唯德科创 IPEasy 知易通 WSFM 任意文件上传漏洞
唯德科创 IPEasy 知易通 WSFM 任意文件上传漏洞 HK安全小屋 2025-06-05 14:00 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 唯徳知识产权管理系统 /AutoUpdate/WSFM.asmx 接口存在
继续阅读标签: 漏洞
渗透测试与漏洞扫描:有什么区别?
渗透测试与漏洞扫描:有什么区别? StaticCodeAnalysis 2025-06-05 13:29 本文将为您提供信息丰富且客观的分析,对比渗透测试与漏洞扫描。这两种安全评估实践应该成为您组织网络安全战略的一部分。渗透测试,也称为 pentesting 或 pen test,是一种网络安全演习,其中安全测试专家(称为渗透测试员)通过模拟熟练的威胁行为者(这些威胁行为者决心获得 IT 系统或
继续阅读0day漏洞量产?AI Agent“生产线”曝光
0day漏洞量产?AI Agent“生产线”曝光 原创 腾讯程序员 腾讯技术工程 2025-06-05 12:30 作者:悟空团队 — 新一代 AI 代码安全捉“妖”行者(原腾讯AI安全-啄木鸟团队) 丨 导语 随着AI技术的迅猛发展,AI智能体在0day漏洞挖掘领域展现出前所未有的潜力。 本文将深入探讨AI Agent如何通过创新的多智能体协作系统,打造出高效的0day漏洞“生产线”,实现自动
继续阅读Kindeditor编辑器漏洞挖掘
Kindeditor编辑器漏洞挖掘 原创 锐鉴安全 锐鉴安全 2025-06-05 11:38 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标, 不定期有宠粉福利 在edu src信息收集完,发现某证书站的投稿模块。 点击?发现富文本编辑器的情况及版本信息。 查
继续阅读【漏洞预警】DataEase 远程代码执行漏洞(CVE-2025-49002)
【漏洞预警】DataEase 远程代码执行漏洞(CVE-2025-49002) 原创 聚焦网络安全情报 安全聚 2025-06-05 11:29 严 重 公 告 近日,安全聚实验室监测到 DataEase 存在远程代码执行漏洞 ,编号为:CVE-2025-49002,CVSS:9.8 攻击者通过H2数据库的JDBC接口利用大小写绕过安全补丁(CVE-2025-32966),导致远程代码执行。 0
继续阅读CVE-2025-49113 Roundcube Webmail反序列化漏洞分析
CVE-2025-49113 Roundcube Webmail反序列化漏洞分析 台下言书 2025-06-05 11:18 简介 Roundcube Webmail 是一款开源、基于 Web 的电子邮件客户端,旨在为用户提供简洁而强大的邮件管理工具。 影响版本 Roundcube Webmail < 1.5.10 1.6.0 ≤ Roundcube Webmail < 1.6.11
继续阅读【安全圈】在VMWare NSX中发现多个存储的XSS漏洞-立即修补
【安全圈】在VMWare NSX中发现多个存储的XSS漏洞-立即修补 安全圈 2025-06-05 11:01 关键词 安全漏洞 Broadcom发布了重要的更新,解决了VMware NSX中三个新披露的漏洞,所有这些漏洞都使用户暴露于存储跨站点脚本(XSS)攻击。这些缺陷(如CVE-2025-22243、CVE-2025-22244和CVE-2025-22245)影响了一系列VMware产品,包
继续阅读思科提醒注意严重的 ISE 和 CCP 漏洞
思科提醒注意严重的 ISE 和 CCP 漏洞 Sergiu Gatlan 代码卫士 2025-06-05 10:37 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科发布补丁,修复了位于身份服务引擎 (ISE) 和客户协作平台 (CCP) 解决方案中的、已存在公开利用代码的三个漏洞。 其中最严重的是位于思科ISE中的静态凭据漏洞CVE-2025-20286。ISE 是基于身份的策略执行软
继续阅读我不再依赖 CVE ,对漏洞管理的重新构想
我不再依赖 CVE ,对漏洞管理的重新构想 原创 刘宸宇 数世咨询 2025-06-05 10:31 疲于奔命的漏洞管理 漏洞管理的天然滞后性,加上策略和流程的延迟,让安全团队疲于奔命。在能力有限的现实下,要立即修复所有漏洞只会让团队不堪重负。我们的漏洞运营中心 (VOC) 数据集分析团队在 68,500 个客户资产中发现了 1,337,797 个安全漏洞。其中有CVE编号的 32,585 个漏洞
继续阅读超骚逻辑漏洞-滥用自动邮件回复程序访问内部工作场所
超骚逻辑漏洞-滥用自动邮件回复程序访问内部工作场所 原创 红云谈安全 红云谈安全 2025-06-05 10:24 免责声明 由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此 承担任何责任,一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢!请在授权的站点测试,遵守网络安全法! 仅供 学习使用,如
继续阅读DataEase H2数据库远程代码执行漏洞(CVE-2025-49002)
DataEase H2数据库远程代码执行漏洞(CVE-2025-49002) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-06-05 10:09 漏洞名称: DataEase H2数据库远程代码执行漏洞(CVE-2025-49002) 组件名称: DataEase 影响范围: DataEase ≤ 2.10.8 漏洞类型: 代码执行 利用条件: 1、用户认证:不需要用户认证 2、前置条件:
继续阅读更新:改造模糊测试工具 | 系统0day安全-二进制漏洞攻防(第4期)
更新:改造模糊测试工具 | 系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-06-05 09:59 更新:第六章:改造模糊测试工具 6.1 模糊测试挖掘命令注入漏洞 https://www.kanxue.com/book-193-5395.htm 6.2 模糊测试挖掘命令注入实现 https://www.kanxue.com/book-193-5420.htm 二进制漏洞,作
继续阅读CVE-2024-4956 Nexus Repository 3 路径遍历漏洞
CVE-2024-4956 Nexus Repository 3 路径遍历漏洞 海狼风暴团队 2025-06-05 09:43 漏洞简述 Nexus Repository 3 在处理用户提供的路径时存在缺陷,仅依赖 Jetty 的基础验证,未进行严格的安全检查。攻击者可构造恶意 URL 进行路径遍历,访问系统上的任意文件。 受影响版本 Nexus Repository 3.0.0 –
继续阅读谷歌披露威胁组织攻击方式:伪造Salesforce数据加载器实施钓鱼攻击
谷歌披露威胁组织攻击方式:伪造Salesforce数据加载器实施钓鱼攻击 邑安科技 邑安全 2025-06-05 09:30 更多全球网络安全资讯尽在邑安全 谷歌近日披露了一个以经济利益为动机的威胁组织UNC6040的详细情况。该组织专门通过语音钓鱼(vishing)攻击入侵企业的Salesforce系统,实施大规模数据窃取和后续勒索活动。 冒充IT支持人员的社交工程攻击 谷歌威胁情报团队追踪发现
继续阅读百万奖金池!ByteSRC全域3倍积分!单个漏洞赏金15万!
百万奖金池!ByteSRC全域3倍积分!单个漏洞赏金15万! 字节跳动安全中心 2025-06-05 09:21 互动有礼 分享本文至朋友圈/白帽社群 扫码抽奖(移动端请点击图片,左滑扫码抽奖) 选3位小伙伴送出ByteSRC定制充电宝
继续阅读【漏洞通告】DataEase远程代码执行漏洞安全风险通告
【漏洞通告】DataEase远程代码执行漏洞安全风险通告 嘉诚安全 2025-06-05 08:42 漏洞背景 近日,嘉诚安全 监测到 DataEase远程代码执行漏洞,漏洞编号为: CVE-2025-48999、CVE-2025-49001、CVE-2025-49002 。 DataEase是一款开源的数据分析平台,提供丰富的数据可视化和分析功能,帮助用户轻松地进行数据探索和决策支持。 鉴于漏洞
继续阅读【高危漏洞预警】Dataease JWT认证绕过&H2数据库远程代码执行漏洞
【高危漏洞预警】Dataease JWT认证绕过&H2数据库远程代码执行漏洞 cexlife 飓风网络安全 2025-06-05 08:22 1.Dataease JWT 认证绕过漏洞(CVE-2025-49001) 漏洞描述: DаtаEаѕе是一个开源的业务智能和数据可视化工具,它允许用户通过图形化界面对数据进行分析和展示,在版本2.10.10之前,该工具的密钥验证未能正确实施,导致
继续阅读【已复现】DataEase 远程代码执行漏洞(CVE-2025-49002、CVE-2025-49001)
【已复现】DataEase 远程代码执行漏洞(CVE-2025-49002、CVE-2025-49001) 长亭安全应急响应中心 2025-06-05 08:06 DataEase是一个开源的数据可视化分析工具。用于帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 2025年6月, 互联网 公开 披露 DataEase 存在多个高危漏洞(CVE-2025-48999、CVE-2025
继续阅读Roundcube ≤ 1.6.10 通过 PHP 对象反序列化进行身份验证后 RCE
Roundcube ≤ 1.6.10 通过 PHP 对象反序列化进行身份验证后 RCE Ots安全 2025-06-05 07:58 2025年6月5日,网络安全研究人员Kirill Firsov披露了Roundcube webmail(版本1.1.0至1.6.10)中的一个严重远程代码执行(RCE)漏洞,编号CVE-2025-49113。该漏洞源于PHP对象反序列化机制中的缺陷,存在于Round
继续阅读创宇安全智脑 | Cisco IOS XE 任意文件上传(CVE-2025-20188)等81个漏洞可检测
创宇安全智脑 | Cisco IOS XE 任意文件上传(CVE-2025-20188)等81个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-06-05 07:51 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实
继续阅读Jenkins未授权访问-命令执行漏洞复现及修复方案
Jenkins未授权访问-命令执行漏洞复现及修复方案 徐志洋 玄武盾网络技术实验室 2025-06-05 07:49 作者:徐志洋 声明: 技术仅用于学术交流,请遵守《网络安全法》,严禁将此文中工具和技术用于非法攻击测试。 一、背景 Jenkins 是一款功能强大的应用工具,支持跨平台实现项目的持续集成与持续交付。作为开源代码工具,其能够胜任各类构建任务或持续集成工作。通过集成 Jenkins,可
继续阅读CVE-2025–4123 | Grafana SSRF和账户接管漏洞分析
CVE-2025–4123 | Grafana SSRF和账户接管漏洞分析 白帽子左一 白帽子左一 2025-06-05 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 摘要 开放重定向是指当一个网页应用程序接收一个URL参数并将用户重定向到该指定URL时,未对其进行验证的情况。 /redirect?url=ht
继续阅读【已复现】DataEase 远程代码执行漏洞(CVE-2025-49001、CVE-2025-49002)安全风险通告
【已复现】DataEase 远程代码执行漏洞(CVE-2025-49001、CVE-2025-49002)安全风险通告 奇安信 CERT 2025-06-05 03:43 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 DataEase 远程代码执行漏洞 漏洞编号 CVE-2025-49001、CVE-2025-49002 公开时间 2025-06-03 影响量级 万级 奇安信
继续阅读Windows RAR/ZIP解压缩泄露NTLM哈希漏洞复现
Windows RAR/ZIP解压缩泄露NTLM哈希漏洞复现 白帽子 2025-06-05 03:39
继续阅读信息安全漏洞周报(2025年第22期)
信息安全漏洞周报(2025年第22期) 原创 CNNVD CNNVD安全动态 2025-06-05 03:39 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年5月26日至2025年6月1日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞460个。 接报漏洞情况 本周CNNVD接报漏洞7460个,其中信息技术产品漏洞(通用型漏洞)272个,网络
继续阅读微步情报局发现DataEase存在多个高危漏洞,可实现RCE
微步情报局发现DataEase存在多个高危漏洞,可实现RCE 原创 微步情报局 微步在线研究响应中心 2025-06-05 03:30 漏洞概况 DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据、洞察业务趋势,从而支持业务改进和优化。 微步情报局挖掘到DataEase 多个高危漏洞,包括CVE-2025-48999,CVE-2025-49001,CVE-2025-4900
继续阅读你的服务器在裸奔吗?高危漏洞、端口和弱口令,哪个才是压死骆驼的最后一根稻草?
你的服务器在裸奔吗?高危漏洞、端口和弱口令,哪个才是压死骆驼的最后一根稻草? 龙哥网络安全 龙哥网络安全 2025-06-05 03:00 开篇:安全这事儿,别当耳旁风 高危漏洞、高危端口、弱口令,这三个词儿,在网络安全圈里简直就是“老生常谈”。但“老生常谈”不代表不重要,相反,它们就像潜伏在你家后院的三颗定时炸弹,随时可能给你来个“惊喜”。 别以为只有黑客才会关注这些,作为一名有责任感的网管/运
继续阅读0Day漏洞曝光!多媒体综合业务显示系统面临严峻挑战
0Day漏洞曝光!多媒体综合业务显示系统面临严峻挑战 原创 禾小盾 数字人才创研院 2025-06-05 02:45 点击上方 蓝字 关注我们 BEGINNING OF SPRING 由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送文章,敬请大家动动手指设置“星标”,完成之后可以第一时间收到推送啦。 0x01 阅读须知 Reading Instruction
继续阅读WebShell 再进化:无需 cmd.exe 实现任意命令执行
WebShell 再进化:无需 cmd.exe 实现任意命令执行 原创 专攻.NET安全的 dotNet安全矩阵 2025-06-05 02:38 在红队渗透测试中,绕过安全防护机制以实现隐蔽的命令执行是关键策略之一。 传统的命令执行方式,如调用 cmd.exe ,常常被现代安全产品识别和拦截。 为应对这一挑战,Sharp4WebCmdPlus2 工具应运而生。 该工具完全不依赖 cmd.exe
继续阅读