2024年度人工智能相关重点安全漏洞盘点
2024年度人工智能相关重点安全漏洞盘点 原创 智能安全实验室 山石网科安全技术研究院 2025-01-18 02:02 一、CVE-2024-42479 漏洞概述 在 rpc_server::set_tensor 中存在一个“写入任意地址”的漏洞。该漏洞由 ggerganov 于 2024 年 8 月 12 日发布,编号为 GHSA-wcr5-566p-9cwj。受影响的版本为小于 b3561
继续阅读标签: 敏感信息
漏洞预警 | WordPress Plugin Radio Player SSRF漏洞
漏洞预警 | WordPress Plugin Radio Player SSRF漏洞 浅安 浅安安全 2025-01-18 00:01 0x00 漏洞编号 – # CVE-2024-54385 0x01 危险等级 – 高危 0x02 漏洞概述 WordPress插件Radio Player是一种简单而有效的解决方案,用于将实时流媒体音频添加到您的WordPress网站。
继续阅读初级漏洞猎手十大必备网站
初级漏洞猎手十大必备网站 原创 再说安全 再说安全 2025-01-17 15:02 网络安全领域的魅力不仅在于攻防对抗的精彩,更在于对未知领域的探索与挑战。作为初入安全行业的漏洞猎手,掌握必要的工具和资源至关重要。这份清单并非速成指南,而是基于实战经验和技术沉淀,客观真实地列出了十个对于入门者至关重要的网站。它们涵盖信息收集、漏洞情报、安全报告等多个维度,是开启技术进阶之旅的钥匙。这里没有“一键
继续阅读一款容器镜像漏洞扫描器-Trivy
一款容器镜像漏洞扫描器-Trivy 原创 CatalyzeSec CatalyzeSec 2025-01-17 10:48 介绍 Trivy是一款全面而多功能的安全扫描器。Triv y 的扫描器可 以查找安全问题,并确定可以找到这些问题的目标。 目标(Trivy 可以扫描的内容): – 容器镜像 – 文件系统 – Git 存储库(远程) – 虚拟机映
继续阅读【漏洞通告】Rsync 缓冲区溢出漏洞(CVE-2024-12084)
【漏洞通告】Rsync 缓冲区溢出漏洞(CVE-2024-12084) 启明星辰安全简讯 2025-01-17 10:30 一、漏洞概述 漏洞名称 Rsync 缓冲区溢出漏洞 CVE ID CVE-2024-12084 漏洞类型 缓冲区溢出 发现时间 2025-01-17 漏洞评分 9.8 漏洞等级 严重 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利
继续阅读谷歌OAth 漏洞导致弃用账号遭访问
谷歌OAth 漏洞导致弃用账号遭访问 Bill Toulas 代码卫士 2025-01-17 09:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌OAth ”通过谷歌登录”特性中存在一个弱点,可导致注册了已不再正常运行的创业公司域名的攻击者,访问与多个软件即服务 (SaaS) 平台相关的离职员工的敏感数据。 该漏洞由 Trufflesecurity 公司的研究员发现并在去年9月3
继续阅读漏洞预警 | Netis Wifi路由器信息泄露漏洞
漏洞预警 | Netis Wifi路由器信息泄露漏洞 浅安 浅安安全 2025-01-17 00:03 0x00 漏洞编号 – # CVE-2024-48455 0x01 危险等级 – 高危 0x02 漏洞概述 Netis Wi-Fi路由器以其稳定的性能、易用的管理界面以及较高的性价比受到许多用户的青睐。 0x03 漏洞详情 CVE-2024-48455 漏洞类型: 信息泄
继续阅读Ivanti修复Endpoint Manager中的多个严重漏洞
Ivanti修复Endpoint Manager中的多个严重漏洞 THN 代码卫士 2025-01-16 10:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司已发布安全更新,修复了影响 Avalanche、Application Control Engine和Endpoint Manager (EPM) 中的多个漏洞,其中的四个严重漏洞可导致信息泄露。 这四个严重漏
继续阅读【漏洞通告】Ivanti Endpoint Manager多个信息泄露漏洞安全风险通告
【漏洞通告】Ivanti Endpoint Manager多个信息泄露漏洞安全风险通告 嘉诚安全 2025-01-16 07:28 漏洞背景 近日,嘉诚安全监测到Ivanti Endpoint Manager中存在多个信息泄露漏洞,漏洞编号分别为: CVE-2024-10811、CVE-2024-13161、CVE-2024-13160、CVE-2024-13159。 Ivanti Endpoin
继续阅读【风险通告】Ivanti Endpoint Manager存在路径穿越敏感信息泄露漏洞
【风险通告】Ivanti Endpoint Manager存在路径穿越敏感信息泄露漏洞 安恒研究院 安恒信息CERT 2025-01-15 11:00 漏洞概述 漏洞名称 Ivanti Endpoint Manager存在路径穿越敏感信息泄露漏洞 安恒CERT评级 1级 CVSS3.1评分 9.8 CVE编号 CVE-2024-10811 CVE-2024-13161 CVE-2024-13160
继续阅读Ivanti VPN 零日漏洞遭攻击,敏感信息面临风险!
Ivanti VPN 零日漏洞遭攻击,敏感信息面临风险! Hankzheng 技术修道场 2025-01-15 08:14 各位朋友们,速速关注!Ivanti Connect Secure VPN 设备爆出严重零日漏洞 (CVE-2025-0282),黑客已开始利用该漏洞进行攻击,并部署名为 “Dryhook” 和 “Phasejam” 的新型恶意软
继续阅读微步情报局发现Apache Linkis漏洞,再获Apache官方致谢
微步情报局发现Apache Linkis漏洞,再获Apache官方致谢 原创 微步情报局 微步在线研究响应中心 2025-01-15 08:10 漏洞概况 Apache Linkis 是一个用于大数据平台的计算中间件,旨在简化大数据任务的管理和执行。它提供了一个统一的接口,支持多种计算引擎(如 Spark、Hive、Flink 等),并帮助用户更高效地管理和调度大数据任务。 近日,Apache 官
继续阅读Ivanti Endpoint Manager 多个信息泄露漏洞安全风险通告
Ivanti Endpoint Manager 多个信息泄露漏洞安全风险通告 奇安信 CERT 2025-01-15 08:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Endpoint Manager 信息泄露漏洞 漏洞编号 CVE-2024-10811、CVE-2024-13161、CVE-2024-13160、CVE-2024-13159 公开时间
继续阅读某公交管理系统简易逻辑漏洞+SQL注入挖掘
某公交管理系统简易逻辑漏洞+SQL注入挖掘 原创 zkaq-xhys 掌控安全EDU 2025-01-15 04:03 扫码领资料 获网安教程 本文由掌控安全学院 – xhys 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 某公交管理系统挖掘 SQL注入漏洞 前台通过给的账号密码,进去 按顺序依次点击1、2、3走一遍功能点,然后开
继续阅读GiveWP 插件发现严重安全漏洞,影响超 100,000 活跃安装
GiveWP 插件发现严重安全漏洞,影响超 100,000 活跃安装 中泊研团队 中泊研安全应急响应中心 2025-01-15 02:01 近日,在 GiveWP 插件中发现了一个严重漏洞,该插件是 WordPress 使用最广泛的在线捐赠和筹款工具之一。该漏洞被跟踪为 CVE-2025-22777,CVSS 评分为9.8的严重级别 ,可能被攻击者利用以远程控制目标网站。这一事件牵涉到超过 100
继续阅读微软1月补丁日多个产品安全漏洞风险通告:3个在野利用、12个紧急漏洞
微软1月补丁日多个产品安全漏洞风险通告:3个在野利用、12个紧急漏洞 奇安信 CERT 2025-01-15 01:25 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年1月补丁日多个产品安全漏洞 影响产品 Windows 远程桌面服务、Windows Hyper-V、Windows OLE等。 公开时间 2025-01-15 影响对象数量级 千万级 奇安信评级
继续阅读震惊!OA 系统漏洞竟让 1400 多名学生敏感信息“裸奔”
震惊!OA 系统漏洞竟让 1400 多名学生敏感信息“裸奔” 原创 繁星01 安全君呀 2025-01-15 01:06 点击上方蓝色文字关注↑↑↑↑↑ 将 安全君呀 设为”星标⭐️” 第一时间收到文章更新 声明: 安全君呀 公众号文章中的技术只做研究之用,禁止用来从事非法用途,如有使用文章中的技术从事非法活动,一切后果由使用者自负,与本公众号无关。 文章声明:本篇文章内容
继续阅读Google OAuth 漏洞使攻击者可以访问废弃的帐户
Google OAuth 漏洞使攻击者可以访问废弃的帐户 会杀毒的单反狗 军哥网络安全读报 2025-01-15 01:01 导读 研究人员发现谷歌“Sign in with Google”身份验证流程中的“缺陷”,该缺陷利用域名所有权的怪癖来访问敏感数据。 Truffle Security 联合创始人兼首席执行官 Dylan Ayrey在周一的一份报告中表示: “谷歌的OAuth登录无法防止有人
继续阅读漏洞预警 | WordPress Plugin Hurrakify SSRF漏洞
漏洞预警 | WordPress Plugin Hurrakify SSRF漏洞 浅安 浅安安全 2025-01-15 00:00 0x00 漏洞编号 – # CVE-2024-54330 0x01 危险等级 – 高危 0x02 漏洞概述 Hurrakify是一个专为WordPress平台设计的插件,旨在增强网站的社交分享功能和用户交互体验。 0x03 漏洞详情 CVE-2
继续阅读网络渗透“大杀器”:Cobalt Strike实操全揭秘
网络渗透“大杀器”:Cobalt Strike实操全揭秘 原创 sky 泷羽Sec-sky 2025-01-14 16:32 免责声明: 该文章所涉及到的安全工具和技术仅做分享和技术交流学习使用,使用时应当遵守国家法律,做一位合格的白帽专家。 使用本工具的用户需要自行承担任何风险和不确定因素,如有人利用工具做任何后果均由使用者承担,本人及文章作者还有泷羽sec团队不承担任何责任 如本文章侵权,请联
继续阅读信息安全漏洞周报(2025年第2期)
信息安全漏洞周报(2025年第2期) 原创 CNNVD CNNVD安全动态 2025-01-14 11:28 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月6日至2025年1月12日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1045个。 接报漏洞情况 本周CNNVD接报漏洞10936个,其中信息技术产品漏洞(通用型漏洞)28
继续阅读上周关注度较高的产品安全漏洞(20250106-20250112)
上周关注度较高的产品安全漏洞(20250106-20250112) 国家互联网应急中心CNCERT 2025-01-14 08:15 一、境外厂商产品漏洞 1、Fortinet FortiEDR访问控制错误漏洞(CNVD-2025-00410)**** Fortinet FortiEDR是美国飞塔(Fortinet)公司的一个从头开始构建的端点安全解决方案。Fortinet FortiEDR存在访
继续阅读无独有偶,通过.NET反序列化漏洞实现 Visual Studio 钓鱼攻击
无独有偶,通过.NET反序列化漏洞实现 Visual Studio 钓鱼攻击 原创 专攻.NET安全的 dotNet安全矩阵 2025-01-14 00:39 近期,网络安全从业人员间流传着一个引起广泛关注的事件:某提权工具被植入后门,导致工具使用者的身份信息和敏感数据遭到泄露。根据现有的信息,初步判断此次攻击背后可能是东南亚某APT组织——海莲花(Lotus Blossom)所为。 Visual
继续阅读一次敏感信息泄露引发的逻辑漏洞挖掘
一次敏感信息泄露引发的逻辑漏洞挖掘 菜狗 富贵安全 2025-01-13 01:18 根据手头上的信息,最大化的利用,一次简单的漏洞挖掘,感觉过程很有意思分享一下~ 0x01初始 收集子域,也是渗透的初始。这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面,深入然后发现很多的敏感信息。也是从其中的一处敏感泄露,引发了众多漏洞的挖掘。整个测试其实就花了半个小时不到。
继续阅读漏洞预警 | 快云服务器助手任意文件读取漏洞
漏洞预警 | 快云服务器助手任意文件读取漏洞 浅安 浅安安全 2025-01-13 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 快云服务器助手是一款针对云计算环境下的服务器管理与监控工具,旨在帮助企业用户更加便捷、高效地管理其云服务器。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: 快云服务器
继续阅读漏洞预警 | 圣乔ERP系统任意文件读取漏洞
漏洞预警 | 圣乔ERP系统任意文件读取漏洞 浅安 浅安安全 2025-01-13 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 互慧急诊综合管理平台是用于管理门诊急诊病人的系统,主要包括门诊急诊业务和急诊物资管理两部分。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 窃取敏感信息 简述: 互慧急诊综合管理平台的/d
继续阅读5G+AI+信创,深度揭秘智慧矿山工业控制网络构建之道
5G+AI+信创,深度揭秘智慧矿山工业控制网络构建之道 原创 产品与解决方案部 威努特安全网络 2025-01-13 00:00 01 前 言 依据《关于加快煤矿智能化发展的指导意见》,按照 “智能化煤矿应建设高速高可靠的通信网络”的建设目标,实现终端机械化、系统自动化、综合智能化、管理信息化的建设方向,明确了矿井信息化建设的总体思路是,实现定位前瞻、高效实用,深度融合、标准统一,分区建设、集中
继续阅读Bp神级插件:二次开发,让API漏洞挖掘,效率倍增!
Bp神级插件:二次开发,让API漏洞挖掘,效率倍增! 原创 ZYC 无尽藏攻防实验室 2025-01-13 00:00 网络安全为人民 师傅们好👋:本公众号现在已开启对常读和星标的公众号展示大图推送,为了不错过我们的网络安全干货,请星标🌟我们。这样,您就能快速掌握最新动态,与我们共同守护网络空间!感谢您的关注和支持!💖 工具介绍 APIKit 是 APISecurity社区 发布的第一个开源项目。
继续阅读网络安全领域研究人员遭遇假PoC专项攻击
网络安全领域研究人员遭遇假PoC专项攻击 BaizeSec 白泽安全实验室 2025-01-12 15:36 一、事件概述 近期,网络安全领域接连曝出针对研究人员的假PoC(概念验证)攻击事件,引发业界高度关注。2024年12月,微软在当月的补丁星期二更新中修复了两个关键的LDAP漏洞,分别是CVE-2024-49112和CVE-2024-49113。其中,CVE-2024-49113是一个拒绝服
继续阅读2025年需要防范的五大恶意软件
2025年需要防范的五大恶意软件 跳舞的花栗鼠 FreeBuf 2025-01-12 02:01 2024年发生了多起引人注目的网络攻击,像戴尔和TicketMaster这样的大公司也都成为了数据泄露和其他基础设施攻击的受害者。到2025年,这样的趋势还将持续下去。 正所谓知己知彼百战百胜,为了能应对任何类型的恶意软件攻击,每个组织都需要提前做好功课,了解可能遇见的网络敌人。本文整理了5种常见的恶
继续阅读