政府邮箱被利用XSS漏洞入侵;2024年微软披露漏洞增长11%
政府邮箱被利用XSS漏洞入侵;2024年微软披露漏洞增长11% 计算机与网络安全 2025-05-18 09:57 1 政府邮箱被利用XSS漏洞入侵 近日,安全研究人员披露,一个名为“RoundPress” 的全球网络间谍活动正在持续展开,攻击者通过 Webmail 服务中的数个XSS漏洞,对全球多国政府和关键机构发起邮件窃密攻击。该行动被认为与黑客组织 APT28(又称“Fancy Bear”或
继续阅读标签: 权限绕过
攻防实战之若依(RuoYi)框架漏洞战争手册
攻防实战之若依(RuoYi)框架漏洞战争手册 Locks_ Z2O安全攻防 2025-05-17 14:00 当你在用若依时,黑客已经在用Shiro默认密钥弹你的Shell;当你还在纠结分页查询,攻击者已通过SQL注入接管数据库;而你以为安全的定时任务,不过是他们拿捏服务器的玩具。这份手册,带你用渗透的视角,解剖若依的每一处致命弱点——因为真正的安全,始于知晓如何毁灭它。 0x00 前言 简介 R
继续阅读2025年Linux内核补丁管理:漏洞防御新策略
2025年Linux内核补丁管理:漏洞防御新策略 FreeBuf 2025-05-17 10:01 随着Linux内核持续支撑从云基础设施到嵌入式设备的各类系统,其安全性始终至关重要。2025年,补丁策略面临前所未有的挑战:自2024年以来CVE漏洞数量同比增长3529%,针对虚拟化子系统的复杂利用技术层出不穷,能够绕过传统安全模块的内核级攻击日益猖獗。本文将探讨企业如何调整补丁管理实践以应对这些
继续阅读微软2025年5月份于周二补丁日针对78漏洞发布安全补丁
微软2025年5月份于周二补丁日针对78漏洞发布安全补丁 何威风 祺印说信安 2025-05-17 06:08 微软周二发布了修复程序,修复了其软件系列中总共78 个安全漏洞,其中包括五个已被广泛利用的零日漏洞。 这家科技巨头已解决的 78 个漏洞中,11 个被评为“严重”,66 个被评为“重要”,1 个被评为“低”。其中 28 个漏洞可导致远程代码执行,21 个漏洞为权限提升漏洞,另有 16 个
继续阅读【漏洞预警】Apache IoTDB 远程代码执行漏洞(CVE-2024-24780)
【漏洞预警】Apache IoTDB 远程代码执行漏洞(CVE-2024-24780) 原创 聚焦网络安全情报 安全聚 2025-05-16 12:01 严 重 公 告 近日,安全聚实验室监测到 Apache IoTDB 存在远程代码执行漏洞 ,编号为:CVE-2024-24780,CVSS:9.8 具有创建 UDF 权限的攻击者可以通过提交恶意构造的不可信URI,在系统中注册并加载任意代码逻辑
继续阅读【安全圈】网络安全事件周报:勒索组织与国家级黑客同时盯上SAP漏洞
【安全圈】网络安全事件周报:勒索组织与国家级黑客同时盯上SAP漏洞 安全圈 2025-05-16 11:01 关键词 安全漏洞 本周全球网络安全态势依旧紧张,多个关键漏洞正被黑客组织大规模利用。其中,SAP NetWeaver系统的重大漏洞(CVE-2025-31324)不仅吸引了RansomEXX、BianLian等知名勒索软件团伙,还被与中国有关的黑客组织Chaya_004持续攻击。该漏洞允许
继续阅读2025微软漏洞报告:数量再创纪录,应对更复杂
2025微软漏洞报告:数量再创纪录,应对更复杂 Morey J. Haber 虎符智库 2025-05-16 10:08 本文 4165 字 阅读约需 12 分钟 《微软漏洞报告》(简称《报告》)一直是评估软件生态系统安全性的重要晴雨表。近年来,《报告》显示“身份”已成为攻击链的核心部分,现代的入侵行动常常要结合传统漏洞和基于凭证的攻击路径。 企业、政府机构和关键基础设施日常运营都会遇到微软
继续阅读Jenkins 插件漏洞暴露严重风险:CVE-2025-47889 漏洞 CVSS 评分达 9.8,存在身份验证绕过漏洞
Jenkins 插件漏洞暴露严重风险:CVE-2025-47889 漏洞 CVSS 评分达 9.8,存在身份验证绕过漏洞 Ots安全 2025-05-16 06:41 Jenkins 是一款流行的开源自动化服务器,是许多开发和运营团队的关键工具。最近的一份安全公告指出,Jenkins 插件中存在多个严重漏洞,对 Jenkins 安装构成重大风险。 CVE-2025-47884:通过 OpenID
继续阅读PHPRCE-永恒之蓝-防火墙上线-密码喷射-DC域控提权-weblogic
PHPRCE-永恒之蓝-防火墙上线-密码喷射-DC域控提权-weblogic 网络安全者 2025-05-16 01:25 引言 近期利用闲暇时间,我对小迪老师提供的靶场环境进行了全面的渗透测试实战演练。本次记录旨在详细还原整个渗透过程,包括环境搭建、信息收集、漏洞利用、权限提升及内网横向移动等关键环节,以期巩固所学知识并提升实战技能。 环境搭建 项目下载: 链接: https://pan.bai
继续阅读CVE-2025-30406 CentreStack ViewState 反序列化漏洞分析
CVE-2025-30406 CentreStack ViewState 反序列化漏洞分析 原创 llp 源影安全团队 2025-05-15 11:10 漏洞信息 漏洞名称:CVE-2025-30406 CentreStack ViewState 反序列化漏洞 漏洞原理:CentreStack 存在硬编码的 machineKey, 导致 ViewState 反序列化漏洞。 影响产品:Gladine
继续阅读【漏洞预警】Node.js 异步加密错误处理不当漏洞(CVE-2025-23166)
【漏洞预警】Node.js 异步加密错误处理不当漏洞(CVE-2025-23166) 原创 聚焦网络安全情报 安全聚 2025-05-15 10:00 中 危 公 告 近日,安全聚实验室监测到 Node.js 存在异步加密错误处理不当漏洞 ,编号为:CVE-2025-23166,CVSS:5.3 攻击者可以通过构造特定的异常输入,导致 Node.js 进程崩溃。 01 漏洞描述 VULNERAB
继续阅读2025攻防演练必修组件漏洞
2025攻防演练必修组件漏洞 骇极安全 骇极安全 2025-05-15 08:59 2025年度的各类攻防大赛即将开启,在如今的网络世界里,每一次攻防演练都是一场没有硝烟的战争!看似坚不可摧的系统防线,实则暗藏致命缺口。而在现实世界里,网络攻防演练已成为检验企业安全体系实战能力的关键。攻击者正通过漏洞组合利用、社会工程学及自动化工具,突破传统防御壁垒,构建多维度攻击链。尤其在开发中广泛使用的组件(
继续阅读微软2025年5月补丁日重点漏洞安全预警
微软2025年5月补丁日重点漏洞安全预警 原创 NEURON 山石网科安全技术研究院 2025-05-15 08:31 微软官方发布5月安全更新 请及时安装补丁修复 补丁概述 2025年5月13日,微软官方发布了5月安全更新,针对78个Microsoft CVE和5个non-Microsoft CVE进行修复。Microsoft CVE中,包含11个严重漏洞(Critical)、66个重要漏洞
继续阅读漏洞赏金故事 | 挖穿全球最大航空与酒店积分平台
漏洞赏金故事 | 挖穿全球最大航空与酒店积分平台 白帽子左一 白帽子左一 2025-05-15 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 引言 在2023年3月至2023年5月期间,我们在 points.com 中发现了多个安全漏洞。该平台是众多航空公司和酒店积分奖励计划的后台服务提供商。这些漏洞可能使攻击
继续阅读OttoKit插件CVSS 9.8“幽灵连接”提权漏洞(CVE-2025-27007)遭闪电利用,深度技术剖析与防御指南
OttoKit插件CVSS 9.8“幽灵连接”提权漏洞(CVE-2025-27007)遭闪电利用,深度技术剖析与防御指南 原创 Hankzheng 技术修道场 2025-05-15 03:30 一款拥有超过10万活跃安装量的知名WordPress自动化插件——OttoKit (前身为SureTriggers)——正面临一场严峻的安全风暴。该插件被曝出包括一个CVSS评分为9.8(严重级别)的权限提
继续阅读微软5月安全更新:78漏洞深度透视,5大零日实战利用链及Azure DevOps CVSS 10漏洞攻防策略
微软5月安全更新:78漏洞深度透视,5大零日实战利用链及Azure DevOps CVSS 10漏洞攻防策略 原创 Hankzheng 技术修道场 2025-05-14 23:55 核心看点 (TL;DR): 微软2025年5月补丁日修复78个漏洞,11个严重,5个零日(已被利用) 。 零日重灾区: Scripting Engine (RCE), DWM (EoP), CLFS (EoP x2)
继续阅读微软2025年5月”补丁星期二”安全更新修复了5个已被积极利用的零日漏洞
微软2025年5月”补丁星期二”安全更新修复了5个已被积极利用的零日漏洞 鹏鹏同学 黑猫安全 2025-05-14 23:00 微软”补丁星期二”安全更新修复了75个安全漏洞,涉及Windows及组件、Office及组件、.NET与Visual Studio、Azure、Nuance PowerScribe、远程桌面网关服务以及微软 Defender
继续阅读微软修复78个漏洞,5个零日漏洞被利用,Azure惊现满分漏洞
微软修复78个漏洞,5个零日漏洞被利用,Azure惊现满分漏洞 看雪学苑 看雪学苑 2025-05-14 09:59 本周二,微软发布月度安全更新,共修复78个安全漏洞,其中包含5个已被黑客组织实际利用的”零日漏洞”,以及一个影响Azure DevOps Server的CVSS满分(10分)高危漏洞。此次修复涉及Windows系统、Office套件、Azure云平台等核心产
继续阅读【风险通告】微软5月安全更新补丁和多个高危漏洞风险提示
【风险通告】微软5月安全更新补丁和多个高危漏洞风险提示 安恒研究院 安恒信息CERT 2025-05-14 09:57 漏洞公告 微软官方发布了5月安全更新公告,包含了Kernel Streaming Service Driver、Universal Print Management Service、Web Threat Defense (WTD.sys)、Microsoft Office、Win
继续阅读微软5月补丁星期二值得关注的漏洞
微软5月补丁星期二值得关注的漏洞 综合编译 代码卫士 2025-05-14 09:36 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在5月补丁星期二中共修复了75个CVE漏洞,其中12个是“严重”级别,余下的是“重要”级别。微软提到,其中5个漏洞已遭活跃利用,其它2个是公开已知的。 已遭利用的5个0day CVE-2025-30397 是位于Scripting Engine 中的内存
继续阅读3个月测一站!漏洞挖掘纯享版
3个月测一站!漏洞挖掘纯享版 蚁景网安 2025-05-14 08:30 好久前偶遇一个站点,前前后后大概挖了三个月才基本测试完毕,出了好多漏洞,也有不少高危,现在对部分高危漏洞进行总结分析。 nday进后台: 开局一个登录框: 通过熊猫头插件提取接口,并结合js分析,跑遍了提取到的路径也没有结果。尝试弱口令登录,但是由于连用户名提示都没有,也以失败告终。最后根据页面title关键字搜索找到该平台
继续阅读2025年5月微软补丁日多个高危漏洞安全风险通告
2025年5月微软补丁日多个高危漏洞安全风险通告 嘉诚安全 2025-05-14 07:39 漏洞背景 近日,嘉诚安全监测到Microsoft官方发布了5月安全更新,本次更新修复了78个漏洞,涵盖权限提升、远程代码执行、安全功能绕过等多种漏洞类型。 鉴于漏洞危害较大,嘉诚安全提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。 漏洞详情 经研判以下漏洞影响较大 1、CV
继续阅读【漏洞通告】微软5月多个安全漏洞
【漏洞通告】微软5月多个安全漏洞 启明星辰安全简讯 2025-05-14 06:48 一、漏洞概述 2025年 5 月 14 日,启明星辰集团VSRC监测到微软发布了 5 月安全更新,本次更新修复了 78 个漏洞,涵盖权限提升、远程代码执行、安全功能绕过等多种漏洞类型。漏洞级别分布如下: 11 个严重级别漏洞, 66 个重要级别漏洞, 1 个 低危 级别漏洞( 漏洞 级别依据微软官方数据)。 其中
继续阅读小迪VPC1红队内网渗透靶场-PHPRCE-永恒之蓝-防火墙上线-密码喷射-DC域控提权-weblogic
小迪VPC1红队内网渗透靶场-PHPRCE-永恒之蓝-防火墙上线-密码喷射-DC域控提权-weblogic Pass_security 亿人安全 2025-05-14 03:37 原文链接:https://www.freebuf.com/articles/web/430751.html 引言 近期利用闲暇时间,我对小迪老师提供的靶场环境进行了全面的渗透测试实战演练。本次记录旨在详细还原整个渗透过程
继续阅读微软5月补丁日多个产品安全漏洞风险通告:5个在野利用、11个紧急漏洞
微软5月补丁日多个产品安全漏洞风险通告:5个在野利用、11个紧急漏洞 奇安信 CERT 2025-05-14 01:10 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年5月补丁日多个产品安全漏洞 影响产品 Windows 通用日志文件系统驱动程序、Windows 脚本引擎、Microsoft SharePoint Server等。 公开时间 2025-05-14
继续阅读苹果发布安全更新以修复iOS和macOS中的多个漏洞
苹果发布安全更新以修复iOS和macOS中的多个漏洞 鹏鹏同学 黑猫安全 2025-05-13 23:00 苹果紧急发布iOS和macOS安全更新,修复可能让攻击者仅通过打开特制图片/视频/网站就能执行恶意代码的关键漏洞: • AppleJPEG漏洞(CVE-2025-31251)——处理恶意制作的媒体文件可能导致应用意外终止或进程内存损坏 • CoreMedia漏洞(CVE-2025-31233
继续阅读GNU Screen 多漏洞曝光,本地提权与终端劫持风险浮现
GNU Screen 多漏洞曝光,本地提权与终端劫持风险浮现 FreeBuf 2025-05-13 10:16 SUSE安全团队全面审计发现,广泛使用的终端复用工具GNU Screen存在一系列严重漏洞,包括可导致本地提权至root权限的缺陷。这些问题同时影响最新的Screen 5.0.0版本和更普遍部署的Screen 4.9.x版本,具体影响范围取决于发行版配置。 尽管GNU Screen是类U
继续阅读Google因生物识别数据侵权支付创纪录13.75亿美元和解金;华硕驱动管理工具安全漏洞允许恶意网站悄然执行管理员级命令 |牛览
Google因生物识别数据侵权支付创纪录13.75亿美元和解金;华硕驱动管理工具安全漏洞允许恶意网站悄然执行管理员级命令 |牛览 安全牛 2025-05-13 08:30 新闻速览 •Google因生物识别数据侵权支付创纪录13.75亿美元和解金 •涉嫌暗中收集儿童用户数据,Roblox面临侵犯隐私集体诉讼 •网络攻击手法升级:FakeUpdates领跑4月全球恶意软件榜单 •美国驱逐航空公司Gl
继续阅读CNVD漏洞周报2025年第17期
CNVD漏洞周报2025年第17期 原创 CNVD CNVD漏洞平台 2025-05-12 09:38 2 0 2 5 年 0 4 月 28 日 – 2 0 2 5 年 0 5 月11 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞536个,其中高危漏洞272个
继续阅读CVE-2025-29774/CVE-2025-29775: xml-crypto XML Signature Wrapping
CVE-2025-29774/CVE-2025-29775: xml-crypto XML Signature Wrapping romi0x securitainment 2025-05-10 15:20 【翻译】[하루한줄] CVE-2025-29774, CVE-2025-29775 xml-crypto의 XML Signature Wrapping 취약점 URL https://wo
继续阅读