从披露到被利用仅4小时!WordPress插件漏洞使黑客肆意创建管理员账户
从披露到被利用仅4小时!WordPress插件漏洞使黑客肆意创建管理员账户 看雪学苑 看雪学苑 2025-04-15 18:01 4月10日,WordPress插件SureTriggers被曝出存在一个严重的身份验证绕过漏洞(CVE-2025-3102),该漏洞在公开披露后仅4小时内就被黑客积极利用,全球超过10万个使用该插件的网站面临巨大安全威胁。 漏洞详情 SureTriggers是一款拥有超
继续阅读标签: 复现
360漏洞情报月报2025年03期 | 漏洞总量持续高位运行,核心系统威胁加剧
360漏洞情报月报2025年03期 | 漏洞总量持续高位运行,核心系统威胁加剧 360漏洞云 2025-04-15 10:09 近日,360漏洞云情报平台发布2025年3月漏洞情报月报,综合分析当月全网漏洞安全态势,人工深度研判分析重点预警漏洞,并披露多起具有战略价值的网络安全事件。本文特摘录核心内容,为政企机构提供防御参考。 月报数据显示, 2025年3月全网捕获漏洞4279例,较2024年同期
继续阅读硬编码导致的前台上传漏洞
硬编码导致的前台上传漏洞 xiaoQ 实战安全研究 2025-04-15 02:00 一、前言 对于用户身份校验不全面,导致的前台文件上传漏洞。分享一下挖掘过程。 二、代码分析 很明显的ThinkPhp架构,针对TP的路由,一般就是/index.php/cpntroller/method,这里我们可以抓一下登录的数据包,来确定一下路由。 大概也就猜出来了,account控制器,login方法 三、
继续阅读漏洞预警 西部数据 NAS safepoints_api.php network_get_sharefolder 命令执行漏洞
漏洞预警 西部数据 NAS safepoints_api.php network_get_sharefolder 命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-15 01:18 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入
继续阅读国际象棋网站漏洞 从XSS到账户接管的探索之旅
国际象棋网站漏洞 从XSS到账户接管的探索之旅 原创 子午猫 网络侦查研究院 2025-04-15 01:00 前言 在网络安全的世界里,每一次探索都是一次冒险。今天,我要分享的是一个关于如何发现并利用Chess.com漏洞的故事。这个过程充满了曲折和意外,但也正是这些意外,让我最终找到了那个“大奖”。 背景:初次探索与XSS尝试 2019年11月,我第一次开始研究Chess.com的漏洞。当时,
继续阅读漏洞预警 | NetMizer日志管理系统远程命令执行和SQL注入漏洞
漏洞预警 | NetMizer日志管理系统远程命令执行和SQL注入漏洞 浅安 浅安安全 2025-04-15 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 NetMizer日志管理系统是一款可以记录流经设备的所有会话日志并将其传送到外部的管理中心上的系统。 0x03 漏洞详情 漏洞类型: 远程 命令 执行 影响: 执行任意代
继续阅读300页 Android 应用安全:缓解黑客攻击和安全漏洞
300页 Android 应用安全:缓解黑客攻击和安全漏洞 原创 计算机与网络安全 计算机与网络安全 2025-04-14 23:57 扫码加入知识星球: 网络安全攻防(HVV) 下载全套资料 《Android应用安全:缓解黑客攻击与安全漏洞(第二版)》一书深入探讨了保护Android应用免受恶意攻击的实用策略与技术。书中强调,Android应用面临的主要威胁包括数据泄露、逆向工程、权限滥用以及不
继续阅读如何发现AI chatbot 中的RCE
如何发现AI chatbot 中的RCE 原创 漏洞集萃 漏洞集萃 2025-04-14 22:59 引言 近年来,AI聊天机器人凭借其高效的客户服务、增强的用户互动以及简化的业务运营,迅速在各行各业中流行起来。这些智能系统依托复杂的算法和自然语言处理技术,与用户实现无缝交互。然而,与所有软件一样,它们也无法完全免疫安全漏洞的威胁。 背景故事:发现的起点 目标平台是一个功能强大的业务管理平台,集成
继续阅读JeeWMS cgAutoListController.do SQL注入漏洞
JeeWMS cgAutoListController.do SQL注入漏洞 Superhero Nday Poc 2025-04-14 12:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 JeeWM
继续阅读思科设备曝出七年旧漏洞 攻击者可远程执行代码
思科设备曝出七年旧漏洞 攻击者可远程执行代码 FreeBuf 2025-04-14 11:15 思科网络设备中存在一个长达七年的安全漏洞,至今仍对未打补丁的系统构成重大风险,攻击者可利用该漏洞远程执行代码。 该漏洞编号为CVE-2018-0171,最初于2018年发现,针对思科的Smart Install(智能安装)功能。该功能是一种即插即用配置工具,旨在简化网络设备部署。 尽管漏洞年代久远,但最
继续阅读泛微Ecology后台远程代码执行漏洞风险通告
泛微Ecology后台远程代码执行漏洞风险通告 赛博昆仑CERT 2025-04-14 11:02 赛博昆仑漏洞 安全风险通告 泛微Ecology后台远程代码执行漏洞风险通告 漏洞描述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,形成了一系列的通
继续阅读上周关注度较高的产品安全漏洞(20250407-20250413)
上周关注度较高的产品安全漏洞(20250407-20250413) 原创 CNVD CNVD漏洞平台 2025-04-14 10:10 一、境外厂商产品漏洞 1、IBM Sterling File Gateway信息泄漏漏洞(CNVD-2025-06655) IBM Sterling File Gateway是美国国际商业机器(IBM)公司的一套文件传输软件。该软件可整合不同的文件传输活动中心,并
继续阅读黑客利用已修复的Fortinet FortiGate设备漏洞获取Root权限
黑客利用已修复的Fortinet FortiGate设备漏洞获取Root权限 信息安全大事件 2025-04-14 10:04 Fortinet发现威胁攻击者使用了一种复杂的后利用技术,即使在初始漏洞修复后仍能维持对FortiGate设备的未授权访问。 根据Fortinet最新调查报告,攻击者利用了三个已知漏洞(FG-IR-22-398、FG-IR-23-097和FG-IR-24-015)入侵Fo
继续阅读系统0day安全-IOT设备漏洞挖掘
系统0day安全-IOT设备漏洞挖掘 Ms08067实验室 Ms08067安全实验室 2025-04-14 10:02 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureN
继续阅读【已复现】泛微e-cology 前台SQL注入漏洞
【已复现】泛微e-cology 前台SQL注入漏洞 长亭安全应急响应中心 2025-04-14 10:02 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。2025年4月,泛微官方发布了新补丁,修复了一处 SQL 注入漏洞。经分析,攻击者无需认证即可利用该漏洞,建议受影响的客户尽快修复漏洞。 漏洞描述 Description 01 漏洞成
继续阅读你知道JWT漏洞如何进行攻击利用吗?
你知道JWT漏洞如何进行攻击利用吗? 原创 夜风Sec 夜风Sec 2025-04-14 09:55 JWT攻击 研究 JSON Web 令牌 (JWT) 的设计问题和处理缺陷如何导致网站容易受到各种高严重性攻击。由于 JWT 最常用于身份验证、会话管理和访问控制机制,这些漏洞可能会危及整个网站及其用户。 jwt-00 什么是JWT? JSON Web 令牌 (JWT) 是一种在系统之间发送加密签
继续阅读高危!Vite任意文件读取漏洞安全风险通告
高危!Vite任意文件读取漏洞安全风险通告 应急响应中心 亚信安全 2025-04-14 09:54 近日,亚信安全CERT监控到安全社区研究人员发布安全通告,Vite存在一个任意文件读取漏洞,编号为 CVE-2025-31486。由于Vite在处理特定URL请求时缺少对路径的安全检查,这导致攻击者可以通过构造特定的 URL 请求绕过服务器的保护机制,非法访问敏感文件。 目前官方已发布安全更新,亚
继续阅读当漏洞攻击遇上腾讯混元超能力:EdgeOne 的 Web 安全赛博决斗
当漏洞攻击遇上腾讯混元超能力:EdgeOne 的 Web 安全赛博决斗 腾讯安全 2025-04-14 09:44 《腾讯云2024年DDoS与应用安全威胁趋势报告》显示,利用漏洞和应用弱点的攻击手段愈发多样化和复杂化,2024年高危漏洞攻击总量超过 17亿次,面对这一严峻挑战,我们应该如何应对?接下来将为您讲解我们的最新尝试——基于大模型的漏洞识别能力,您可以通过托管规则-深度分析功能,率先体验
继续阅读安全热点周报:PipeMagic 木马利用 Windows 零日漏洞部署勒索软件
安全热点周报:PipeMagic 木马利用 Windows 零日漏洞部署勒索软件 奇安信 CERT 2025-04-14 09:15 安全资讯导视 • 《数据安全技术 政务数据处理安全要求》等6项网络安全国家标准发布 • 摩洛哥国家社保基金遭网络攻击,近200万民众敏感数据或泄露 • 美国工业传感器上市公司森萨塔遭勒索攻击,生产运营被迫中断 PART01 漏洞情报 1.Foxmail for W
继续阅读CVE-2021-31956 Windows 内核漏洞(NTFS 与 WNF)利用 —— 第二部分
CVE-2021-31956 Windows 内核漏洞(NTFS 与 WNF)利用 —— 第二部分 Alex Plaskett securitainment 2025-04-14 05:37 【翻译】CVE-2021-31956 Exploiting the Windows Kernel (NTFS with WNF) – Part 2 引言 在 第一部分[1] 中,我们主要讨论了以下内容: &#
继续阅读从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486
从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486 船山信安 2025-04-13 16:04 最近有花了一些时间看vite任意文件读取相关的一系列漏洞,下面打算以漏洞发现者的视角,讲讲这些漏洞的一些要点 CVE-2025-30208 CVE-2025-30208这个漏洞其实是历史漏洞 CVE-2024-45811 的绕过,在CVE-2024-45811核
继续阅读黑客如何用一张图片掏空你的服务器?揭秘SSRF漏洞的致命陷阱
黑客如何用一张图片掏空你的服务器?揭秘SSRF漏洞的致命陷阱 原创 筑梦网安 全栈安全 2025-04-13 16:01 SSRF(服务器端请求伪造)漏洞已成为黑客攻击的重要手段之一。通过利用这一漏洞,攻击者可以通过发送特制的请求,获取服务器内部的敏感信息,甚至完全控制服务器。本文将深入探讨SSRF漏洞的工作原理,以及黑客如何利用一张图片来实施攻击,揭示这一致命陷阱的本质。 开篇故事:一张“合法请
继续阅读Zyxel-硬编码后门账户漏洞-CVE-2020-29583
Zyxel-硬编码后门账户漏洞-CVE-2020-29583 原创 骇客安全 骇客安全 2025-04-13 16:00 漏洞描述 Zyxel固件中发现的后门被称为关键固件漏洞,CVE编号CVE-2020-29583,得分为7.8 CVSS。虽然CVSS评分看似不是很高,但却不可小觑。研究人员表示,这是一个极为严重的漏洞,所有者必须立即更新其系统。因为任何人都可以轻松利用这个漏洞,从DDoS僵尸网
继续阅读【安全圈】WordPress插件漏洞导致网站遭受关键文件包含攻击
【安全圈】WordPress插件漏洞导致网站遭受关键文件包含攻击 安全圈 2025-04-13 11:00 关键词 网络攻击 在InstaWP Connect WordPress 插件中发现了一个严重的安全漏洞,可能使数千个网站面临远程攻击。 Wordfence 的安全研究人员发现并报告了这个严重漏洞 (CVE-2025-2636),该漏洞允许未经身份验证的攻击者在受影响的网站上执行任意代码。该
继续阅读价值 $25,000 的hackerone 漏洞
价值 $25,000 的hackerone 漏洞 原创 漏洞集萃 漏洞集萃 2025-04-13 10:57 这个故事的标题听起来有点怪,但确实如此。故事围绕的是在 HackerOne 发现的一个安全漏洞展开,这个漏洞会暴露 HackerOne 的漏洞报告者(也就是“黑客”)和项目团队成员账户的敏感个人数据。所谓敏感数据,包括报告者/团队的邮箱、电话号码、OTP 备用码、GraphQL 密钥令牌、
继续阅读elestio memos SSRF漏洞 (CVE-2025-22952)
elestio memos SSRF漏洞 (CVE-2025-22952) Superhero Nday Poc 2025-04-13 10:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 eleest
继续阅读Vite 任意文件读取漏洞 (CVE-2025-32395)
Vite 任意文件读取漏洞 (CVE-2025-32395) Superhero Nday Poc 2025-04-13 09:33 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 漏洞源于Vite在处理带有
继续阅读【漏洞复现】Vite 任意文件读取系列漏洞(附POC)
【漏洞复现】Vite 任意文件读取系列漏洞(附POC) 原创 仇辉攻防 仇辉攻防 2025-04-13 07:46 Vite是什么,和Next.js有什么区别? 上一篇文章刚介绍了Next.js漏洞的复现: 【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927 Vite 和 Next.js 是两个不同类型的前端工具,它们各自的用途、架构和适用场景有所不同。 Vite 是什么?
继续阅读Zyxel-NBG2105-身份验证绕过-CVE-2021-3297
Zyxel-NBG2105-身份验证绕过-CVE-2021-3297 原创 骇客安全 骇客安全 2025-04-13 06:19 Zyxel-NBG2105-身份验证绕过-CVE-2021-3297 Zyxel NBG2105 身份验证绕过 CVE-2021-3297 漏洞描述 Zyxel NBG2105 存在身份验证绕过,攻击者通过更改 login参数可用实现后台登陆 漏洞影响 Zyxel NB
继续阅读