【漏洞预警】Docker Desktop信息泄露漏洞(CVE-2025-1696)
【漏洞预警】Docker Desktop信息泄露漏洞(CVE-2025-1696) cexlife 飓风网络安全 2025-05-12 10:04 漏洞描述: 在Dосkеr Dеѕktор4.39.0版本之前的版本中存在一个漏洞,可能导致通过应用程序日志无意中泄露敏感信息。在受影响的版本中,每当通过代理进行HTTP GET请求时,代理配置数据(可能包括敏感细节)会被以明文形式写入日志文件。具有读
继续阅读标签: 敏感信息
MiSRC 端午漏洞活动开启,等你超凡出 “粽”
MiSRC 端午漏洞活动开启,等你超凡出 “粽” 小米安全中心 小米安全中心 2025-05-12 08:58 MiSRC 端午漏洞活动来啦~ 官网已更新 《小米安全中心漏洞奖励规则 V9.0》 本期有 三个活动 ,请注意测试范围以及测试内容哦 阅读下文获取详细规则~ ✦ 参与活动 ✦ 1 活动时间 ◆5月12日 – 5月21日 2 参与方式 ◆ 漏洞报告标题前标注【端午活动】 ,若
继续阅读安全热点周报:谷歌修复了 Android 上被积极利用的 FreeType 漏洞
安全热点周报:谷歌修复了 Android 上被积极利用的 FreeType 漏洞 奇安信 CERT 2025-05-12 08:55 安全资讯导视 • 中国人民银行发布《中国人民银行业务领域数据安全管理办法》 • 美国白宫发布2026财年预算提案,拟削减网络安全预算4.91亿美元 • 巴基斯坦军方声称网络攻击已使印度70%电网瘫痪,印度否认 PART01 漏洞情报 1.Elastic Kiban
继续阅读雷神众测漏洞周报2025.5.6-2025.5.11
雷神众测漏洞周报2025.5.6-2025.5.11 原创 雷神众测 雷神众测 2025-05-12 08:09 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读WordPress depicter插件 Sql注入漏洞 (CVE-2025-2011)
WordPress depicter插件 Sql注入漏洞 (CVE-2025-2011) Superhero Nday Poc 2025-05-12 08:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述
继续阅读一篇文章带小白从原理到靶场练习搞懂RCE命令执行漏洞
一篇文章带小白从原理到靶场练习搞懂RCE命令执行漏洞 Cauchy Cauchy网安 2025-05-12 03:05 命令执行漏洞 (Remote Command Execution, RCE)是指攻击者通过注入恶意命令,让目标服务器执行任意系统命令,从而控制服务器或获取敏感信息。 一、RCE 攻击的原理 RCE 漏洞的本质是: 服务器后端程序将用户输入的不可信数据拼接或传递给系统函数(如 sy
继续阅读迅睿CMS最新SQL注入漏洞及解决方法(CNVD-2025-08495)
迅睿CMS最新SQL注入漏洞及解决方法(CNVD-2025-08495) 原创 护卫神 护卫神说安全 2025-05-12 01:32 迅睿CMS是一款基于PHP语言开发的开源内容管理系统,具有高效、灵活、易用的特点。它采用模块化设计,支持多终端适配,包括PC端、移动端等,方便用户快速搭建各类网站。系统内置丰富的功能组件和插件机制,可满足不同用户的个性化需求。同时,迅睿CMS注重安全性与稳定性,提
继续阅读多个未授权漏洞深度利用实战
多个未授权漏洞深度利用实战 原创 锐鉴安全 锐鉴安全 2025-05-11 23:21 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标, 不定期有宠粉福利 Part-01 背景 日常开展Src测试,通过目录扫描发现swagger文档泄露,进一步利用,发现弱口令、数据
继续阅读挖洞日记 | 记一次不断FUZZ拿下高危越权漏洞
挖洞日记 | 记一次不断FUZZ拿下高危越权漏洞 原创 zkaq-腾风起 掌控安全EDU 2025-05-11 04:02 扫码领资料 获网安教程 本文由掌控安全学院 – 腾风起 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 前言 一个迎新系统,和师傅们一起提升一下权限 敏感信息泄露 1 进去系统,先挨个功能点瞅瞅,没发现上传
继续阅读JS漏洞挖掘|分享使用FindSomething联动的挖掘思路
JS漏洞挖掘|分享使用FindSomething联动的挖掘思路 原创 神农Sec 神农Sec 2025-05-10 01:01 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 0x1 前言 哈喽,师傅们!
继续阅读公安部发布等保工作说明函,流行AI开发工具曝严重漏洞|一周特辑
公安部发布等保工作说明函,流行AI开发工具曝严重漏洞|一周特辑 威努特安全网络 2025-05-09 23:59 公安部针对等保工作发布说明函 近期,公安部发布公网安〔2025〕1846号文件,对3月8日部署的网络安全等级保护工作进行进一步说明,要求各级单位深化系统备案更新、数据资源摸底及风险整改,并对 “如何执行系统备案动态更新工作”等部分关键问题进行了指导说明。点击此处 可跳转官方通知,查看说
继续阅读健康证泄露导致的越权漏洞
健康证泄露导致的越权漏洞 原创 bcloud 蓝云Sec 2025-05-09 16:00 声明 本文章所分享内容仅用于网络安全相关的技术讨论和学习,注意,切勿用于违法途径,所有渗透测试都需要获取授权,违者后果自行承担,与本文章及作者无关,请谨记守法。 前言 这个漏洞存在于小程序上,我觉得相较于web网站,小程序漏洞的挖掘更加容易一点,虽然可能会涉及到加密和sign签名什么的,这种可能需要进行反编
继续阅读从靶场到实战:某双一流高校多个高危漏洞
从靶场到实战:某双一流高校多个高危漏洞 蚁景网安 2025-05-09 08:30 本文结合其它用户案例分析讲解挖掘某双一流站点的过程,包含日志泄露漏洞深入利用失败,到不弱的弱口令字典进入后台,再到最后偶遇一个貌似只在靶场遇到过的高危漏洞。 信息搜集: Web站点的话从域名,ip等入手范围太大了,于是决定直接从小程序入手。 微信搜索学校名称,便直接可以通过公众号,小程序寻找目标。这里注意如果你要挖
继续阅读IBM Cognos Analytics 漏洞允许攻击者上传恶意文件
IBM Cognos Analytics 漏洞允许攻击者上传恶意文件 邑安科技 邑安全 2025-05-09 05:33 更多全球网络安全资讯尽在邑安全 IBM 发布了一个重要的安全建议警告,指出两个影响其 Cognos Analytics 平台的高严重性漏洞,这些漏洞可能允许攻击者上传恶意文件并在受影响的系统上执行代码。 这些漏洞被确定为 CVE-2024-40695 和 CVE-2024-51
继续阅读常见的信息泄露漏洞挖掘(第二部分)
常见的信息泄露漏洞挖掘(第二部分) 原创 LA安全 LA安全实验室 2025-05-09 01:02 哈喽,各位大佬们! 上次的信息泄露漏洞文章被各位点赞,我感动得差点把键盘敲出火星子🔥!为了报答大家的厚爱,我写出了第二弹——这次可是干货满满(其实漏洞很好挖掘),包教包会,学不会算我输! PS: 文末送小工具,手快有,手慢无哦~ 报错页面信息泄漏 这个就是咱们在正常测试的时候,通过输入一些特殊的字
继续阅读CVSS10分!Craft CMS 远程代码执行漏洞安全风险通告
CVSS10分!Craft CMS 远程代码执行漏洞安全风险通告 应急响应中心 亚信安全 2025-05-08 10:09 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Craft CMS 存在一个远程代码执行漏洞,编号为 CVE-2025-32432。该漏洞源于Craft CMS处理用户输入不当,攻击者可以利用Http请求发送恶意代码,服务器将其执行,从而改变系统状态或获取敏感信息。
继续阅读原力金智SRC上线漏洞盒子 | 「企业SRC」新住客
原力金智SRC上线漏洞盒子 | 「企业SRC」新住客 漏洞盒子 2025-05-08 10:03 oi!—— 节后上班摸鱼的你,别划了! 本蛙要给大家介绍一位新朋友 在本蛙的度假旅程中 从扫码买单到人脸验证 这位朋友始终一路随行 提供24小时在线的满满安全感 原力金智安全应急响应中心 入驻漏洞盒子啦! 让我们一起挖漏洞、补短板 共同守护金融智能的安全底线 01 / 漏洞提交地址 yljz.vulb
继续阅读信息安全漏洞周报(2025年第18期)
信息安全漏洞周报(2025年第18期) 原创 CNNVD CNNVD安全动态 2025-05-08 09:30 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年4月28日至2025年5月4日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞897个。 接报漏洞情况 本周CNNVD接报漏洞3303个,其中信息技术产品漏洞(通用型漏洞)192个,网络
继续阅读漏洞预警 | 汉王e脸通智慧园区管理平台SQL注入漏洞
漏洞预警 | 汉王e脸通智慧园区管理平台SQL注入漏洞 浅安 浅安安全 2025-05-08 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 汉王e脸通综合管理平台是一个集生物识别、大数据、NFC射频、计算机网络、自动控制等技术于一体,通过“人脸卡”及关联信息实现多种功能智能管理,打造从云端到终端一体化应用,广泛应用于智慧园区
继续阅读《跨机房漏洞扫描挑战、设备使用人管理优化及审计账号权限分配策略解析》|总第288周
《跨机房漏洞扫描挑战、设备使用人管理优化及审计账号权限分配策略解析》|总第288周 原创 群秘 君哥的体历 2025-05-07 23:02 0x1本周话题 话题一:请教下,大家跨机房的漏扫都是怎么做的?我们之前尝试过在IDC和阿里云互相做漏扫,IDC的扫描流量会时不时的招来网安的询问,阿里云的漏扫也会触发平台的机制被封禁,尝试找阿里云加白也不行,感觉做个漏扫好难啊… A1: 那你们网安做得真不错
继续阅读SysAid 本地预授权 RCE 链(CVE-2025-2775 及其相关漏洞)- watchTowr 实验室
SysAid 本地预授权 RCE 链(CVE-2025-2775 及其相关漏洞)- watchTowr 实验室 Ots安全 2025-05-07 14:16 又过了一周,又出现了一个显然对勒索软件团伙有经验但在电子邮件方面却举步维艰的供应商。 在我们所看到的其他人所说的“watchTowr 处理”中,我们再次(令人惊讶地)披露了漏洞研究,该研究使我们能够针对另一个针对企业的产品获得预先认证的远程命
继续阅读Chrome浏览器高危漏洞已被黑客利用,奇安信可信浏览器为企业撑起“安全伞”
Chrome浏览器高危漏洞已被黑客利用,奇安信可信浏览器为企业撑起“安全伞” 奇安信集团 2025-05-07 10:26 近日,Chrome浏览器存在高危漏洞(漏洞编号:NVDB-CNVDB-2025153622/CVE-2025-2783)持续引发了广大客户的密切关注。据了解,该漏洞在2025年3月底公开披露时就已被黑客组织大规模利用,受害客户包括各国政府机构、军工单位、科研院所等关键领域。但
继续阅读出洞如此简单!一次轻松的小程序漏洞挖掘
出洞如此简单!一次轻松的小程序漏洞挖掘 sec0nd安全 2025-05-07 04:30 扫码领资料 获网安教程 本文由掌控安全学院 – zzzxby 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x01前言 本文只是记录一次轻松的小程序漏洞挖掘。 0x02漏洞挖掘 小程序一般目标发现都比较随机,直接在小程序搜索小学,中学,
继续阅读Apple及物联网设备面临风险 | 空中传播:AirPlay 协议中的零点击蠕虫式远程代码执行漏洞
Apple及物联网设备面临风险 | 空中传播:AirPlay 协议中的零点击蠕虫式远程代码执行漏洞 白帽子左一 白帽子左一 2025-05-07 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 概要 Oligo 安全研究团队发现了 Apple 的 AirPlay 协议及其软件开发工具包(SDK)中的一组新漏洞,后
继续阅读雷神众测漏洞周报2025.4.28-2025.5.5
雷神众测漏洞周报2025.4.28-2025.5.5 原创 雷神众测 雷神众测 2025-05-07 03:10 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读价值2500 美元的漏洞:通过供应链攻击实现RCE
价值2500 美元的漏洞:通过供应链攻击实现RCE 原创 骨哥说事 骨哥说事 2025-05-07 01:15 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4236 **不想错过任何消息?设置星标↓ ↓ ↓
继续阅读金和JC6协同管理平台 oaplusrangedownloadfile 任意文件下载漏洞
金和JC6协同管理平台 oaplusrangedownloadfile 任意文件下载漏洞 HK安全小屋 2025-05-06 15:12 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 影响版本: 金和JC6协同管理平台 漏洞描述 金和数字化
继续阅读Chrome浏览器惊现高危漏洞!天擎漏洞攻击防护第一时间提供安全保障
Chrome浏览器惊现高危漏洞!天擎漏洞攻击防护第一时间提供安全保障 奇安信集团 2025-05-06 10:24 近期,一则令人担忧的消息在网络安全领域引起轩然大波:谷歌公司 Chrome 浏览器沙箱机制在与 Windows 操作系统内核交互时,暴露出高危漏洞(漏洞编号:NVDB-CNVDB-2025153622/CVE-2025-2783)。这一漏洞犹如一颗隐藏的炸弹,攻击者可借此绕过沙箱隔离
继续阅读苹果“AirBorne”漏洞可能导致零点击 AirPlay RCE 攻击
苹果“AirBorne”漏洞可能导致零点击 AirPlay RCE 攻击 胡金鱼 嘶吼专业版 2025-05-06 06:00 苹果的AirPlay协议和AirPlay软件开发工具包(SDK)中的一系列安全漏洞使未打补丁的第三方和苹果设备暴露于各种攻击中,包括远程代码执行。 网络安全公司Oligo Security的安全研究人员发现并报告了这些漏洞,他们可以利用零点击和一键式RCE攻击、中间人(M
继续阅读