【漏洞通告】eventfd 双重关闭(CVE-2025-0665)
【漏洞通告】eventfd 双重关闭(CVE-2025-0665) 安迈信科应急响应中心 2025-02-10 13:40 01 漏洞概况 在完成线程名称解析后关闭连接通道时,libcurl 会错误地两次关闭同一个 eventfd 文件描述符。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称eventfd 双重关闭漏洞编号CVE编号CVE-2025-0665漏洞评估披露时间2025-02-0
继续阅读标签: 行业
【漏洞通告】gzip 整数溢出(CVE-2025-0725)
【漏洞通告】gzip 整数溢出(CVE-2025-0725) 安迈信科应急响应中心 2025-02-10 13:40 01 漏洞概况 当使用libcurl通过CURLOPT_ACCEPT_ENCODING选项自动解压内容编码的HTTP响应时,如果使用zlib 1.2.0.3或更早版本,攻击者控制的整数溢出会导致libcurl发生缓冲区溢出。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称
继续阅读【漏洞通告】IBM Cloud Pak for Business Automation跨站点脚本(CVE-2024-52364)
【漏洞通告】IBM Cloud Pak for Business Automation跨站点脚本(CVE-2024-52364) 安迈信科应急响应中心 2025-02-10 13:40 01 漏洞概况 IBM Cloud Pak for Business Automation的多个版本(包括18.0.0至22.0.2)存在跨站脚本漏洞(Cross-Site Scripting)。该漏洞允许经过
继续阅读【漏洞通告】IBM Cognos Anaytics XML 外部实体注入(CVE-2024-49352)
【漏洞通告】IBM Cognos Anaytics XML 外部实体注入(CVE-2024-49352) 安迈信科应急响应中心 2025-02-10 13:40 01 漏洞概况IBM Cognos Analytics 11.2.0、11.2.1、11.2.2、11.2.3、11.2.4、12.0.0、12.0.1、12.0.2、12.0.3 和 12.0.4 版本在处理 XML 数据时存在 XML
继续阅读【漏洞通告】IBM 安全验证目录命令执行 (CVE-2024-51450)
【漏洞通告】IBM 安全验证目录命令执行 (CVE-2024-51450) 安迈信科应急响应中心 2025-02-10 13:40 01 漏洞概况IBM Security Verify Directory版本10.0.0至1.0.3存在一个漏洞,允许远程认证的攻击者通过发送精心构造的请求在系统上执行任意命令。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称IBM 安全验证目录命令执行漏洞编号CVE
继续阅读【安全圈】未修补的漫威游戏RCE漏洞可能会让黑客接管PC和PS5
【安全圈】未修补的漫威游戏RCE漏洞可能会让黑客接管PC和PS5 安全圈 2025-02-10 11:01 关键词 安全漏洞 热门网络游戏《Marvel Rivals》被发现存在一个严重的安全漏洞,这引起了人们对黑客可能利用毫无戒心的玩家进行攻击的警惕。 该漏洞被认定为远程代码执行(RCE) 漏洞,允许同一网络上的攻击者在另一个玩家的设备上运行任意代码。这一漏洞凸显了人们对游戏行业安全实践的持续担
继续阅读全年披露40000+漏洞,《2024年度网络安全漏洞分析报告》解码漏洞风险
全年披露40000+漏洞,《2024年度网络安全漏洞分析报告》解码漏洞风险 360数字安全 2025-02-10 10:04 News Today 随着信息技术的广泛应用,网络攻击的手段和技术层面越来越复杂,挑战企业和个人的安全防线的同时,也对社会的安全管理和意识提出了更高的要求。漏洞是网络防御的基础,深入了解漏洞本质、追踪其演变态势并采取相应防御措施,成为保障网络安全的关键所在。 近日,360数
继续阅读DayDayPoc-2024十大漏洞盘点
DayDayPoc-2024十大漏洞盘点 原创 烽火台实验室 Beacon Tower Lab 2025-02-10 07:53 导语 2024年转瞬即逝,DayDayPoc也已上线一年有余。这一年,DayDayPoc 平台注册人数已达1w+,已收录6000+个漏洞,作为交流与知识共享的重要阵地,我们始终坚持以漏洞研究为核心,以维护网络安全为使命。这一年,网络安全领域接连爆出了许多引人注目的漏洞。
继续阅读网络安全人速领!整理了八大方向AI提示词+思维导图
网络安全人速领!整理了八大方向AI提示词+思维导图 原创 山海关安全团队 山海之关 2025-02-10 05:11 引言 在当今数字化浪潮中,网络安全已成为各界关注的焦点。随着人工智能技术的飞速发展,AI在网络安全领域的应用越来越广泛。为了帮助大家更好地利用AI提升网络安全工作效率,我精心整理了一份网络安全行业相关的AI提示词,还配套制作了思维导图,现在就为大家详细分享。 思维导图 对思维导图各
继续阅读【2025-02-09】黑客新闻摘要——黑客新招数!利用pickle文件漏洞,Hugging Face平台被攻陷?
【2025-02-09】黑客新闻摘要——黑客新招数!利用pickle文件漏洞,Hugging Face平台被攻陷? 知机安全 知机安全 2025-02-09 10:01 1. Hugging Face冒出两份恶意机器学习模型,巧妙利用pickle文件避开检测 网络安全研究人员在Hugging Face platform上发现了两份利用奇特的“损坏”pickle文件技术的恶意机器学习模型,这种策略被
继续阅读实战如何通过Druid提升至高危漏洞
实战如何通过Druid提升至高危漏洞 实战安全研究 2025-02-09 09:06 免责声明 本公众号“猎洞时刻”旨在分享网络安全领域的相关知识,仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。 本公众号中提供的所有内容都是基于作者的经验和知识,并仅代表作者个人的观点和意见。这些观点和意见仅供参考,不构成任何形式的承诺或保证。 本公众号不对任何人因使用或依赖本公众号提供的信息、工具或技
继续阅读朗速ERP FileUploadApi.ashx 任意文件上传漏洞
朗速ERP FileUploadApi.ashx 任意文件上传漏洞 Superhero nday POC 2025-02-09 08:20 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删
继续阅读UWB技术在汽车安全中的应用
UWB技术在汽车安全中的应用 谈思实验室 2025-02-08 10:20 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 01 数字钥匙的深度剖析 随着科技的不断进步,各种技术正在悄然改变我们的日常生活。为了真正造福人类,技术不仅要简单易用,还需要具备安全性、可靠性和可信性。在这些技术中,射频(RF)技术无疑已经渗透到我们的生活中,从家家户户的Wi-Fi网络到智能手机的蜂窝通信,再到蓝牙技术
继续阅读正在报名中 | “网谷杯”信创应用软件网络安全攻防大赛
正在报名中 | “网谷杯”信创应用软件网络安全攻防大赛 赛查查 2025-02-08 09:43 赛事亮点: 专业指导:由国家计算机网络应急技术处理协调中心指导,权威认证。 实战化平台:VMCourse实践教育平台助力初赛,网络安全众测平台支撑决赛,技术资源全面开放。 国产化挑战:决赛靶标采用国产化软硬件环境,紧跟国家信创战略,挑战国产安全新高度。 顶尖团队竞技:邀请全国高等院校网络安全专业学子及
继续阅读调查显示:75%的员工被要求为网络安全漏洞“背锅”
调查显示:75%的员工被要求为网络安全漏洞“背锅” 数世咨询 2025-02-08 08:02 调查概述: 根据IT.ie和SonicWall发布的一项新研究,接近四分之三的爱尔兰办公室员工认为,企业将网络安全事件的责任归咎于员工个人。该项调查由Censuswide进行,针对1000名爱尔兰办公室工作人员展开,调查结果揭示了“责任文化”对网络安全实践的影响,突显出亟需采取策略鼓励员工更开放地报告问
继续阅读【一周安全资讯0208】国家数据局《数据领域常用名词解释 (第二批)》公开征求意见;微软 Outlook 被曝高危漏洞
【一周安全资讯0208】国家数据局《数据领域常用名词解释 (第二批)》公开征求意见;微软 Outlook 被曝高危漏洞 聚铭网络 2025-02-08 03:18 WEEKLY NEWS 每周安全资讯 新鲜资讯热点都在这里 要闻速览 1 国家数据局《数据领域常用名词解释 (第二批)》公开征求意见 2 重磅!我国启动抗量子加密算法征集活动 3 发现2650个DeepSeek山寨域名,网络安全风险警示
继续阅读.NET 通过代码审计发现 ERP 系统中两个任意文件上传漏洞
.NET 通过代码审计发现 ERP 系统中两个任意文件上传漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-08 01:35 文件上传功能是 Web 应用中非常重要且敏感的部分,如果缺乏完善的安全控制,极易成为攻击者利用的突破口。本文通过对 .NET 某 ERP 系统的两个文件上传功能进行代码审计与漏洞分析,揭示了潜在的任意文件上传风险及其危害。 01. 漏洞代码审计 在渗透测
继续阅读Google 是如何做漏洞管理的?
Google 是如何做漏洞管理的? 原创 tonghuaroot RedTeam 2025-02-07 14:35 前言 凌晨3点,又收到 200 条漏洞告警,先修哪个?修慢了被黑客利用怎么办?修错了业务挂了谁背锅? 这可能是无数企业信息安全建设者的噩梦。随着业务的不断发展变化,漏洞数量呈指数级增长,传统”救火式”漏洞应急响应早已失效。 修复漏洞的速度永远赶不上攻击者的步伐
继续阅读Zyxel多款旧DSL设备存在2个零日漏洞,无修复措施
Zyxel多款旧DSL设备存在2个零日漏洞,无修复措施 Zicheng FreeBuf 2025-02-07 11:15 Zyxel周二发布消息称,涉及多款旧DSL用户端设备(CPE)产品中的两个零日漏洞将不再提供修复措施。 此前,威胁情报公司GreyNoise曾发出警告,有1500多台设备受到一个严重的命令注入漏洞影响,而且这个漏洞正在被基于Mirai的僵尸网络大肆利用。 GreyNoise公司
继续阅读DeepSeek 相关安全事件分析报告
DeepSeek 相关安全事件分析报告 原创 DRP 鹰眼威胁情报中心 2025-02-07 10:55 一、引言 近期,DeepSeek 作为一家迅速崛起的中国 AI 公司,凭借其先进的 AI 模型吸引了全球关注。然而,随着其知名度的提升,各类安全问题也接踵而至。网络犯罪分子纷纷利用 DeepSeek 的热度,发起多种恶意攻击活动,给用户带来了极大的安全风险。本报告将对近期 DeepSeek 相
继续阅读【2025-02-07】黑客新闻摘要——“Cisco漏洞修复:Java序列化的‘坑’填平了!”
【2025-02-07】黑客新闻摘要——“Cisco漏洞修复:Java序列化的‘坑’填平了!” 知机安全 知机安全 2025-02-07 10:39 1. 2025年领导力议程中PAM的角色——网络安全转型 随着PAM(特权访问管理)在现代网络安全战略中的地位日益凸显,从技术需求转变为关键支柱,组织在该领域的投资预计到2037年将达到429.6亿美元。PAM的转型性影响不仅在于其增强安全和合规,还
继续阅读小技巧 – 文件读取漏洞原来也这么严重
小技巧 – 文件读取漏洞原来也这么严重 原创 Vipersec SecretTeam安全团队 2025-02-07 01:42 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把 SecretTeam安全团队 “设为星标 ”, 否则可能就看不到了啦! 免责声明 “本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适
继续阅读微软Sysinternals工具中的0day漏洞允许攻击者对Windows 发起 DLL 注入攻击
微软Sysinternals工具中的0day漏洞允许攻击者对Windows 发起 DLL 注入攻击 会杀毒的单反狗 军哥网络安全读报 2025-02-07 01:00 导读 几乎所有 Microsoft Sysinternals 工具中都发现一个严重的 0-Day 漏洞,这对依赖这些实用程序进行系统分析和故障排除的 IT 管理员和开发人员构成了重大风险。 该漏洞概述了攻击者如何利用DLL 注入技术
继续阅读漏洞预警 | 通达OA未授权访问漏洞
漏洞预警 | 通达OA未授权访问漏洞 浅安 浅安安全 2025-02-07 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 通达OA是一款协同办公自动化软件,由北京通达信科科技有限公司自主研发,为各行业不同规模的众多用户提供信息化管理能力。 0x03 漏洞详情 漏洞类型: 未授权访问 影响: 获取敏感信息 简述: 通达OA的/
继续阅读没想到,“漏洞”竟然比“脆弱性”小太太太太多!
没想到,“漏洞”竟然比“脆弱性”小太太太太多! 原创 晓兵Jason 锐安全 2025-02-06 14:24 本文 1665 字,阅读时长 4分钟 指给你我看到的远方,助力你走得更远 Vulnerability ,有时候翻译成“漏洞”,有时候又翻译成“脆弱性”,以至于我们很多时候,其实是分不清的。 而漏洞,有时候我们又翻译成“Weakness”,但是在专业语境里,Vulnerability更像是
继续阅读HVV实战课程与超值福利
HVV实战课程与超值福利 原创 ZPZ安全团队 ZeroPointZero安全团队 2025-02-06 10:23 P ART.01/ 课程简介 欢迎加入HVV行动实战课程,这是一门为网络安全爱好者和安全从业者量身打造的高端课程,专注于红蓝对抗技能的深入学习和实践应用。无论你是刚刚踏入网络安全领域的初学者,还是经验丰富的专业人士,这门课程都将带你深入探索网络攻防的精髓,为你提供从基础知识到高级技
继续阅读Elon Musk团队操作引发美国政府数据安全危机与网络安全漏洞担忧;2024 网安(亏损)TOP 10 | 牛览
Elon Musk团队操作引发美国政府数据安全危机与网络安全漏洞担忧;2024 网安(亏损)TOP 10 | 牛览 安全牛 2025-02-06 09:26 新闻速览 2024 网安(亏损)TOP 10 Backline利用人工智能解决企业安全积压问题 Zyxel 路由器遭受 CVE-2024-40891 攻击,确认不再提供补丁;Netgear 发布关键漏洞修复 Grubhub 因第三方服务提供商
继续阅读deepseek官方API太卡?DeepSeek本地部署+代码审计,漏洞都是捡的
deepseek官方API太卡?DeepSeek本地部署+代码审计,漏洞都是捡的 安全透视镜 网络安全透视镜 2025-02-06 03:19 废话不说,先上效果图,有图有真相。 deepseek火了之后,诞生了很多相关的行业应用场景。这两天也有人尝试使用deepseek进行代码审计。但是官方的API实在太卡。 今天就给大家分享一个可离线的代码审计工具。工具包,见文末 deepseek部署 本地d
继续阅读【安全圈】以色列间谍软件公司Paragon涉嫌利用WhatsApp零点击漏洞发动攻击
【安全圈】以色列间谍软件公司Paragon涉嫌利用WhatsApp零点击漏洞发动攻击 安全圈 2025-02-05 11:01 关键词 网络攻击 近日,WhatsApp披露了一起与以色列公司Paragon有关的针对性间谍软件攻击活动,该活动影响了包括记者和民间社会成员在内的90名用户。WhatsApp已确认直接通知了受影响的用户。 Meta旗下的即时通讯应用WhatsApp证实,其正在采取措施阻止
继续阅读以色列间谍软件公司Paragon涉嫌利用WhatsApp零点击漏洞发动攻击
以色列间谍软件公司Paragon涉嫌利用WhatsApp零点击漏洞发动攻击 邑安全 2025-02-05 02:52 更多全球网络安全资讯尽在邑安全 近日,WhatsApp披露了一起与以色列公司Paragon有关的针对性间谍软件攻击活动,该活动影响了包括记者和民间社会成员在内的90名用户。WhatsApp已确认直接通知了受影响的用户。 Meta旗下的即时通讯应用 WhatsApp证实,其正在采取措
继续阅读