上周关注度较高的产品安全漏洞(20250331-20250406)
上周关注度较高的产品安全漏洞(20250331-20250406) 原创 CNVD CNVD漏洞平台 2025-04-07 17:32 一、境外厂商产品漏洞 1、IBM Security Verify Access信息泄露漏洞(CNVD-2025-06210) IBM Security Verify Access(ISAM)是美国国际商业机器(IBM)公司的一款提高用户访问安全的服务。该服务通过使
继续阅读标签: 访问控制
漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题
漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题 黑白之道 2025-04-05 21:41 原文首发在:奇安信攻防社区 https://forum.butian.net/share/4164 以go的gin后端框架为例子,详细剖析了各种逻辑越权漏洞的成因已经对应防范手段,也为白帽子提供挖掘思路 并发漏洞 原理 例如这是一段简单的go商城的示例代码 package handlersimp
继续阅读深入Vite任意文件读取与分析复现
深入Vite任意文件读取与分析复现 船山信安 2025-04-05 15:14 Vite 任意文件读取漏洞(CVE-2025-30208) 前言 看到群里有人发了一个链接 https://github.com/ThumpBo/CVE-2025-30208-EXP 发现这个漏洞危害很大很大,而且利用起来也是非常的容易 而且资产也是比较多的 于是分析分析这个漏洞 漏洞描述 Vite 是一个现代前端构建
继续阅读突破 .NET 身份认证,上传定制化 web.config 实现RCE
突破 .NET 身份认证,上传定制化 web.config 实现RCE 原创 专攻.NET安全的 dotNet安全矩阵 2025-04-05 09:00 在 .NET Web 应用程序中,web.config 文件是一个重要的配置文件,负责管理网站的访问控制、身份认证及应用程序设置。攻击者如果能上传特制的 web.config 文件,就有可能绕过身份认证机制,甚至执行恶意代码。 01. 工具基
继续阅读【漏洞速递】Zabbix API SQL注入漏洞(CVE-2024-36465)
【漏洞速递】Zabbix API SQL注入漏洞(CVE-2024-36465) 安全狐 2025-04-03 22:56 漏洞背景 Zabbix是一款开源的网络监控和报警系统,广泛应用于监视网络设备、服务器和应用程序的性能和可用性。近日,官方披露了Zabbix API中存在的一个SQL注入漏洞(CVE-2024-36465),该漏洞允许低权限用户通过API执行任意SQL命令,可能导致数据泄露或系
继续阅读漏扫设备误报漏洞处理;数据安全事件中的 “开盒” 防护| FB甲方群话题讨论
漏扫设备误报漏洞处理;数据安全事件中的 “开盒” 防护| FB甲方群话题讨论 FreeBuf 2025-04-03 19:24 各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第252期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 话题抢先看 1、漏扫设备会将一些的特殊漏洞也写到报告之中
继续阅读【高危漏洞预警】Vite任意文件读取漏洞(CVE-2025-31125)
【高危漏洞预警】Vite任意文件读取漏洞(CVE-2025-31125) cexlife 飓风网络安全 2025-04-01 22:16 漏洞描述: Vite框架中存在访问控制不当漏洞,该漏洞源于Vite中可以通过使用?inline&import或?raw?import来越权获取非允许文件内容,攻击者可以利用该漏洞读取设备上任意文件内容,该漏洞的利用需要特定的服务器配置。官方已发布新版本修
继续阅读【处置手册】Kubernetes Ingress-nginx远程代码执行漏洞(CVE-2025-1974)
【处置手册】Kubernetes Ingress-nginx远程代码执行漏洞(CVE-2025-1974) 原创 NS-CERT 绿盟科技CERT 2025-03-31 17:11 通告编号:NS-2025-0016-1 2025-03-31 TAG: Ingress-nginx、远程代码执行、CVE-2025-1974 漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。 版本: 1.1 1 漏
继续阅读Vite 任意文件读取 CVE-2025-30208
Vite 任意文件读取 CVE-2025-30208 YuanQiu安全 2025-03-29 21:16 免责声明 由于传播、 本公众号 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任! 一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即删除并致歉,谢谢! 一、前言 1. 漏洞简介 Vite 是一个现代化的前端构建工具,旨在提供快速的开
继续阅读OLLAMA 未授权访问(CNVD-2025-04094)
OLLAMA 未授权访问(CNVD-2025-04094) Superhero Nday Poc 2025-03-29 20:29 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 Ollama是一个本
继续阅读【成功复现】Vite任意文件读取漏洞(CVE-2025-30208)
【成功复现】Vite任意文件读取漏洞(CVE-2025-30208) 原创 弥天安全实验室 弥天安全实验室 2025-03-28 20:58 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Vite是Vite开源的一种新型的前端构建工具。Vite存在访问控制错误漏洞,该漏洞源于URL中的?raw??或?imp
继续阅读重大工控漏洞曝光,工业网络安全如何保障?
重大工控漏洞曝光,工业网络安全如何保障? 原创 自主研发技术驱动 珞安科技 2025-03-28 18:04 1 重大工控漏洞危及企业生产安全 近日,据国内网络安全权威媒体报道,瑞士安全公司PRODAFT公开了两项影响mySCADA myPRO系统的高危漏洞,即CVE-2025-20014和CVE-2025-20061的详细信息,并向工业企业提供了实用的防护建议。 报道显示,CVE-2025-20
继续阅读Vite 任意文件读取漏洞(CVE-2025-30208)全网测绘分析
Vite 任意文件读取漏洞(CVE-2025-30208)全网测绘分析 360Quake空间测绘 360Quake空间测绘 2025-03-28 16:43 一、漏洞概述 CVE-2025-30208 是 Vite 开发服务器中存在的高危任意文件读取漏洞,攻击者可通过构造特定 URL 参数绕过文件访问控制机制,读取服务器上的敏感文件(如 /etc/passwd 、C:\windows\win.in
继续阅读OpenAI 漏洞赏金计划将最高奖励提高至 10 万美元
OpenAI 漏洞赏金计划将最高奖励提高至 10 万美元 数世咨询 2025-03-28 16:00 OpenAI 正在通过大幅增加漏洞赏金计划和新的 AI 安全研究补助金来优先考虑安全性。了解他们如何与研究人员和专家合作,以保护他们的 AI 平台免受新兴威胁。 01 洞赏金计划改革,大幅提升奖金 OpenAI在其最 新博客文章 中公布了一系列新的网络安全举措,标志着其大胆推进通用人工智能 (AG
继续阅读Vite存在任意文件读取漏洞CVE-2025-30208 附POC
Vite存在任意文件读取漏洞CVE-2025-30208 附POC 2025-3-27更新 南风漏洞复现文库 2025-03-27 20:43 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Vite简介 微信公众号搜索:南风漏洞复现文
继续阅读【漏洞通告】Vite 访问控制错误漏洞(CVE-2025-30208)
【漏洞通告】Vite 访问控制错误漏洞(CVE-2025-30208) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-27 17:28 漏洞名称: Vite 访问控制错误漏洞(CVE-2025-30208) 组件名称: Vite 影响范围: 6.2.0 ≤ Vite ≤ 6.2.26.1.0 ≤ Vite ≤ 6.1.16.0.0 ≤ Vite ≤ 6.0.115.0.0 ≤ Vite
继续阅读博通:注意 Vmware Windows Tools 中的认证绕过漏洞
博通:注意 Vmware Windows Tools 中的认证绕过漏洞 Sergiu Gatlan 代码卫士 2025-03-26 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 博通发布安全更新,修复了位于Windows版 Vmware Tools中的一个高危认证绕过漏洞CVE-2025-22230。 Vmware Tools 包括一系列驱动和工具,旨在提升在 Vmware 虚
继续阅读风险研究 | AI 安全警钟响起:Manus AI 漏洞暴露的背后真相
风险研究 | AI 安全警钟响起:Manus AI 漏洞暴露的背后真相 安全极客 2025-03-21 18:47 一场泄露引发的风暴 想象一下,你手中的 AI 智能助手突然暴露了自己的“内心秘密”——核心指令、运行代码,甚至可能泄露你的隐私数据。这不是科幻电影,而是刚刚发生在 Manus AI 身上的真实事件。一名用户通过简单操作,就轻松获取了这款 AI 代理的系统提示词,揭开了 AI 安全隐患
继续阅读Veeam与IBM发布备份和AIX系统高危漏洞补丁
Veeam与IBM发布备份和AIX系统高危漏洞补丁 FreeBuf 2025-03-21 18:14 Veeam近日发布了安全更新,修复了其备份与复制软件中的一个关键安全漏洞,该漏洞可能导致远程代码执行。 高风险漏洞详情 该漏洞被标记为CVE-2025-23120,CVSS评分为9.9(满分10.0),影响12.3.0.310及之前所有版本12的构建。Veeam在周三发布的公告中表示:“该漏洞允许
继续阅读SRC漏洞挖掘之未授权漏洞挖掘实战指南
SRC漏洞挖掘之未授权漏洞挖掘实战指南 原创 炽汐安全屋 炽汐安全屋 2025-03-17 20:59 在Web应用安全中,未授权访问漏洞是一个常见且危险的安全问题。它允许攻击者无需合法权限即可访问敏感数据或功能,严重威胁系统的保密性和完整性。本文将详细介绍未授权访问漏洞的基本原理、分类、挖掘方法及防御策略。一、未授权访问漏洞的基本原理未授权访问漏洞通常源于应用程序在验证用户权限时存在疏忽。攻击者
继续阅读思科修复 IOS XR 中的10个漏洞
思科修复 IOS XR 中的10个漏洞 Ionut Arghire 代码卫士 2025-03-17 19:33 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周,思科修复了IOS XR 中的10个漏洞,其中5个可用于引发拒绝服务 (DoS) 条件。 最严重的DoS 漏洞是高危的CVE-2025-20142和CVE-2025-20146,它们影响 Ipv4 访问控制列表 (ACL) 特性、
继续阅读顶流明星在澳门输了10亿?一男子用AI造谣被行拘8天;多平台SSRF漏洞遭遇协同攻击,逾400个IP同时启动 | 牛览
顶流明星在澳门输了10亿?一男子用AI造谣被行拘8天;多平台SSRF漏洞遭遇协同攻击,逾400个IP同时启动 | 牛览 安全牛 2025-03-14 16:32 新闻速览 •顶流明星在澳门输了10亿?一男子用AI造谣被行拘8天 •导致1.8万名客户数据泄露,澳大利亚FIIG因网络安全失误遭起诉 •因泄露用户信息被罚款67亿韩元,韩国法院驳回Meta上诉 •多平台SSRF漏洞遭遇协同攻击,逾400个
继续阅读Moxa 修复PT 交换机中严重的认证绕过漏洞
Moxa 修复PT 交换机中严重的认证绕过漏洞 Ravie Lakshmanan 代码卫士 2025-03-13 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Moxa 发布安全更新,修复了PT 交换机中的一个严重漏洞CVE-2024-12297,它可导致攻击者绕过认证机制。 该漏洞的CVSS v4 评分为9.2。该公司在上周发布的一份安全公告中提到,“多款 Moxa PT 交
继续阅读ruby-saml 身份认证绕过漏洞(CVE-2025-25291、CVE-2025-25292)安全风险通告
ruby-saml 身份认证绕过漏洞(CVE-2025-25291、CVE-2025-25292)安全风险通告 奇安信 CERT 2025-03-13 15:25 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 ruby-saml 身份认证绕过漏洞 漏洞编号 CVE-2025-25291、CVE-2025-25292 公开时间 2025-03-12 影响量级 十万级 奇安信评级
继续阅读360漏洞情报月报2025年02期|全网捕获4000+漏洞,整体威胁水平处于高位
360漏洞情报月报2025年02期|全网捕获4000+漏洞,整体威胁水平处于高位 360漏洞云 2025-03-12 10:39 近日,360漏洞云情报平台发布2025年2月漏洞情报月报,综合分析当月全网漏洞安全态势,人工深度研判分析重点预警漏洞,并披露多起具有战略价值的网络安全事件。本文特摘录核心内容,为政企机构提供防御参考。 月报数据显示,2025年2月全网捕获漏洞4,078例,较2024年同
继续阅读Moxa 问题修复 PT 交换机中的关键身份验证绕过漏洞
Moxa 问题修复 PT 交换机中的关键身份验证绕过漏洞 信息安全大事件 2025-03-11 20:03 台湾公司 Moxa 发布了一个安全更新,以解决影响其 PT 交换机的关键安全漏洞,该漏洞可能允许攻击者绕过身份验证保证。 该漏洞被跟踪为 CVE-2024-12297,CVSS v4 评分为 9.2 分(满分 10.0 分)。 “由于授权机制存在缺陷,多个 Moxa PT 交换机容易受到身份
继续阅读警惕!Ollama 未授权访问漏洞来袭
警惕!Ollama 未授权访问漏洞来袭 原创 骇客安全 骇客安全 2025-03-08 16:29 亲爱的读者朋友们,在当下人工智能飞速发展的时代,Ollama 作为一款颇受欢迎的开源大语言模型服务工具,为众多开发者和使用者提供了便捷的服务。然而,近期它却被曝出存在严重的未授权访问漏洞 ,这一消息犹如一颗重磅炸弹,在相关领域引起了轩然大波。 漏洞的危害 📅 昨天与 AI 讨论的职场机密 🏥 医疗模
继续阅读【已支持识别检测】Ollama配置不当未授权访问漏洞(CNVD-2025-04094)
【已支持识别检测】Ollama配置不当未授权访问漏洞(CNVD-2025-04094) 原创 NS-CERT 绿盟科技CERT 2025-03-05 17:26 通告编号:NS-2025-0010 2025-03-04 TAG: Ollama、未授权访问、CNVD-2025-04094 漏洞危害: 攻击者利用此漏洞,可实现未授权访问。 版本: 1.0 1 漏洞概述 近日,绿盟科技监测到网上披露了O
继续阅读【风险提示】VMware ESXi新型漏洞利用链已出现在野利用
【风险提示】VMware ESXi新型漏洞利用链已出现在野利用 长亭应急响应 黑伞安全 2025-03-05 15:59 VMware ESXi 是一款虚拟化平台,广泛应用于企业数据中心及云环境,旨在提供高效、灵活的虚拟化解决方案。近期互联网披露,ESXi 中存在三个严重漏洞(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226),涉及越界读和越界写等缺陷,攻击
继续阅读CNCERT:关于Ollama存在未授权访问漏洞的安全公告
CNCERT:关于Ollama存在未授权访问漏洞的安全公告 安全内参 2025-03-04 16:04 安全公告编号 :CNTA-2025-0003 近日,国家信息安全漏洞共享平台(CNVD)收录了Ollama未授权访问漏洞(CNVD-2025-04094)。未经授权的攻击者可以远程访问Ollama服务接口执行敏感资产获取、虚假信息投喂、拒绝服务等恶意操作。CNVD建议受影响的单位和用户立即采取措
继续阅读