微软 2025 年 2 月补丁星期二修复了 4 个0day和 55 个漏洞
微软 2025 年 2 月补丁星期二修复了 4 个0day和 55 个漏洞 独眼情报 2025-02-12 03:52 今天是微软2025年2月补丁星期二,本次更新包含55个安全漏洞修复,其中包括4个零日漏洞(其中2个已被黑客主动利用)。此次更新还修复了3个被评级为”严重”的远程代码执行漏洞。 各漏洞类型统计如下: – 19个权限提升漏洞 2个安全功能绕过漏洞
继续阅读标签: 0day
微软最新多个高危漏洞预警
微软最新多个高危漏洞预警 SecHub网络安全社区 2025-02-12 01:35 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。 文中所涉及的技术、思路及工
继续阅读记一次某大型系统前台RCE(0day)审计经历
记一次某大型系统前台RCE(0day)审计经历 原创 C@ig0 菜狗安全 2025-02-12 01:20 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 前言 该篇文章由交流群大佬友情分享,给大佬打c
继续阅读微软补丁日修复4个0Day和一共55个缺陷
微软补丁日修复4个0Day和一共55个缺陷 会杀毒的单反狗 军哥网络安全读报 2025-02-12 01:04 导读 今天是微软 2025 年 2 月的补丁日,新补丁包含 55 个漏洞的安全更新,其中四个 0day 漏洞,有两个漏洞在攻击中被积极利用。 本月补丁日还修复了三个“严重”漏洞,均为远程代码执行漏洞。 各个漏洞类别的漏洞数量如下: – 19 个特权提升漏洞 –
继续阅读苹果0-Day漏洞被用于“极其复杂”的特性攻击中
苹果0-Day漏洞被用于“极其复杂”的特性攻击中 老布 FreeBuf 2025-02-11 10:59 近日,苹果公司发布了紧急安全更新,以修补一个0-Day漏洞,编号CVE – 2025 – 24200,由公民实验室 安全研究人员比尔·马尔扎克报告。该漏洞在有针对性的且“极其复杂”的攻击中被利用,“在设备锁定时禁用USB限制模式”。 USB限制模式是苹果设备的一项安全功
继续阅读苹果紧急修复被用于“极其复杂”攻击中的0day漏洞
苹果紧急修复被用于“极其复杂”攻击中的0day漏洞 Sergiu Gatlan 代码卫士 2025-02-11 10:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果公司推出紧急安全更新,修复了已被用于针对性的“极其复杂的”攻击活动中的一个0day漏洞。 苹果公司在一份安全公告中提到,“一场物理攻击可能禁用被锁定(iPhone 和 iPad)设备上的 USB 受限模式。苹果了解到该
继续阅读【漏洞实战研磨】之细说log4j2
【漏洞实战研磨】之细说log4j2 原创 blue澜 小惜渗透 2025-02-10 10:10 say 最近工作生活学习和研究太多,时间着实有点不够用,而且有些文章现在由于某些因素还不能发还得等等,所以一直是静默状态。 ✅今天新启动一个合集,我为之起名叫【漏洞实战研磨】,这个我之前已经积攒了很多内容,不过一直没发而已。这个合集主要分享对于某个漏洞的细致打磨,比如一个漏洞,如何探测,探测有哪些方式
继续阅读【0day】码支付系统存在前台SQL注入漏洞
【0day】码支付系统存在前台SQL注入漏洞 原创 Mstir 星悦安全 2025-02-10 03:44 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 码支付是基于php开发的一套新型聚合收款、聚合支付系统,是一款专业的聚合免签收款系统,无需对接其余平台,个码就可收款,灰常的方便快捷,集成实现三网免挂功能,无需挂繁琐的监控软件就可实现回调,更便捷的监控方式,更优的产品质量. Fofa指
继续阅读用友NC 漏洞分析–cartabletimeline存在SQL注入
用友NC 漏洞分析–cartabletimeline存在SQL注入 WLwl 神农Sec 2025-02-10 02:03 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://forum.butian.net/article/627 作者:WLwl 0x1
继续阅读记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧
记SRC中漏洞挖掘从任意文件读取到Getshell|挖洞技巧 漏洞挖掘投稿 渗透安全HackTwo 2025-02-09 16:01 0x01 前言 在对某SRC分发平台进行渗透测试时,发现其后台管理系统存在安全漏洞。通过分析前端源码,发现了一个潜在的任意文件读取漏洞,并成功利用该漏洞获取了服务器的敏感信息,最终实现了从任意文件读取到获取服务器权限的全过程。 现在只对常读和星标的公
继续阅读招生中!系统0day安全-IOT设备漏洞挖掘(第6期)
招生中!系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-02-08 09:59 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。 然而,随着IoT设备的普及,安全问题也日益凸显。 IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureNexu
继续阅读【0day】码支付系统存在前台任意文件读取漏洞
【0day】码支付系统存在前台任意文件读取漏洞 原创 Mstir 星悦安全 2025-02-08 04:53 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 码支付是基于php开发的一套新型聚合收款、聚合支付系统,是一款专业的聚合免签收款系统,无需对接其余平台,个码就可收款,灰常的方便快捷,集成实现三网免挂功能,无需挂繁琐的监控软件就可实现回调,更便捷的监控方式,更优的产品质量. Fofa
继续阅读渗透测试 | 文件读取漏洞实战利用
渗透测试 | 文件读取漏洞实战利用 subjcw 神农Sec 2025-02-08 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://forum.butian.net/share/4017 作者:subjcw 0x1 Nginx配置文件利用 第一处文件读取
继续阅读本周更新:虚拟机镜像调试 | 系统0day安全(第7期)
本周更新:虚拟机镜像调试 | 系统0day安全(第7期) 看雪课程 看雪学苑 2025-02-07 09:59 本周更新: 3.9 虚拟机镜像调试(1) https://www.kanxue.com/book-140-4993.htm 3.10 虚拟机镜像调试(2) https://www.kanxue.com/book-140-4994.htm 3.11 虚拟机镜像调试(3) https://w
继续阅读某渐变头像合成网站系统存在任意文件上传漏洞(RCE)
某渐变头像合成网站系统存在任意文件上传漏洞(RCE) 原创 Mstir 星悦安全 2025-02-07 04:36 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 源码介绍 : 渐变头像合成网站的操作简单便捷,用户只需上传自己的头像,选择喜欢的头像框,点击一键合成即可生成专属定制头像。网站提供了167种不同风格的头像框供选择,用户也可以自己添加素材。生成后的头像可以直接下载保存到手机上,还
继续阅读实战 | 微信小程序EDUSRC渗透漏洞复盘
实战 | 微信小程序EDUSRC渗透漏洞复盘 原创 神农Sec 神农Sec 2025-02-07 02:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 哈喽,师傅们这次又来给师傅们分享下最近的一个漏洞挖掘的一个过程,这次跟着一个师傅学习,然后自己动手去挖,也是学习到了不了
继续阅读微软Sysinternals工具中的0day漏洞允许攻击者对Windows 发起 DLL 注入攻击
微软Sysinternals工具中的0day漏洞允许攻击者对Windows 发起 DLL 注入攻击 会杀毒的单反狗 军哥网络安全读报 2025-02-07 01:00 导读 几乎所有 Microsoft Sysinternals 工具中都发现一个严重的 0-Day 漏洞,这对依赖这些实用程序进行系统分析和故障排除的 IT 管理员和开发人员构成了重大风险。 该漏洞概述了攻击者如何利用DLL 注入技术
继续阅读没想到,“漏洞”竟然比“脆弱性”小太太太太多!
没想到,“漏洞”竟然比“脆弱性”小太太太太多! 原创 晓兵Jason 锐安全 2025-02-06 14:24 本文 1665 字,阅读时长 4分钟 指给你我看到的远方,助力你走得更远 Vulnerability ,有时候翻译成“漏洞”,有时候又翻译成“脆弱性”,以至于我们很多时候,其实是分不清的。 而漏洞,有时候我们又翻译成“Weakness”,但是在专业语境里,Vulnerability更像是
继续阅读【真0day】Microsoft Sysinternals 工具中存在0day漏洞
【真0day】Microsoft Sysinternals 工具中存在0day漏洞 独眼情报 2025-02-06 06:48 我发现了几乎所有Sysinternals工具中的关键漏洞,并在视频中详细展示了这些漏洞的背景及攻击过程。关于这些漏洞的总结和视频链接可以在我的博客文章中找到。 这些工具由Microsoft开发,广泛应用于IT管理中,常用于系统分析和故障排查。视频中展示的漏洞涉及工具套件中
继续阅读7-Zip MotW 绕过漏洞被用于针对乌克兰的0day攻击
7-Zip MotW 绕过漏洞被用于针对乌克兰的0day攻击 会杀毒的单反狗 军哥网络安全读报 2025-02-05 01:00 导读 自 2024 年 9 月以来,俄罗斯黑客利用 7-Zip 漏洞作为 0 day漏洞武器,该漏洞允许攻击者绕过 Windows 安全功能 Mark of the Web (MotW)。 据趋势科技研究人员称,该漏洞被用于针对乌克兰政府和私人组织的 SmokeLoad
继续阅读创新终端主动防护-多种通用0day漏洞检测方案
创新终端主动防护-多种通用0day漏洞检测方案 原创 xiaoliangliu xiaoliangliu 2025-02-01 03:08 2019 可能会是过去十年里最差的一年,但却是未来十年里最好的一年。没想到日子这么快已经2025 ,祝福大家新年快乐,我写了一篇关于0day漏洞检测的技术文章进行开源分享,供互相交流学习。 摘要 在真实世界中,APT组织使用0day/Nday进行一系列攻击的比
继续阅读Java反序列化漏洞 | Fastjson反序列化漏洞原理+漏洞复现
Java反序列化漏洞 | Fastjson反序列化漏洞原理+漏洞复现 原创 神农Sec 神农Sec 2025-01-31 01:03 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 0x1 前言 Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下
继续阅读DeepSeek 数据库被攻击,国外团队已公开披露漏洞
DeepSeek 数据库被攻击,国外团队已公开披露漏洞 原创 Mstir 星悦安全 2025-01-30 07:16 点击上方 蓝字 关注我们 并设为 星标 0x01 漏洞研究 AI 初创公司 DeepSeek 最近因其开创性的 AI 模型,尤其是 DeepSeek-R1 推理模型而引起了媒体的广泛关注。该模型在性能上可与 OpenAI 的 o1 等领先的 AI 系统相媲美,并以其成本效益和效率而
继续阅读【代码审计】RGCMS 2.0 存在 phar 反序列化RCE漏洞
【代码审计】RGCMS 2.0 存在 phar 反序列化RCE漏洞 原创 RT 星悦安全 2025-01-29 11:09 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 RGCMS存在反序列化漏洞,攻击者可以通过该漏洞执行任意命令。 影响版本:RGCMS 2.0 0x01 漏洞分析&复现 漏洞点位于:rgcms2.0/app/admin/controller/Data.php 在
继续阅读苹果修补了 2025 年首个被利用的 iOS 0day(CVE-2025-24085)
苹果修补了 2025 年首个被利用的 iOS 0day(CVE-2025-24085) 独眼情报 2025-01-29 00:15 苹果公司发布了软件更新,以解决其产品组合中的多个安全漏洞,包括一个据称已被广泛利用的零日漏洞。 该漏洞编号为 CVE-2025-24085,被描述为Core Media组件中的一个释放后使用错误,可能允许已安装在设备上的恶意应用程序提升权限。 该公司在一份简短的公告中
继续阅读5th域安全微讯早报【20250127】023期
5th域安全微讯早报【20250127】023期 网空闲话 网空闲话plus 2025-01-27 01:26 2025-01-27 星期一Vol-2025-023 今日热点导读 1. 美国众议院委员会呼吁制定进攻性网络战略应对日益严峻的对抗威胁 DARPA 寻求利用算法能力打击洗钱活动 3. 英国电信公司 TalkTalk 客户数据疑遭泄露,黑客论坛公开出售 PayPal 因 2022 年
继续阅读漏洞挖掘 | 渗透测试之批量刷洞技巧
漏洞挖掘 | 渗透测试之批量刷洞技巧 soufaker 神农Sec 2025-01-26 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://forum.butian.net/share/582 作者:soufaker 0x1 简易自动挖掘漏洞环境搭建 一、
继续阅读别错过!“系统0day安全”课程,带你精通漏洞挖掘技巧
别错过!“系统0day安全”课程,带你精通漏洞挖掘技巧 看雪课程 看雪学苑 2025-01-25 09:59 数字化时代,系统漏洞如同隐形的威胁,潜伏在企业网络的每个角落。0day漏洞的发现与利用,已成为黑客攻击的主要手段,给企业安全带来巨大的威胁和挑战。 我们特别推出了 “系统0day安全”系列课程,本系列课程将深入挖掘企业级网络设备、IOT设备及Windows平台的固件漏洞,培养您掌握二进制漏
继续阅读超过 2,000 台 SonicWall 设备易受严重0day漏洞攻击
超过 2,000 台 SonicWall 设备易受严重0day漏洞攻击 会杀毒的单反狗 军哥网络安全读报 2025-01-25 01:01 导读 黑客正在利用 SonicWall 流行的 VPN 设备系列发起攻击,该系列设备存在的漏洞引发警惕。 该网络安全公司于周三发布了一份公告,警告该漏洞会影响其安全移动访问 (SMA) 1000 系列产品,许多公司使用该产品为员工提供公司网络的 VPN 访问。
继续阅读Oracle 2025年1月补丁日多产品高危漏洞安全风险通告
Oracle 2025年1月补丁日多产品高危漏洞安全风险通告 代码卫士 2025-01-24 11:00 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2025年1月补丁日多产品高危漏洞 影响产品 Oracle WebLogic Server、MySQL Server等 公开时间 2025-01-22 影响对象数量级 百万级 奇安信评级 高危 利用可能性 中 P
继续阅读