漏洞通告 | Kubernetes Ingress-nginx 远程命令执行漏洞
漏洞通告 | Kubernetes Ingress-nginx 远程命令执行漏洞 原创 微步情报局 微步在线研究响应中心 2025-03-27 12:13 漏洞概况 Ingress-nginx Admission Controller 是 Ingress-nginx 的一个重要组件,它是一种准入控制器 (Admission Controller),负责在 Kubernetes 集群中对 Ingre
继续阅读标签: 0day
博通:注意 Vmware Windows Tools 中的认证绕过漏洞
博通:注意 Vmware Windows Tools 中的认证绕过漏洞 Sergiu Gatlan 代码卫士 2025-03-26 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 博通发布安全更新,修复了位于Windows版 Vmware Tools中的一个高危认证绕过漏洞CVE-2025-22230。 Vmware Tools 包括一系列驱动和工具,旨在提升在 Vmware 虚
继续阅读谷歌紧急修复已遭利用的0day
谷歌紧急修复已遭利用的0day Ravie Lakshmanan 代码卫士 2025-03-26 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布带外修复方案,修复了位于Windows 版本 Chrome 浏览器中已遭利用的高危漏洞。该漏洞被用于攻击俄罗斯的组织机构。 该漏洞的编号是CVE-2025-2783,是“对Windows 上 Mojo 中未明确情境中提供的错误句
继续阅读NSA的零日漏洞使用策略
NSA的零日漏洞使用策略 原创 天御 天御攻防实验室 2025-03-26 15:56 零日漏洞的“过度崇拜” 我们今天要聊的是“零日漏洞”,以及为什么人们总是对它过度关注——甚至可以说是一种“崇拜”。零日漏洞的关注度远远超出了它的实际价值。 先简单解释一下,零日漏洞是指那些已经被某些人发现,但软件厂商还不知道的漏洞。由于没有补丁或缓解措施,攻击者可以利用它入侵系统、窃取数据,甚至搞破坏。 零日漏
继续阅读在野!谷歌Chrome沙箱逃逸漏洞, 被APT高度武器化
在野!谷歌Chrome沙箱逃逸漏洞, 被APT高度武器化 原创 微步情报局 微步在线研究响应中心 2025-03-26 13:03 漏洞概况 Google Chrome 是由 Google 开发的免费网页浏览器,凭借其简洁的设计和先进的功能,已迅速成为全球最受欢迎的网页浏览器之一。 微步情报局获取到 Google Chrome 修复了一处高危漏洞(CVE-2025-2783),该漏洞允许攻击者绕过
继续阅读Ingress NGINX 控制器中存在严重漏洞可导致RCE
Ingress NGINX 控制器中存在严重漏洞可导致RCE Ravie Lakshmanan 代码卫士 2025-03-25 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ingress NGINX Controller (Kubernetes) 中存在五个严重漏洞,无需认证即可导致远程代码执行,可将超过6500个集群暴露在公开互联网中。 这些漏洞(CVE-2025-2451
继续阅读漏洞通告 | Next.js middleware 权限绕过漏洞
漏洞通告 | Next.js middleware 权限绕过漏洞 原创 微步情报局 微步在线研究响应中心 2025-03-24 11:56 漏洞概况 Next.js 是一个用于构建全栈 Web 应用程序的 React 框架。 微步情报局获取到 next.js middleware 权限绕过漏洞情报 CVE-2025-29927 (https://x.threatbook.com/v5/vul/XV
继续阅读0Day|Telegram Mac客户端RCE漏洞
0Day|Telegram Mac客户端RCE漏洞 原创 校长 不懂安全的校董 2025-03-22 19:21 0x01 前言 说来搞笑,这个漏洞我是如何发现的呢?最近所谓的AI Agent智能体很热门,其中“Manus”最为出名。于是乎我去通过朋友的渠道搞了一个邀请码开始尝试使用。一开始觉得让它写东西很方便,不过他既然它能够执行操作,于是乎我开始让它自己学习 并且我还给它投喂了几篇公开的Mac
继续阅读白帽SRC百洞事件复盘;业务漏洞应对处理策略| FB甲方群话题讨论
白帽SRC百洞事件复盘;业务漏洞应对处理策略| FB甲方群话题讨论 FreeBuf 2025-03-22 18:01 各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第251期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 话题抢先看 1、猜测一下某企业SRC事件会被挖到这么多洞,可能的原
继续阅读更新小节:syscallfuzz | 系统0day安全-Windows平台漏洞挖掘(第5期)
更新小节:syscallfuzz | 系统0day安全-Windows平台漏洞挖掘(第5期) 小雪 看雪学苑 2025-03-21 17:59 更新: 3.3 syscallfuzz https://www.kanxue.com/book-194-5304.htm · 课程介绍 本课程将深入探讨Windows平台的漏洞挖掘技术,包括内核漏洞、应用程序漏洞等。课程内容结合理论与实践,帮助学员掌握Wi
继续阅读更新2节(附课后作业)| 系统0day安全-IOT设备漏洞挖掘(第6期)
更新2节(附课后作业)| 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-03-20 17:59 更新: 第三章 课时8:自动化仿真工具-FAT的介绍与使用 https://www.kanxue.com/book-7-5300.htm 课时9:自动化仿真工具-FirmAE的介绍与使用 https://www.kanxue.com/book-7-5301.htm 自动化
继续阅读记一次 RCE 0day 的审计过程
记一次 RCE 0day 的审计过程 原创 Sukali 信安之路 2025-03-19 09:43 大家好,我是 Sukali ,首次在信安之路上投稿,并获得免费加入信安之路知识星球的机会,同时解锁了信安之路成长平台、文库以及 POC 管理系统的使用权限,今天来为大家分享一下自己挖掘的一个 RCE 0day 的审计过程。 RCE 是远程代码执行或者远程命令执行的缩写,在案例讲解之前,先来聊聊 j
继续阅读CSO说安全 | 张天力:智能安全运营体系探索—分布式多智能体在漏洞修复中的应用与实践
CSO说安全 | 张天力:智能安全运营体系探索—分布式多智能体在漏洞修复中的应用与实践 原创 张天力 安在 2025-03-18 18:30 由安在新媒体联合中国网络安全审查认证和市场监管大数据中心(CCRC)共同举办的第五届“超级CSO研修班”现已圆满结营。在导师引领和课程启发下,学员们均完成极具代表性的毕业论文,是各自相关领域网络安全建设、实践与思考的精华之作。 本着分享交流之精神,我们特别精
继续阅读卷不动Web渗透?世界500强导师带你用逻辑分析仪挖电网0day,薪资翻倍打卫星!
卷不动Web渗透?世界500强导师带你用逻辑分析仪挖电网0day,薪资翻倍打卫星! 泷羽Sec-静安 泷羽Sec-静安 2025-03-14 22:18 听说00后用STM32黑进卫星 “只会软件攻防,薪资卡在20k?” 传统网络安全行业内卷加剧,软件渗透测试、Web漏洞挖掘岗位竞争白热化,而硬件攻防 却是一片蓝海—— – 某智能门锁被曝通过UART接口提取固件,破解家庭Wi-Fi密码
继续阅读Meta:FreeType 0day漏洞已遭活跃利用
Meta:FreeType 0day漏洞已遭活跃利用 Ravie Lakshmanan 代码卫士 2025-03-14 18:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Meta 提醒称,开源字体渲染库 FreeType 中的一个 0day漏洞 (CVE-2025-27363) 可能已遭在野利用。 该漏洞的CVSS评分为8.1,是一个高危级别的界外写漏洞。当解析某些字体文件时,可被
继续阅读更新第三章:固件仿真 | 系统0day安全-IOT设备漏洞挖掘(第6期)
更新第三章:固件仿真 | 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-03-13 17:59 本周更新: 课时1:qemu介绍与安装 https://www.kanxue.com/book-7-5271.htm 课时2:用户模式仿真(Qemu-user)-介绍 https://www.kanxue.com/book-7-5273.htm 课时3:用户模式仿真(Qe
继续阅读2025 Q1季度你需要关注的高危漏洞合集!
2025 Q1季度你需要关注的高危漏洞合集! 奇安信 CERT 2025-03-13 15:25 2025年第一季度,数字化进程的加速与新兴技术的普及,为企业带来效率提升的同时,也催生了更为复杂的安全威胁。从传统OA系统、办公软件到新兴的大模型基础设施,高危漏洞的爆发呈现 多维度、高破坏性 的特征:远程代码执行漏洞(RCE)可瞬间接管核心业务系统,SQL注入与身份认证绕过漏洞成为数据泄露的“隐形通
继续阅读苹果紧急修复已遭利用的0day漏洞
苹果紧急修复已遭利用的0day漏洞 Ryan Naraine 代码卫士 2025-03-12 17:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果发布 iOS 18.3.2和iPad 18.3.2,紧急修复在该移动操作系统老旧版本上被利用的 WebKit 0day 漏洞CVE-2025-24201。 该漏洞可导致攻击者突破 Web Content 沙箱,而苹果公司表示,该漏洞“可
继续阅读微软三月补丁星期二值得关注的漏洞
微软三月补丁星期二值得关注的漏洞 综合编译 代码卫士 2025-03-12 17:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在三月补丁日中修复了57个漏洞,其中6个是已遭利用状态。除此以外,微软还在本月早些时候修复了多个 Mariner 漏洞和10个Edge 漏洞。 这些漏洞包括: 23个提权漏洞 3个安全特性绕过漏洞 23个远程代码执行漏洞 4个信息泄露漏洞 1个拒绝服务漏
继续阅读漏洞通告 | Apache Tomcat 远程代码执行漏洞
漏洞通告 | Apache Tomcat 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2025-03-11 14:01 漏洞概况 Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。 微步情报局获取到 Apache Tomcat 远程代码执行漏洞
继续阅读EDU实战 | 某大学证书站漏洞打包
EDU实战 | 某大学证书站漏洞打包 青萍安全 2025-03-10 22:57 之前发现手里的供应链源码刚好某个证书站也有用到,随即代码审计 某处处理文件上传的 getShowimages方法没有对文件后缀名进行检查,导致任意文件上传getshell 构造文件上传数据包,贴上免杀马数据包以后发包 成功上传文件,访问空白看来是被解析了 当前主机权限为www,使用suggest脚本查找可提权的exp
继续阅读CISA:Edimax 摄像头中的严重0day漏洞已遭利用
CISA:Edimax 摄像头中的严重0day漏洞已遭利用 Eduard Kovacs 代码卫士 2025-03-10 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA上周披露称,多个僵尸网络正在利用 Edimax IP摄像头中的 0day 漏洞。 CISA 发布安全公告提醒 Edimax IC-7100 IP摄像头用户称,该产品受一个严重的命令注入漏洞CVE-2025-
继续阅读一次0Day漏洞Rce审计流程
一次0Day漏洞Rce审计流程 WK安全 2025-03-08 20:36 **免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 本次仅仅是记录一下自己审计一个相关0day漏洞rce的过程,并无指纹,poc,以及其余信息,看poc、指纹什么的师傅可以滑走啦。(本文会厚马) 二、
继续阅读FreeBuf周报 | 谷歌收集用户数据且无需打开应用;近5万访问管理系统存严重漏洞
FreeBuf周报 | 谷歌收集用户数据且无需打开应用;近5万访问管理系统存严重漏洞 Zicheng FreeBuf 2025-03-08 18:29 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 热点资讯 1. 最新黑产技术曝光,只需19分钟即可劫持AI大模型 最新研究表明,网络攻击者正在利用泄露的云凭证在
继续阅读【0day】某礼品卡电子券收卡系统存在前台任意文件删除漏洞
【0day】某礼品卡电子券收卡系统存在前台任意文件删除漏洞 原创 Mstir 星悦安全 2025-03-08 13:26 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 一个先进、稳定、功能完善的回收交易平台, 通过技术对接,全面实现线上回收各类虚拟卡。销卡速度快,到账稳定。 解决浪费:直接面对用户回收 出户即可提交卡号卡密完成回收交易 解决每年上十亿礼品卡闲置的问题。 资金回流:让企业闲
继续阅读VMware ESXi 报告新漏洞,波兰航天局遭受网络攻击 | 一周特辑
VMware ESXi 报告新漏洞,波兰航天局遭受网络攻击 | 一周特辑 威努特安全网络 2025-03-08 07:59 VMware ESXi 漏洞 增加勒索攻击的风险 前段时间,VMware 所有者 Broadcom 通知 ESXi、Workstation 和 Fusion 客户,他们已为目前可被利用的三个0day漏洞提供了补丁。 这些漏洞被跟踪为 CVE-2025-22224、CVE-20
继续阅读Jenkins 修复CSRF和开放重定向等多个漏洞
Jenkins 修复CSRF和开放重定向等多个漏洞 do son 代码卫士 2025-03-07 18:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门开源自动化服务器Jenkins 发布安全公告修复多个漏洞,其中包括加密机密泄露和跨站请求伪造 (CSRF) 漏洞。 该安全公告在2025年3月5日发布,它详述了影响 Jenkins 2.499及之前版本和 LTS 2.492.1及之
继续阅读2025上半年最需要关注的80+高危漏洞!
2025上半年最需要关注的80+高危漏洞! 原创 微步情报局 微步在线研究响应中心 2025-03-07 08:29 当2025的阳光爬上机房的玻璃窗,攻击者的漏洞同样追着光登场。 微步情报局从 漏洞活跃程度、利用难易度、影响面、实网攻击行为情况 等多个维度,梳理出2025年 80+最需要各位师傅关注的高危漏洞 ,涵盖 应用系统、中间件、数据库、操作系统,大模型、安全产品 等关键对象,99%都是R
继续阅读专题·漏洞人才培养 | 实战化漏洞安全人才培养 为新质生产力保驾护航
专题·漏洞人才培养 | 实战化漏洞安全人才培养 为新质生产力保驾护航 CNNVD安全动态 2025-03-06 21:33 文 | 中国移动网络与信息安全管理部 徐一 随着数字化进程的持续推进,各类信息系统和数字资产的大规模建设与广泛应用,带来了日益增多的漏洞安全风险。当前,网络安全形势日趋严峻,外部环境的不确定性进一步加剧,对各类系统应用的安全构成了持续威胁。漏洞作为攻击入侵的重要突破口,同时也
继续阅读谷歌修复已遭利用的安卓0day
谷歌修复已遭利用的安卓0day Sergiu Gatlan 代码卫士 2025-03-06 18:36 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布安卓3月安全更新,修复了43个漏洞,包括已遭利用的两个0day。 塞尔维亚当局利用位于Human Interface Devices Linux 内核驱动中的一个高危信息泄露漏洞 (CVE-2024-50302) 解锁被没收的设备。该
继续阅读