CVE-2025-27817 Apache Kafka 客户端:任意文件读取和 SSRF 漏洞 Ots安全 2025-06-13 06:05 Apache Kafka 客户端中发现了一个潜在的任意文件读取和 SSRF 漏洞。 Apache Kafka 客户端接受用于设置与代理服务器的 SASL/OAUTHBEARER 连接的配置数据,包括“sasl.oauthbearer.token.endpoi
继续阅读【漏洞预警】Windows WebDAV 客户端远程代码执行漏洞(CVE-2025-33053) 原创 聚焦网络安全情报 安全聚 2025-06-13 05:42 高 危 公 告 近日,安全聚实验室监测到 Windows WebDAV 客户端存在远程代码执行漏洞,编号为:CVE-2025-33053,漏洞评分:8.8 此漏洞允许攻击者将恶意文件放置在远程 WebDAV 路径,诱使系统加载并执行恶
继续阅读UEFI安全启动遭突破,高危漏洞CVE-2025-3052威胁数百万PC 邑安科技 邑安全 2025-06-13 02:12 更多全球网络安全资讯尽在邑安全 漏洞概况 网络安全研究机构BINARLY发现了一个影响UEFI安全启动机制的高危漏洞(CVE-2025-3052),该漏洞CVSS评分为8.2分。该漏洞源于一个经微软第三方UEFI证书签名的易受攻击UEFI应用程序,该证书使其在大量设备上获得
继续阅读Windows SMB客户端零日漏洞遭利用:攻击者采用反射型Kerberos中继攻击 邑安科技 邑安全 2025-06-13 02:12 更多全球网络安全资讯尽在邑安全 一个影响 Windows 系统的关键零日漏洞,允许攻击者通过新颖的反射式 Kerberos 中继攻击实现权限提升。 该漏洞被命名为 CVE-2025-33073,由 Microsoft 于 2025 年 6 月 10 日修补,作为
继续阅读Apache CloudStack漏洞使攻击者可破坏云基础设施系统 邑安科技 邑安全 2025-06-13 02:12 更多全球网络安全资讯尽在邑安全 Apache CloudStack 平台多个流行版本中存在严重漏洞,可能允许攻击者执行特权操作并破坏云基础设施系统。2025年6月10日发布的安全公告披露了五个不同的CVE漏洞,其中两个被归类为严重级别,可能导致资源的机密性、完整性和可用性完全受损
继续阅读Paragon Graphite间谍软件利用零日漏洞入侵至少两名记者的iPhone设备 鹏鹏同学 黑猫安全 2025-06-13 01:37 公民实验室确认,欧洲至少两名记者的iPhone设备在保持系统最新更新的情况下,仍遭Paragon公司Graphite间谍软件入侵。调查人员发现,两部手机与同一间谍软件服务器通信的法医证据。苹果公司于今年早些时候悄然向受害者发出警报,这标志着Paragon监控
继续阅读SinoTrack GPS设备存在严重安全漏洞,可被远程控制车辆 汇能云安全 2025-06-13 01:29 6月13日,星期五,您好!中科汇能与您分享信息安全快讯: 01 Salesforce Industry Cloud曝出20个安全漏洞,包含多个零日漏洞 安全研究公司AppOmni近日发现Salesforce Industry Cloud产品中存在超过20个安全漏洞,其中包括多个被评为高风
继续阅读GitLab 多个漏洞可导致攻击者完全接管账户 会杀毒的单反狗 军哥网络安全读报 2025-06-13 01:02 导读 GitLab 社区版 (CE) 和企业版 (EE) 平台上存在一系列严重的安全漏洞,攻击者可以利用这些漏洞完全接管帐户并破坏整个开发基础设施。 GitLab发布了紧急补丁版本 18.0.2、17.11.4 和 17.10.8,以解决十个不同的安全漏洞,其中一些漏洞的 CVSS
继续阅读Stealth Falcon组织利用0Day漏洞在中东发动网络攻击——每周威胁情报动态第226期 (06.05-06.12) 原创 BaizeSec 白泽安全实验室 2025-06-13 01:02 APT攻击 – Librarian Ghouls APT组织 针对俄罗斯展开网络攻击活动 APT组织Stealth Falcon利用0Day漏洞在中东地区发动网络攻击 攻击活动 ̵
继续阅读内网对抗-横向移动手法大全 MeteorKai 乌雲安全 2025-06-13 00:31 原文首发在:先知社区 https://xz.aliyun.com/news/18020 收集到域内用户和凭据后,为后续利用各种协议密码喷射通讯上线提供条件。这里注意域内域外是有差异的。 我们需要判断当前获得的权限是域内的还是域外的,如一个计算机有两个角色,一个是Meteor_Kai,对应域外用户,一个是we
继续阅读CVE-2023-36802 mskssrv type confusion 提权 12138 我吃你家米了 2025-06-12 15:39 阅读原文
继续阅读【漏洞预警】Apache Kafka Connect高危漏洞(CVE-2025-27817)可致任意文件读取,影响核心数据安全! HK安全小屋 2025-06-12 15:27 6月9日,Apache Kafka官方披露了多个安全漏洞: CVE-2025-27819: 通过 SASL JAAS JndiLoginModule 配置发起 RCE/拒绝服务攻击(利用此漏洞需要 集群资源的 AlterC
继续阅读【已复现】GeoServer SSRF和XXE漏洞 长亭安全应急响应中心 2025-06-12 11:58 GeoServer是一个开源服务器,用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准,使用户能够通过网络访问和操作地理信息系统(GIS)数据。 2025年6月,互联网上披露GeoServer SSRF漏洞(CVE-2024-29198)漏洞和GeoServer XXE漏洞(CVE-
继续阅读微软Outlook路径遍历漏洞允许攻击者远程执行任意代码 FreeBuf 2025-06-12 11:04 微软Outlook电子邮件客户端中存在一个重大安全漏洞,可能允许攻击者远程执行任意代码,即使需要本地访问权限才能触发漏洞利用。该漏洞编号为CVE-2025-47176,于2025年6月10日披露,被微软评为”重要”级别,CVSS评分为7.8分。 这一漏洞影响广泛使用的
继续阅读高危漏洞打包兜售,Palo Alto、Fortinet、Linux等关键系统在列 原创 网空闲话 网空闲话plus 2025-06-12 10:23 2025年6月12日 13:27:46,威胁行为者“冰雹”在暗网市场Ramp4u上发布贴文,声称正在兜售一套包含多个高危CVE漏洞的“利用包(exploit pack)”,引发业界警惕。威胁行为者也声称可单独出售,具体要看买家能出多少银子。该漏洞包涉
继续阅读Salesforce 行业云曝20+漏洞,含零日漏洞! 看雪学苑 看雪学苑 2025-06-12 10:00 Salesforce 作为知名云服务提供商,其行业云产品一直备受各领域企业青睐。然而,据安全研究公司 AppOmni 调查发现,Salesforce 行业云存在超 20 个安全漏洞,其中不乏零日漏洞。 Salesforce 行业云旨在助力医疗、金融、电信等行业的企业快速搭建定制化解决方案,
继续阅读漏洞通告|GeoServer SSRF和XXE漏洞 原创 微步情报局 微步在线研究响应中心 2025-06-12 09:55 漏洞概况 GeoServer 是一款用 Java 编写的开源软件服务器,允许用户共享和编辑地理空间数据。 微步情报局获取到GeoServer SSRF漏洞(CVE-2024-29198)漏洞和GeoServer XXE漏洞情报(CVE-2025-30220) 。漏洞成因:
继续阅读Microsoft 365 Copilot 中存在零点击AI数据泄露漏洞 Bill Toulas 代码卫士 2025-06-12 09:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 被命名为 “EchoLeak” 的新型攻击利用的是目前已知的首个零点击AI漏洞,它可导致攻击者从无需交互的用户上下文中,恶意泄露 Microsoft 365 的敏感数据。 该攻击由 Aim Labs 的安
继续阅读Apache CloudStack 严重漏洞可用于执行权限操作 Guru Baran 代码卫士 2025-06-12 09:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache CloudStack 的热门版本中存在多个严重漏洞,可导致攻击者执行权限操作并攻陷云基础设施系统。 Apache Cloudstack 在6月10日发布安全公告,修复了5个CVE漏洞,其中两个是严重级别
继续阅读突发!奔驰车载系统大面积崩溃;首个已知AI零点击漏洞细节曝光 | 牛览 安全牛 2025-06-12 09:40 新闻速览 •突发!奔驰车载系统大面积崩溃 •内存泄漏漏洞意外曝光MaaS组织DanaBot内部运作 •650个IP联合暴力攻击瞄准Apache Tomcat管理面板 •Erie保险确认遭受网络攻击,导致业务中断 •Salesforce Industry Cloud曝出20个安全漏洞,包
继续阅读工业自动化PROFINET协议库P-Net 高危漏洞预警 原创 xubeining 山石网科安全技术研究院 2025-06-12 09:30 攻击者只需网络访问权限,即可让工业设备宕机、CPU100%满载,甚至完全失控! 工业自动化领域广泛使用的PROFINET协议库P-Net被曝存在10个高危漏洞!Nozomi Networks Labs最新研究发现,这些漏洞可导致设备拒绝服务、内存破坏甚至完全
继续阅读创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-06-12 09:02 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高
继续阅读CVE-2025-24071 – Windows 文件资源管理器欺骗漏洞 TtTeam 2025-06-12 09:01 该漏洞源于.library-msWindows资源管理器中文件的隐式信任和自动文件解析行为。未经身份验证的攻击者可以通过构建包含恶意SMB路径的RAR/ZIP文件来利用此漏洞。解压后,该文件会触发SMB身份验证请求,从而可能泄露用户的NTLM哈希值。目前,该漏洞的P
继续阅读国外某数据库管理系统存在前台任意文件上传漏洞 (CVE-2025-5840) 原创 XingYue404 星悦安全 2025-06-12 07:10 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 客户数据库管理系统 (CDMS) 是一种功能强大且必不可少的工具,旨在 *以集中和结构化的方式存储、管理和组织客户*或客户信息**。该系统使企业能够有效地处理客户数据,包括联系方式、交易历史、通
继续阅读【CVE-2025-32711】全球首例 AI “零点击”漏洞:黑客可无声窃取Microsoft 365敏感数据 原创 骨哥说事 骨哥说事 2025-06-12 04:49 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/ar
继续阅读CVE-2024-23897 Jenkins CLI接口 任意文件读取漏洞 海狼风暴团队 2025-06-12 04:06 漏洞简述 在 Jenkins 的 CLI 接口 (jenkins-cli.jar)中,攻击者可通过在命令行参数中插入以“@”开头的路径,使 Jenkins 读取指定文件内容,进而实现任意文件读取。 受影响版本 Jenkins ≤2.441,LTS ≤2.426.2 知识拓展
继续阅读韩国VPN供应链遭M国APT植入后门!新型木马「SlowStepper」监听半导体巨头,跨境安全危机升级 原创 紫队 紫队安全研究 2025-06-12 03:59 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标
继续阅读CVE-2025-33053,Stealth Falcon 和 Horus:中东网络间谍活动传奇 Ots安全 2025-06-12 03:57 本文深入探讨了Stealth Falcon高级持续性威胁(APT)组织近期发起的网络间谍活动。该活动利用了微软WebDAV协议中的零日漏洞(CVE-2025-33053),通过精心伪装的.url文件从受控服务器执行恶意软件。Check Point Rese
继续阅读CVE-2025-32717 Microsoft Word 远程代码执行漏洞 Ots安全 2025-06-12 03:57 微软近期披露了一个影响 Microsoft Word 的严重安全漏洞,编号为 CVE-2025-32717。该漏洞允许远程代码执行 (RCE),攻击者可以通过诱骗受害者打开经特殊设计的 Word 文档,在受害者系统上执行任意代码。鉴于 Microsoft Word 在个人和专
继续阅读【安全更新】微软6月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2025-06-12 03:02 通告编号:NS-2025-0033 2025-06-12 TAG: 安全更新、Windows、Microsoft Office、Azure、Microsoft Visual Studio 漏洞危害: 攻击者利用本次安全更新中的漏洞,可造成权限提升、远程代码执行等 版本: 1.
继续阅读