Ollama未授权访问漏洞【实现AI自由】
Ollama未授权访问漏洞【实现AI自由】 sec0nd安全 2025-03-03 21:41 0.1 漏洞成因 Ollama 默认部署时监听于 127.0.0.1,仅允许本地访问,从而在初始配置下保证了较高的安全性。然而部分用户为了方便从公网访问,会将监听地址修改为 0.0.0.0。在这种修改之后,如果未额外配置身份认证或访问控制机制,Ollama 的管理接口就会暴露于公网,导致攻击者只需访问服
继续阅读标签: 访问控制
上周关注度较高的产品安全漏洞(20250224-20250302)
上周关注度较高的产品安全漏洞(20250224-20250302) 原创 CNVD CNVD漏洞平台 2025-03-03 18:17 一、境外厂商产品漏洞 1、Google Android信息泄露漏洞(CNVD-2025-03652) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在信息泄露漏洞,该漏洞源于Sens
继续阅读CNNVD | 关于Ollama安全漏洞的通报
CNNVD | 关于Ollama安全漏洞的通报 中国信息安全 2025-03-03 18:17 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况** 近日,国家信息安全漏洞库(CNNVD)收到关于Ollama安全漏洞(CNNVD-202503-081)情况的报送。未经授权的攻击者可在远程条件下调用Ollama服务接口,执行包括但不限于敏感模型资产窃取、虚
继续阅读【漏洞复现】 Ollama未授权访问漏洞
【漏洞复现】 Ollama未授权访问漏洞 g3m 无尽藏攻防实验室 2025-03-03 00:00 网络安全为人民 师傅们好👋:本公众号现在已开启对常读和星标的公众号展示大图推送,为了不错过我们的网络安全干货,请星标🌟我们。这样,您就能快速掌握最新动态,与我们共同守护网络空间!感谢您的关注和支持!💖 Ollma Ollama 是一个开源的大语言模型(LLM)运行环境和工具集,旨在帮助开发者轻松部
继续阅读关于Ollama存在未授权访问漏洞的安全公告
关于Ollama存在未授权访问漏洞的安全公告 网安百色 2025-03-02 11:31 安全公告编号 :CNTA-2025-0003 近日,国家信息安全漏洞共享平台(CNVD)收录了Ollama未授权访问漏洞(CNVD-2025-04094)。未经授权的攻击者可以远程访问Ollama服务接口执行敏感资产获取、虚假信息投喂、拒绝服务等恶意操作。CNVD建议受影响的单位和用户立即采取措施防范漏洞攻击
继续阅读PingAM Java存在未经授权的访问权限漏洞CVE-2025-20059
PingAM Java存在未经授权的访问权限漏洞CVE-2025-20059 网安百色 2025-03-02 11:31 点击上方 蓝字 关注我们吧~ Ping Identity 针对其 PingAM Java 代理发布了紧急安全公告,揭示了一个严重性为极高的漏洞 (CVE-2025-20059),该漏洞使攻击者能够绕过策略实施机制并未经授权访问受保护的资源。 该漏洞被归类为相对路径遍历弱点 (C
继续阅读【漏洞复现】可以白嫖别人的AI模型了?你的被白嫖了吗(Ollama)
【漏洞复现】可以白嫖别人的AI模型了?你的被白嫖了吗(Ollama) 小C学安全 小C学安全 2025-03-01 00:06 免责申明 本公众号的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本
继续阅读【风险提示】 DeepSeek等大模型私有化服务器部署近九成在“裸奔”,已知漏洞赶紧处理!
【风险提示】 DeepSeek等大模型私有化服务器部署近九成在“裸奔”,已知漏洞赶紧处理! 奇安信 CERT 2025-02-28 08:33 问题概述 近期,随着国产大模型 DeepSeek 的迅速流行,越来越多的企业和个人选择将其进行私有化部署。然而,根据奇安信资产测绘鹰图平台的监测数据,在 8971 个运行 Ollama 大模型框架的服务器中,有 6449 个活跃服务器,其中 88.9% 的
继续阅读【已复现】Ollama 未授权访问漏洞
【已复现】Ollama 未授权访问漏洞 长亭安全应急响应中心 2025-02-28 07:38 Ollama 是一个开源的大语言模型(LLM)运行环境和工具集,旨在帮助开发者轻松部署、管理和使用模型(如 DeepSeek 等)。近期互联网披露,如果 Ollama 直接暴露服务端口(默认为 11434)于公网,并且未启用身份认证机制,远程攻击者可以在未授权的情况下访问其高危接口。建议受影响的用户尽快
继续阅读关于举办“数据安全技能能手”和移动互联网安全工程师(CAPPSEC)2025年第1期培训班的通知
关于举办“数据安全技能能手”和移动互联网安全工程师(CAPPSEC)2025年第1期培训班的通知 赛查查 2025-02-28 06:44 各相关单位: 为深入学习贯彻党的二十大精神,提升专业人才在数据安全领域的知识水平和技能素养,加强各行业数据安全人才队伍建设,在中国软件评测中心(工业和信息化部软件与集成电路促进中心)和数据安全关键技术与产业应用评价工业和信息化部重点实验室联合指导下,中国计算机
继续阅读【业界动态】黑客最不想让你看到的,2024年漏洞攻击数据真相
【业界动态】黑客最不想让你看到的,2024年漏洞攻击数据真相 信息安全研究 2025-02-27 07:00 “ 如果网络世界每12分钟就会出现一个新漏洞,你的防御系统能扛多久? ” ——这是来自2024年攻击者提出的一个问题。 根据微步最新发布的《2024年漏洞情报年报》,2024年漏洞数量、漏洞增长“再创新高”,全年整体爆出漏洞超4万个,相当于每12分钟就会诞生一个新漏洞。不过,关于2024年
继续阅读暗网 0day 漏洞售卖预警
暗网 0day 漏洞售卖预警 独眼情报 2025-02-27 01:43 一名以“Vanger”为别名的网络犯罪分子出现在地下论坛上,提供针对 VMware ESXi 虚拟机管理程序的0day。 据称,该漏洞可实现虚拟机逃逸 (VME),其售价高达 15 万美元。如果属实,该漏洞可让攻击者从客户虚拟机 (VM) 侵入主机系统,对虚拟化环境构成严重威胁。 据报道,该漏洞影响 VMware ESXi
继续阅读黑客最不想让你看到的,2024年漏洞攻击数据真相
黑客最不想让你看到的,2024年漏洞攻击数据真相 原创 微步情报局 微步在线 2025-02-27 00:26 如果网络世界每12分钟就会出现一个新漏洞,你的防御系统能扛多久? 这是来自2024年攻击者提出的一个问题。 根据微步最新发布的《2024年漏洞情报年报》,2024年漏洞数量、漏洞增长“再创新高”,全年整体爆出漏洞超4万个,相当于每12分钟就会诞生一个新漏洞。不过,关于2024年的漏洞攻击
继续阅读上周关注度较高的产品安全漏洞(20250217-20250223)
上周关注度较高的产品安全漏洞(20250217-20250223) 原创 CNVD CNVD漏洞平台 2025-02-24 08:47 一、境外厂商产品漏洞 1、SAP Supplier Relationship Management路径遍历漏洞 SAP Supplier Relationship Management是一款领先的采购供给链管理软件,旨在帮助企业优化供给商关系,提高采购效率和质量。
继续阅读【安全圈】微软Power Pages权限提升漏洞被黑客利用,紧急修复中
【安全圈】微软Power Pages权限提升漏洞被黑客利用,紧急修复中 安全圈 2025-02-22 11:00 零日攻击再现:Power Pages 被曝高危漏洞,微软紧急修复 2月21日消息,科技媒体BleepingComputer报道,微软公司近日发布安全公告,披露Power Pages平台存在一个高危权限提升漏洞,并且已有证据表明该漏洞已被黑客利用进行零日攻击。 该漏洞的追踪编号为CVE-
继续阅读弱权限目录成漏洞温床!3 个真实案例教你如何防范文件劫持!
弱权限目录成漏洞温床!3 个真实案例教你如何防范文件劫持! VlangCN HW安全之路 2025-02-22 02:51 在 Windows 系统中,权限管理往往是安全性的重要一环。然而,有些目录或文件的权限设置不当,就像给攻击者敞开了一扇门,让他们能够植入恶意文件、执行代码,甚至劫持合法进程或服务。这些“弱权限目录”由于缺乏有效的访问控制和安全审查,成为了攻击者眼中的“香饽饽”。他们可以利用这
继续阅读【安全圈】赛门铁克诊断工具漏洞可让攻击者提升权限
【安全圈】赛门铁克诊断工具漏洞可让攻击者提升权限 安全圈 2025-02-21 11:02 关键词 安全漏洞 博通 (Broadcom )旗下子公司赛门铁克 (Symantec ) 已解决其诊断工具 (SymDiag) 中的一个严重安全漏洞 (CVE-2025-0893),该漏洞可能允许攻击者提升受影响系统的权限。 该漏洞影响 3.0.79 之前的 SymDiag 版本,由于其可能通过本地利
继续阅读微软修复已遭利用的 Power Pages 0day
微软修复已遭利用的 Power Pages 0day Bill Toulas 代码卫士 2025-02-21 10:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软发布安全通告称Power Pages 中存在一个高危提权漏洞CVE-2025-24989,在0day时已遭利用。 该漏洞是影响 Power Pages 的访问控制不当问题,可导致越权人员提升权限并绕过用户的注册控制。微软
继续阅读微软修复了Power Pages中一个被积极利用的漏洞
微软修复了Power Pages中一个被积极利用的漏洞 鹏鹏同学 黑猫安全 2025-02-21 06:05 微软已解决两个关键漏洞,分别编号为CVE-2025-21355(CVSS评分:8.6)和CVE-2025-24989(CVSS评分:8.2),这两个漏洞分别影响了Bing和Power Pages。 CVE-2025-21355是微软Bing中的一个关键功能缺失认证漏洞,未经授权的攻击者可能
继续阅读“万模裸奔”,DeepSeek正颠覆网络安全行业游戏规则
“万模裸奔”,DeepSeek正颠覆网络安全行业游戏规则 GoUpSec 2025-02-21 02:13 GoUpSec点评:“村村点火”的生成式AI正引发一场企业网络安全革命。AI工具引入了全新的攻击媒介和数据安全威胁,传统的静态防御体系已形同虚设,网络安全行业面临一场技术/工具、方法和技能的全面更新。 对于企业而言,AI既是提升生产力的强大工具,同时也为攻击者和恶意内部人员提供了“大杀器”。
继续阅读Ubuntu24.04 提权漏洞实例分析
Ubuntu24.04 提权漏洞实例分析 原创 戴勤明 华为安全应急响应中心 2025-02-20 10:10 1 前言 笔者一直关注与操作系统本地提权相关的漏洞研究。在过去的一段时间里,大部分此类漏洞已有现成的利用代码,复现的过程主要集中于搭建环境并验证漏洞利用的有效性。然而,近日在搜索关键词“Linux local privilege escalation”并将时间范围限定为过去一年时,偶然发
继续阅读深度修复 DeepSeek 云端部署潜在威胁漏洞
深度修复 DeepSeek 云端部署潜在威胁漏洞 原创 大荒Sec 太乙Sec实验室 2025-02-20 06:13 免责声明: 本公众号 太乙Sec实验室 所提供的实验环境均是本地搭建,仅限于网络安全研究与学习 。旨在为安全爱好者提供技术交流。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作,所导致的直接或间接后果及损失,均由使用者本人负责。太乙Sec实验室 及作者对此不承担任何责任
继续阅读【安全圈】CISA 警告Palo Alto PAN-OS漏洞正在被积极利用
【安全圈】CISA 警告Palo Alto PAN-OS漏洞正在被积极利用 安全圈 2025-02-19 11:01 关键词 安全漏洞 近期,美国网络安全与基础设施安全局(CISA)发布了一则紧急警报,矛头直指帕洛阿尔托网络公司(Palo Alto Networks)防火墙设备所搭载的操作系统 PAN-OS。 该系统现正遭受黑客攻击,其存在的一个高严重性身份验证绕过漏洞(CVE-2025-0108
继续阅读【漏洞通告】Apache Ignite远程代码执行漏洞安全风险通告
【漏洞通告】Apache Ignite远程代码执行漏洞安全风险通告 嘉诚安全 2025-02-19 08:43 漏洞背景 近日,嘉诚安全监测到Apache Ignite远程代码执行漏洞,漏洞编号为: CVE-2024-52577。 Apache Ignite是一个高性能、分布式数据库和计算平台,专为大规模数据处理和实时分析设计。它支持内存计算、SQL查询、键值存储、数据流处理等功能,广泛应用于大数
继续阅读【漏洞通告】Apache Ignite远程代码执行漏洞(CVE-2024-52577)
【漏洞通告】Apache Ignite远程代码执行漏洞(CVE-2024-52577) 启明星辰安全简讯 2025-02-19 08:13 一、漏洞概述 漏洞名称 Apache Ignite远程代码执行漏洞 CVE ID CVE-2024-52577 漏洞类型 代码执行 发现时间 2025-02-19 漏洞评分 9.5 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无
继续阅读信息安全漏洞周报(2025年第7期)
信息安全漏洞周报(2025年第7期) 原创 CNNVD CNNVD安全动态 2025-02-19 06:26 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年2月10日至2025年2月16日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞945个。 接报漏洞情况 本周CNNVD接报漏洞7117个,其中信息技术产品漏洞(通用型漏洞)381个,
继续阅读黑客批量售卖多国VPN权限:漏洞利用+社会工程威胁多国关键行业
黑客批量售卖多国VPN权限:漏洞利用+社会工程威胁多国关键行业 原创 网空闲话 网空闲话plus 2025-02-18 22:46 2月19日监测发现,暗网论坛上出现大量VPN访问权限售卖帖子,发帖者“miyak0”在短时间内发布了24条涉及多个国家和地区的VPN权限出售信息,涵盖西班牙、沙特、阿联酋、中国及香港等地的政府机构、国防承包商、金融服务、能源、物流、电信等多个关键行业。这些权限的价格从
继续阅读【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?
【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些? 原创 醉墨离 泷羽Sec-醉陌离 2025-02-18 09:29 🌟【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?🔐 刚入门网络安全?别慌!用点外卖都能看懂的比喻,带你轻松掌握高危漏洞原理!(文末送新手工具包) 🍔 Top1 注入攻击:像篡改外卖订单的”加料黑客”
继续阅读腾讯云安全中心推出2025年1月必修安全漏洞清单
腾讯云安全中心推出2025年1月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-02-18 03:32 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读暗网情报4则:又见SS7漏洞
暗网情报4则:又见SS7漏洞 原创 网空闲话 网空闲话plus 2025-02-13 23:26 1、威胁者出售oTello SS7零日漏洞,标价5万美元XMR 2025年2月14日,威胁情报平台Dark Web Informer发布消息称,有威胁者正在暗网出售oTello SS7的零日漏洞,标价为50,000美元XMR(门罗币)。SS7协议漏洞长期以来被用于窃听电话、拦截短信等攻击,此次零日漏洞
继续阅读