【漏洞预警】ChurchCRM系统中通过EditEventTypes.php文件的newCountName参数进行SQL注入漏洞 cexlife 飓风网络安全 2025-02-18 13:05 漏洞描述: 在ChurсhCRM5.13.0及之前的版本中存在一个漏洞,允许攻击者通过利用EditEvеntTуреѕ功能中基于时间的盲SQL注入漏洞来执行任意SQL查询,nеԝCоuntNаmе参数未经适
继续阅读【漏洞预警】Cisco Meeting Management客户端-服务器权限提升漏洞 原创 MasterC 企业安全实践 2025-02-18 12:07 一、漏洞描述 Cisco Meeting Management的REST API中存在一个漏洞,可允许经过身份验证且具有低权限的远程攻击者在受影响的设备上将权限提升为管理员。存在此漏洞的原因是未对 REST API用户实施适当的授权。攻击者可
继续阅读常见WEB漏洞—SQL 注入 网安探索员 网安探索员 2025-02-18 12:02 SQL 注入(SQL Injection)是一种常见的 Web 应用程序安全漏洞,黑客通过在输入字段中插入恶意 SQL 代码,操纵数据库查询,从而窃取、篡改或删除数据,甚至控制整个数据库系统。以下是 SQL 注入漏洞的总结: 1. 原理 漏洞根源 :应用程序未对用户输入进行严格的验证和过滤,直接将输入拼接到 S
继续阅读VeraCore 两个0day漏洞被用于实施供应链攻击 Rob Wright 代码卫士 2025-02-18 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员在仓库管理软件平台 VeraCore 中发现了两个遭活跃利用的0day漏洞。Intezer 和 Solis Security 公司的安全研究员发现网络犯罪团伙 XE Group 利用这两个漏洞,早在2020年就攻陷制
继续阅读【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些? 原创 醉墨离 泷羽Sec-醉陌离 2025-02-18 09:29 🌟【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?🔐 刚入门网络安全?别慌!用点外卖都能看懂的比喻,带你轻松掌握高危漏洞原理!(文末送新手工具包) 🍔 Top1 注入攻击:像篡改外卖订单的”加料黑客”
继续阅读安全简讯(2025.02.18) 启明星辰安全简讯 2025-02-18 08:48 1. 马斯克DOGE计划陷网络安全危机,政府效率部网站遭黑客曝光漏洞 2月14日,科技亿万富翁埃隆·马斯克管理的政府效率部(DOGE)旨在削减联邦开支并提升政府效率,然而,其新创建的DOGE.gov网站却因网络安全措施松懈而面临重大风险。黑客指出,该网站存在严重安全漏洞,任何人都能访问并编辑存储的信息。网站似乎匆
继续阅读CVSS评分9.8!亚信安全率先发现大模型关联Ray架构高危漏洞 亚信安全 亚信安全 2025-02-18 08:18 近日,亚信安全人工智能实验室率先发现,广泛应用的大模型分布式部署的架构Ray,存在未授权命令执行漏洞,并第一时间上报国家信息安全漏洞共享平台(CNVD-2024-47463),及通用漏洞披露平台(CVE-2024-57000)。CVE官方对该漏洞进行了通用漏洞评分系统(CVSS)
继续阅读【漏洞与预防】远程代码执行漏洞预防 原创 solarsec solar应急响应团队 2025-02-18 07:00 1.典型案例 本次案例参考去年6月期间TellYouThePass勒索病毒家族常用的攻击手法,具体详情可参考【紧急警示】Locked勒索病毒利用最新PHP远程代码执行漏洞大规模批量勒索!文末附详细加固方案 2.场景还原 2.1场景设置 攻击者利用CVE-2024-4577远程代码执
继续阅读不要只卷Web安全,硬件安全值得推荐 WIN哥学安全 2025-02-18 06:53 关注我们丨文末赠书 近年来,国家出台了一系列政策、安全标准和规范来支持网络安全产业发展,强调加强网络安全体系保障与能力建设, 要求企业加强硬件设备的安全防护措施,确保设备的安全性和可靠性。同时,数字化转型持续加速,国产化信息技术创新软硬件产品逐渐普及,各行业企业不断扩大硬件安全领域投入。2024年中国网络安全硬
继续阅读SonicWall防火墙认证绕过漏洞正遭大规模利用 邑安科技 邑安全 2025-02-18 04:22 更多全球网络安全资讯尽在邑安全 网络安全公司警告称,SonicWall防火墙中存在的一个严重认证绕过漏洞正在被积极利用,该漏洞编号为CVE-2024-53704 。2025年2月10日,随着Bishop Fox的研究人员公开发布了概念验证(PoC)漏洞利用代码,未修补设备组织面临的风险大大增加。
继续阅读记一次src通杀漏洞挖掘 原创 zkaq – 98k 掌控安全EDU 2025-02-18 04:00 扫码领资料 获网安教程 本文由掌控安全学院 – 98k 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 这是我第一次写漏洞分享的文章,主要是最近跟着几个厉害的师傅一起学习,挖了几个比较简单的漏洞,今天拿
继续阅读漏洞赏金实战分享 | 发现并利用开放的 SMB 服务 白帽子左一 白帽子左一 2025-02-18 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 大家好!这次我要分享的是在测试某个目标时,发现的 SMB 服务器配置错误及其利用过程。 img 服务器消息块(SMB) 是一种通信协议,用于在网络中的节点之间共享文件
继续阅读腾讯云安全中心推出2025年1月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-02-18 03:32 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读Palo Alto防火墙又被黑:最新漏洞披露后第二天就遭利用 e安在线 e安在线 2025-02-18 03:32 Palo Alto Networks于2月12日发布了针对CVE-2025-0108的补丁和缓解措施。该漏洞允许未经身份验证的攻击者访问防火墙管理界面并执行特定的PHP脚本。 GreyNoise于2月13日透露,其已开始检测到针对CVE-2025-0108的攻击尝试。截至2月14日上
继续阅读Docker容器5大致命配置错误,一个疏忽就是大规模漏洞 原创 VlangCN HW安全之路 2025-02-18 03:30 引言 Docker 是一项革命性的技术,使开发者能够以轻量级、可移植且高效的方式构建、部署和维护应用程序。它通过容器(Containers) 封装应用程序及其依赖项,从而实现环境一致性,并极大地提升应用的可扩展性和部署效率。 容器类似于虚拟机(VM),但具有更显著的优势
继续阅读用友NC checkekey SQL 注入漏洞(XVE-2024-37013) Superhero nday POC 2025-02-18 03:15 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读“挖漏洞换酒钱?通过信息收集挖到企业的严重漏洞全纪录思路分享 | 干货 蜜汁叉烧 渗透安全团队 2025-02-18 03:07 关于无问社区 无问社区-官网:http://www.wwlib.cn 本文来自社区成员,蜜汁叉烧饭投稿。欢迎大家投稿,投稿可获得无问社区AI大模型的使用红包哦! 无问社区:网安文章沉浸式免费看! 无问AI大模型不懂的问题随意问! 全网网安资源智能搜索只等你来! 0x01
继续阅读Catcher外网打点指纹识别+Nday漏洞验证工具|指纹识别 island 深白网安 2025-02-18 02:29 免责声明:文章中内容来源于互联网,涉及的所有内容仅供安全研究与教学之用,读者将其信息做其他用途而造成的任何直接或者间接的后果及损失由用户承担全部法律及连带责任。文章作者不承担任何法律及连带责任!如有侵权烦请告知,我们会立即删除整改并向您致以歉意。 0x01: 简介 Catche
继续阅读蓝凌EIS智慧协同平台 fi_message_receiver.aspx SQL注入漏洞(CVE-2025-22214) Superhero nday POC 2025-02-18 02:04 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成
继续阅读锐明Crocus系统Service.do接口存在任意文件读取漏洞 附POC 2025-2-17更新 南风漏洞复现文库 2025-02-17 15:21 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 锐明Crocus系统简介 微信公众号
继续阅读Apache Tomcat 条件竞争致远程代码执行漏洞(CVE-2024-50379) 菜鸡小z 无影安全实验室 2025-02-17 14:35 免责声明: 本篇文章仅用于技术交流, 请勿利用文章内的相关技术从事非法测试 , 由于传播、利用本公众号无影安全 实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责任,一旦造成后果请自行
继续阅读【漏洞预警】jsonpath-plus存在远程代码执行漏洞(CVE-2025-1302) cexlife 飓风网络安全 2025-02-17 14:27 洞描描述: 版本号为10.3.0之前的јѕоnраth-рluѕ软件包存在远程代码执行(RCE)漏洞,原因是输入验证不当,攻击者可以通过利用不安全的默认еvаl=’ѕаfе’模式执行系统上的任意代码。 影响产品: json
继续阅读AD CS ESC15 漏洞实例的特殊案例及其手动利用 Mannu Linux securitainment 2025-02-17 10:47 【翻译】Curious case of AD CS ESC15 vulnerable instance and its manual exploitation 在这篇博文中,我们将探讨当域用户对 Webserver 模板具有注册权限时,如何手动利用 AD
继续阅读上周关注度较高的产品安全漏洞(20250210-20250216) 原创 CNVD CNVD漏洞平台 2025-02-17 10:16 一、境外厂商产品漏洞 1、Hitachi Energy RTU500 series CMU Firmware跨站脚本漏洞**** RTU500是日本日立制作所(Hitachi)公司的一系列工控组件,主要用于工业控制系统。Hitachi Energy RTU500
继续阅读pocsuites安全工具源码分析 原创 大白 蚁景网络安全 2025-02-17 09:43 pocsuite3 是由 知道创宇 404实验室 开发维护的开源远程漏洞测试和概念验证开发框架。为了更好理解其运行逻辑,本文将从源码角度分析该项目的初始化,多线程函数,poc模板等等源码 项目结构 api:对要导入的包重命名,方便后续导入调用 data:存储用户需要使用的文档数据 lib:项目核心代码
继续阅读腾讯偷偷接入了DeepSeek,也偷偷公布了大模型框架的漏洞和CVE 原创 吉祥 吉祥讲安全 2025-02-17 09:33 今天中午腾讯应急响应中心发布了AI相关的安全漏洞,并且提供了扫描工具。 并且还贴心的给大家说了如何去搜索这样的洞。 除此之外还把扫描工具给到了大家: 开源地址:https://github.com/Tencent/AI-Infra-Guard/下载地址(根据系统下载自己系
继续阅读04 漏洞从哪里来?——认知局限 原创 Richard 方桥安全漏洞防治中心 2025-02-17 09:01 软件安全漏洞的根源不仅是技术缺陷,更是人类认知局限的后果 。 复杂的多层架构(如Log4j2漏洞)和滞后的技术认知(如HTTP明文传输)进一步扩大了攻击面。 开发人员 缺乏安全编码训练(如输入验证不足)、 管理者 业务优先级偏差(如安全投入不足)以及 认知盲区的叠加, 正是 安全漏洞 的
继续阅读Hoverfly 任意文件读取漏洞(CVE-2024-45388) 蚁景网安 2025-02-17 08:30 漏洞简介 Hoverfly 是一个为开发人员和测试人员提供的轻量级服务虚拟化/API模拟/API模拟工具。其 /api/v2/simulation 的 POST 处理程序允许用户从用户指定的文件内容中创建新的模拟视图。然而,这一功能可能被攻击者利用来读取 Hoverfly 服务器上的任意
继续阅读Cacti网络流量监测图形分析工具 任意文件写入漏洞 CVE-2025-22604 原创 巨黑科 巨黑科 2025-02-17 07:28 系统介绍 Cacti是一款基于PHP、MySQL、SNMP及RRDTool构建的网络流量监测图形分析工具。该工具通过SNMP协议中的snmpget命令收集数据,并利用RRDTool生成图形化分析结果,帮助用户直观地了解网络流量情况。 漏洞复现 1、登录Cact
继续阅读原创 Paper | Zyxel Telnet 漏洞分析(CVE-2025-0890、CVE‑2024‑40891) 原创 404实验室 知道创宇404实验室 2025-02-17 07:25 作者:fan@知道创宇404实验室 时间:2025年2月14日 1.前言 参考资料 这是2025年开年分析的第一个洞。2月4日 Zyxel 发布安全公告,旗下部分旧款 DSL 客户终端设备(CPE)存在严重
继续阅读