EMQX后台插件命令执行
EMQX后台插件命令执行 原创 yudays yudays实验室 2025-04-09 22:56 欢迎转发,请勿抄袭 EMQX(简称 EMQ)是一款完全开源、高度可伸缩且高可用的分布式 MQTT 消息服务器。它不仅支持 MQTT 协议,还支持其他 IoT 协议如 CoAP/LwM2M 等,适用于物联网(IoT)、机器对机器(M2M)通信以及移动应用程序。常用于物联网设备与web控
继续阅读标签: 命令执行
【安全圈】假冒 Microsoft Office 插件工具通过 SourceForge 推送恶意软件
【安全圈】假冒 Microsoft Office 插件工具通过 SourceForge 推送恶意软件 安全圈 2025-04-09 19:01 关键词 恶意软件 威胁行为者正在滥用 SourceForge 分发伪造的 Microsoft 插件,这些插件会在受害者的计算机上安装恶意软件,以挖掘和窃取加密货币。 SourceForge.net 是一个合法的软件托管和分发平台,还支持版本控制、错误跟踪和
继续阅读微软4月补丁星期二值得关注的漏洞
微软4月补丁星期二值得关注的漏洞 综合编译 代码卫士 2025-04-09 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软四月补丁星期二共修复了134个漏洞,其中一个已遭活跃利用。在本轮修复中,11个漏洞是“严重”等级,都是远程代码执行 (RCE) 漏洞。 微软本次修复的漏洞包括: 49个提权漏洞 9个安全特性绕过漏洞 31个远程代码执行漏洞 17个信息泄露漏洞 14个拒绝
继续阅读滥用WooCommerce API的梳理工具在PyPI上下载了34000次
滥用WooCommerce API的梳理工具在PyPI上下载了34000次 胡金鱼 嘶吼专业版 2025-04-09 14:01 一个新发现的名为“disgrasya”的恶意PyPi包,滥用合法的WooCommerce商店来验证被盗的信用卡,已从开源包平台下载超过34000次。 该脚本专门针对使用CyberSource支付网关的WooCommerce商店来验证卡,这是梳理参与者的关键步骤,他们需要
继续阅读一行代码引发的灾难:PHP文件包含漏洞全面剖析与防御
一行代码引发的灾难:PHP文件包含漏洞全面剖析与防御 原创 VlangCN HW安全之路 2025-04-08 20:21 在Web安全领域,文件包含漏洞(File Inclusion)是一种常见但危害严重的安全缺陷。今天我们深入浅出地讲解本地文件包含漏洞(LFI)的原理、利用方式和防御措施,帮助开发者构建更安全的应用程序。 什么是LFI漏洞? LFI(Local File Inclusion),
继续阅读【安全圈】Dell PowerProtect 系统漏洞可让远程攻击者执行任意命令
【安全圈】Dell PowerProtect 系统漏洞可让远程攻击者执行任意命令 安全圈 2025-04-08 19:01 关键词 安全漏洞 已发现 Dell Technologies PowerProtect Data Domain 系统存在一个重大安全漏洞,该漏洞可能使已认证用户能够以 root 权限执行任意命令,从而有可能危及关键的数据保护基础设施。 Dell 已发布修复补丁,以解决这一严重
继续阅读先知通用软件漏洞收集及奖励计划第七期 正式开始!
先知通用软件漏洞收集及奖励计划第七期 正式开始! 阿里安全响应中心 2025-04-08 11:00 先知通用漏洞收集计划及奖励计划第七期已经正式开始,奖金丰厚,欢迎大家积极参与! 本期活动持续时间: 2025年4月9日至2025年4月23日12:00 活动详情链接: https://help.aliyun.com/zh/cst/product-overview/common-software-v
继续阅读Metasploitable2-Linux。关于老师给了任务,一位彦祖返回家无私奉献,打穿靶场的故事。手搓+msf提权漏洞利用
Metasploitable2-Linux。关于老师给了任务,一位彦祖返回家无私奉献,打穿靶场的故事。手搓+msf提权漏洞利用 原创 泷羽Sec-朝阳 泷羽Sec-朝阳 2025-04-07 23:25 Metasploitable2-Linux 1、主机发现 首先打开靶机就是这个界面,你没看错,通常情况下你是不可能知道账户密码的,所以老老实实去做 arp-scan -l 主机探测,由于你开的靶机
继续阅读赏金$10000的漏洞
赏金$10000的漏洞 迪哥讲事 2025-04-07 21:47 背景 本次分享一个最近认为非常有趣的漏洞,该漏洞最终获得10000刀换算为人民币大概7w多的现金奖励。 漏洞原理并不复杂,胜在细心,You Do You can 的水平。 正文 前段时间,我在寻找 Google 的研究目标时,翻阅了内部 People API(Staging)发现文档,直到注意到一些有趣的内容: "
继续阅读直播课时更新-系统0day安全(第7期)
直播课时更新-系统0day安全(第7期) 看雪课程 看雪学苑 2025-04-07 18:00 直播课更新: 直播课8:httpd通用中间件框架逆向分析思路及漏洞案例分析-2 https://www.kanxue.com/book-140-5320.htm 近些年来不论是HVV行动还是各种红蓝对抗中,边界设备或者企业级网络设备被当作是进入内网的最快目标,因此对于这些类型的设备安全问题开始越来越被广
继续阅读安全热点周报:Apache Tomcat RCE 漏洞遭两步利用
安全热点周报:Apache Tomcat RCE 漏洞遭两步利用 奇安信 CERT 2025-04-07 17:44 安全资讯导视 • 《关键信息基础设施安全测评要求》公安行业标准发布 • 哈尔滨亚冬会赛事信息系统遭境外网络攻击超27万次,攻击源大部来自美国 • 俄乌黑客展开铁路大战,运营系统瘫痪殃及百万民众 PART01 漏洞情报 1.Zabbix groupBy SQL注入漏洞安全风险通告
继续阅读漏洞利用 第二集 – 进入矩阵
漏洞利用 第二集 – 进入矩阵 Dennis Goodlett securitainment 2025-04-06 23:38 !exploitable Episode Two – Enter the Matrix 引言 如果你刚刚开始关注,Doyensec 团队正在地中海的一艘游轮上度假。放松身心,与同事交流,享受乐趣。 第一部分 讲述了我们在 IoT ARM 漏洞利用
继续阅读CVE-2025-24813 – Apache Tomcat RCE
CVE-2025-24813 – Apache Tomcat RCE TtTeam 2025-04-06 21:07 curl -X PUT "http://target.com/uploads/../webapps/ROOT/updates.jsp" \ -H "Content-Type: application/x-jsp" \ —
继续阅读Apache Parquet 允许远程执行代码漏洞
Apache Parquet 允许远程执行代码漏洞 网安百色 2025-04-06 19:25 点击上方 蓝字 关注我们吧~ 已在 Apache Parquet Java 库中发现了一个严重漏洞,特别是在其 parquet-avro 模块中。 此漏洞被跟踪为 CVE-2025-30065,使系统面临潜在的远程代码执行 (RCE) 攻击。 它被评为严重,CVSS 评分为 10.0,表示严重性最高。根
继续阅读深入Vite任意文件读取与分析复现
深入Vite任意文件读取与分析复现 船山信安 2025-04-05 15:14 Vite 任意文件读取漏洞(CVE-2025-30208) 前言 看到群里有人发了一个链接 https://github.com/ThumpBo/CVE-2025-30208-EXP 发现这个漏洞危害很大很大,而且利用起来也是非常的容易 而且资产也是比较多的 于是分析分析这个漏洞 漏洞描述 Vite 是一个现代前端构建
继续阅读WinRAR新漏洞:绕过Web标记,恶意代码悄悄运行,快更新!
WinRAR新漏洞:绕过Web标记,恶意代码悄悄运行,快更新! 一个不正经的黑客 2025-04-05 10:29 WinRAR新漏洞:绕过Web标记,恶意代码悄悄运行,快更新! 你知道吗?你每天都在用的WinRAR——这款全球超过5亿人都在用的文件压缩工具,最近爆出了一个不小的漏洞,可能会让黑客绕过Windows的安全警告,偷偷在你的电脑上运行恶意代码! 简直像是给恶意软件开了一扇后门,心里想想
继续阅读突破 .NET 身份认证,上传定制化 web.config 实现RCE
突破 .NET 身份认证,上传定制化 web.config 实现RCE 原创 专攻.NET安全的 dotNet安全矩阵 2025-04-05 09:00 在 .NET Web 应用程序中,web.config 文件是一个重要的配置文件,负责管理网站的访问控制、身份认证及应用程序设置。攻击者如果能上传特制的 web.config 文件,就有可能绕过身份认证机制,甚至执行恶意代码。 01. 工具基
继续阅读600+历年攻防演练漏洞汇编!千起实战案例还原漏洞攻击链
600+历年攻防演练漏洞汇编!千起实战案例还原漏洞攻击链 Drt安全战队 Drt安全战队 2025-04-05 08:30 随着国家攻防演练行动进入实战化深水区,攻击方技术手段持续升级,传统基于漏洞评分的”打补丁式防御”已难以应对复杂攻击链威胁。在2025攻防演练即将开启之际,360漏洞云基于对2023-2024年1372起真实攻防案例 的深度分析,发布《2025攻防演练必
继续阅读【曾哥】从CVE-2025-30208看任意文件读取利用
【曾哥】从CVE-2025-30208看任意文件读取利用 星悦安全 2025-04-04 11:03 微信公众号: 渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-
继续阅读从CVE-2025-30208看网络空间安全专业
从CVE-2025-30208看网络空间安全专业 梅苑安全 2025-04-03 22:04 微信公众号:渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-2025-
继续阅读Jan AI 系统中存在多个漏洞,可遭远程操纵
Jan AI 系统中存在多个漏洞,可遭远程操纵 Ionut Arghire 代码卫士 2025-04-03 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究人员提到,标榜为ChatGPT 替代品的开源工具 Jan AI中存在多个漏洞,可导致远程未认证攻击者操纵系统。 Jan AI 是由 Menlo Research 开发的一款个人助手,可在桌面和移动设备上离线使用,包含热
继续阅读揭秘天价漏洞BrokenSesame 技术细节
揭秘天价漏洞BrokenSesame 技术细节 sule01u 黑伞安全 2025-04-03 10:47 云上攻防TOP级案例分析从0到1 – #BrokenSesame 前几天 Wiz Research 团队分享了Ingress NGINX 中未经身份验证的远程代码执行漏洞,感兴趣大家可以去看:https://www.wiz.io/blog/ingress-nginx-kubern
继续阅读专项活动第一期|单个漏洞1w元起的活动!
专项活动第一期|单个漏洞1w元起的活动! 补天平台 补天平台 2025-04-03 09:40 IoT专项活动 补天 活动时间: 2024年4月3日-5月6日 『 活动A类 』 活动范围: 网络资产测绘(fofa、hunter) 搜索最近30天内存活 2 000+ 的设备( 最新版固件更新在一年内的国外设备)。 漏洞类型: wan口未授权RCE 举例参考: 包括但不限于NETGEAR、CISCO、
继续阅读.NET 四种方法上传 web.config 绕过限制实现RCE
.NET 四种方法上传 web.config 绕过限制实现RCE 原创 专攻.NET安全的 dotNet安全矩阵 2025-04-03 08:55 在 .NET Web 应用安全领域,web.config 文件不仅仅是一个普通的配置文件,还能成为攻击者绕过安全限制、执行任意代码的重要工具。 最近,一篇关于某电力公司 web.config RCE 的文章在安全圈引发了热议,详细描述了攻击者如何利
继续阅读佳能打印机驱动中存在严重漏洞
佳能打印机驱动中存在严重漏洞 Eduard Kovacs 代码卫士 2025-04-02 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软提醒称,佳能的一些打印机驱动受严重漏洞 (CVE-2025-1268) 的影响。 佳能在上周发布安全公告表示,与多个生产打印机、办公室多功能打印机和激光打印机相关联的驱动受界外漏洞CVE-2025-1268的影响。该漏洞的CVSS评分为9.
继续阅读Apache Parquet Java 中存在CVSS满分漏洞
Apache Parquet Java 中存在CVSS满分漏洞 do son 代码卫士 2025-04-02 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 与列存储相关的开源数据文件格式 Apache Parquet 中被指存在一个严重漏洞,为使用 Apache Parquet Java 库的系统造成严重风险。 Apache Parquet 为有效存储和检索数据而设计,因高性能
继续阅读2025攻防演练必看:千起实战案例、600+历年漏洞汇编!
2025攻防演练必看:千起实战案例、600+历年漏洞汇编! 360数字安全 2025-04-02 18:02 随着国家攻防演练行动进入实战化深水区,攻击方技术手段持续升级,传统基于漏洞评分的”打补丁式防御”已难以应对复杂攻击链威胁。在2025攻防演练即将开启之际,360漏洞云基于对2023-2024年1372起真实攻防案例 的深度分析,发布《2025攻防演练必修漏洞合集》
继续阅读【安全圈】Dell Unity 企业存储系统现严重漏洞,攻击者借此可实现 root 权限接管
【安全圈】Dell Unity 企业存储系统现严重漏洞,攻击者借此可实现 root 权限接管 安全圈 2025-04-01 19:01 关键词 安全漏洞 Dell Technologies 发布了一项关键的安全更新,以修复其 Unity 企业存储系统中存在的多个严重漏洞。这些漏洞可能会让攻击者以 root 权限执行任意命令、删除关键系统文件,并在无需进行身份验证的情况下开展其他恶意活动。 安全研究
继续阅读LLM+MCP=RCE?
LLM+MCP=RCE? 原创 闲聊趣说 闲聊趣说 2025-04-01 17:41 MCP协议的推出让大模型有了感知现实世界的能力,并且使用现实世界的工具并打通数据孤岛。下面是MCP协议架构(来源官网) MCP的官网对其中执行步骤进行了详细说明,可以看出MCP协议相当于usb接口,联通各种设备(mcp server)和主机(大模型) 1. 客户端把问题发送给claude claude分析可用的t
继续阅读疑似NSA网攻行动曝光:神秘零日漏洞利用链 目标针对俄媒体科研机构
疑似NSA网攻行动曝光:神秘零日漏洞利用链 目标针对俄媒体科研机构 安全内参编译 安全内参 2025-04-01 16:05 关注我们 带你读懂网络安全 卡巴斯基日前披露一起尖端的网攻行动,受害者点击定向钓鱼邮件中的链接,该页面暗藏零日漏洞利用代码,可远程绕过Chrome浏览器的沙盒保护机制,结合另一个未知漏洞即可实现远程代码执行,控制受害者的设备; 根据该行动非常隐蔽和技艺高超的特征,卡巴斯基认
继续阅读