漏洞预警 Optilink 管理系统 upgrade.php 任意命令执行漏洞
漏洞预警 Optilink 管理系统 upgrade.php 任意命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-11 09:18 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后
继续阅读标签: 行业
慢雾(SlowMist) 与 Web3 的香港之约圆满落幕
慢雾(SlowMist) 与 Web3 的香港之约圆满落幕 慢雾安全团队 慢雾科技 2025-04-11 07:21 2025 年香港 Web3 嘉年华如期举行,汇聚了来自全球的开发者、投资人、监管机构及技术先锋,共同探讨区块链、DeFi、加密合规、AI 与 Web3 融合等最前沿议题。本届嘉年华以四季“春、夏、秋、冬”为灵感,每个舞台都巧妙融入中华传统文化意象,象征着区块链产业的韧性与周期性,也
继续阅读[0411] 一周重点威胁情报|天际友盟情报站
[0411] 一周重点威胁情报|天际友盟情报站 天际友盟 天际友盟 2025-04-11 07:04 热点情报 微软补丁日通告:2025年4月版 Lazarus组织npm恶意软件活动再扩张 Kimsuky使用恶意软件定向渗透韩国企业 APT32利用GitHub对安全团队和企业网络发动攻击 UAC-0226组织利用GIFTEDCROOK与恶意宏实施精准攻击 APT攻击 Kimsuky组织针对韩国政府
继续阅读智能体连续发现汽车漏洞!360登Black Hat演示高危利用链
智能体连续发现汽车漏洞!360登Black Hat演示高危利用链 360数字安全 2025-04-10 18:27 近日,全球瞩目的Black Hat Asia 2025亚洲黑帽大会在新加坡隆重召开,汇聚了来自各个国家的顶级网络安全战略智库、技术学者及产业专家,分享前沿的网络安全研究和创新发展路径。 360数字安全集团漏洞研究院的安全专家受邀以《大道至简: 如何利用中间人攻击连续攻破汽车防线》为题
继续阅读【大模型与安全】第三弹:LLM与 Fuzzing 技术在漏洞挖掘中的应用
【大模型与安全】第三弹:LLM与 Fuzzing 技术在漏洞挖掘中的应用 默安玄甲实验室 2025-04-10 11:50 随着大语言模型(下统称LLM)的兴起,其在软件安全测试领域的应用前景备受瞩目。传统模糊测试(下统称Fuzzing)依赖人工编写测试用例和规则,这种方法不仅耗时费力,还难以覆盖复杂的输入空间。而LLM凭借其强大的生成能力,擅长解决传统上需要大量人工才能完成的重复任务,这为Fuz
继续阅读利用 CVE-2025-29824 CLFS 零日漏洞可导致勒索软件活动
利用 CVE-2025-29824 CLFS 零日漏洞可导致勒索软件活动 原创 0x6270 0x6270安全团队 2025-04-09 21:00 Microsoft 威胁情报中心 (MSTIC) 和 Microsoft 安全响应中心 (MSRC) 发现,在入侵后利用 Windows 通用日志文件系统 (CLFS) 中的零日特权提升漏洞攻击少数目标。目标包括美国信息技术 (IT) 和房地产行业的
继续阅读国家级黑客瞄准公用事业基础设施,致命漏洞潜伏70%水系统
国家级黑客瞄准公用事业基础设施,致命漏洞潜伏70%水系统 安全客 2025-04-09 16:41 近年来,黑客将攻击重点转向了水、能源和医疗保健系统等基本公用事业。据Semperis数据显示,过去一年62%的公用事业运营商遭受过网络攻击 ,其中80%遭遇多次攻击,更有54%的运营商面临数据与系统永久损坏的严重后果。 公用事业网络攻击态势加剧 黑客组织对水务、电力等关键基础设施的高频攻击,暴露出三
继续阅读专家观点丨油气管网工控漏洞识别技术发展态势分析
专家观点丨油气管网工控漏洞识别技术发展态势分析 原创 王天宇等 工业安全产业联盟平台 2025-04-07 20:54 ★ 中国科学院沈阳自动化研究所 王天宇 ★ 沈阳职业技术学院 赵娇 ★ 国家机器人创新中心 王铭浩 ★ 中国科学院沈阳自动化研究所 张博文 摘要: 随着工业自动化和信息化技术的飞速发展,油气管网工控系统已经成为实现管网自动化、智能化管理的核心支撑。然而,随着网络技术的广泛
继续阅读突破 .NET 身份认证,上传定制化 web.config 实现RCE
突破 .NET 身份认证,上传定制化 web.config 实现RCE 原创 专攻.NET安全的 dotNet安全矩阵 2025-04-05 09:00 在 .NET Web 应用程序中,web.config 文件是一个重要的配置文件,负责管理网站的访问控制、身份认证及应用程序设置。攻击者如果能上传特制的 web.config 文件,就有可能绕过身份认证机制,甚至执行恶意代码。 01. 工具基
继续阅读CISO 视角下的十大漏洞管理最佳实践
CISO 视角下的十大漏洞管理最佳实践 FreeBuf 2025-04-04 18:07 2003年我在芝加哥某行业会议上首次进行网络安全演讲时,曾重点讨论当时肆虐的蠕虫病毒(如冲击波、SQL Slammer等),并向听众强调漏洞与补丁管理的重要性。问答环节中,一位听众的提问直指核心:”我们随时面临数千个漏洞,该如何确定修复优先级?” 当时我给出的”根据已知威胁
继续阅读【漏洞速递】Zabbix API SQL注入漏洞(CVE-2024-36465)
【漏洞速递】Zabbix API SQL注入漏洞(CVE-2024-36465) 安全狐 2025-04-03 22:56 漏洞背景 Zabbix是一款开源的网络监控和报警系统,广泛应用于监视网络设备、服务器和应用程序的性能和可用性。近日,官方披露了Zabbix API中存在的一个SQL注入漏洞(CVE-2024-36465),该漏洞允许低权限用户通过API执行任意SQL命令,可能导致数据泄露或系
继续阅读漏扫设备误报漏洞处理;数据安全事件中的 “开盒” 防护| FB甲方群话题讨论
漏扫设备误报漏洞处理;数据安全事件中的 “开盒” 防护| FB甲方群话题讨论 FreeBuf 2025-04-03 19:24 各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第252期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 话题抢先看 1、漏扫设备会将一些的特殊漏洞也写到报告之中
继续阅读2025攻防演练必看:千起实战案例、600+历年漏洞汇编!
2025攻防演练必看:千起实战案例、600+历年漏洞汇编! 360数字安全 2025-04-02 18:02 随着国家攻防演练行动进入实战化深水区,攻击方技术手段持续升级,传统基于漏洞评分的”打补丁式防御”已难以应对复杂攻击链威胁。在2025攻防演练即将开启之际,360漏洞云基于对2023-2024年1372起真实攻防案例 的深度分析,发布《2025攻防演练必修漏洞合集》
继续阅读【SRC实战】支付逻辑漏洞挖掘
【SRC实战】支付逻辑漏洞挖掘 小安 迪哥讲事 2025-04-01 23:07 前言 记录一次支付逻辑漏洞挖掘,这个支付漏洞很细,能挖出来需要十分细心和耐心,一点点看数据包,不然真的非常容易漏下,实际上这个漏洞的出现就是由于在确定订单价格时,后端数据校验缺失导致的。 这是一个新能源汽车充电小程序,出现问题的功能时购买电池的功能点,一开始选择购电,可以选择购买30度,50度,80度。不同电量对应了
继续阅读【安全圈】Ubuntu曝高危权限提升漏洞 三大绕过机制威胁Linux系统安全
【安全圈】Ubuntu曝高危权限提升漏洞 三大绕过机制威胁Linux系统安全 安全圈 2025-04-01 19:01 关键词 安全漏洞 网络安全研究人员近期发现Ubuntu Linux系统存在三项严重安全缺陷,可允许本地攻击者绕过系统防护机制,利用内核漏洞提升权限。该漏洞主要影响Ubuntu 23.10和24.04 LTS版本中基于AppArmor的用户命名空间限制功能。 三大核心技术绕过方式:
继续阅读Ubuntu安全限制遭突破:攻击者可利用内核漏洞提权
Ubuntu安全限制遭突破:攻击者可利用内核漏洞提权 FreeBuf 2025-04-01 18:15 Ubuntu Linux 系统中存在三处关键安全限制绕过漏洞,允许本地攻击者提升权限并利用内核漏洞。这些漏洞影响 Ubuntu 23.10 和 24.04 LTS 系统,这些系统原本通过基于 AppArmor 的防护机制来限制命名空间滥用。 虽然这些漏洞本身无法直接获取完整的系统控制权,但当与需
继续阅读新发现的Ubuntu安全绕过漏洞使攻击者可利用内核漏洞
新发现的Ubuntu安全绕过漏洞使攻击者可利用内核漏洞 邑安科技 邑安全 2025-04-01 17:23 更多全球网络安全资讯尽在邑安全 Ubuntu Linux权限限制遭突破:攻击者可利用三组漏洞绕过命名空间防护并提权 安全研究人员发现Ubuntu Linux系统中存在三组关键安全绕过漏洞,允许本地攻击者突破非特权用户命名空间限制,实现权限提升并利用内核漏洞。这些漏洞主要影响以下系统: • U
继续阅读每周网安资讯 (3.25-3.31)|Zte Goldendb存在特权管理不恰当漏洞
每周网安资讯 (3.25-3.31)|Zte Goldendb存在特权管理不恰当漏洞 交大捷普 2025-03-31 18:15 2024[ 每周网安资讯 ]3.25-3.31 网安资讯 1、国家密码管理局就《电子认证服务使用密码管理办法(征求意见稿)》公开征求意见 为了规范电子认证服务使用密码行为,保障电子认证服务使用密码安全,根据《中华人民共和国电子签名法》、《中华人民共和国密码法》和《商用密
继续阅读汽车.工控和物联网行业的.0Day.漏洞主动挖掘技术
汽车.工控和物联网行业的.0Day.漏洞主动挖掘技术 GRCC IoVSecurity 2025-03-30 20:06 点击上方 蓝色字体 ,关注我们 / 汽车网络信息安全技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全技术交流群 ,与专业人士交流探讨行业发展动态! 相关文章 《工业控制系统安全指南》NIST SP800-82 汽车行业工业 物联
继续阅读Solr服务器上的“花式”远程代码执行(RCE)
Solr服务器上的“花式”远程代码执行(RCE) adbc 山石网科安全技术研究院 2025-03-30 09:00 从盲SSRF到RCE:如何在Solr服务器上实现数据篡改和代码执行! 在网络安全的世界里,漏洞的发现和利用往往充满了曲折和惊喜。今天,我们要分享的是一次极具挑战性的漏洞挖掘经历——如何在一个看似普通的Solr服务器上,通过一系列复杂的操作,最终实现远程代码执行(RCE)。 这个漏洞
继续阅读CVE-2025-24016漏洞对Wazuh平台的潜在威胁
CVE-2025-24016漏洞对Wazuh平台的潜在威胁 原创 メ念灬蜘蛛 山石网科安全技术研究院 2025-03-29 09:00 立即行动!保护您的Wazuh服务器免受远程代码执行攻击! 近日,Wazuh平台曝出一个严重安全漏洞(CVE-2025-24016),评分高达9.9,可能允许攻击者远程执行代码,控制您的服务器。这一漏洞影响Wazuh Manager4.4.0至4.9.0版本,威胁级
继续阅读逆变器僵尸网络?全球三大光伏逆变器产品曝出数十个严重漏洞
逆变器僵尸网络?全球三大光伏逆变器产品曝出数十个严重漏洞 网络安全与人工智能研究中心 2025-03-28 19:30 近日,网络安全公司Forescout旗下研究机构Vedere Labs发布了一份重磅报告,披露了全球三大领先太阳能逆变器制造商——尚德(Sungrow)、固德威(Growatt)和SMA的产品中存在多达46个安全漏洞。 这些漏洞可能被攻击者利用,远程控制设备或在厂商的云平台上执行
继续阅读重大工控漏洞曝光,工业网络安全如何保障?
重大工控漏洞曝光,工业网络安全如何保障? 原创 自主研发技术驱动 珞安科技 2025-03-28 18:04 1 重大工控漏洞危及企业生产安全 近日,据国内网络安全权威媒体报道,瑞士安全公司PRODAFT公开了两项影响mySCADA myPRO系统的高危漏洞,即CVE-2025-20014和CVE-2025-20061的详细信息,并向工业企业提供了实用的防护建议。 报道显示,CVE-2025-20
继续阅读安全内参|面向漏洞编程:如何让AI编程助手生成带后门的代码
安全内参|面向漏洞编程:如何让AI编程助手生成带后门的代码 安全内参编译 上汽集团网络安全应急响应中心 2025-03-28 18:01 文章来 源 : 安全内参 研究人员发现,通过在AI编程助手的规则文件中植入不良内容,来诱导Cursor或GitHub Copilot生成不安全的代码,攻击者可以通过在论坛或GitHub分享包含规则文件的代码库来实施软件供应链攻击。 前情回顾·大模型安全动态 &#
继续阅读OpenAI 漏洞赏金计划将最高奖励提高至 10 万美元
OpenAI 漏洞赏金计划将最高奖励提高至 10 万美元 数世咨询 2025-03-28 16:00 OpenAI 正在通过大幅增加漏洞赏金计划和新的 AI 安全研究补助金来优先考虑安全性。了解他们如何与研究人员和专家合作,以保护他们的 AI 平台免受新兴威胁。 01 洞赏金计划改革,大幅提升奖金 OpenAI在其最 新博客文章 中公布了一系列新的网络安全举措,标志着其大胆推进通用人工智能 (AG
继续阅读小红书被曝高频获取用户信息,官方回应;Google Chrome零日漏洞已被在野利用,无需用户交互即可绕过沙盒保护 | 牛览
小红书被曝高频获取用户信息,官方回应;Google Chrome零日漏洞已被在野利用,无需用户交互即可绕过沙盒保护 | 牛览 安全牛 2025-03-27 18:08 新闻速览 •小红书被曝高频获取用户信息,官方回应 •冒充客服窃取2.43亿美元,加密货币盗窃案主犯Wiz落网 •夸大网络安全评分,美国国防承包商付出460万美元代价 •黑客利用电子犯罪工具Atlantis AIO对140多个平台进行
继续阅读CVE-2025-0927:Linux 内核 hfsplus slab 越界写入分析(EXP)
CVE-2025-0927:Linux 内核 hfsplus slab 越界写入分析(EXP) Ots安全 2025-03-25 20:24 概括 此公告描述了 Linux 内核中的一个越界写入漏洞,该漏洞可在 Ubuntu 22.04 上针对活跃用户会话实现本地权限提升。 信用 与 SSD Secure Disclosure 合作的独立安全研究员。 供应商回应 Ubuntu 发布了以下公告和修复
继续阅读Kubernetes惊现“入口噩梦”:Ingress NGINX高危漏洞可致集群全面沦陷
Kubernetes惊现“入口噩梦”:Ingress NGINX高危漏洞可致集群全面沦陷 原创 网空闲话 网空闲话plus 2025-03-25 17:23 2025年3月24日Wiz博客披露,Kubernetes的Ingress NGINX Controller被发现存在一系列名为“IngressNightmare”的远程代码执行(RCE)漏洞,具体包括 CVE-2025-1097、CVE-20
继续阅读上周关注度较高的产品安全漏洞(20250317-20250323)
上周关注度较高的产品安全漏洞(20250317-20250323) 原创 CNVD CNVD漏洞平台 2025-03-24 18:31 一、境外厂商产品漏洞 1、Adobe InDesign堆缓冲区溢出漏洞(CNVD-2025-05246) Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe InDesign存在堆缓冲区溢出漏洞,攻击者可利用该漏洞在当前用
继续阅读