紧急补丁发布:谷歌、苹果、微软联合应对高危零日漏洞 CVE-2025-24201
紧急补丁发布:谷歌、苹果、微软联合应对高危零日漏洞 CVE-2025-24201 安全客 2025-03-14 15:45 近期,谷歌、苹果和微软联合发布了紧急安全补丁,修复了一个正在被恶意利用的关键零日漏洞。该漏洞被标记为CVE-2025-24201,属于GPU上的越界写入漏洞,影响了多个平台和浏览器。苹果的安全工程与架构团队(Apple SEAR)最早在2025年3月5日报告了这一漏洞,并确认
继续阅读标签: 命令执行
腾讯云安全中心推出2025年2月必修安全漏洞清单
腾讯云安全中心推出2025年2月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-03-14 09:45 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读.NET v2.0 框架不用愁,通过 ysoserial_frmv2 触发 ViewState 反序列化漏洞
.NET v2.0 框架不用愁,通过 ysoserial_frmv2 触发 ViewState 反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-14 08:23 ViewStateDecoder2 是一个专门用于解析和分析 .NET ViewState 数据的工具,安全研究人员可以利用来查看其中存储的数据结构,检查是否存在用户数据泄露等,本篇文章将深入剖析 Vie
继续阅读更新第三章:固件仿真 | 系统0day安全-IOT设备漏洞挖掘(第6期)
更新第三章:固件仿真 | 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-03-13 17:59 本周更新: 课时1:qemu介绍与安装 https://www.kanxue.com/book-7-5271.htm 课时2:用户模式仿真(Qemu-user)-介绍 https://www.kanxue.com/book-7-5273.htm 课时3:用户模式仿真(Qe
继续阅读Moxa 修复PT 交换机中严重的认证绕过漏洞
Moxa 修复PT 交换机中严重的认证绕过漏洞 Ravie Lakshmanan 代码卫士 2025-03-13 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Moxa 发布安全更新,修复了PT 交换机中的一个严重漏洞CVE-2024-12297,它可导致攻击者绕过认证机制。 该漏洞的CVSS v4 评分为9.2。该公司在上周发布的一份安全公告中提到,“多款 Moxa PT 交
继续阅读SyntaxFlow实战CVE漏洞?那很好了
SyntaxFlow实战CVE漏洞?那很好了 原创 Yak Yak Project 2025-03-13 17:30 之前的文章为大家介绍过 如何使用YAK的SyntaxFlow功能进行代码审计 今天则是使用一个案例来为大家说明 如何使用SyntaxFlow实战 复现一个CVE漏洞 这个XSS漏洞发生在一个文档上传功能里。 上传文档后通过 /emissary/Document.action/{uu
继续阅读2025 Q1季度你需要关注的高危漏洞合集!
2025 Q1季度你需要关注的高危漏洞合集! 奇安信 CERT 2025-03-13 15:25 2025年第一季度,数字化进程的加速与新兴技术的普及,为企业带来效率提升的同时,也催生了更为复杂的安全威胁。从传统OA系统、办公软件到新兴的大模型基础设施,高危漏洞的爆发呈现 多维度、高破坏性 的特征:远程代码执行漏洞(RCE)可瞬间接管核心业务系统,SQL注入与身份认证绕过漏洞成为数据泄露的“隐形通
继续阅读2025-03微软漏洞通告
2025-03微软漏洞通告 火绒安全 火绒安全 2025-03-12 18:12 微软官方发布了2025年3月的安全更新。 本月更新公布了256个漏洞,包含23个特权提升漏洞、23个远程执行代码漏洞、4个身份假冒漏洞、4个信息泄露漏洞、3个安全功能绕过漏洞、1个拒绝服务漏洞,其中6 个漏洞级别为“Critical”(高危),51 个为“Important”(严重)。其中包含检测到文件系统相关漏洞在
继续阅读微软三月补丁星期二值得关注的漏洞
微软三月补丁星期二值得关注的漏洞 综合编译 代码卫士 2025-03-12 17:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在三月补丁日中修复了57个漏洞,其中6个是已遭利用状态。除此以外,微软还在本月早些时候修复了多个 Mariner 漏洞和10个Edge 漏洞。 这些漏洞包括: 23个提权漏洞 3个安全特性绕过漏洞 23个远程代码执行漏洞 4个信息泄露漏洞 1个拒绝服务漏
继续阅读漏洞预警 | Apache Tomcat 存在远程代码执行漏洞(CVE-2025-24813)
漏洞预警 | Apache Tomcat 存在远程代码执行漏洞(CVE-2025-24813) 原创 烽火台实验室 Beacon Tower Lab 2025-03-12 15:45 1 漏洞概述 漏洞类型 远程代码执行 漏洞等级 高危 漏洞编号 CVE-2025-24813 漏洞评分 无 利用复杂度 中 影响版本 11.0.0-M1 至 11.0.2 10.1.0-M1 到 10.1.34 9.
继续阅读警惕 Apache Camel 漏洞 攻击者借此能注入任意标头
警惕 Apache Camel 漏洞 攻击者借此能注入任意标头 山卡拉 嘶吼专业版 2025-03-12 14:01 Apache Camel 中近期披露的一个安全漏洞(编号为 CVE – 2025 – 27636),已引发整个网络安全社区的高度警惕。该漏洞允许攻击者向 Camel Exec 组件配置注入任意标头,进而有可能实现远程代码执行(RCE)。 受此漏洞影响的版本众
继续阅读Apache Tomcat远程代码执行漏洞(CVE-2025-24813)
Apache Tomcat远程代码执行漏洞(CVE-2025-24813) 原创 HSCERT 山石网科安全技术研究院 2025-03-11 21:30 一、漏洞背景 3月11日,山石安研院关注到Apache Tomcat官方发布了一个安全公告,修复了一个特定条件的远程代码执行漏洞(CVE-2025-24813),通过公开的POC已经成功复现该漏洞,由于Tomcat DefaultServlet
继续阅读Moxa 问题修复 PT 交换机中的关键身份验证绕过漏洞
Moxa 问题修复 PT 交换机中的关键身份验证绕过漏洞 信息安全大事件 2025-03-11 20:03 台湾公司 Moxa 发布了一个安全更新,以解决影响其 PT 交换机的关键安全漏洞,该漏洞可能允许攻击者绕过身份验证保证。 该漏洞被跟踪为 CVE-2024-12297,CVSS v4 评分为 9.2 分(满分 10.0 分)。 “由于授权机制存在缺陷,多个 Moxa PT 交换机容易受到身份
继续阅读Microsoft WinDbg RCE 存在允许攻击者远程执行任意代码漏洞
Microsoft WinDbg RCE 存在允许攻击者远程执行任意代码漏洞 网安百色 2025-03-11 19:28 点击上方 蓝字 关注我们吧~ 一个高严重性漏洞 CVE-2025-24043,通过 SOS 调试扩展中不正确的加密签名验证实现远程代码执行 (RCE)。 该漏洞影响关键的 .NET 诊断包,包括 dotnet-sos、dotnet-dump 和 dotnet-debugger-
继续阅读Apache Tomcat 多项安全漏洞
Apache Tomcat 多项安全漏洞 网安百色 2025-03-11 19:28 点击上方 蓝字 关注我们吧~ Apache Tomcat 作为广泛使用的开源 Web 服务器软件,近年来暴露出多个安全漏洞。 部分严重问题使服务器面临远程代码执行(RCE)等攻击风险。 这些漏洞凸显了保持软件最新版本并正确配置的重要性,以防止潜在的攻击利用。 详细漏洞信息 以下是 Apache Tomcat 漏洞
继续阅读【安全圈】Apache Tomcat 中的 CVE-2025-24813 漏洞导致服务器遭受 RCE 和数据泄露:立即更新
【安全圈】Apache Tomcat 中的 CVE-2025-24813 漏洞导致服务器遭受 RCE 和数据泄露:立即更新 安全圈 2025-03-11 19:00 关键词 安全漏洞 Apache Tomcat 中发现了一个严重漏洞CVE-2025-24813,可能允许攻击者执行远程代码、泄露敏感信息或破坏数据。Apache 软件基金会已发布紧急安全公告,敦促受影响版本的用户立即更新。 Apach
继续阅读【已复现】Apache Tomcat Partial PUT远程代码执行漏洞(CVE-2025-24813)
【已复现】Apache Tomcat Partial PUT远程代码执行漏洞(CVE-2025-24813) 长亭安全应急响应中心 2025-03-11 18:27 Apache Tomcat 是一个开源的 Java Servlet 容器和 Web 服务器,支持运行 Java Servlet、JavaServer Pages (JSP) 和其他基于 Java 的 Web 应用程序,广泛用于开发和部
继续阅读这个严重的PHP漏洞正遭大规模利用
这个严重的PHP漏洞正遭大规模利用 Ionut Arghire 代码卫士 2025-03-11 18:25 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 威胁情报公司 GreyNoise 提到,威胁行动者们已开始大规模利用PHP中的一个严重漏洞CVE-2024-4577,它可导致攻击者在易受攻击服务器上实现远程代码执行。 该漏洞的CVSS评分为9.8,可在使用Apache 和 PHP-CG
继续阅读超 4300 万 Python 安装有代码执行漏洞隐患
超 4300 万 Python 安装有代码执行漏洞隐患 山卡拉 嘶吼专业版 2025-03-11 14:01 在 Python JSON Logger 包(python-json-logger)中,发现了一个严重影响版本 3.2.0 和 3.2.1 的重大漏洞,编号为 CVE-2025-27607。该漏洞因对缺失依赖项 “msgspec-python313-pre” 的滥用,导致了远程代码执行(R
继续阅读【安全圈】PHP-CGI RCE 漏洞被用于攻击日本科技、电信和电子商务领域
【安全圈】PHP-CGI RCE 漏洞被用于攻击日本科技、电信和电子商务领域 安全圈 2025-03-10 19:01 关键词 安全漏洞 自 2025 年 1 月以来,来源不明的威胁行为者被归咎于主要针对日本组织的恶意活动。 思科 Talos 研究员 Chetan Raghuprasad在周四发布的技术报告中表示:“攻击者利用了漏洞CVE-2024-4577,这是 Windows 上 PHP 的
继续阅读CISA:Edimax 摄像头中的严重0day漏洞已遭利用
CISA:Edimax 摄像头中的严重0day漏洞已遭利用 Eduard Kovacs 代码卫士 2025-03-10 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA上周披露称,多个僵尸网络正在利用 Edimax IP摄像头中的 0day 漏洞。 CISA 发布安全公告提醒 Edimax IC-7100 IP摄像头用户称,该产品受一个严重的命令注入漏洞CVE-2025-
继续阅读上周关注度较高的产品安全漏洞(20250303-20250309)
上周关注度较高的产品安全漏洞(20250303-20250309) 原创 CNVD CNVD漏洞平台 2025-03-10 17:32 一、境外厂商产品漏洞 1、Microsoft Excel代码执行漏洞(CNVD-2025-04194) Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞,攻
继续阅读Sitecore 曝零日漏洞,可执行任意代码攻击
Sitecore 曝零日漏洞,可执行任意代码攻击 FreeBuf 商密君 2025-03-09 23:55 近日披露的 Sitecore 体验平台关键漏洞(CVE-2025-27218)允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。 该漏洞源于不安全的数据反序列化操作,影响Sitecore 体验管理器(XM)和体验平台(XP)8.2至10.4版本,这些版本在安装补丁KB1002844之前
继续阅读一次0Day漏洞Rce审计流程
一次0Day漏洞Rce审计流程 WK安全 2025-03-08 20:36 **免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 本次仅仅是记录一下自己审计一个相关0day漏洞rce的过程,并无指纹,poc,以及其余信息,看poc、指纹什么的师傅可以滑走啦。(本文会厚马) 二、
继续阅读FreeBuf周报 | 谷歌收集用户数据且无需打开应用;近5万访问管理系统存严重漏洞
FreeBuf周报 | 谷歌收集用户数据且无需打开应用;近5万访问管理系统存严重漏洞 Zicheng FreeBuf 2025-03-08 18:29 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 热点资讯 1. 最新黑产技术曝光,只需19分钟即可劫持AI大模型 最新研究表明,网络攻击者正在利用泄露的云凭证在
继续阅读【2025最新】6款漏洞扫描工具!收藏这一篇就够了(附下载链接)
【2025最新】6款漏洞扫描工具!收藏这一篇就够了(附下载链接) 编程技术栈 2025-03-08 15:55 前言 渗透测试收集信息完成后,就要根据所收集的信息,扫描目标站点可能存在的漏洞了,包括我们之前提到过的如: SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,通过这些已知的漏洞,来寻找目标站点的突破口,在这之前我们可能就已经接触过许多漏洞靶场,练习过各种漏洞的攻击
继续阅读Microsoft Windows KDC 代理中的 RCE
Microsoft Windows KDC 代理中的 RCE Ots安全 2025-03-08 12:54 在趋势科技漏洞研究服务漏洞报告的摘录中, 趋势科技研究团队的 Simon Humbert 和 Guy Lederfein 详细介绍了 Microsoft Windows 密钥分发中心 (KDC) 代理中最近修补的代码执行漏洞。该漏洞最初由 Cyber KunLun 的昆仑实验室的 k0shl
继续阅读JavaSecLab 综合Java漏洞平台搭建
JavaSecLab 综合Java漏洞平台搭建 原创 moonsec moonsec 2025-03-08 12:32 一、介绍 JavaSecLab是一款综合型Java漏洞平台,提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范,覆盖多种漏洞场景,友好用户交互UI…… 支持漏洞模块 跨站脚本攻击、跨站请求伪造、CORS、JSONP、URL重定向、XFF伪造、拒绝服务、XPAT
继续阅读vulnhub靶场渗透之Stapler 8000字详解,多种方式任你挑选,sql注入、隧道建立、hadry爆破、内核漏洞利用。
vulnhub靶场渗透之Stapler 8000字详解,多种方式任你挑选,sql注入、隧道建立、hadry爆破、内核漏洞利用。 原创 泷羽Sec-zhao’y 泷羽Sec-朝阳 2025-03-07 19:10 vulnhub靶场渗透之Stapler 8000字详解,多种方式任你挑选,sql注入、隧道建立、hadry爆破、内核漏洞利用。 一、信息收集 1、首先拿到靶场先扫一下ip ar
继续阅读