一套全面的安全更新,用于修复旗下十二款产品中存在的多个漏洞。 这些补丁均于 2025 年 4 月 8 日发布,旨在解决严重、重要及中等程度的安全缺陷,这些缺陷可能会使用户面临各种网络威胁,包括任意代码执行、权限提升以及应用程序拒绝服务攻击。 已修复的重大漏
继续阅读440万用户记录被出售,黑客声称入侵WooCommerce电商平台
440万用户记录被出售,黑客声称入侵WooCommerce电商平台 看雪学苑 看雪学苑 2025-04-10 18:00 近日,一名使用“Satanic”别名的黑客在Breach Forums上发帖,声称通过第三方集成导致了WooCommerce数据泄露,涉及超过440万用户和客户记录。这些记录包含了个人和商业的详细信息,如电子邮件、电话号码、物理地址、社交媒体链接,以及公司层面的数据,例如销售收
继续阅读假冒的微软Office插件工具通过SourceForge推送恶意软件
假冒的微软Office插件工具通过SourceForge推送恶意软件 胡金鱼 嘶吼专业版 2025-04-10 14:00 据了解,威胁者正在滥用 SourceForge 分发假冒的微软插件,这些插件会在受害者的电脑上安装恶意软件,以同时挖掘和窃取加密货币。 SourceForge.net 是一个合法的软件托管和分发平台,还支持版本控制、错误跟踪以及专门的论坛/维基,因此在开源项目社区中非常受欢迎
继续阅读