【高危】AI大模型部署软件Ollama 未授权访问漏洞,警惕你部署的大模型被别人使用。
【高危】AI大模型部署软件Ollama 未授权访问漏洞,警惕你部署的大模型被别人使用。 原创 安全透视镜 网络安全透视镜 2025-02-13 23:10 声明 请勿利用文章内的分享的相关技术内容,从事非法活动。 该文章仅供学习用途使用。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。 一、产品描述 Ollama 是一个开
继续阅读标签: 访问控制
【安全圈】微软提高了Copilot AI漏洞赏金计划的奖励
【安全圈】微软提高了Copilot AI漏洞赏金计划的奖励 安全圈 2025-02-13 11:00 关键词 安全漏洞 微软在周末宣布,已扩大其微软副驾驶(人工智能)漏洞赏金计划,并提高了对中度严重程度漏洞的赏金金额。 为了进一步保护其副驾驶消费级产品免受攻击,这家位于雷德蒙德的公司将更广泛的副驾驶消费级产品和服务纳入了该计划的范围,其中包括适用于电报(Telegram)的副驾驶、适用于 What
继续阅读【漏洞通告】Ivanti CSA管理控制台命令注入漏洞(CVE-2024-47908)
【漏洞通告】Ivanti CSA管理控制台命令注入漏洞(CVE-2024-47908) 启明星辰安全简讯 2025-02-13 07:44 一、漏洞概述 漏洞名称 Ivanti CSA管理控制台命令注入漏洞 CVE ID CVE-2024-47908 漏洞类型 命令注入 发现时间 2025-02-13 漏洞评分 9.1 漏洞等级 严重 攻击向量 网络 所需权限 高 利用难度 低 用户交互 无
继续阅读【漏洞通告】Palo Alto Networks PAN-OS管理界面认证绕过漏洞(CVE-2025-0108)
【漏洞通告】Palo Alto Networks PAN-OS管理界面认证绕过漏洞(CVE-2025-0108) 启明星辰安全简讯 2025-02-13 07:44 一、漏洞概述 漏洞名称 Palo Alto Networks PAN-OS管理界面认证绕过漏洞 CVE ID CVE-2025-0108 漏洞类型 认证绕过 发现时间 2025-02-13 漏洞评分 8.8 漏洞等级 高危 攻击向
继续阅读【漏洞通告】IBM Security Verify Directory命令执行漏洞安全风险通告
【漏洞通告】IBM Security Verify Directory命令执行漏洞安全风险通告 嘉诚安全 2025-02-13 00:29 漏洞背景 近日,嘉诚安全监测到IBM Security Verify Directory命令执行漏洞,漏洞编号为: CVE-2024-51450。 IBM Security Verify Directory是一款企业级身份和访问管理解决方案,提供安全的用户身份
继续阅读【漏洞通告】Trimble Cityworks反序列化漏洞安全风险通告
【漏洞通告】Trimble Cityworks反序列化漏洞安全风险通告 嘉诚安全 2025-02-13 00:29 漏洞背景 近日,嘉诚安全监测到Trimble Cityworks反序列化漏洞,漏洞编号为: CVE-2025-0994。 rimble Cityworks是一款基于地理信息系统(GIS)的资产管理平台,专为公共设施管理、城市规划和基础设施维护设计。它提供全面的解决方案,帮助政府和企业
继续阅读国内外网络安全政策动态(2025年1月)
国内外网络安全政策动态(2025年1月) 网安加社区 2025-02-12 23:01 ▶︎ 1.国家互联网信息办公室发布《个人信息出境个人信息保护认证办法(征求意见稿)》 1月3日,国家互联网信息办公室发布《个人信息出境个人信息保护认证办法(征求意见稿)》。根据《意见稿》,个人信息出境个人信息保护认证,是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构,对个人信息处理
继续阅读从云服务器 SSRF 漏洞到接管你的阿里云控制台
从云服务器 SSRF 漏洞到接管你的阿里云控制台 迪哥讲事 2025-02-12 13:31 文章首发于: 火线Zone社区(https://zone.huoxian.cn/) 0x00 前言 本文将以阿里云为例,对云服务中的一些攻防手法进行演示,首先利用 Terraform 进行 ECS SSRF 漏洞环境的搭建,然后通过实例中存在的 SSRF 漏洞一步步拿下该云服务账户的所有的阿里云服务权限。
继续阅读【漏洞通告】微软2月多个安全漏洞
【漏洞通告】微软2月多个安全漏洞 启明星辰安全简讯 2025-02-12 10:30 一、漏洞概述 2025年2月12日,启明星辰集团VSRC监测到微软发布了2月安全更新,本次更新修复了63个漏洞,涵盖权限提升、远程代码执行、欺骗等多种漏洞类型。漏洞级别分布如下:4个严重级别漏洞,56个重要级别漏洞,1个中危级别漏洞,2个低危级别漏洞( 漏洞 级别依据微软官方数据)。 其中, 11个漏洞被微软标记
继续阅读拿到了 SpringBoot 开发的系统,该如何代码审计分析漏洞?分享下我的一二三步的思路。
拿到了 SpringBoot 开发的系统,该如何代码审计分析漏洞?分享下我的一二三步的思路。 原创 润霖@闪石星曜 闪石星曜CyberSecurity 2025-02-12 10:19 嗨,大家好,这里是闪石星曜CyberSecurity。 众所周知,Java 语言生态在中大型企业中的使用率居高不下,可谓是如日中天,经久不衰。 使用 SpringBoot 架构来开发的 JavaWeb 系统,更是数
继续阅读信息安全漏洞周报(2025年第6期)
信息安全漏洞周报(2025年第6期) 原创 CNNVD CNNVD安全动态 2025-02-12 08:31 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年2月3日至2025年2月9日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞656个。 接报漏洞情况 本周CNNVD接报漏洞9500个,其中信息技术产品漏洞(通用型漏洞)212个,网络
继续阅读高危!Palo Alto防火墙曝供应链级漏洞,Secure Boot绕过+固件篡改风险激增
高危!Palo Alto防火墙曝供应链级漏洞,Secure Boot绕过+固件篡改风险激增 原创 Hankzheng 技术修道场 2025-02-11 23:48 导语 : 全球知名安全厂商Palo Alto Networks多款企业级防火墙被曝存在”供应链级”高危漏洞!安全团队Eclypsium研究发现,攻击者可绕过Secure Boot保护 、篡改固件植入持久化后门,P
继续阅读一个参数就能控制全站:IDOR漏洞深度剖析
一个参数就能控制全站:IDOR漏洞深度剖析 原创 VlangCN HW安全之路 2025-02-11 12:46 在网络安全领域,IDOR(不安全的直接对象引用)是一种常见但极具危害的漏洞。它的存在可能导致未经授权的数据访问 、权限提升 ,甚至可能彻底破坏应用程序的安全。对于漏洞赏金猎人和安全测试人员来说,掌握 IDOR 漏洞的检测和利用方法,既是提升技能的重要途径,也是发现高价值漏洞的利器。 今
继续阅读【漏洞通告】IBM Security Verify Directory命令执行漏洞(CVE-2024-51450)
【漏洞通告】IBM Security Verify Directory命令执行漏洞(CVE-2024-51450) 启明星辰安全简讯 2025-02-11 05:55 一、漏洞概述 漏洞名称 IBM Security Verify Directory命令执行漏洞 CVE ID CVE-2024-51450 漏洞类型 命令执行 发现时间 2025-02-11 漏洞评分 9.1 漏洞等级 严重 攻
继续阅读【漏洞通告】Trimble Cityworks反序列化漏洞(CVE-2025-0994)
【漏洞通告】Trimble Cityworks反序列化漏洞(CVE-2025-0994) 启明星辰安全简讯 2025-02-11 05:55 一、漏洞概述 漏洞名称 Trimble Cityworks反序列化漏洞 CVE ID CVE-2025-0994 漏洞类型 反序列化 发现时间 2025-02-11 漏洞评分 8.6 漏洞等级 高危 攻击向量 网络 所需权限 高 利用难度 低 用户交互
继续阅读上周关注度较高的产品安全漏洞(20250127-20250209)
上周关注度较高的产品安全漏洞(20250127-20250209) 金瀚信安 2025-02-11 03:19 一、境外厂商产品漏洞 1、Microsoft Message Queuing拒绝服务漏洞 Microsoft Message Queuing是用于实现需要高性能的异步和同步场景的解决方案。 Microsoft Message Queuing存在安全漏洞。攻击者可利用该漏洞导致系统拒绝服务
继续阅读2024年度网络安全漏洞分析报告
2024年度网络安全漏洞分析报告 计算机与网络安全 2025-02-10 23:57 资料列表: https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ 会员进群和文件下载指南 随着信息技术的广泛应用,网络攻击的手段和技术层面越来越复杂,挑战企业和个人的安全防线的同时,也对社会的安全管理和意识提出了更高的要求。漏洞是网络防御的基础,深入了解漏洞本质、追踪其演变态势并采取
继续阅读web接口漏洞 – 水平越权
web接口漏洞 – 水平越权 原创 xiaoliao1 信安一把索 2025-02-10 10:21 一 、漏洞介绍: 水平越权访问是一种“基于数据的访问控制”设计缺陷引起的漏洞。由于服务器端在接收到请求数据进行操作时没有判断数据的所属人/所属部门而导致的越权数据访问漏洞,而这种越权最容易出现的位置就是?Id=(传参值) 和 post 传参的参数中,或者存在个人信息页面,个人资料这些隐
继续阅读全年披露40000+漏洞,《2024年度网络安全漏洞分析报告》解码漏洞风险
全年披露40000+漏洞,《2024年度网络安全漏洞分析报告》解码漏洞风险 360数字安全 2025-02-10 10:04 News Today 随着信息技术的广泛应用,网络攻击的手段和技术层面越来越复杂,挑战企业和个人的安全防线的同时,也对社会的安全管理和意识提出了更高的要求。漏洞是网络防御的基础,深入了解漏洞本质、追踪其演变态势并采取相应防御措施,成为保障网络安全的关键所在。 近日,360数
继续阅读信息安全漏洞月报(2025年1月)
信息安全漏洞月报(2025年1月) 原创 CNNVD CNNVD安全动态 2025-02-10 02:31 点击蓝字 关注我们 漏洞态势**** 根据国家信息安全漏洞库(CNNVD)统计,2025年1月采集安全漏洞共4268个。 本月接报漏洞1610个,其中信息技术产品漏洞(通用型漏洞)1031个,网络信息系统漏洞(事件型漏洞)579个。漏洞平台推送漏洞33579个。 重大漏洞通报 Fortine
继续阅读DeepSeek 又被攻击,本地化部署是否安全?
DeepSeek 又被攻击,本地化部署是否安全? 原创 sanlihesec 独角鲸网络安全实验室 2025-02-09 23:30 DeepSeek 再次遭受大规模网络攻击,引发了公众对其服务稳定性和数据安全性的担忧。在这样的背景下,许多人开始探讨本地化部署 DeepSeek 是否能够有效避免安全问题。 一、DeepSeek 遭遇攻击的背景与影响 DeepSeek 作为中国新兴的 AI 平台,自
继续阅读【漏洞通告】Go Darwin 构建代码执行漏洞安全风险通告
【漏洞通告】Go Darwin 构建代码执行漏洞安全风险通告 嘉诚安全 2025-02-09 01:00 漏洞背景 近日,嘉诚安全监测到Go Darwin 构建代码执行漏洞,漏洞编号为: CVE-2025-22867。 Go(也称为 Golang)是由 Google 开发的开源编程语言,旨在提供高效、简洁和易于并发编程的功能。它具有垃圾回收、内存安全和强大的并发支持(goroutines)。Go
继续阅读信息安全漏洞周报(2025年第4期)
信息安全漏洞周报(2025年第4期) 原创 CNNVD CNNVD安全动态 2025-02-08 06:19 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月20日至2025年1月26日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞875个。 接报漏洞情况 本周CNNVD接报漏洞13934个,其中信息技术产品漏洞(通用型漏洞)27
继续阅读信息安全漏洞周报(2025年第5期)
信息安全漏洞周报(2025年第5期) 原创 CNNVD CNNVD安全动态 2025-02-08 06:19 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月27日至2025年2月2日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞750个。 接报漏洞情况 本周CNNVD接报漏洞8296个,其中信息技术产品漏洞(通用型漏洞)15个,网络信息
继续阅读从《哪吒之魔童闹海》看生物特征识别技术在网络安全中的应用
从《哪吒之魔童闹海》看生物特征识别技术在网络安全中的应用 原创 sanlihesec 独角鲸网络安全实验室 2025-02-08 03:51 大家好!今天,我想和大家聊聊一个非常有趣的话题,它源于最近大火的电影《哪吒2》。你们还记得那个情节吗?无量仙翁去天牢,结果需要扫脸才能打开门。这本来是个高科技的设定,但问题来了,之前他被哪吒和敖丙揍得很惨,脸都变形了,系统直接识别不了。没办法,只能重新录入现
继续阅读【漏洞通告】Apache James拒绝服务漏洞安全风险通告
【漏洞通告】Apache James拒绝服务漏洞安全风险通告 嘉诚安全 2025-02-08 02:59 漏洞背景 近日,嘉诚安全监测到Apache James拒绝服务漏洞,漏洞编号为: CVE-2024-37358。 Apache James(Java Apache Mail Enterprise Server)是一个开源的邮件服务器,支持SMTP、IMAP 和 POP3 协议。它基于Java开
继续阅读【漏洞通告】Apache James拒绝服务漏洞(CVE-2024-37358)
【漏洞通告】Apache James拒绝服务漏洞(CVE-2024-37358) 启明星辰安全简讯 2025-02-07 06:35 一、漏洞概述 漏洞名称 Apache James拒绝服务漏洞 CVE ID CVE-2024-37358 漏洞类型 拒绝服务 发现时间 2025-02-07 漏洞评分 8.6 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EX
继续阅读【漏洞通告】Go Darwin 构建代码执行漏洞(CVE-2025-22867)
【漏洞通告】Go Darwin 构建代码执行漏洞(CVE-2025-22867) 启明星辰安全简讯 2025-02-07 06:35 一、漏洞概述 漏洞名称 Go Darwin 构建代码执行漏洞 CVE ID CVE-2025-22867 漏洞类型 代码执行 发现时间 2025-02-07 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EX
继续阅读没想到,“漏洞”竟然比“脆弱性”小太太太太多!
没想到,“漏洞”竟然比“脆弱性”小太太太太多! 原创 晓兵Jason 锐安全 2025-02-06 14:24 本文 1665 字,阅读时长 4分钟 指给你我看到的远方,助力你走得更远 Vulnerability ,有时候翻译成“漏洞”,有时候又翻译成“脆弱性”,以至于我们很多时候,其实是分不清的。 而漏洞,有时候我们又翻译成“Weakness”,但是在专业语境里,Vulnerability更像是
继续阅读HVV实战课程与超值福利
HVV实战课程与超值福利 原创 ZPZ安全团队 ZeroPointZero安全团队 2025-02-06 10:23 P ART.01/ 课程简介 欢迎加入HVV行动实战课程,这是一门为网络安全爱好者和安全从业者量身打造的高端课程,专注于红蓝对抗技能的深入学习和实践应用。无论你是刚刚踏入网络安全领域的初学者,还是经验丰富的专业人士,这门课程都将带你深入探索网络攻防的精髓,为你提供从基础知识到高级技
继续阅读