漏洞预警 | Ruby-Saml/GitLab存在身份认证绕过漏洞(CVE-2025-25291、CVE-2025-25292) 原创 烽火台实验室 Beacon Tower Lab 2025-03-14 17:20 1 漏洞概述 漏洞类型 身份认证绕过 漏洞等级 高危 漏洞编号 CVE-2025-25291、CVE-2025-25292 漏洞评分 8.8 利用复杂度 低 影响版本 < 1.
继续阅读顶流明星在澳门输了10亿?一男子用AI造谣被行拘8天;多平台SSRF漏洞遭遇协同攻击,逾400个IP同时启动 | 牛览 安全牛 2025-03-14 16:32 新闻速览 •顶流明星在澳门输了10亿?一男子用AI造谣被行拘8天 •导致1.8万名客户数据泄露,澳大利亚FIIG因网络安全失误遭起诉 •因泄露用户信息被罚款67亿韩元,韩国法院驳回Meta上诉 •多平台SSRF漏洞遭遇协同攻击,逾400个
继续阅读腾讯云安全中心推出2025年2月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-03-14 09:45 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读.NET v2.0 框架不用愁,通过 ysoserial_frmv2 触发 ViewState 反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-14 08:23 ViewStateDecoder2 是一个专门用于解析和分析 .NET ViewState 数据的工具,安全研究人员可以利用来查看其中存储的数据结构,检查是否存在用户数据泄露等,本篇文章将深入剖析 Vie
继续阅读【安全圈】施乐打印机漏洞使攻击者能够从 LDAP 和 SMB 中获取身份验证数据 安全圈 2025-03-13 19:00 关键词 安全漏洞 企业级 Xerox Versalink C7025 多功能打印机 (MFP) 中的多个漏洞使攻击者能够拦截来自轻量级目录访问协议 (LDAP) 和服务器消息块 (SMB) 服务的身份验证凭据。 这些漏洞被指定为 CVE-2024-12510 和 CVE-2
继续阅读【安全圈】PHP XXE 注入漏洞让攻击者读取配置文件和私钥 安全圈 2025-03-13 19:00 关键词 安全漏洞 安全研究人员发现 PHP 应用程序存在一个复杂的 XML 外部实体 (XXE) 注入漏洞,该漏洞可能允许攻击者访问敏感配置文件和私钥。 该漏洞由研究员 Aleksandr Zhurnakov 发现,会影响在 XML 处理期间使用某些 libxml 标志的 PHP 应用程序,即使
继续阅读MFA告急!黑客利用高级技术绕过保护;WebKit零日漏洞被利用开展“极其复杂”定向攻击,苹果紧急修复 | 牛览 安全牛 2025-03-13 18:36 新闻速览 •英国网络安全行业收入增长12%突破130亿英镑 •机器身份数量超过人类用户4万倍,风险增加7.5倍 •MFA告急!黑客利用高级技术绕过保护 •微软修复6个零日漏洞和10个高风险漏洞 •新型Ebyte勒索软件来袭,采用先进加密策略攻击
继续阅读Zoom客户端惊现高危漏洞,数百万用户数据或泄露! 看雪学苑 看雪学苑 2025-03-13 17:59 近日,Zoom客户端软件被曝出多个高危安全漏洞, 这些漏洞涉及Zoom的桌面端、移动端以及Workplace应用程序,可能使数百万用户面临数据泄露、权限提升和未授权访问的风险。 根据Zoom在2025年3月11日发布的安全公告,此次修复的漏洞包括CVE-2025-27440(堆缓冲区溢出)、C
继续阅读更新第三章:固件仿真 | 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-03-13 17:59 本周更新: 课时1:qemu介绍与安装 https://www.kanxue.com/book-7-5271.htm 课时2:用户模式仿真(Qemu-user)-介绍 https://www.kanxue.com/book-7-5273.htm 课时3:用户模式仿真(Qe
继续阅读Moxa 修复PT 交换机中严重的认证绕过漏洞 Ravie Lakshmanan 代码卫士 2025-03-13 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Moxa 发布安全更新,修复了PT 交换机中的一个严重漏洞CVE-2024-12297,它可导致攻击者绕过认证机制。 该漏洞的CVSS v4 评分为9.2。该公司在上周发布的一份安全公告中提到,“多款 Moxa PT 交
继续阅读SyntaxFlow实战CVE漏洞?那很好了 原创 Yak Yak Project 2025-03-13 17:30 之前的文章为大家介绍过 如何使用YAK的SyntaxFlow功能进行代码审计 今天则是使用一个案例来为大家说明 如何使用SyntaxFlow实战 复现一个CVE漏洞 这个XSS漏洞发生在一个文档上传功能里。 上传文档后通过 /emissary/Document.action/{uu
继续阅读2025 Q1季度你需要关注的高危漏洞合集! 奇安信 CERT 2025-03-13 15:25 2025年第一季度,数字化进程的加速与新兴技术的普及,为企业带来效率提升的同时,也催生了更为复杂的安全威胁。从传统OA系统、办公软件到新兴的大模型基础设施,高危漏洞的爆发呈现 多维度、高破坏性 的特征:远程代码执行漏洞(RCE)可瞬间接管核心业务系统,SQL注入与身份认证绕过漏洞成为数据泄露的“隐形通
继续阅读ruby-saml 身份认证绕过漏洞(CVE-2025-25291、CVE-2025-25292)安全风险通告 奇安信 CERT 2025-03-13 15:25 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 ruby-saml 身份认证绕过漏洞 漏洞编号 CVE-2025-25291、CVE-2025-25292 公开时间 2025-03-12 影响量级 十万级 奇安信评级
继续阅读【安全更新】微软3月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2025-03-12 18:22 通告编号:NS-2025-0013 2025-03-12 TAG: 安全更新、Windows、Microsoft Office、Azure、Microsoft Visual Studio 漏洞危害: 攻击者利用本次安全更新中的漏洞,可造成权限提升、远程代码执行等 版本: 1.
继续阅读2025-03微软漏洞通告 火绒安全 火绒安全 2025-03-12 18:12 微软官方发布了2025年3月的安全更新。 本月更新公布了256个漏洞,包含23个特权提升漏洞、23个远程执行代码漏洞、4个身份假冒漏洞、4个信息泄露漏洞、3个安全功能绕过漏洞、1个拒绝服务漏洞,其中6 个漏洞级别为“Critical”(高危),51 个为“Important”(严重)。其中包含检测到文件系统相关漏洞在
继续阅读警惕!黑客组织 Lazarus 在 npm 平台投放恶意软件包;SolarWinds网络帮助台漏洞曝光:攻击者可解密敏感密码 安全牛 2025-03-12 18:10 新闻速览 •数据保护不力致20万驾照信息泄露,Allstat子公司National General被起诉 •报告显示:2024年95%数据泄露事件与人为失误相关 •蓄意破坏公司系统, 前雇员面临10年监禁 •警惕!黑客组织Laza
继续阅读漏洞预警 | Apache Tomcat 存在远程代码执行漏洞(CVE-2025-24813) 原创 烽火台实验室 Beacon Tower Lab 2025-03-12 15:45 1 漏洞概述 漏洞类型 远程代码执行 漏洞等级 高危 漏洞编号 CVE-2025-24813 漏洞评分 无 利用复杂度 中 影响版本 11.0.0-M1 至 11.0.2 10.1.0-M1 到 10.1.34 9.
继续阅读警惕 Apache Camel 漏洞 攻击者借此能注入任意标头 山卡拉 嘶吼专业版 2025-03-12 14:01 Apache Camel 中近期披露的一个安全漏洞(编号为 CVE – 2025 – 27636),已引发整个网络安全社区的高度警惕。该漏洞允许攻击者向 Camel Exec 组件配置注入任意标头,进而有可能实现远程代码执行(RCE)。 受此漏洞影响的版本众
继续阅读双倍积分 | 生活服务漏洞+爬虫双专测开启 字节跳动安全中心 2025-03-12 11:17 专测时间 3月12日-3月26日 ① 安全漏洞专测 安全漏洞专测范围 【抖音团购相关模块】入口:抖音app-团购 【抖音来客】life.douyin.com 【抖音生意经】www.life-data.cn 【抖音集星】www.lifecreator.cn 【抖音本地直播专业版】eos.douyin.co
继续阅读360漏洞情报月报2025年02期|全网捕获4000+漏洞,整体威胁水平处于高位 360漏洞云 2025-03-12 10:39 近日,360漏洞云情报平台发布2025年2月漏洞情报月报,综合分析当月全网漏洞安全态势,人工深度研判分析重点预警漏洞,并披露多起具有战略价值的网络安全事件。本文特摘录核心内容,为政企机构提供防御参考。 月报数据显示,2025年2月全网捕获漏洞4,078例,较2024年同
继续阅读微软3月补丁日多个产品安全漏洞风险通告:6个在野利用、6个紧急漏洞 奇安信 CERT 2025-03-12 09:23 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年3月补丁日多个产品安全漏洞 影响产品 Windows NTFS 文件系统、Windows 远程桌面服务、WSL2等。 公开时间 2025-03-12 影响对象数量级 千万级 奇安信评级 高危 利用可
继续阅读JAVA 代码审计第一课:环境搭建与SQL 注入漏洞 sec0nd安全 2025-03-11 23:07 很久没有审计了,所以想出一期审计内容,整体内容偏简单,我默认你们会基本的 java 语言,所以就不带你们学习相关的语言基础,废话少说,直接开篇 审计环境 jdk 下载 https://www.oracle.com/technetwork/java/javase/downloads/jdk8-d
继续阅读蓝凌EIS智慧协同平台fi_message_receiver.aspx接口存在SQL注入漏洞 漏洞预警 2025-3-11更新 南风漏洞复现文库 2025-03-11 23:05 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 蓝凌EI
继续阅读【漏洞预警】Apache Tomcat 远程代码执行漏洞(CVE-2025-24813) 原创 聚焦网络安全情报 安全聚 2025-03-11 22:12 高 危 公 告 近日,安全聚实验室监测到 Apache Tomcat 存在远程代码执行漏洞 ,编号为:CVE-2025-24813,CVSS:8.7 当应用程序启用Servlet写入功能,并使用Tomcat的默认会话持久化机制和存储位置,同时
继续阅读Apache Tomcat远程代码执行漏洞(CVE-2025-24813) 原创 HSCERT 山石网科安全技术研究院 2025-03-11 21:30 一、漏洞背景 3月11日,山石安研院关注到Apache Tomcat官方发布了一个安全公告,修复了一个特定条件的远程代码执行漏洞(CVE-2025-24813),通过公开的POC已经成功复现该漏洞,由于Tomcat DefaultServlet
继续阅读《SRC漏洞挖掘实战指南:掌握这些思路月入过万不是梦》 原创 炽汐安全屋 炽汐安全屋 2025-03-11 20:21 在各大企业安全应急响应中心(SRC)平台上,每天都有白帽子通过提交高危漏洞获得丰厚奖金。本文将揭秘专业安全研究员的实战方法论,教你从”青铜”到”王者”的进阶之路。 一、SRC漏洞挖掘黄金法则 目标筛选三要素 优先选择新上线业务系统(
继续阅读网康科技 NS-ASG 应用安全网关 add_ikev2.php SQL注入漏洞(CVE-2024-3458) Superhero Nday Poc 2025-03-11 20:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行
继续阅读Moxa 问题修复 PT 交换机中的关键身份验证绕过漏洞 信息安全大事件 2025-03-11 20:03 台湾公司 Moxa 发布了一个安全更新,以解决影响其 PT 交换机的关键安全漏洞,该漏洞可能允许攻击者绕过身份验证保证。 该漏洞被跟踪为 CVE-2024-12297,CVSS v4 评分为 9.2 分(满分 10.0 分)。 “由于授权机制存在缺陷,多个 Moxa PT 交换机容易受到身份
继续阅读Apache Tomcat 多项安全漏洞 网安百色 2025-03-11 19:28 点击上方 蓝字 关注我们吧~ Apache Tomcat 作为广泛使用的开源 Web 服务器软件,近年来暴露出多个安全漏洞。 部分严重问题使服务器面临远程代码执行(RCE)等攻击风险。 这些漏洞凸显了保持软件最新版本并正确配置的重要性,以防止潜在的攻击利用。 详细漏洞信息 以下是 Apache Tomcat 漏洞
继续阅读Microsoft WinDbg RCE 存在允许攻击者远程执行任意代码漏洞 网安百色 2025-03-11 19:28 点击上方 蓝字 关注我们吧~ 一个高严重性漏洞 CVE-2025-24043,通过 SOS 调试扩展中不正确的加密签名验证实现远程代码执行 (RCE)。 该漏洞影响关键的 .NET 诊断包,包括 dotnet-sos、dotnet-dump 和 dotnet-debugger-
继续阅读