突发!朝鲜Lazarus集团突袭韩国多行业,“同步漏洞行动”掀起网络暗战!
突发!朝鲜Lazarus集团突袭韩国多行业,“同步漏洞行动”掀起网络暗战! 原创 紫队 紫队安全研究 2025-06-03 03:59 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 在朝鲜半岛局势持续紧
继续阅读标签: 行业
高通Adreno GPU零日漏洞遭利用,全球安卓用户面临攻击风险
高通Adreno GPU零日漏洞遭利用,全球安卓用户面临攻击风险 黑白之道 2025-06-03 02:22 移动芯片制造商高通(Qualcomm)近日紧急发布安全补丁,修复其Adreno GPU驱动程序中三个正在被积极利用的关键零日漏洞(zero-day vulnerability),这些漏洞已被用于针对全球安卓用户的定向攻击。 漏洞技术细节 被标记为CVE-2025-21479和CVE-202
继续阅读Linux系统安全警报:Ubuntu和RHEL发现信息泄露漏洞,CVE-2025-4598被评为Moderate
Linux系统安全警报:Ubuntu和RHEL发现信息泄露漏洞,CVE-2025-4598被评为Moderate 知机安全 知机安全 2025-06-02 09:12 1. Ubuntu、Fedora和RHEL系统中发现两个信息泄露漏洞 信息安全专家Qualys Threat Research Unit (TRU) 发现了两个信息泄露漏洞,分别存在于Ubuntu的Apport和Fedora及RHE
继续阅读Evertz SDVN 上的远程代码执行 (CVE-2025-4009)
Evertz SDVN 上的远程代码执行 (CVE-2025-4009) Ots安全 2025-06-02 06:28 EVERTZ SDVN是一种基于IP的架构,旨在帮助广播设施、内容提供商和服务提供商构建灵活、可扩展且格式无关的基础设施。它通过软件定义网络(SDN)的理念,将视频、音频和数据的传输从传统的硬件依赖转向更灵活的IP网络。这种技术能够支持从标清(SD)、高清(HD)、3G到超高清(
继续阅读技术精华 | .NET 四种方法上传 web.config 绕过限制实现 RCE
技术精华 | .NET 四种方法上传 web.config 绕过限制实现 RCE 专攻.NET安全的 dotNet安全矩阵 2025-06-02 00:40 在 .NET Web 应用安全领域,web.config 文件不仅仅是一个普通的配置文件,还能成为攻击者绕过安全限制、执行任意代码的重要工具。本篇文章将系统性地介绍 四种 基于 web.config 绕过限制并执行代码的技术 ,结合真实案例,
继续阅读阿迪达斯曝数据泄露事件,NASA开源软件发现安全漏洞|一周特辑
阿迪达斯曝数据泄露事件,NASA开源软件发现安全漏洞|一周特辑 威努特安全网络 2025-05-30 23:59 阿迪达斯再曝数据泄露事件 第三方服务商遭黑客入侵 全球知名运动品牌阿迪达斯近日确认发生一起数据泄露事件,起因是其合作的第三方客户服务提供商遭到黑客入侵。 阿迪达斯在5月24日发布的声明中表示,他们已立即采取措施控制事态发展,并聘请顶级信息安全专家展开全面调查。初步调查显示,泄露数据主要
继续阅读GitHub MCP服务器漏洞使攻击者可访问私有代码库
GitHub MCP服务器漏洞使攻击者可访问私有代码库 网络安全与人工智能研究中心 2025-05-30 12:36 Part01 漏洞概述 GitHub广泛使用的模型上下文协议(Model Context Protocol,MCP)服务器被发现存在严重安全漏洞,攻击者可通过恶意提示注入(prompt injection)手段获取私有代码库数据。该漏洞影响所有使用GitHub MCP集成的代理系统
继续阅读荐读丨连锁反应:海上网络的安全漏洞
荐读丨连锁反应:海上网络的安全漏洞 工业安全产业联盟平台 2025-05-30 10:02 2023年5月,微软在关岛基地(美国太平洋行动的关键节点)检测到恶意软件攻击美国关键基础设施。该攻击手法简单,若未被发现,黑客可能成功篡改工具和命令。2024年初,美国对伊朗(据称)间谍船“贝沙德号”成功实施网络攻击。尽管公开信息有限,但攻击目的明确:阻止其与胡塞武装的情报共享。消息人士还透露,近期对某主要
继续阅读聊热点|国家安全部发布使用AI应用保密安全指南、OpenAI o3模型单挑Linux内核,竟揪出一个0-day高危漏洞……
聊热点|国家安全部发布使用AI应用保密安全指南、OpenAI o3模型单挑Linux内核,竟揪出一个0-day高危漏洞…… 中国电信安全 2025-05-30 08:13 01 行业动态 国家安全部发布使用AI应用保密安全指南 随着人工智能技术的迅猛发展,AI应用在文字处理、数据分析、个性化服务等领域展现了卓越的能力,前所未有地融入我们工作和生活的方方面面。需要注意的是,我们在享受技术红利之时,也
继续阅读IBM Power HMC漏洞披露:受限Shell突破与权限提升
IBM Power HMC漏洞披露:受限Shell突破与权限提升 原创 mag1c7 山石网科安全技术研究院 2025-05-30 08:01 攻击者如何利用环境变量和setuid二进制文件获取系统根权限? 在近期的红队演练中,研究人员发现了IBM硬件管理控制台(HMC)中的两个关键安全漏洞:受限Shell突破(CVE-2025-1950)和权限提升(CVE-2025-1951)[1]。这些漏洞可
继续阅读svnExploit【SVN源代码泄露全版本Dump源码工具】
svnExploit【SVN源代码泄露全版本Dump源码工具】 原创 白帽学子 白帽学子 2025-05-30 07:52 之前给某政务系统做渗透测试,发现他们把.svn文件夹直接扔在webroot下。这玩意儿就像在服务器门口放了个透明保险箱,黑客随便敲个/.svn/entries就能看到整个项目结构。这时候SvnExploit就成”开箱神器”。 记得去年某电商平台重保期间
继续阅读信息安全漏洞周报【第024期】
信息安全漏洞周报【第024期】 零零捌信安观察 银天信息 2025-05-30 07:40 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读当漏洞成为“数字战争”的弹药,谁能改写攻防规则?
当漏洞成为“数字战争”的弹药,谁能改写攻防规则? 菜鸟学信安 2025-05-30 01:03 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——用十余年攻防实战验
继续阅读AyySSHush:利用华硕已修复漏洞组建僵尸网络的间谍技术
AyySSHush:利用华硕已修复漏洞组建僵尸网络的间谍技术 会杀毒的单反狗 军哥网络安全读报 2025-05-30 01:01 导读 威胁情报公司 GreyNoise 周三揭露了一项隐形恶意软件活动,该活动自3 月中旬以来将数千个面向互联网的华硕家庭和小型办公室路由器转变为后门节点。 总部位于华盛顿的 GreyNoise 公司在与政府和行业合作伙伴协调的一份咨询报告中表示,身份不明的攻击者正在结
继续阅读Ivanti漏洞被利用进行链式攻击,英国NHS医疗数据面临风险
Ivanti漏洞被利用进行链式攻击,英国NHS医疗数据面临风险 汇能云安全 2025-05-30 01:00 5月30日,星期五,您好!中科汇能与您分享信息安全快讯: 01 威胁行为者冒充知名电子签名平台发起钓鱼攻击,窃取企业数据 网络犯罪分子正越来越多地利用电子签名平台DocuSign发起复杂的钓鱼活动,旨在窃取企业凭证和敏感数据。DocuSign拥有全球1.6亿客户,包括95%的财富500强企
继续阅读漏洞预警 | 银达汇智智慧综合管理平台SQL注入漏洞
漏洞预警 | 银达汇智智慧综合管理平台SQL注入漏洞 浅安 浅安安全 2025-05-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 银达汇智智慧综合管理平台是福建银达汇智信息科技股份有限公司推出的,融合先进信息技术,面向多行业打造的综合性管理系统,能整合门禁、考勤、消费、停车场等多场景应用,以 “一卡、一库、一网”实现
继续阅读Panalog大数据日志审计系统sprog_upstatus.php存在SQL注入漏洞
Panalog大数据日志审计系统sprog_upstatus.php存在SQL注入漏洞 HK安全小屋 2025-05-29 14:56 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: panalog为一款流量分析,日志分析管理的一
继续阅读恶意软件藏身AI模型,专门针对阿里巴巴AI实验室用户;OneDrive文件选择器漏洞让应用获取用户云存储完整访问权限 | 牛览
恶意软件藏身AI模型,专门针对阿里巴巴AI实验室用户;OneDrive文件选择器漏洞让应用获取用户云存储完整访问权限 | 牛览 安全牛 2025-05-29 10:26 新闻速览 •工信部等三部门印发《电子信息制造业数字化转型实施方案》 •恶意软件藏身AI模型,专门针对阿里巴巴AI实验室用户 •数据经纪巨头LexisNexis遭遇数据泄露,超36.4万用户敏感信息泄露 •威胁行为者冒充知名电子签名
继续阅读留言赠书 | 《攻击网络协议:协议漏洞的发现+利用+保护》免费送
留言赠书 | 《攻击网络协议:协议漏洞的发现+利用+保护》免费送 异步图书 FreeBuf 2025-05-29 10:02 关注留言丨文末赠书 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工
继续阅读创宇安全智脑 | vBulletin远程代码执行(CVE-2025-48827/CVE-2025-48828)等84个漏洞可检测
创宇安全智脑 | vBulletin远程代码执行(CVE-2025-48827/CVE-2025-48828)等84个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-05-29 08:05 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持
继续阅读微软OneDrive严重安全漏洞:OAuth权限滥用,数据泄露风险高
微软OneDrive严重安全漏洞:OAuth权限滥用,数据泄露风险高 知机安全 知机安全 2025-05-29 06:15 1. 微软OneDrive文件选择器安全漏洞:潜在数据泄露风险 微软OneDrive的文件选择器存在安全漏洞,黑客可能借此获取用户整个云端存储内容,而非仅上传的文件,该漏洞源于OAuth权限过宽和误导性的用户许可。Oasis Research Team已对此报告,并警告这可能
继续阅读NIST发布“漏洞预测指标”,大幅提升漏洞管理能力
NIST发布“漏洞预测指标”,大幅提升漏洞管理能力 GoUpSec 2025-05-29 04:11 近日,美国国家标准与技术研究院(NIST)发布了《网络安全白皮书41号》(CSWP41),提出了一种名为“可能被利用漏洞”(Likely Exploited Vulnerabilities,简称LEV)的新型安全指标,用于衡量软件和硬件漏洞被实际利用的可能性。 该指标旨在弥补现有漏洞管理工具的不足
继续阅读公安机关将公开通缉台黑客;|全球互联网因BGP协议漏洞出现大规模路由震荡;|苹果五年拦截90亿美元欺诈交易;
公安机关将公开通缉台黑客;|全球互联网因BGP协议漏洞出现大规模路由震荡;|苹果五年拦截90亿美元欺诈交易; 黑白之道 2025-05-29 01:50 公安机关将公开通缉台黑客; 5月28日,国务院台湾事务办公室举行例行新闻发布会发言人陈斌华回答记者提问时表示,近年来,在民进党当局指使下,台湾资通电军频繁对大陆网络开展网攻窃密、“台独”宣传和系统破坏等活动,对大陆网络空间安全等造成干扰,性质极其
继续阅读北京警方通报:境外黑客组织利用ComfyUI漏洞对我实施攻击 | GitHub MCP服务器漏洞使攻击者可访问私有代码库
北京警方通报:境外黑客组织利用ComfyUI漏洞对我实施攻击 | GitHub MCP服务器漏洞使攻击者可访问私有代码库 e安在线 e安在线 2025-05-29 01:15 北京警方通报:境外黑客组织利用ComfyUI漏洞对我实施攻击 目前已有境外黑客组织利用ComfyUI漏洞对我网络资产实施网络攻击,伺机窃取重要敏感数据。 ComfyUI是一款AI绘图工具,专为图像生成任务设计,通过将深度学习
继续阅读【APT与高危漏洞追踪】国家级黑客UNC5221利用Ivanti漏洞,关键基础设施安全再敲警钟
【APT与高危漏洞追踪】国家级黑客UNC5221利用Ivanti漏洞,关键基础设施安全再敲警钟 原创 Hankzheng 技术修道场 2025-05-29 00:00 国家级高级持续性威胁(APT)活动与高危漏洞的利用,持续对全球关键基础设施、政府机构和重要企业构成严峻挑战。本周,多个APT组织的活跃踪迹以及一系列关键软件的高危漏洞被披露,再次凸显了 proactive(主动)威胁情报、漏洞管理和
继续阅读AI用于软件安全和漏洞挖掘
AI用于软件安全和漏洞挖掘 GRCC IoVSecurity 2025-05-28 23:50 点击上方 蓝色字体 ,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 人工智能 和网络安全 AI in Security 人工智能 赋能安全应用
继续阅读阿迪达斯数据泄露,第三方服务商漏洞致客户信息外泄
阿迪达斯数据泄露,第三方服务商漏洞致客户信息外泄 FreeBuf FreeBuf 2025-05-28 10:07 德国运动品牌巨头阿迪达斯已确认发生重大数据泄露事件,攻击者通过入侵第三方客户服务提供商获取了客户联系信息。2025年5月23日的泄露事件导致曾与该公司客服中心互动过的消费者联系方式外泄,但密码、信用卡数据等支付相关信息未受影响。 该事件凸显了大型零售商面临的日益严峻的网络安全挑战。根
继续阅读DragonForce 勒索团伙瞄准MSP,发动供应链攻击
DragonForce 勒索团伙瞄准MSP,发动供应链攻击 Alexander Culafi 代码卫士 2025-05-28 10:04 聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多元,复
继续阅读NASA开源软件被曝存在多个安全漏洞;提示注入威胁:GitHub MCP服务器漏洞允许攻击者访问私有代码库 | 牛览
NASA开源软件被曝存在多个安全漏洞;提示注入威胁:GitHub MCP服务器漏洞允许攻击者访问私有代码库 | 牛览 安全牛 2025-05-28 09:43 新闻速览 •《喜马拉雅》《好大夫在线》等63款APP因违法违规收集使用个人信息被通报 •美国政府启动NIST国家漏洞数据库审计,解决积压问题 •伊朗黑客认罪参与RobbinHood勒索软件攻击,面临30年刑期 •GitHub成为欧洲恶意软件
继续阅读已公开漏洞的认知“真相”
已公开漏洞的认知“真相” 摄星 数世咨询 2025-05-28 08:00 当我们过于追逐未公开漏洞与0day漏洞时,却往往忽视了更危险的威胁——那些已被公开却未被认知的漏洞。实际上存在的是,已公开你所知道的,已公开你所不知道的。这种认知上的选择性的安全盲区,本质上成为数字时代的”装聋作哑”。 01 已公开编号漏洞的重叠度和差异 当前,各国网络安全政策和战略,都强调了漏洞信
继续阅读