CNVD漏洞周报2025年第16期
CNVD漏洞周报2025年第16期 原创 CNVD CNVD漏洞平台 2025-04-28 08:43 2 0 2 5 年 0 4 月 21 日 – 2 0 2 5 年 0 4月27日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞484个,其中高危漏洞250个、中
继续阅读标签: 敏感信息
Ruby 服务器中存在 Rack::Static 漏洞,可导致数据遭泄露
Ruby 服务器中存在 Rack::Static 漏洞,可导致数据遭泄露 Ravie Lakshmanan 代码卫士 2025-04-28 08:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员披露了位于 Rack Ruby web 服务器界面中的多个安全漏洞。如遭成功利用,它们可导致攻击者越权访问文件、注入恶意数据并在某些情况下篡改日志。 这些漏洞如下: CVE-202
继续阅读雷神众测漏洞周报2025.4.21-2025.4.27
雷神众测漏洞周报2025.4.21-2025.4.27 雷神众测 雷神众测 2025-04-28 07:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或
继续阅读记一次某大学附属医院漏洞挖掘
记一次某大学附属医院漏洞挖掘 Tai 不秃头的安全 2025-04-28 06:40 记一次某大学附属医院漏洞挖掘 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。还在学怎么挖通用漏洞和src吗?知识星球,续费也有优惠私聊~~想要入交流群在最下方,考安全证书请联系vx咨询。 前情提要 开局一个登录框 ![图形用户界面, 应用程
继续阅读面对零日漏洞:如何提高应对能力?
面对零日漏洞:如何提高应对能力? 原创 deepsec 深安安全 2025-04-28 06:37 在网络安全领域,”零日漏洞”(Zero-Day Vulnerability)是最令企业和个人头疼的威胁之一。攻击者利用尚未被公开或修复的漏洞发起攻击,而防御方往往措手不及。近年来,零日漏洞攻击事件频发,如SolarWinds供应链攻击、微软Exchange漏洞等,均造成了巨大
继续阅读地理数据的背叛:坐标风暴漏洞讲解
地理数据的背叛:坐标风暴漏洞讲解 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2025-04-28 02:19 嘿嘿,亲爱的师傅们好呀~ 最近收到好多小伙伴的贴心反馈:”大师的实验性漏洞研究超干货!但对着视频记笔记实在不方便啊…” ⚡️所以以后打算随着视频同步推出文章,当然都是免费的哈哈! 文章一般首发于地图大师自己的网站:https://www.dituse
继续阅读我如何从已删除的文件中赚取 64 美元 — 一个漏洞赏金故事
我如何从已删除的文件中赚取 64 美元 — 一个漏洞赏金故事 haidragon 安全狗的自我修养 2025-04-27 23:26 TL;DR — 我构建了一个自动化功能,克隆和扫描了数以万计的公共 GitHub 存储库以查找泄露的机密信息。对于每个存储库,我恢复了已删除的文件,找到了悬空的 blob 和解压缩的 .pack 文件,以便在其中搜索公开的 API 密钥、令牌和凭据。最终报告了
继续阅读记一次漏洞复现威胁情报导致的漏洞
记一次漏洞复现威胁情报导致的漏洞 原创 湘南第一深情 湘安无事 2025-04-27 14:12 声明: 由于传播、利用本公众号湘安无事所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。如有侵权烦请告知,我们会立即删除并致歉。谢谢! 0x00前言 起因是 3月份下班坐地铁 无聊 在wx公众号
继续阅读容器镜像安全:安全漏洞扫描神器Trivy
容器镜像安全:安全漏洞扫描神器Trivy 马哥网络安全 2025-04-27 09:00 目录 – 一.系统环境 二.前言 三.Trivy简介 四.Trivy漏洞扫描原理 五.利用trivy检测容器镜像的安全性 六.总结 一.系统环境 本文主要基于Docker version 20.10.14和Linux操作系统Ubuntu 18.04。 服务器版本 docker软件版本 CPU架构
继续阅读注意!朝鲜Kimsuky组织利用BlueKeep漏洞,疯狂攻击日韩
注意!朝鲜Kimsuky组织利用BlueKeep漏洞,疯狂攻击日韩 原创 紫队 紫队安全研究 2025-04-27 03:59 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 在网络安全的战场上,威胁总是
继续阅读分布式自动化信息收集、漏洞扫描
分布式自动化信息收集、漏洞扫描 原创 白帽学子 白帽学子 2025-04-27 00:11 兄弟们,之前hvv行动前资产梳理又让我头秃了。上周给客户做资产测绘时,发现他们云上资产像滚雪球一样越测越多,光子域名列表就拖了三个小时——这时候突然想起上个月试用的scope-sentry工具,这玩意儿的资产图片流视图功能,把服务器快照、域名解析树这些可视化得跟CT扫描似的,直接甩给甲方就能让他们闭嘴。 说
继续阅读隐藏在菜单外的”秘密菜品”:我如何通过robots.txt找到管理后台并实现远程代码执行
隐藏在菜单外的”秘密菜品”:我如何通过robots.txt找到管理后台并实现远程代码执行 原创 VlangCN HW安全之路 2025-04-26 10:44 你是否曾在餐厅点餐时好奇,”菜单上会不会有什么秘密菜品没有展示给我?” 这正是我在一次深夜安全侦察过程中浏览子域名时的感受。疲惫不堪,却渴望发现一些值得研究的漏洞。没想到,我即将遇到的是一个配
继续阅读若依系统 | SQL注入漏洞+druid框架漏洞
若依系统 | SQL注入漏洞+druid框架漏洞 原创 神农Sec 神农Sec 2025-04-26 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 若依系统渗透测试 漏洞一:SQL注入漏洞 都
继续阅读漏洞预警 | 泛微E-Office SQL注入漏洞
漏洞预警 | 泛微E-Office SQL注入漏洞 浅安 浅安安全 2025-04-26 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 泛微e-office是泛微旗下的一款标准协同移动办公平台。主要面向中小企业,平台全方位覆盖日常办公场景,可以有效提升组织管理与协同效率。 0x03 漏洞详情 漏洞类型: SQL注入 影响:
继续阅读关于防范Google Chrome沙箱逃逸高危漏洞的风险提示
关于防范Google Chrome沙箱逃逸高危漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2025-04-25 08:35 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现, Google Chrome 存在沙箱逃逸高危漏洞,可被恶意利用导致信息泄露、代码执行等危害。 Google Chrome 是谷歌公司开发的网页浏览器,用于快速浏览、搜索互联网内容。由于
继续阅读高达30000美元!微软大幅提升AI漏洞奖金,强化企业级AI安全防线
高达30000美元!微软大幅提升AI漏洞奖金,强化企业级AI安全防线 安全客 2025-04-25 08:21 近期,微软宣布将Dynamics 365和Power Platform服务和产品中发现的AI漏洞的奖金最高增加到30000美元。其中,Power Platform包括旨在帮助公司分析数据和自动化流程的应用程序,而Dynamics 365是一组连接客户、产品、人员和运营的业务应用程序。 该
继续阅读【工具分享】JavaSecLab综合且全面的Java漏洞平台
【工具分享】JavaSecLab综合且全面的Java漏洞平台 秀龙叔 黑客之道HackerWay 2025-04-25 07:00 简介: JavaSecLab是一款最全面的Java漏洞平台,提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范、漏洞流量分析,涵盖多种漏洞场景,人性化的交互UI…… 支持漏洞模块: 跨站脚本攻击、跨站请求伪造、CORS、JS
继续阅读上周关注度较高的产品安全漏洞(20250414-20250420)
上周关注度较高的产品安全漏洞(20250414-20250420) 金瀚信安 2025-04-25 06:36 一、境外厂商产品漏洞 1、F5 BIG-IP拒绝服务漏洞(CNVD-2025-07325) F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP存在安全漏洞,该漏洞源于当禁用了SNMP v1或v2c时,攻击者可利用该
继续阅读IoT智能设备产品「发售前」安全检验:关乎品牌声誉的漏洞之战
IoT智能设备产品「发售前」安全检验:关乎品牌声誉的漏洞之战 斗象科技 2025-04-25 05:59 在智能设备安全事件频发的今天,欧盟2024年新规规定所有联网设备必须提供5年的免费安全更新,我国《物联网基础安全 物联网平台安全分级分类管理评估方法》(YD/T 6039-2024)在今年2月正式实施,合规与网络安全性已经成为智能产品的重要指标之一。 2024年12月,距某全球500强综合性智
继续阅读“脚本小子”-之恶意poc投毒事件
“脚本小子”-之恶意poc投毒事件 实战安全研究 2025-04-25 02:01 前言 最经看见一个国外小哥的文章,觉得写的挺好的,但是可能很少人刷到,所以就有了这篇文章,希望能够把每个点都按照自己的理解讲的明明白白,看过之后同时也提醒大家对于网上的poc以及exp,还有一些工具一定要保持严谨仔细的态度,可能一个不小心你的电脑就中招了,是个人pc还好,如果是公司服务器啥的那造成的影响可就不小。
继续阅读漏洞预警 | 信呼OA SQL注入漏洞
漏洞预警 | 信呼OA SQL注入漏洞 浅安 浅安安全 2025-04-25 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 信呼OA是一款免费开源的办公OA系统,包括APP,pc上客户端,REIM即时通信,服务端等。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 信呼OA的/xhoa/api.ph
继续阅读漏洞预警 | 金盘移动图书馆系统信息泄露漏洞
漏洞预警 | 金盘移动图书馆系统信息泄露漏洞 浅安 浅安安全 2025-04-25 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 金盘移动图书馆管理系统是集掌上门户,掌上APP,微信平台为一体的移动服务解决方案,在移动智能时代拉近读者与图书馆之间的距离。 0x03 漏洞详情 漏洞类型: 信息泄露 影响: 获取敏感信息****
继续阅读漏洞预警 | Netgear信息泄露漏洞
漏洞预警 | Netgear信息泄露漏洞 浅安 浅安安全 2025-04-25 00:01 0x00 漏洞编号 – # CVE-2024-30569 CVE-2024-30570 0x01 危险等级 – 中危 0x02 漏洞概述 Netgear R6850是美国网件公司推出的一款家用无线路由器的具体型号。 0x03 漏洞详情 CVE-2024-30569 漏洞类型: 信息
继续阅读《存量线上系统安全漏洞管理:从渗透测试到全面收敛》|总第286周
《存量线上系统安全漏洞管理:从渗透测试到全面收敛》|总第286周 原创 群秘 君哥的体历 2025-04-24 23:01 在当前信息化背景下,企业面临的网络安全威胁日益严峻,尤其是存量线上系统中的高危漏洞问题。尽管每年邀请外部安全厂商进行渗透测试,但仍然能发现新的高危漏洞。 讨论中提出了多种解决方案,包括建立标准化渗透测试流程、采用多层测试方法(白盒、灰盒、黑盒)、引入众测机制以及利用大模型增强
继续阅读如何应对攻防演练过程中的逻辑漏洞?
如何应对攻防演练过程中的逻辑漏洞? 原创 全域数字风险管理 云科安信Antira 2025-04-24 09:50 护网季前,多数企业都会进行全面的风险「自查」,以更稳妥的安全状态进入实战攻防演练。然而,互联网资产扫描探测、漏洞扫描、渗透测试、整改加固等等一系列自查的策略手段,往往会疏忽「逻辑漏洞」这个防不胜防的小风险大隐患。 实战对抗下的「逻辑漏洞」 不同于常规漏洞,逻辑漏洞的根源是业务或功能上
继续阅读创宇安全智脑 | 时空智友企业流程化管控系统 indexService.notice SQL注入等88个漏洞可检测
创宇安全智脑 | 时空智友企业流程化管控系统 indexService.notice SQL注入等88个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-04-24 09:22 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和
继续阅读大模型10大网络安全威胁及防范策略 | ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序
大模型10大网络安全威胁及防范策略 | ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序 e安在线 e安在线 2025-04-24 05:05 大模型10大网络安全威胁及防范策略 OWASP发布的《大语言模型人工智能应用Top10安全威胁2025》,大语言模型人工智能应用中存在的十大安全风险,相比2023版有一些变化, 10大安全威胁如下: 1、提示词注入:用户通过特殊输入改变模型
继续阅读Spring漏洞扫描工具,springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证
Spring漏洞扫描工具,springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证 黑白之道 2025-04-24 01:55 一、工具概述 SBSCAN是一款专注于spring框架的渗透测试工具,可以对指定站点进行springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证。 – 最全的敏感路径字典 :最全的springboot站点
继续阅读渗透测试 | 实战swagger框架漏洞
渗透测试 | 实战swagger框架漏洞 原创 神农Sec 神农Sec 2025-04-24 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 0x1 加密的Swagger 首先一般大家分享Swa
继续阅读