【Python代码审计】佰阅发卡存在前台RCE漏洞
【Python代码审计】佰阅发卡存在前台RCE漏洞 原创 ReversingByte 星悦安全 2025-04-16 13:09 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 █ 该文章来自零日防线社区版主 Reversing_Byte 投稿 █ 适用于各种电商、优惠卷、论坛邀请码、充值卡、激活码、注册码、腾讯爱奇艺积分CDK等,支持手工和全自动发货,分层批发模式。 :lollip
继续阅读标签: 复现
深入解析 URL 跳转漏洞:审计方法与渗透实战全攻略
深入解析 URL 跳转漏洞:审计方法与渗透实战全攻略 原创 火力猫 季升安全 2025-04-16 11:30 🔍 URL跳转漏洞审计与渗透分析手册 🧠 一、漏洞原理概述 URL跳转漏洞 发生在服务端根据用户可控输入进行跳转,却未对跳转目标地址进行有效验证 。 🔗 典型攻击场景: https://example.com/go?url=https://evil.com 若后端直接使用: respo
继续阅读Gladinet漏洞CVE-2025-30406遭在野利用
Gladinet漏洞CVE-2025-30406遭在野利用 鹏鹏同学 黑猫安全 2025-04-16 11:21 紧急安全通告 网络安全公司Huntress发出警告,Gladinet旗下CentreStack和Triofox软件中存在的关键反序列化漏洞(CVE-2025-30406,CVSS 9.0分)正被黑客组织大规模利用。该漏洞源于系统使用硬编码的machineKey值,攻击者可借此实现远程代
继续阅读【漏洞预警】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)
【漏洞预警】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727) 原创 聚焦网络安全情报 安全聚 2025-04-16 11:01 严 重 公 告 近日,安全聚实验室监测到 Oracle E-Business Suite 存在远程代码执行漏洞 ,编号为:CVE-2025-30727,CVSS:9.8 未经身份验证的攻击者通过 该漏洞执行任意代码,成功攻击
继续阅读【漏洞预警】Argo Events权限管理不当漏洞
【漏洞预警】Argo Events权限管理不当漏洞 cexlife 飓风网络安全 2025-04-16 10:22 漏洞描述: Kubernetes的事件驱动工作流自动化框架Argo Events中存在一个权限管理不当漏洞,该漏洞源于Argo Events对EventSource和Sensor自定义资源的处理方式不正确,攻击者可通过创建或修改某些资源获得对主机系统和集群的特权访问,并通过定制spe
继续阅读【漏洞预警】Oracle 2025年4月补丁日多个安全漏洞
【漏洞预警】Oracle 2025年4月补丁日多个安全漏洞 cexlife 飓风网络安全 2025-04-16 10:22 漏洞描述: Oracle发布2025年4月关键安全补丁集合更新CPU(Critical Patch Update),这是针对多个安全漏洞的补丁集合,涵盖了众多Oracle产品及其中包含的第三方组件,此次更新包含378个新安全补丁,涉及众多产品家族,如数据库、中间件、各种企业管
继续阅读WordPress前台管理员账户创建漏洞(CVE-2025-3102)POC及一键部署环境
WordPress前台管理员账户创建漏洞(CVE-2025-3102)POC及一键部署环境 原创 a1batr0ss 天翁安全 2025-04-16 10:15 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第15期,总第33期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第15期,总第33期] 原创 安钥 方桥安全漏洞防治中心 2025-04-16 10:01 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读【漏洞处置SOP】FasterXML jackson-databind 信息泄露漏洞(CVE-2019-14439)
【漏洞处置SOP】FasterXML jackson-databind 信息泄露漏洞(CVE-2019-14439) 原创 Eason 方桥安全漏洞防治中心 2025-04-16 10:01 01 SOP基本信息 SOP名称: CVE-2019-14439|FasterXML jackson-databind 信息泄露漏洞处置标准作业程序(SOP) 版本: 1.0 发布日期: 2024-08-22
继续阅读更新第四章:漏洞分析与利用 | 系统0day安全-IOT设备漏洞挖掘(第6期)
更新第四章:漏洞分析与利用 | 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-04-16 09:59 更新: 第四章 漏洞分析与利用 课时1:常见loT漏洞类型及原理 https://www.kanxue.com/book-7-5322.htm 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着
继续阅读记一次前端js加解密泄露引发的漏洞
记一次前端js加解密泄露引发的漏洞 C4安全团队运营 不秃头的安全 2025-04-16 09:54 记一次前端js加解密泄露引发的漏洞 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。还在学怎么挖通用漏洞和src吗?知识星球在最下方,续费也有优惠私聊~~考安全证书请联系vx咨询。 前端js中往往存有前后端交互时候的加密方法,
继续阅读URL 跳转漏洞利用方式详解:不仅仅是钓鱼这么简单!
URL 跳转漏洞利用方式详解:不仅仅是钓鱼这么简单! 原创 火力猫 季升安全 2025-04-16 09:38 🚨 URL 跳转漏洞的危害与利用方式全解析 ☠️ 一、危害等级:中到高危 类型 描述 危害等级 用户钓鱼 用户以为点了正常链接,实则跳转恶意网站 ⭐⭐⭐ 凭证盗取 配合 OAuth 可劫持登录凭证 ⭐⭐⭐ 权限绕过 在某些系统中可跳过登录、校验流程 ⭐⭐ 安全绕过 绕过 referer
继续阅读Apache Roller CVSS 满分漏洞可用于获取持久性访问权限
Apache Roller CVSS 满分漏洞可用于获取持久性访问权限 Ravie Lakshmanan 代码卫士 2025-04-16 09:37 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 基于 Java 的开源博客服务器软件 Apache Roller 中存在一个严重漏洞(CVE-2025-24859),可导致恶意人员即使在密码更改后也可保留越权访问权限。 该漏洞的CVSS 评分为
继续阅读一次 OAuth 登录背后的隐患:被忽略的 URL 跳转漏洞
一次 OAuth 登录背后的隐患:被忽略的 URL 跳转漏洞 原创 火力猫 季升安全 2025-04-16 09:12 🎣 URL跳转 + OAuth Token 劫持攻击链详解 ⚙️ 场景示例: 目标站点:https://login.example.com (支持 OAuth 授权) 合作跳转域:https://partner.example.com/login?next=… (存在
继续阅读Chrome曝高危漏洞,攻击者可窃取数据并越权访问
Chrome曝高危漏洞,攻击者可窃取数据并越权访问 邑安科技 邑安全 2025-04-16 08:45 更多全球网络安全资讯尽在邑安全 谷歌在发现两个高危漏洞后,已紧急为其Chrome浏览器推出安全更新。这些漏洞可能允许攻击者窃取敏感数据并越权访问用户系统。 编号为CVE-2025-3619和CVE-2025-3620的漏洞影响以下版本: – Windows/Mac :低于135.0.
继续阅读Windows 11曝权限提升漏洞,攻击者300毫秒内可获取管理员权限
Windows 11曝权限提升漏洞,攻击者300毫秒内可获取管理员权限 邑安全 2025-04-16 08:45 更多全球网络安全资讯尽在邑安全 Windows 11 中的一个严重漏洞允许攻击者在短短 300 毫秒内从低权限用户升级到完全系统管理员权限。 该漏洞被跟踪为 CVE-2025-24076,通过复杂的 DLL 劫持技术利用了 Windows 11“移动设备”功能的弱点。 该安全漏洞于 2
继续阅读Apache Roller 漏洞让攻击者获得未经授权的访问
Apache Roller 漏洞让攻击者获得未经授权的访问 邑安科技 邑安全 2025-04-16 08:45 更多全球网络安全资讯尽在邑安全 在 Apache Roller 中发现了一个严重的安全漏洞,允许攻击者在更改密码后保持对博客系统的未经授权的访问。 漏洞 CVE-2025-24859 已获得 CVSS v4 的最高评分 10,表明受影响的系统面临严重风险。 该安全漏洞源于 Apache
继续阅读腾讯云安全中心推出2025年3月必修安全漏洞清单
腾讯云安全中心推出2025年3月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-04-16 08:03 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读信息安全漏洞周报(2025年第15期)
信息安全漏洞周报(2025年第15期) 原创 CNNVD CNNVD安全动态 2025-04-16 07:45 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年4月7日至2025年4月13日)安全漏洞情况如下: 公开漏洞情况本周CNNVD采集安全漏洞976个。接报漏洞情况本周CNNVD接报漏洞9194个,其中信息技术产品漏洞(通用型漏洞)381个,网络信息系
继续阅读一文吃透文件上传漏洞!路径遍历、后缀绕过、ZIP炸弹全解析
一文吃透文件上传漏洞!路径遍历、后缀绕过、ZIP炸弹全解析 原创 火力猫 季升安全 2025-04-16 06:45 🔍 文件上传漏洞Java源码审计详解(附代码分析) 文件上传是 Web 应用中极其常见的功能,但一旦实现不当,极易造成严重漏洞 ,如:上传 WebShell、任意文件写入、远程命令执行等。本篇将从源码审计角度,深入剖析文件上传中关键风险点,包含路径处理、文件大小限制、后缀校验、绕过
继续阅读【复现】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)风险通告
【复现】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)风险通告 赛博昆仑CERT 2025-04-16 06:18 赛博昆仑漏洞 安全风险通告 Oracle E-Business Suite远程代码执行漏洞 (CVE-2025-30727) 风险通告 漏洞描述 Oracle E-Business Suite(简称 EBS),是Oracle 公司开发的
继续阅读某天OA-workFlowService-多处SQL注入漏洞分析
某天OA-workFlowService-多处SQL注入漏洞分析 原创 chobits02 C4安全团队 2025-04-16 05:52 扫码加内部知识圈 获取漏洞资料 本文章由团队成员[ chobits02]授权转载并发布 我们是C4安全团队 ,师傅们别忘了 关注和 点赞,团队的成长离不开你们★~ 漏洞描述 01 某天OA系统是一个以技术领先著称的协同软件产品,具有极为突出的实用性、易用性和高
继续阅读SRC漏洞挖掘经验+技巧篇
SRC漏洞挖掘经验+技巧篇 k哥网络安全 2025-04-16 05:51 一、漏洞挖掘的前期–信息收集 虽然是前期,但是却是我认为最重要的一部分; 很多人挖洞的时候说不知道如何入手,其实挖洞就是信息收集+常规owasp top 10+逻辑漏洞(重要的可能就是思路猥琐一点),这些漏洞的测试方法本身不是特别复杂,一般混迹在安全圈子的人都能复现漏洞。接下来我就着重说一下我在信息收集方面的心得。 1、
继续阅读CISA警告:CrushFTP漏洞正遭利用,风险严峻!
CISA警告:CrushFTP漏洞正遭利用,风险严峻! 原创 紫队 紫队安全研究 2025-04-16 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 4月7日,美国网络安全与基础设施安全局(
继续阅读赏金故事 | 多个漏洞组合拳拿下PayPal高危漏洞
赏金故事 | 多个漏洞组合拳拿下PayPal高危漏洞 白帽子左一 白帽子左一 2025-04-16 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 在寻找安全问题时,许多研究者往往会把注意力集中在未公开的资产和隐蔽的端点上,而忽略了一些明显却同样关键的功能点。 如果你将目标当作是第一次接受安全测试的系统,并对每一
继续阅读漏洞预警 杭州三X SMG网关管理软件 changelogo.php 命令执行漏洞
漏洞预警 杭州三X SMG网关管理软件 changelogo.php 命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-16 03:23 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间
继续阅读赫兹租车公司披露数据泄露事件 起因系2024年Cleo系统零日漏洞攻击
赫兹租车公司披露数据泄露事件 起因系2024年Cleo系统零日漏洞攻击 鹏鹏同学 黑猫安全 2025-04-16 03:21 【安全事件通报】 2025年4月2日,赫兹公司正式确认其客户数据遭第三方非法获取。攻击者利用Cleo文件传输平台在2024年10月和12月曝出的两个零日漏洞(CVE-2024-50623,CVSS评分8.8),入侵了该公司系统。此次事件影响范围涵盖: 客户姓名、联系方式、出
继续阅读安美酒店管理系统/get_user_enrollment.php接口 sql注入漏洞
安美酒店管理系统/get_user_enrollment.php接口 sql注入漏洞 Superhero Nday Poc 2025-04-16 01:59 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 安
继续阅读【成功复现】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108)
【成功复现】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108) 原创 弥天安全实验室 弥天安全实验室 2025-04-15 20:39 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Palo Alto Networks PAN-OS是美国Palo Alto N
继续阅读