深入Vite任意文件读取与分析复现
深入Vite任意文件读取与分析复现 船山信安 2025-04-05 15:14 Vite 任意文件读取漏洞(CVE-2025-30208) 前言 看到群里有人发了一个链接 https://github.com/ThumpBo/CVE-2025-30208-EXP 发现这个漏洞危害很大很大,而且利用起来也是非常的容易 而且资产也是比较多的 于是分析分析这个漏洞 漏洞描述 Vite 是一个现代前端构建
继续阅读标签: 复现
【漏洞复现】Vite 任意文件读取漏洞
【漏洞复现】Vite 任意文件读取漏洞 PokerSec PokerSec 2025-04-05 09:00 先关注,不迷路. 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞介绍 Vite是一个现代前端构建工具,为Web项目提供更快、更
继续阅读600+历年攻防演练漏洞汇编!千起实战案例还原漏洞攻击链
600+历年攻防演练漏洞汇编!千起实战案例还原漏洞攻击链 Drt安全战队 Drt安全战队 2025-04-05 08:30 随着国家攻防演练行动进入实战化深水区,攻击方技术手段持续升级,传统基于漏洞评分的”打补丁式防御”已难以应对复杂攻击链威胁。在2025攻防演练即将开启之际,360漏洞云基于对2023-2024年1372起真实攻防案例 的深度分析,发布《2025攻防演练必
继续阅读用大模型探寻补丁代码的秘密 – 从漏洞挖掘到POC构建之旅
用大模型探寻补丁代码的秘密 – 从漏洞挖掘到POC构建之旅 原创 做安全的小明同学 大山子雪人 2025-04-04 21:38 引言 补丁分析的挑战 详细的漏洞利用步骤 潜在利用方式 具体攻击场景 pm 命令的入口 关键调用链(以 pm install 为例) 调用路径如下: 如何通过 pm 直接触发? 方法 1:安装一个声明了 的 APK 方法 2:手动修改 packages.xm
继续阅读【漏洞复现】用友 GRP-U8-obr_zdybxd_check等四个SQL注入漏洞
【漏洞复现】用友 GRP-U8-obr_zdybxd_check等四个SQL注入漏洞 原创 文峰SEC 文峰SEC 2025-04-04 21:12 漏洞简介 用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager,产品分B、C、G三个产品系列,以上受到本次通报漏洞的影响。用友GRP-U8存在obr_zdybxd_check等四个SQL注入漏洞。 – 漏洞复现 Quak
继续阅读CrushFTP 漏洞概念验证代码公开后遭攻击者利用
CrushFTP 漏洞概念验证代码公开后遭攻击者利用 FreeBuf 2025-04-04 18:07 安全研究人员证实,在概念验证(PoC)利用代码公开后,针对CrushFTP关键身份验证绕过漏洞(CVE-2025-2825)的攻击尝试已经开始活跃。 根据Shadowserver基金会最新监测数据,截至2025年3月30日,全球仍有约1512个未打补丁的实例处于暴露状态,其中北美地区占比最高(8
继续阅读CISO 视角下的十大漏洞管理最佳实践
CISO 视角下的十大漏洞管理最佳实践 FreeBuf 2025-04-04 18:07 2003年我在芝加哥某行业会议上首次进行网络安全演讲时,曾重点讨论当时肆虐的蠕虫病毒(如冲击波、SQL Slammer等),并向听众强调漏洞与补丁管理的重要性。问答环节中,一位听众的提问直指核心:”我们随时面临数千个漏洞,该如何确定修复优先级?” 当时我给出的”根据已知威胁
继续阅读ipTIME 未授权访问漏洞(CVE-2024-54764)
ipTIME 未授权访问漏洞(CVE-2024-54764) Superhero Nday Poc 2025-04-04 17:07 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 ipTIME A2004的
继续阅读ipTIME 未授权访问漏洞(CVE-2024-54763)
ipTIME 未授权访问漏洞(CVE-2024-54763) Superhero Nday Poc 2025-04-04 16:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 ipTIME A2004的
继续阅读CrushFTP存在认证绕过漏洞(CVE-2025-2825)
CrushFTP存在认证绕过漏洞(CVE-2025-2825) 哆啦安全 2025-04-04 11:41 CrushFTP认证绕过漏洞(CVE-2025-2825)风险提示 漏洞情况 CrushFTP是一款多协议文件传输服务器,支持FTP、SFTP、WebDAV和HTTP/S等协议。在2025年3月,安全研究人员发现其实现的S3兼容API存在严重的认证绕过漏洞(CVE-2025-2825), 这
继续阅读【漏洞速递】Zabbix API SQL注入漏洞(CVE-2024-36465)
【漏洞速递】Zabbix API SQL注入漏洞(CVE-2024-36465) 安全狐 2025-04-03 22:56 漏洞背景 Zabbix是一款开源的网络监控和报警系统,广泛应用于监视网络设备、服务器和应用程序的性能和可用性。近日,官方披露了Zabbix API中存在的一个SQL注入漏洞(CVE-2024-36465),该漏洞允许低权限用户通过API执行任意SQL命令,可能导致数据泄露或系
继续阅读漏扫设备误报漏洞处理;数据安全事件中的 “开盒” 防护| FB甲方群话题讨论
漏扫设备误报漏洞处理;数据安全事件中的 “开盒” 防护| FB甲方群话题讨论 FreeBuf 2025-04-03 19:24 各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第252期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 话题抢先看 1、漏扫设备会将一些的特殊漏洞也写到报告之中
继续阅读CVE-2025-0108:通过 PAN-OS Nginx/Apache 路径混淆实现的身份验证绕过漏洞 _
CVE-2025-0108:通过 PAN-OS Nginx/Apache 路径混淆实现的身份验证绕过漏洞 _ Ots安全 2025-04-03 19:23 目标 – PAN OS 10.2.x < 10.2.13-h3 PAN OS 11.0.x < 11.1.6-h1 PAN OS 11.2.x < 11.2.4-h4 解释 CVE-2025-0108是在 Palo
继续阅读【漏洞预警】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)
【漏洞预警】Zabbix groupBy SQL注入漏洞(CVE-2024-36465) 原创 安全探索者 安全探索者 2025-04-03 18:57 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Z abbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 fofa: app=”ZABBIX-监控系统” 0x02 漏洞描述
继续阅读【价值2500美元的漏洞】基于 Facebook 短信的双因素身份验证绕过(文末福利)
【价值2500美元的漏洞】基于 Facebook 短信的双因素身份验证绕过(文末福利) Moaz Adel 安全视安 2025-04-03 18:53 声明 :该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 原文链接: https://moaz219.blogspot.com/2024/08/facebo
继续阅读【漏洞预警】MongoDB Server 证书验证不当漏洞
【漏洞预警】MongoDB Server 证书验证不当漏洞 cexlife 飓风网络安全 2025-04-03 18:46 漏洞描述: MongoDB Server是美国MongoDB公司的一套开源的NoSQL数据库,该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能,存在一个证书验证不当漏洞,该漏洞源于在特定条件下运行于Linux且启用TLS和CRL吊销状态检查时,未能检查对等证
继续阅读【已复现】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)安全风险通告
【已复现】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)安全风险通告 奇安信 CERT 2025-04-03 18:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Zabbix groupBy SQL注入漏洞 漏洞编号 CVE-2024-36465,QVD-2025-13797 公开时间 2025-04-02 影响量级 十万级 奇安信评级 高
继续阅读你以为的未授权漏洞VS我挖的未授权漏洞 | 一场与开发博弈的头脑风暴
你以为的未授权漏洞VS我挖的未授权漏洞 | 一场与开发博弈的头脑风暴 原创 庆尘qc Daylight庆尘 2025-04-03 18:19 (后文漏洞为 靶场环境,如有巧合,纯属雷同) 最近有一阵子没更新了,主要是也没研究什么新技术,所以就更新几篇最近打的 靶场案例,希望师傅们看了之后能有所收获。(师傅们可要好好看了,下次遇见类似的情况你就有思路啦) 一、挖掘历程 经典开局空白页(本人最喜欢的开
继续阅读【处置手册】Vite任意文件读取漏洞(CVE-2025-31125)
【处置手册】Vite任意文件读取漏洞(CVE-2025-31125) 原创 NS-CERT 绿盟科技CERT 2025-04-03 17:00 通告编号:NS-2025-0020-1 2025-04-03 TAG: Vite、任意文件读取、CVE-2025-31125 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.1 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全公告
继续阅读AI赋能代码审计:利用微软Security Copilot辅助挖出20个漏洞
AI赋能代码审计:利用微软Security Copilot辅助挖出20个漏洞 安全内参编译 安全内参 2025-04-03 16:04 关注我们 带你读懂网络安全 微软安全研究员利用Security Copilot辅助分析大型复杂代码项目(GRUB2、U-Boot和Barebox),在其中找出了20个零日漏洞,据估算Security Copilot给研究员节约了约一周的手动分析时间。 前情回顾·
继续阅读揭秘天价漏洞BrokenSesame 技术细节
揭秘天价漏洞BrokenSesame 技术细节 sule01u 黑伞安全 2025-04-03 10:47 云上攻防TOP级案例分析从0到1 – #BrokenSesame 前几天 Wiz Research 团队分享了Ingress NGINX 中未经身份验证的远程代码执行漏洞,感兴趣大家可以去看:https://www.wiz.io/blog/ingress-nginx-kubern
继续阅读安美酒店管理系统 /list_qry.php接口 sql注入漏洞
安美酒店管理系统 /list_qry.php接口 sql注入漏洞 Superhero Nday Poc 2025-04-02 20:42 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 安美酒店管理系统 /
继续阅读2025攻防演练必看:千起实战案例、600+历年漏洞汇编!
2025攻防演练必看:千起实战案例、600+历年漏洞汇编! 360数字安全 2025-04-02 18:02 随着国家攻防演练行动进入实战化深水区,攻击方技术手段持续升级,传统基于漏洞评分的”打补丁式防御”已难以应对复杂攻击链威胁。在2025攻防演练即将开启之际,360漏洞云基于对2023-2024年1372起真实攻防案例 的深度分析,发布《2025攻防演练必修漏洞合集》
继续阅读新的 OpenSSH 漏洞使 SSH 服务器面临 MitM 攻击和拒绝服务攻击的风险
新的 OpenSSH 漏洞使 SSH 服务器面临 MitM 攻击和拒绝服务攻击的风险 胡金鱼 嘶吼专业版 2025-04-02 14:01 OpenSSH 发布了安全更新,修复了两个漏洞,一个是 MitM 攻击漏洞,另一个是拒绝服务漏洞,其中一个漏洞是在十多年前引入的。Qualys 发现了这两个漏洞,并向 OpenSSH 的维护人员展示了其可利用性。 OpenSSH(开放安全外壳)是 SSH(安全
继续阅读微信新版本 小漏洞or bug
微信新版本 小漏洞or bug ZAC安全 2025-04-01 23:30 今晚水群发现有位师傅发了个红包(已取得授权),当我点开后显示 “请求不成功” 我跟我的女朋友尝试复现了一下。步骤如下 1 在A群找到一张图片,编辑,然后点击发送 2 多选发送到其他B群,C群 3 发送完成后 会生成一个新的 D群(跟群A的内容一样) 4 在D群发红包 5 只有本人能领红包,其他成员无法领取(显示 请求
继续阅读审计分析:验证缺陷导致文件上传漏洞的产生!
审计分析:验证缺陷导致文件上传漏洞的产生! 进击安全 2025-04-01 22:28 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! 0x01 前言 承接上文,继续从源码角度分析该系统漏洞,此系统功能点居多,代码量也非常大,也蛮好
继续阅读【高危漏洞预警】Vite任意文件读取漏洞(CVE-2025-31125)
【高危漏洞预警】Vite任意文件读取漏洞(CVE-2025-31125) cexlife 飓风网络安全 2025-04-01 22:16 漏洞描述: Vite框架中存在访问控制不当漏洞,该漏洞源于Vite中可以通过使用?inline&import或?raw?import来越权获取非允许文件内容,攻击者可以利用该漏洞读取设备上任意文件内容,该漏洞的利用需要特定的服务器配置。官方已发布新版本修
继续阅读漏洞盒子×阶跃星辰SRC | 漏洞盒子「企业SRC」新住客
漏洞盒子×阶跃星辰SRC | 漏洞盒子「企业SRC」新住客 漏洞盒子 2025-04-01 19:17 清明小长假倒计时! 挖蛙的踏青计划表已经写满 追春风、放纸鸢、啃青团…… 但总感觉少了点什么? 哦对!差点忘了带上蛙的新伙伴 TA不仅会写诗、画图、剪视频 还能用AI一眼看穿代码里的“小心思” 没错—— 阶跃星辰安全应急响应中心 正式入驻漏洞盒子啦! 即日起 阶跃星辰SRC欢迎广大白帽积极反馈安
继续阅读【安全圈】Dell Unity 企业存储系统现严重漏洞,攻击者借此可实现 root 权限接管
【安全圈】Dell Unity 企业存储系统现严重漏洞,攻击者借此可实现 root 权限接管 安全圈 2025-04-01 19:01 关键词 安全漏洞 Dell Technologies 发布了一项关键的安全更新,以修复其 Unity 企业存储系统中存在的多个严重漏洞。这些漏洞可能会让攻击者以 root 权限执行任意命令、删除关键系统文件,并在无需进行身份验证的情况下开展其他恶意活动。 安全研究
继续阅读【支持排查与检测】Vite任意文件读取漏洞(CVE-2025-31125)
【支持排查与检测】Vite任意文件读取漏洞(CVE-2025-31125) 原创 NS-CERT 绿盟科技CERT 2025-04-01 18:20 通告编号:NS-2025-0020 2025-04-01 TAG: Vite、任意文件读取、CVE-2025-31125 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全公
继续阅读