上周关注度较高的产品安全漏洞(20250120-20250126)
上周关注度较高的产品安全漏洞(20250120-20250126) 中国电信安全 2025-02-07 04:01 一、境外厂商产品漏洞 1、Adobe InDesign越界读取漏洞**** Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe InDesign存在越界读取漏洞,攻击者可利用该漏洞导致敏感内存泄露。 参考链接: https://www.cnv
继续阅读标签: 敏感信息
实战 | 微信小程序EDUSRC渗透漏洞复盘
实战 | 微信小程序EDUSRC渗透漏洞复盘 原创 神农Sec 神农Sec 2025-02-07 02:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 哈喽,师傅们这次又来给师傅们分享下最近的一个漏洞挖掘的一个过程,这次跟着一个师傅学习,然后自己动手去挖,也是学习到了不了
继续阅读小技巧 – 文件读取漏洞原来也这么严重
小技巧 – 文件读取漏洞原来也这么严重 原创 Vipersec SecretTeam安全团队 2025-02-07 01:42 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把 SecretTeam安全团队 “设为星标 ”, 否则可能就看不到了啦! 免责声明 “本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适
继续阅读漏洞预警 | 泛微E-Cology信息泄露漏洞
漏洞预警 | 泛微E-Cology信息泄露漏洞 浅安 浅安安全 2025-02-07 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。 0x03 漏洞
继续阅读漏洞预警 | 通达OA未授权访问漏洞
漏洞预警 | 通达OA未授权访问漏洞 浅安 浅安安全 2025-02-07 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 通达OA是一款协同办公自动化软件,由北京通达信科科技有限公司自主研发,为各行业不同规模的众多用户提供信息化管理能力。 0x03 漏洞详情 漏洞类型: 未授权访问 影响: 获取敏感信息 简述: 通达OA的/
继续阅读【漏洞预警】libxml2代码执行漏洞(CVE-2022-49043)
【漏洞预警】libxml2代码执行漏洞(CVE-2022-49043) cexlife 飓风网络安全 2025-02-06 13:54 漏洞描述: 在libхml22.11.0之前的版本中,хinсludе.с文件中的хmlXInсludеAddNоdе函数存在一个使用后释放(uѕе-аftеr-frее)漏洞。 影响产品: 2.0.0<=libxml2<2.11.0 攻击场景: 攻击
继续阅读思科修补启用 Root CmdExec 和 PrivEsc 的关键 ISE 漏洞
思科修补启用 Root CmdExec 和 PrivEsc 的关键 ISE 漏洞 信息安全大事件 2025-02-06 12:08 Cisco 发布了更新,以解决身份服务引擎 (ISE) 的两个关键安全漏洞,这些漏洞可能允许远程攻击者在易受攻击的设备上执行任意命令并提升权限。 漏洞如下: – CVE-2025-20124(CVSS 评分:9.9)- 思科 ISE API 中存在不安全的
继续阅读思科披露两个严重的身份服务引擎漏洞
思科披露两个严重的身份服务引擎漏洞 跳舞的花栗鼠 FreeBuf 2025-02-06 11:02 思科公司披露了其身份服务引擎(ISE)软件中的两个关键漏洞,CVE-2025-20124和CVE-2025-20125,CVSS评分分别为9.9和9.1,严重性评级极高。这两个漏洞可能允许已认证的攻击者执行以下操作:远程任意命令执行、系统权限提升以及配置参数篡改。 截至目前,思科产品安全事件响应团队
继续阅读HVV实战课程与超值福利
HVV实战课程与超值福利 原创 ZPZ安全团队 ZeroPointZero安全团队 2025-02-06 10:23 P ART.01/ 课程简介 欢迎加入HVV行动实战课程,这是一门为网络安全爱好者和安全从业者量身打造的高端课程,专注于红蓝对抗技能的深入学习和实践应用。无论你是刚刚踏入网络安全领域的初学者,还是经验丰富的专业人士,这门课程都将带你深入探索网络攻防的精髓,为你提供从基础知识到高级技
继续阅读Elon Musk团队操作引发美国政府数据安全危机与网络安全漏洞担忧;2024 网安(亏损)TOP 10 | 牛览
Elon Musk团队操作引发美国政府数据安全危机与网络安全漏洞担忧;2024 网安(亏损)TOP 10 | 牛览 安全牛 2025-02-06 09:26 新闻速览 2024 网安(亏损)TOP 10 Backline利用人工智能解决企业安全积压问题 Zyxel 路由器遭受 CVE-2024-40891 攻击,确认不再提供补丁;Netgear 发布关键漏洞修复 Grubhub 因第三方服务提供商
继续阅读同学,XXE漏洞了解一下
同学,XXE漏洞了解一下 原创 Caigensec 菜根网络安全杂谈 2025-02-06 04:09 点击标题下「蓝色微信名」可快速关注 免责声明:本文仅用于合法范围的学习交流,若使用者将本文用于非法目的或违反相关法律法规的行为,一切责任由使用者自行承担。请遵守相关法律法规,勿做违法行为!本公众号尊重知识产权,如有侵权请联系我们删除。 01 漏洞介绍 1、XXE概念 XXE(XML Extern
继续阅读DCCE MAC1000 PLC漏洞测试总结二
DCCE MAC1000 PLC漏洞测试总结二 NEURON SAINTSEC 2025-02-06 02:02 1. PLC指令可被利用发起蠕虫传播 **** 问题名称 PLC“自由通讯指令”可被利用发起蠕虫传播 检测工具 Arpspoof Python PLC_Config 问题描述 通过劫持PLC_Config下载程序流程,篡改PLC下载程序内容,导致PLC向局域网设备发送任一带功能报文(
继续阅读Git交互式凭证提示和凭据重定向漏洞CVE-2024-50349 CVE-2024-52006
Git交互式凭证提示和凭据重定向漏洞CVE-2024-50349 CVE-2024-52006 SecHub网络安全社区 2025-02-05 09:06 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权
继续阅读警惕!黑客利用政府网站漏洞发动钓鱼攻击,全球多国受害
警惕!黑客利用政府网站漏洞发动钓鱼攻击,全球多国受害 原创 紫队 紫队安全研究 2025-02-05 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 近日,网络安全研究机构 Cofense I
继续阅读【漏洞复现】锐明技术Crocus系统存在任意文件读取
【漏洞复现】锐明技术Crocus系统存在任意文件读取 什么安全 什么安全 2025-02-05 01:47 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 产品描述 深圳市锐明技术股份有限公司锐明技术Crocus系统融合了锐明
继续阅读【漏洞预警】招标采购平台存在未授权访问
【漏洞预警】招标采购平台存在未授权访问 原创 什么安全 什么安全 2025-02-05 01:25 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 产品介绍 上海汇招信息技术有限公司,是我国领先的集供应链管理咨询、项目实施、平
继续阅读FUZZ出来的一系列漏洞
FUZZ出来的一系列漏洞 原创 hacker30 hacker30 2025-02-02 12:43 前言:在平常挖洞过程中,不乏很快就能出成果,也不乏测试很长一段时间都一无所获,心态容易受到影响,陷入自我怀疑。但我们只需要静下心来,充分利用收集的所有信息,多尝试新的思路,也许就会有出其不意的效果。 1、在访问测试站点时,抓取到这么一个接口的数据包: /xxx-athene/system/logi
继续阅读时间强盗漏洞:ChatGPT绕过敏感话题安全防护
时间强盗漏洞:ChatGPT绕过敏感话题安全防护 黑白之道 2025-02-02 02:16 一种名为“时间强盗”(Time Bandit)的ChatGPT越狱漏洞,允许用户在询问敏感话题的详细说明时绕过OpenAI的安全指南。 这些敏感话题包括武器制造、核话题信息以及恶意软件创建等。 该漏洞由网络安全和人工智能研究员David Kuszmar发现。他发现ChatGPT存在“时间混淆”问题,这使得
继续阅读Burpsuite存储桶配置不当漏洞检测插件
Burpsuite存储桶配置不当漏洞检测插件 黑白之道 2025-02-02 02:16 01 工具介绍 存储桶相关配置检测自动化,访问目标网站将会自动检测,如:访问的网站引用存储桶上的静态资源,就会触发检测逻辑,将指纹识别方式修改了下,通过server头及域名中的一个方式进行判断,另外由于敏感信息误报较多,已经取消了。 导入burpsuite 存储桶相关配置问题检测结果同步到bp的issue 检
继续阅读WVP-GB28181摄像头管理平台user信息泄露漏洞
WVP-GB28181摄像头管理平台user信息泄露漏洞 原创 骇客安全 骇客安全 2025-01-31 04:02 漏洞描述WVP-GB28181摄像头管理平台 user 信息泄露漏洞,攻击者可利用此漏洞收集敏感信息,从而为下一步攻击做准备。漏洞复现1、fofabody=”国标28181″2、部分界面如下 3、隐患url,验证如下GET /api/user/all HTT
继续阅读DeepSeek 数据库被攻击,国外团队已公开披露漏洞
DeepSeek 数据库被攻击,国外团队已公开披露漏洞 原创 Mstir 星悦安全 2025-01-30 07:16 点击上方 蓝字 关注我们 并设为 星标 0x01 漏洞研究 AI 初创公司 DeepSeek 最近因其开创性的 AI 模型,尤其是 DeepSeek-R1 推理模型而引起了媒体的广泛关注。该模型在性能上可与 OpenAI 的 o1 等领先的 AI 系统相媲美,并以其成本效益和效率而
继续阅读CVE-2025-21535|Oracle WebLogic Server远程代码执行漏洞
CVE-2025-21535|Oracle WebLogic Server远程代码执行漏洞 alicy 信安百科 2025-01-28 09:18 0x00 前言 Weblogic是Oracle公司的Java应用服务器。可以用来集成和部署大型分布式Web应用、网络应用和数据库应用。 Weblogic最早由Weblogic公司开发,后来被BEA公司并入,所以早期Weblogic安装及界面有BEA的元
继续阅读多个 Git 漏洞导致凭证泄露
多个 Git 漏洞导致凭证泄露 独眼情报 2025-01-28 02:29 引言 大家好,我是 RyotaK(@ryotkak),GMO Flatt Security 公司的安全工程师。 2024年10月,我在参与GitHub漏洞赏金计划进行漏洞挖掘时,对GitHub Enterprise Server的调查感到有些乏味,于是决定转向GitHub Desktop寻找漏洞。 在阅读GitHub De
继续阅读通过js进行模糊测试所拿到的一次五千漏洞赏金记录
通过js进行模糊测试所拿到的一次五千漏洞赏金记录 迪哥讲事 2025-01-27 12:42 0x01 前言 Missing parameter?Parameter is null?一次众测实战教你如何高效的找出缺少的参数。 0x02 漏洞背景 一次众测项目,称其为https://uctenter.target.com。 0x03 漏洞挖掘过程 前期通过信息收集,找到一处目录organizatio
继续阅读GitHub漏洞允许恶意仓库泄露用户凭据
GitHub漏洞允许恶意仓库泄露用户凭据 邑安科技 邑安全 2025-01-27 07:17 更多全球网络安全资讯尽在邑安全 最近发现了 Git 相关项目(包括 GitHub Desktop、Git Credential Manager、Git LFS 和 GitHub Codespaces)中的关键安全漏洞,这些漏洞涉及对基于文本的协议的不当处理,使攻击者有可能泄露用户凭据。 这一发现凸显了软件
继续阅读LTE和5G网络实现中存在119个安全漏洞,可导致大规模通信中断;调查显示:仅7%受害者在支付勒索软件赎金后成功恢复数据 |牛览
LTE和5G网络实现中存在119个安全漏洞,可导致大规模通信中断;调查显示:仅7%受害者在支付勒索软件赎金后成功恢复数据 |牛览 安全牛 2025-01-27 03:49 点击蓝字·关注我们 / aqniu 新闻速览 2024年全国检察机关共起诉各类侵害企业数据安全犯罪近千人 民政部、全国妇联等18部门印发《困境儿童个人信息保护工作办法》 49个零日漏洞利用、88.6万美元奖金,Pwn2Own
继续阅读航空防务公司Stark被曝遭遇勒索攻击,4TB机密数据疑被窃取;华硕意外泄露AMD处理器漏洞,补丁被提前公开 | 牛览
航空防务公司Stark被曝遭遇勒索攻击,4TB机密数据疑被窃取;华硕意外泄露AMD处理器漏洞,补丁被提前公开 | 牛览 安全牛 2025-01-26 03:26 点击蓝字·关注我们 / aqniu 新闻速览 国家密码管理局废止、宣布失效部分行政规范性文件 PayPal因安全措施不力被罚200万美元 华硕意外泄露AMD处理器漏洞,补丁被提前公开 LinkedIn 被控滥用用户数据训练AI模型 S
继续阅读子域名劫持漏洞高阶利用:从发现到利用完整攻略
子域名劫持漏洞高阶利用:从发现到利用完整攻略 原创 VlangCN HW安全之路 2025-01-26 03:14 子域名劫持是一种严重的安全漏洞,攻击者通过利用 DNS 设置中的错误配置来接管子域名。这类攻击可能导致钓鱼攻击 、数据泄露 或恶意跳转 ,对目标组织的声誉和安全性造成重大影响。对于渗透测试人员和漏洞赏金猎人而言,子域名劫持是一项高价值的技能。本文将通过实用技术、多样工具和真实案例,带
继续阅读MS17-010漏洞利用工具
MS17-010漏洞利用工具 原创 摆烂的beizeng 土拨鼠的安全屋 2025-01-25 02:03 前言 在网络安全领域,从事内网渗透的师傅们对 ms17010 漏洞肯定不陌生。针对这个漏洞,有多种利用工具和方法,比如 Metasploit、Cobalt Strike 插件、fscan、landon 等。这些工具各有优劣,在不同的渗透场景下,选择合适的工具至关重要。 在这里,我想分享一款自
继续阅读漏洞预警 | 红帆OA SQL 注入漏洞
漏洞预警 | 红帆OA SQL 注入漏洞 浅安 浅安安全 2025-01-25 00:03 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 红帆OA是红帆科技基于微软.NET最新技术开发的信息管理平台,红帆oa系统为医院提供oA功能,完成信息发布、流程审批、公文管理、日程管理、工作安排、文件传递、在线沟通等行政办公业务。 0x03 漏洞详
继续阅读