Smartded Meteobridg的template.cgi接口存在任意命令注入CVE-2025-4008 附POC 2025-6-5更新 南风漏洞复现文库 2025-06-05 15:16 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
继续阅读Liferay icon.jsp接口存在跨站漏洞CVE-2025-4388 附POC 2025-6-5更新 南风漏洞复现文库 2025-06-05 15:16 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Liferay简介 微信公众
继续阅读唯德科创 IPEasy 知易通 WSFM 任意文件上传漏洞 HK安全小屋 2025-06-05 14:00 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 唯徳知识产权管理系统 /AutoUpdate/WSFM.asmx 接口存在
继续阅读渗透测试与漏洞扫描:有什么区别? StaticCodeAnalysis 2025-06-05 13:29 本文将为您提供信息丰富且客观的分析,对比渗透测试与漏洞扫描。这两种安全评估实践应该成为您组织网络安全战略的一部分。渗透测试,也称为 pentesting 或 pen test,是一种网络安全演习,其中安全测试专家(称为渗透测试员)通过模拟熟练的威胁行为者(这些威胁行为者决心获得 IT 系统或
继续阅读0day漏洞量产?AI Agent“生产线”曝光 原创 腾讯程序员 腾讯技术工程 2025-06-05 12:30 作者:悟空团队 — 新一代 AI 代码安全捉“妖”行者(原腾讯AI安全-啄木鸟团队) 丨 导语 随着AI技术的迅猛发展,AI智能体在0day漏洞挖掘领域展现出前所未有的潜力。 本文将深入探讨AI Agent如何通过创新的多智能体协作系统,打造出高效的0day漏洞“生产线”,实现自动
继续阅读Kindeditor编辑器漏洞挖掘 原创 锐鉴安全 锐鉴安全 2025-06-05 11:38 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标, 不定期有宠粉福利 在edu src信息收集完,发现某证书站的投稿模块。 点击?发现富文本编辑器的情况及版本信息。 查
继续阅读【漏洞预警】DataEase 远程代码执行漏洞(CVE-2025-49002) 原创 聚焦网络安全情报 安全聚 2025-06-05 11:29 严 重 公 告 近日,安全聚实验室监测到 DataEase 存在远程代码执行漏洞 ,编号为:CVE-2025-49002,CVSS:9.8 攻击者通过H2数据库的JDBC接口利用大小写绕过安全补丁(CVE-2025-32966),导致远程代码执行。 0
继续阅读【安全圈】在VMWare NSX中发现多个存储的XSS漏洞-立即修补 安全圈 2025-06-05 11:01 关键词 安全漏洞 Broadcom发布了重要的更新,解决了VMware NSX中三个新披露的漏洞,所有这些漏洞都使用户暴露于存储跨站点脚本(XSS)攻击。这些缺陷(如CVE-2025-22243、CVE-2025-22244和CVE-2025-22245)影响了一系列VMware产品,包
继续阅读我不再依赖 CVE ,对漏洞管理的重新构想 原创 刘宸宇 数世咨询 2025-06-05 10:31 疲于奔命的漏洞管理 漏洞管理的天然滞后性,加上策略和流程的延迟,让安全团队疲于奔命。在能力有限的现实下,要立即修复所有漏洞只会让团队不堪重负。我们的漏洞运营中心 (VOC) 数据集分析团队在 68,500 个客户资产中发现了 1,337,797 个安全漏洞。其中有CVE编号的 32,585 个漏洞
继续阅读CVE-2024-4956 Nexus Repository 3 路径遍历漏洞 海狼风暴团队 2025-06-05 09:43 漏洞简述 Nexus Repository 3 在处理用户提供的路径时存在缺陷,仅依赖 Jetty 的基础验证,未进行严格的安全检查。攻击者可构造恶意 URL 进行路径遍历,访问系统上的任意文件。 受影响版本 Nexus Repository 3.0.0 –
继续阅读谷歌披露威胁组织攻击方式:伪造Salesforce数据加载器实施钓鱼攻击 邑安科技 邑安全 2025-06-05 09:30 更多全球网络安全资讯尽在邑安全 谷歌近日披露了一个以经济利益为动机的威胁组织UNC6040的详细情况。该组织专门通过语音钓鱼(vishing)攻击入侵企业的Salesforce系统,实施大规模数据窃取和后续勒索活动。 冒充IT支持人员的社交工程攻击 谷歌威胁情报团队追踪发现
继续阅读【漏洞通告】DataEase远程代码执行漏洞安全风险通告 嘉诚安全 2025-06-05 08:42 漏洞背景 近日,嘉诚安全 监测到 DataEase远程代码执行漏洞,漏洞编号为: CVE-2025-48999、CVE-2025-49001、CVE-2025-49002 。 DataEase是一款开源的数据分析平台,提供丰富的数据可视化和分析功能,帮助用户轻松地进行数据探索和决策支持。 鉴于漏洞
继续阅读【高危漏洞预警】Dataease JWT认证绕过&H2数据库远程代码执行漏洞 cexlife 飓风网络安全 2025-06-05 08:22 1.Dataease JWT 认证绕过漏洞(CVE-2025-49001) 漏洞描述: DаtаEаѕе是一个开源的业务智能和数据可视化工具,它允许用户通过图形化界面对数据进行分析和展示,在版本2.10.10之前,该工具的密钥验证未能正确实施,导致
继续阅读【已复现】DataEase 远程代码执行漏洞(CVE-2025-49002、CVE-2025-49001) 长亭安全应急响应中心 2025-06-05 08:06 DataEase是一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 2025年6月, 互联网 公开 披露 DataEase 存在多个高危漏洞(CVE-2025-48999、CVE-2025
继续阅读Roundcube ≤ 1.6.10 通过 PHP 对象反序列化进行身份验证后 RCE Ots安全 2025-06-05 07:58 2025年6月5日,网络安全研究人员Kirill Firsov披露了Roundcube webmail(版本1.1.0至1.6.10)中的一个严重远程代码执行(RCE)漏洞,编号CVE-2025-49113。该漏洞源于PHP对象反序列化机制中的缺陷,存在于Round
继续阅读创宇安全智脑 | Cisco IOS XE 任意文件上传(CVE-2025-20188)等81个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-06-05 07:51 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实
继续阅读Jenkins未授权访问-命令执行漏洞复现及修复方案 徐志洋 玄武盾网络技术实验室 2025-06-05 07:49 作者:徐志洋 声明: 技术仅用于学术交流,请遵守《网络安全法》,严禁将此文中工具和技术用于非法攻击测试。 一、背景 Jenkins 是一款功能强大的应用工具,支持跨平台实现项目的持续集成与持续交付。作为开源代码工具,其能够胜任各类构建任务或持续集成工作。通过集成 Jenkins,可
继续阅读CVE-2025–4123 | Grafana SSRF和账户接管漏洞分析 白帽子左一 白帽子左一 2025-06-05 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 摘要 开放重定向是指当一个网页应用程序接收一个URL参数并将用户重定向到该指定URL时,未对其进行验证的情况。 /redirect?url=ht
继续阅读【已复现】DataEase 远程代码执行漏洞(CVE-2025-49001、CVE-2025-49002)安全风险通告 奇安信 CERT 2025-06-05 03:43 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 DataEase 远程代码执行漏洞 漏洞编号 CVE-2025-49001、CVE-2025-49002 公开时间 2025-06-03 影响量级 万级 奇安信
继续阅读Windows RAR/ZIP解压缩泄露NTLM哈希漏洞复现 白帽子 2025-06-05 03:39
继续阅读信息安全漏洞周报(2025年第22期) 原创 CNNVD CNNVD安全动态 2025-06-05 03:39 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年5月26日至2025年6月1日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞460个。 接报漏洞情况 本周CNNVD接报漏洞7460个,其中信息技术产品漏洞(通用型漏洞)272个,网络
继续阅读微步情报局发现DataEase存在多个高危漏洞,可实现RCE 原创 微步情报局 微步在线研究响应中心 2025-06-05 03:30 漏洞概况 DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据、洞察业务趋势,从而支持业务改进和优化。 微步情报局挖掘到DataEase 多个高危漏洞,包括CVE-2025-48999,CVE-2025-49001,CVE-2025-4900
继续阅读0Day漏洞曝光!多媒体综合业务显示系统面临严峻挑战 原创 禾小盾 数字人才创研院 2025-06-05 02:45 点击上方 蓝字 关注我们 BEGINNING OF SPRING 由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送文章,敬请大家动动手指设置“星标”,完成之后可以第一时间收到推送啦。 0x01 阅读须知 Reading Instruction
继续阅读HVV护网行动 | 分享最近攻防演练HVV漏洞复盘 安小圈 2025-06-05 00:46 安小圈 第680期 – HW必备:50个应急响应常用命令速查手册一(实战收藏) HW必备:50个应急响应常用命令速查手册二(实战收藏) 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的
继续阅读漏洞预警 | 傲发办公通信专家系统SQL注入漏洞 浅安 浅安安全 2025-06-05 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 傲发办公通信专家系统是由深圳市傲发科技有限公司推出的,集协同办公、通信管理、客户管理等多种功能于一体,为中小企业提供一站式融合通信服务,助力企业提升办公效率、降低通信成本的综合办公通信解决方案
继续阅读最新xxl-job综合漏洞检测利用工具|漏洞探测 pureqh 渗透安全HackTwo 2025-06-04 16:01 0x01 工具介绍 xxl-job-attack 是一个用于检测和利用 XXL-JOB 系统漏洞的综合工具。该工具可以检测默认口令、未授权的Hessian反序列化漏洞、Executor未授权命令执行漏洞和默认accessToken身份绕过等问题。它支持通过内存马(如冰蝎Fil
继续阅读CNVD通用型漏洞挖掘-app逻辑缺陷的两个挖掘案例 Z2O安全攻防 2025-06-04 14:40 大家都说web的难挖,又要十个案例才能下发证书,那就挖app吧,不需要案例,因为本身app就是一对多的用户关系,能够影响到别的用户即可 (以下漏洞都已提交了CNVD) 01 任意用户密码重置漏洞 通过日常的爱企业查高级查询导出5000万以上企业,并筛选有app应用的,随机开始挑选软柿子来捏 通过
继续阅读Vul情报 | CVE-2025-4123 漏洞(附EXP) 渗透Xiao白帽 2025-06-04 14:34 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 Grafana是Grafana开源的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析Graphite、InfluxDB和Promet
继续阅读【高危漏洞预警】Roundcube Webmail upload.php _from反序列化代码执行漏洞 cexlife 飓风网络安全 2025-06-04 14:24 漏洞描述: Roundcube Webmail是一个邮件服务器,CVE-2025-49113中,在1.5.10之前和低于1.6.11的1.6.x版本中,由于在program/actions/settings/upload.php文
继续阅读