新型 CPU 漏洞曝光!英特尔芯片陷内存泄露风险
新型 CPU 漏洞曝光!英特尔芯片陷内存泄露风险 原创 HackerNews 安全威胁纵横 2025-05-19 08:27 研究人员发现新型英特尔CPU漏洞, 影响所有英特尔处理器。 攻击者可利用分支预测机制绕过安全屏障,获取特权进程的机密信息,导致内存敏感数据泄露。 GitHub Action 中广泛使用的 tj-actions/changed-files 被攻破,导致使用 CI/CD 工
继续阅读标签: 敏感信息
雷神众测漏洞周报2025.5.12-2025.5.18
雷神众测漏洞周报2025.5.12-2025.5.18 原创 雷神众测 雷神众测 2025-05-19 08:11 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意
继续阅读山东大学 | MiniCAT:了解和检测小程序中的跨页面请求伪造漏洞
山东大学 | MiniCAT:了解和检测小程序中的跨页面请求伪造漏洞 原创 李智宇 安全学术圈 2025-05-19 04:31 原文标题:MiniCAT: Understanding and Detecting Cross-Page Request Forgery Vulnerabilities in Mini-Programs 原文作者:Zidong Zhang,Qinsheng Hou,Li
继续阅读全球政府邮件系统沦陷:黑客利用XSS漏洞发起大规模间谍活动
全球政府邮件系统沦陷:黑客利用XSS漏洞发起大规模间谍活动 汇能云安全 2025-05-19 02:12 5月19日,星期一,您好!中科汇能与您分享信息安全快讯: 01 恶意NPM包利用Google日历作为C2中间人实施隐蔽攻击 Veracode威胁研究团队近日发现恶意NPM包”os-info-checker-es6″,巧妙利用Google日历平台作为命令与控制(C2)服务
继续阅读漏洞预警 | 金和OA XXE漏洞
漏洞预警 | 金和OA XXE漏洞 浅安 浅安安全 2025-05-19 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。 0x03 漏洞详情 漏洞类型: XXE 影响: 获
继续阅读重生HW之利用邮箱漏洞寻找突破口打穿目标内网
重生HW之利用邮箱漏洞寻找突破口打穿目标内网 sec0nd安全 2025-05-18 15:15 扫码领资料 获网安教程 本文由掌控安全学院 – flysheep 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 小编寄语:来看看一线红队打HW的骚操作,tql佬!!!! 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果
继续阅读一包包免费纸巾骗走老人们2亿元;|谷歌Chrome曝高危漏洞,可导致账户接管与MFA绕过
一包包免费纸巾骗走老人们2亿元;|谷歌Chrome曝高危漏洞,可导致账户接管与MFA绕过 黑白之道 2025-05-17 09:42 一包包免费纸巾骗走老人们2亿元; 警方披露了一起“专挑老年人下手”的非法集资案件。湖南株洲的李先生偶然得知,有家体检中心可以免费做全面体检。体检后,业务员小王隔三差五就打电话请李先生参与免费讲座,每次都送些纸巾、鸡蛋等小礼品。 不久后,小王声称体检中心要扩大规模,以
继续阅读某校园解决方案提供商智慧校园通用漏洞挖掘
某校园解决方案提供商智慧校园通用漏洞挖掘 原创 zkaq – 满心欢喜 掌控安全EDU 2025-05-17 06:21 扫码领资料 获网安教程 本文由掌控安全学院 – 满心欢喜 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 小编寄语:手拿把恰~ 概述 在近期刷 edu 的 rank 积分过程中,我将精力主要集中在
继续阅读国安部提醒警惕智能穿戴设备泄密,英特尔CPU曝漏洞|一周特辑
国安部提醒警惕智能穿戴设备泄密,英特尔CPU曝漏洞|一周特辑 威努特安全网络 2025-05-16 23:59 国安部提醒: 警惕智能穿戴设备泄密风险 国家安全部近日发布安全提示 ,智能手表、手环等穿戴设备在提供健康监测、通信便利的同时,可能成为数据泄露的新隐患, 并呼吁公众警惕相关风险。 文章表示,智能设备内置的摄像头、麦克风和定位功能可采集用户生物特征、活动轨迹等敏感信息,一旦数据泄露,可能被
继续阅读【安全圈】网络安全事件周报:勒索组织与国家级黑客同时盯上SAP漏洞
【安全圈】网络安全事件周报:勒索组织与国家级黑客同时盯上SAP漏洞 安全圈 2025-05-16 11:01 关键词 安全漏洞 本周全球网络安全态势依旧紧张,多个关键漏洞正被黑客组织大规模利用。其中,SAP NetWeaver系统的重大漏洞(CVE-2025-31324)不仅吸引了RansomEXX、BianLian等知名勒索软件团伙,还被与中国有关的黑客组织Chaya_004持续攻击。该漏洞允许
继续阅读英特尔CPU曝新漏洞:每秒偷走17KB数据!新型芯片漏洞有多可怕
英特尔CPU曝新漏洞:每秒偷走17KB数据!新型芯片漏洞有多可怕 看雪学苑 看雪学苑 2025-05-16 09:59 近日,来自瑞士苏黎世联邦理工学院(ETH Zürich)的研究团队曝出一个震撼业界的发现:所有现代英特尔处理器都存在一个名为”分支特权注入”(BPI)的新型漏洞。这就像给黑客们配了一把万能钥匙,能绕过层层防护,直接窃取电脑内存中的敏感数据。更令人不安的是,
继续阅读Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃
Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃 邑安科技 邑安全 2025-05-16 02:23 更多全球网络安全资讯尽在邑安全 Node.js团队近日发布重要安全公告,针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。 异步加密操作可能导致进程崩溃(CVE-2025-23166) 最严重的是一个被评定为
继续阅读漏洞预警 | 帆软报表目录遍历漏洞
漏洞预警 | 帆软报表目录遍历漏洞 浅安 浅安安全 2025-05-16 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 帆软报表是一个企业级Web报表工具。 0x03 漏洞详情 漏洞类型: 目录遍历 影响: 获取敏感信息 简述: 帆软报表的/WebReport/ReportServer、/seeyonreport/Repor
继续阅读【SRC实战】一次空白页面的“妙手回春”变严重漏洞
【SRC实战】一次空白页面的“妙手回春”变严重漏洞 Z2O安全攻防 2025-05-15 13:41 前言 某次企业SRC的一次实战。其中通过信息收集发现了一个站点,这里为内部系统,访问的时候居然直接一片空白,是空白页面。难道空白页面就没有漏洞吗?我就偏偏不信这个邪,上手就是干! 过程 https://x,x.com/ 打开页面啥也没有,一片空白: 其中这里按下键盘中的F12,通过审计js后,发现
继续阅读Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃
Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃 中科天齐软件安全中心 2025-05-15 10:00 点击 蓝字 关注中科天齐 Node.js团队近日发布重要安全公告,针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。 异步加密操作可能导致进程崩溃(CVE-2025-23166) 最严重的是一个被评定为&
继续阅读从XSS到”RCE”的PC端利用链构建
从XSS到”RCE”的PC端利用链构建 原创 X1ly?S 蚁景网络安全 2025-05-15 09:41 前言 先铺垫一下。笔者有一个习惯,懒得记各种命令和payload,手工渗透测试时,遇到比较长的payload的情况下,不想一个一个地去手敲命令,于是我之前就在github上想寻找一个类似于记事本的软件,但是最好和我的记录命令的需求适配,于是就找到了一位师傅写的开源项目
继续阅读创宇安全智脑 | 灵当 CRM Playforrecord.php 任意文件读取等107个漏洞可检测
创宇安全智脑 | 灵当 CRM Playforrecord.php 任意文件读取等107个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-05-15 08:57 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出
继续阅读【已复现】Google Chrome 跨源数据泄露漏洞(CVE-2025-4664)安全风险通告
【已复现】Google Chrome 跨源数据泄露漏洞(CVE-2025-4664)安全风险通告 奇安信 CERT 2025-05-15 08:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome 跨源数据泄露漏洞 漏洞编号 QVD-2025-19630,CVE-2025-4664 公开时间 2024-05-14 影响量级 千万级 奇安信评级 高危
继续阅读用友U8 CRM最新SQL注入漏洞及解决方法(CNVD-2025-09018)
用友U8 CRM最新SQL注入漏洞及解决方法(CNVD-2025-09018) 原创 护卫神 护卫神说安全 2025-05-15 02:28 用友U8 CRM是用友网络针对成长型企业推出的客户关系管理系统,聚焦客户全生命周期管理。其核心功能涵盖客户信息整合、销售机会跟进、市场活动管理及售后服务处理,支持从线索挖掘到订单成交的全流程自动化。系统内置销售漏斗分析工具,可实时监控商机推进阶段,科学预测销
继续阅读安全快报 | 国际APT威胁组织利用SAP NetWeaver严重安全漏洞入侵全球581个关键基础设施系统
安全快报 | 国际APT威胁组织利用SAP NetWeaver严重安全漏洞入侵全球581个关键基础设施系统 天懋信息 2025-05-15 02:05 本周安全事件速览 05月08日-05月14日 01 国际APT威胁组织利用SAP NetWeaver严重安全漏洞入侵全球581个关键基础设施系统 简要介绍**** 近期, 一个影响 SAP NetWeaver的严重安全漏洞 被威胁活动集群利用 以
继续阅读Laravel Framework 8到11版本存在敏感信息泄露漏洞CVE-2024-29291 附POC
Laravel Framework 8到11版本存在敏感信息泄露漏洞CVE-2024-29291 附POC 2025-5-14更新 南风漏洞复现文库 2025-05-14 14:56 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. La
继续阅读FortiVoice零日漏洞遭野外利用,特制HTTP请求可执行任意代码
FortiVoice零日漏洞遭野外利用,特制HTTP请求可执行任意代码 FreeBuf 2025-05-14 11:01 Fortinet公司近日披露了一个关键级基于栈的缓冲区溢出漏洞(CVE-2025-32756),该漏洞影响其安全产品线中的多款产品,且已确认有攻击者针对FortiVoice系统实施野外利用。 这个CVSS评分为9.6的漏洞允许远程未认证攻击者通过特制HTTP请求执行任意代码或命
继续阅读3个月测一站!漏洞挖掘纯享版
3个月测一站!漏洞挖掘纯享版 蚁景网安 2025-05-14 08:30 好久前偶遇一个站点,前前后后大概挖了三个月才基本测试完毕,出了好多漏洞,也有不少高危,现在对部分高危漏洞进行总结分析。 nday进后台: 开局一个登录框: 通过熊猫头插件提取接口,并结合js分析,跑遍了提取到的路径也没有结果。尝试弱口令登录,但是由于连用户名提示都没有,也以失败告终。最后根据页面title关键字搜索找到该平台
继续阅读漏洞挖掘—利用查询功能获取敏感信息
漏洞挖掘—利用查询功能获取敏感信息 原创 haosha 网安日记本 2025-05-14 06:01 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 前言 上次更新之后说要做到周更, 原本这次是想更新一次通杀思路的,但确实漏洞都还没有审核完成
继续阅读上周关注度较高的产品安全漏洞(20250428-20250511)
上周关注度较高的产品安全漏洞(20250428-20250511) 金瀚信安 2025-05-14 02:41 一、境外厂商产品漏洞 1、Esri ArcGIS Enterprise信息泄露漏洞 Esri ArcGIS Enterprise是美国环境系统研究所(Esri)公司的一套GIS(地理信息系统 )的基础软件。Esri ArcGIS Enterprise存在信息泄露漏洞,该漏洞源于程序对敏感
继续阅读漏洞预警 | 灵当CRM任意文件读取漏洞
漏洞预警 | 灵当CRM任意文件读取漏洞 浅安 浅安安全 2025-05-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 灵当CRM是一款专为中小企业打造的智能客户关系管理工具。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取 敏感信息 简述: 灵当CRM的 /crm/modules/Accounts/Pla
继续阅读漏洞预警 | 上海华测监测预警系统SQL注入漏洞
漏洞预警 | 上海华测监测预警系统SQL注入漏洞 浅安 浅安安全 2025-05-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 上海华测监测预警系统是一套科学完善的地质灾害监测预警平台,实现了地质灾害防治管理的科学化、信息化、标准化和可视化。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 上
继续阅读ECShop存在逻辑缺陷漏洞(CNVD-2025-08499)
ECShop存在逻辑缺陷漏洞(CNVD-2025-08499) 原创 护卫神 护卫神说安全 2025-05-13 02:03 ECShop是一款基于PHP+MySQL开发的开源B2C独立网店系统,专为中小企业及个人卖家设计。它功能全面,涵盖商品管理、订单处理、会员系统、支付集成、物流跟踪等核心电商模块,支持多语言、多货币及灵活的模板定制,满足个性化需求。系统采用模块化设计,便于二次开发与功能扩展,
继续阅读漏洞预警 | 润申企业标准化管理系统SQL注入漏洞
漏洞预警 | 润申企业标准化管理系统SQL注入漏洞 浅安 浅安安全 2025-05-13 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 润申信息科技企业标准化管理系统通过给客户提供各种灵活的标准法规信息化管理解决方案,帮助他们实现了高效的标准法规管理,完成个性化标准法规库的信息化建设。 0x03 漏洞详情 漏洞类型: SQL
继续阅读【安全圈】黑客利用微软 SharePoint 版 Copilot AI 漏洞窃取密码及敏感数据
【安全圈】黑客利用微软 SharePoint 版 Copilot AI 漏洞窃取密码及敏感数据 安全圈 2025-05-12 11:02 关键词 人工智能 微软SharePoint版本的Copilot AI近期被发现存在严重安全漏洞,让攻击者能够非法获取企业存储的密码、API密钥等核心机密资料。随着AI助手在企业中的普及应用,这类安全漏洞正带来前所未有的数据泄露风险。 攻击技术深度分析 安全机构P
继续阅读