SAP NetWeaver Application Server 身份验证缺陷漏洞
SAP NetWeaver Application Server 身份验证缺陷漏洞 上汽集团网络安全应急响应中心 2025-02-15 15:56 漏洞情报 SAP NetWeaver Application Server 身份验证缺陷漏洞 【 漏洞编号 】 CVE-2025-0070 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到SAP发布安全公告,修复了影响核心 SAP 系统(如
继续阅读标签: 复现
用友网络 用友NC linkVoucher 未授权 SQL注入漏洞
用友网络 用友NC linkVoucher 未授权 SQL注入漏洞 上汽集团网络安全应急响应中心 2025-02-15 15:56 漏洞情报 用友网络 用友NC linkVoucher 未授权 SQL注入漏洞 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到用友NC linkVoucher 接口存在一个SQL注入漏洞,未经授权的攻击者可以通过该漏洞获取数据库敏感信息。
继续阅读EDUSRC漏洞挖掘技巧汇总+信息收集各种姿势
EDUSRC漏洞挖掘技巧汇总+信息收集各种姿势 sec0nd安全 2025-02-15 12:49 扫码领资料 获网安教程 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 浅谈 哈喽哇,师傅们! 最近在挖教育类edudrc漏洞,然后最近在研究大学都有的站点功能——校园统一身份认证登录。这个站点每个学校
继续阅读海莲花对MSI文件滥用的新手法——MST文件白加黑复现
海莲花对MSI文件滥用的新手法——MST文件白加黑复现 原创 网络保安29 红蓝攻防研究实验室 2025-02-15 11:03 0x00 前言 看到一篇QAX之前对海莲花攻击活动的分析文章: https://mp.weixin.qq.com/s/alaZxCd61gJNI9D01eQzgg 研究了下里面提到的初始钓鱼样本如何复现。原文中的大致样本信息如下: 海莲花组织通过 lnk 执行了如下命令
继续阅读CVE-2025-1240:Winzip漏洞打开了远程代码执行的门
CVE-2025-1240:Winzip漏洞打开了远程代码执行的门 Ots安全 2025-02-15 10:56 WinZip 中发现了一个令人担忧的漏洞,可能允许远程攻击者在受影响的系统上执行任意代码。该漏洞被标记为 CVE-2025-1240,存在于 WinZip 解析 7Z 文件的方式中,如果用户与恶意文件或网页交互,则可能被利用。 该漏洞的 CVSS 评分为 7.8,源于 7Z 文件解析期
继续阅读首次分析 Apple 的 USB 限制模式绕过 (CVE-2025-24200)
首次分析 Apple 的 USB 限制模式绕过 (CVE-2025-24200) Ots安全 2025-02-15 10:56 Apple 发布了 iOS 18.3.1 (build ) 来修补公民实验室报告的与辅助功能22D72框架相关的漏洞。让我们来分析一下吧! 漏洞公告可在此处找到。以下是直接摘自 Apple 网站的概述: 无障碍设施 适用于: iPhone XS 及更新机型、iPad Pr
继续阅读CVE-2025-0108|Palo Alto Networks PAN-OS管理界面认证绕过漏洞(POC)
CVE-2025-0108|Palo Alto Networks PAN-OS管理界面认证绕过漏洞(POC) alicy 信安百科 2025-02-15 10:30 0x00 前言 派拓网络(Palo Alto Networks)是一家网络安全公司,总部位于美国加利福尼亚州圣克拉拉市。公司的核心产品为“下一代防火墙”(Next-Generation Firewall)平台,提供网络活动的可视化能力
继续阅读CVE-2025-25064|Zimbra存在SQL注入漏洞(POC)
CVE-2025-25064|Zimbra存在SQL注入漏洞(POC) alicy 信安百科 2025-02-15 10:30 0x00 前言 Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。 Zimbra的核心产品是Zimbra协作套件
继续阅读03 漏洞从哪里来?——编程习惯
03 漏洞从哪里来?——编程习惯 原创 Richard 方桥安全漏洞防治中心 2025-02-15 06:19 代码质量直接决定系统安全性。编程习惯,或者“规范”,作为关键因素,直接影响漏洞产生的概率。 注入(OWASP A03:2021, SQL注入、XSS等)、缓冲区溢出(如:CWE-120)等安全漏洞均来源于非常基础的编码缺陷(NIST IR 8397)。 硬编码凭证(CWE-259)
继续阅读SonicWall防火墙漏洞PoC发布后遭利用
SonicWall防火墙漏洞PoC发布后遭利用 何威风 祺印说信安 2025-02-15 05:58 网络安全公司 Arctic Wolf 报告称,本周,针对 SonicWall 防火墙漏洞的概念验证 (PoC) 代码发布后不久,威胁行为者就开始利用该漏洞。 该漏洞的编号为 CVE-2024-53704,是由于 SonicOS 的 SSLVPN 身份验证机制问题导致的高严重性身份验证绕过漏洞。 S
继续阅读2025 最佳漏洞赏金书籍和网站
2025 最佳漏洞赏金书籍和网站 原创 破天KK KK安全说 2025-02-15 05:14 为知识付费,如果您对漏洞赏金狩猎非常推崇,那么投资购买合适的书籍可以加快您的学习进度,提高您的技能,并帮助您获得高额赏金。这些书籍和网站不仅仅是指南;它们是由行业专家精心设计的路线图,充满了现实世界的黑客场景、分步方法和高级技术,可将您的网络安全游戏提升到一个新的水平。 一、书籍篇: 无论您是刚刚起步,
继续阅读FreeBuf周报 | 全球VPN设备遭遇大规模暴力破解攻击;OpenSSL 软件库曝高危漏洞
FreeBuf周报 | 全球VPN设备遭遇大规模暴力破解攻击;OpenSSL 软件库曝高危漏洞 Zicheng FreeBuf 2025-02-15 02:05 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 热点资讯 1. 全球VPN设备遭遇大规模暴力破解攻击,280万IP地址参与其中 一场大规模的暴力破解密
继续阅读漏洞预警 | Palo Alto Networks PAN-OS管理界面身份认证绕过漏洞
漏洞预警 | Palo Alto Networks PAN-OS管理界面身份认证绕过漏洞 浅安 浅安安全 2025-02-15 00:00 0x00 漏洞编号 – CVE-2025-0108 0x01 危险等级 – 高危 0x02 漏洞概述 Palo Alto Networks PAN-OS 是一款由Palo Alto Networks开发的下一代防火墙操作系统,提供全面的
继续阅读漏洞预警 | 思迅商旗商业管理系统任意文件上传漏洞
漏洞预警 | 思迅商旗商业管理系统任意文件上传漏洞 浅安 浅安安全 2025-02-15 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 思迅商旗商业管理系统10是一款面向连锁超市、百货、便利店等零售业态的管理系统,集进销存、收银、会员、促销、供应链 等功能于一体,帮助企业提升经营效率和管理水平。 0x03 漏洞详情 漏洞类型
继续阅读WinZip高危漏洞曝光:远程攻击者可任意执行代码
WinZip高危漏洞曝光:远程攻击者可任意执行代码 船山信安 2025-02-14 17:02 近日,WinZip曝出一个编号为CVE-2025-1240的高危漏洞,远程攻击者可通过利用畸形的7Z压缩包文件,在受影响的系统上执行任意代码。该漏洞的CVSS评分为7.8,影响WinZip 28.0(版本号16022)及更早版本,用户需升级至WinZip 29.0以规避风险。 漏洞成因与利用条件 该漏洞
继续阅读PostgreSQL 漏洞与 BeyondTrust 零日漏洞一起被利用进行针对性攻击
PostgreSQL 漏洞与 BeyondTrust 零日漏洞一起被利用进行针对性攻击 Rhinoer 犀牛安全 2025-02-14 16:00 根据 Rapid7 的调查结果,2024 年 12 月利用 BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 产品中零日漏洞的攻击者可能也利用了 PostgreSQL 中以前未知的 SQL 注入漏洞。 该漏洞编号为CVE-2025
继续阅读Apache James 未授权 输入验证不当漏洞 可导致拒绝服务
Apache James 未授权 输入验证不当漏洞 可导致拒绝服务 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Apache James 未授权 输入验证不当漏洞 可导致拒绝服务 【 漏洞编号 】 CVE-2024-37358 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到Apache James发布安全公告,其中公开了一个输入验证不当漏洞,该漏洞与CV
继续阅读Trimble Cityworks 需授权 反序列化漏洞
Trimble Cityworks 需授权 反序列化漏洞 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Trimble Cityworks 需授权 反序列化漏洞 【 漏洞编号 】 CVE-2025-0994 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到Trimble发布关于Cityworks相关安全公告,披露了Trimble Cityworks 23.1
继续阅读IDocView在线文档预览qJvqhFt.json任意文件读取漏洞
IDocView在线文档预览qJvqhFt.json任意文件读取漏洞 原创 骇客安全 骇客安全 2025-02-14 14:09 漏洞描述I Doc View 在线文档预览 qJvqhFt.json 任意文件读取漏洞,攻击者可利用此漏洞收集敏感信息,从而为下一步攻击做准备。漏洞复现1、fofatitle==”在线文档预览 – I Doc View”2、部分界面如
继续阅读CNNVD | 关于Palo Alto Networks PAN-OS安全漏洞的通报
CNNVD | 关于Palo Alto Networks PAN-OS安全漏洞的通报 中国信息安全 2025-02-14 11:34 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况** 近日,国家信息安全漏洞库(CNNVD)收到关于Palo Alto Networks PAN-OS 安全漏洞(CNNVD-202502-1359、CVE-2025-010
继续阅读30,000个WordPress网站因文件上传漏洞暴露于攻击风险
30,000个WordPress网站因文件上传漏洞暴露于攻击风险 网安百色 2025-02-14 11:29 点击上方 蓝字 关注我们吧~ “安全与恶意软件扫描CleanTalk”插件中的一个严重安全漏洞使3万多个WordPress网站暴露于漏洞攻击。 该漏洞被标识为CVE-2024-13365,允许未经身份验证的攻击者进行任意文件上传,有可能导致远程代码执行(RCE)。 该缺陷被赋予CVSS 9
继续阅读WinZip 存在远程攻击者执行任意代码漏洞
WinZip 存在远程攻击者执行任意代码漏洞 网安百色 2025-02-14 11:29 点击上方 蓝字 关注我们吧~ WinZip 新披露的一个严重漏洞(编号为 CVE-2025-1240)使远程攻击者能够通过利用 格式错误的 7Z 压缩文件在受影响的系统上执行任意代码。 该漏洞在通用漏洞评分系统(CVSS)中的评分为 7.8 分,影响 WinZip 28.0(版本号 16022)及更早版本,用
继续阅读已复现!Palo Alto Networks PAN-OS 身份验证绕过漏洞
已复现!Palo Alto Networks PAN-OS 身份验证绕过漏洞 应急响应中心 亚信安全 2025-02-14 10:15 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,披露了Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108) 。在PAN-OS中由于Nɡinх/Aрасhе对路径的处理不同从而导致身份验证绕过、未经身份验证的攻
继续阅读【国际视野】美国网络安全和基础设施安全局和联邦调查局联合发布《设计安全警报:消除缓冲区溢出漏洞》
【国际视野】美国网络安全和基础设施安全局和联邦调查局联合发布《设计安全警报:消除缓冲区溢出漏洞》 原创 天极智库 天极智库 2025-02-14 10:00 “ 天极按 近日, 网络安全和基础设施安全局(CISA)发布了《联合网络防御协作组织人工智能网络安全协作手册》(Joint Cyber Defense Collaborative (JCDC) Artificial Intelligence
继续阅读长亭X魅族:All in AI与多云安全擦出火花
长亭X魅族:All in AI与多云安全擦出火花 长亭安全观察 2025-02-14 08:57 “ 一家科技企业的生命力,一定源于他对技术的敬畏与追逐。 ” 2003年,魅族科技诞生于珠海市的一栋小楼,在这里,推出了当时风靡全国的时尚单品—魅族MX—MP3音乐播放器。 2022年,魅族科技与吉利汽车旗下星纪时代达成战略投资合作,正式成为吉利集团的重要伙伴。 2024年,崭
继续阅读近期暗网 0day 威胁情报预警
近期暗网 0day 威胁情报预警 原创 独眼情报 独眼情报 2025-02-14 03:59 0day漏洞市场近期呈现双轨化发展态势,地下交易与合法渠道同步活跃:暗网市场中高频流转针对主流操作系统、虚拟化平台及工业控制系统的高危漏洞,而全球漏洞赏金市场规模已突破50亿,头部企业单漏洞奖励达百万级别,与此同时漏洞利用周期从披露到武器化平均压缩至7天,攻击面持续扩展(物联网设备漏洞同比激增300%,云
继续阅读Deepseek 有多强?延时注入检测 POC 只需一步,即可获取完美 POC 模板!
Deepseek 有多强?延时注入检测 POC 只需一步,即可获取完美 POC 模板! 原创 xazlsec 信安之路 2025-02-14 03:12 上篇文章,在提供了一个漏洞数据包后,一步达到需求,今天来测试一个比较复杂一些的需求,在编写 Nuclei POC 时,针对延时注入的接口,需要请求多次才能让测试结果更加准确,判断条件非常规的关键词匹配,而是根据请求的时间来判断,所以今天使用 De
继续阅读浪漫来袭,单个漏洞达3w+,为你的恋爱基金添砖加瓦!
浪漫来袭,单个漏洞达3w+,为你的恋爱基金添砖加瓦! 原创 邀您参与专测的 京东安全应急响应中心 2025-02-14 02:31 账号专项众测活动 LOVE 3倍奖励为你的恋爱基金添砖加瓦 LOVE 02/14 02/28 哪吒重生,脚踏风火轮, 手拿乾坤圈,逆天改命! JSRC奉上高额漏洞奖励, 成为你爱情路上的“神兵利器”, 助你火力全开,追爱无忧!💘🔥 账号众测 专项活动 活动时间 202
继续阅读Ollama 目录遍历致代码执行漏洞 CVE-2024-37032
Ollama 目录遍历致代码执行漏洞 CVE-2024-37032 海底天上月 海底天上月 2025-02-14 02:24 免责声明: 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海底天上月及文章作者不为此承担任何责任。 漏洞描述 Ollama 是一款开源 AI 模型项目,可方便打包,加快部署 AI 模型流程。20
继续阅读CVE-2024-12797 修复指南
CVE-2024-12797 修复指南 原创 ralap 网络个人修炼 2025-02-14 02:01 CVE-2024-12797 是一个针对 OpenSSL 库的安全漏洞,它可能允许攻击者通过特定方式操纵加密通信或数据,从而导致信息泄露或其他安全隐患。 关键点: – 默认情况下,TLS 客户端和 TLS 服务器都禁用了 RPK(Raw Public Key)。只有当 TLS 客户
继续阅读