利用 CVE-2025-0072 绕过 MTE
利用 CVE-2025-0072 绕过 MTE Ots安全 2025-06-11 03:16 这篇文章深入探讨了 CVE-2025-0072 ,一个影响 ARM Mali GPU 驱动的漏洞,作者详细描述了如何利用该漏洞在启用内存标签扩展(Memory Tagging Extension, MTE)的安卓设备上实现任意内核代码执行。以下是文章的核心内容: 1. 漏洞背景 : CVE-2025-0
继续阅读标签: CVE
CVE 2024-43570 和 CVE-2024-43535 的报告和 POC
CVE 2024-43570 和 CVE-2024-43535 的报告和 POC Ots安全 2025-06-11 03:16 CVE-2024-43570 简介 – 类型:Windows 内核提权漏洞 发布日期:2024年10月8日 影响:攻击者可利用 Windows 内核缺陷,执行任意代码,获取系统管理员权限,可能导致系统完全受损。 受影响系统:Windows 10、Windows
继续阅读信息安全漏洞周报(2025年第23期)
信息安全漏洞周报(2025年第23期) 原创 CNNVD CNNVD安全动态 2025-06-11 02:59 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年6月2日至2025年6月8日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞854个。 接报漏洞情况 本周CNNVD接报漏洞7280个,其中信息技术产品漏洞(通用型漏洞)272个,网络信
继续阅读等保测评十大高频漏洞:SQL 注入竟不是第一名?
等保测评十大高频漏洞:SQL 注入竟不是第一名? 原创 牛叫瘦 HACK之道 2025-06-11 02:34 在网络安全领域,等保测评(网络安全等级保护测评)是企业和机构确保信息系统合规性与安全性的重要手段。随着网络攻击技术的不断演进,传统认知中的 “高危漏洞之王” SQL 注入,在近年的等保测评中已不再稳居榜首。这一变化不仅反映了安全防护技术的进步,也揭示了新型攻击手段的崛起。本文将基于最新等
继续阅读安天移动近期威胁情报盘点(5月29日-6月10日)
安天移动近期威胁情报盘点(5月29日-6月10日) AVL威胁情报团队 安天AVL威胁情报中心 2025-06-11 02:07 本期导读: 移动安全 ● 新型”选择劫持”攻击:恶意充电器可入侵安卓与iOS设备 ● Android 银行木马 Crocodilus 迅速演变并走向全球 ● Android 恶意软件 BADBOX 2.0 感染数百万台消费设备 ● Met
继续阅读Stealth Falcon威胁组织利用微软WebDAV 0day漏洞开展间谍活动
Stealth Falcon威胁组织利用微软WebDAV 0day漏洞开展间谍活动 会杀毒的单反狗 军哥网络安全读报 2025-06-11 01:03 导读 Check Point 研究人员发现 Stealth Falcon 威胁组织利用微软零日漏洞开展网络间谍活动。 此次行动部署了一套复杂的自定义加载器和植入程序,旨在规避检测、阻碍分析,并选择性地仅在有价值的目标上激活。 2025年3月,Che
继续阅读微软6月补丁日多个产品安全漏洞风险通告:1个在野利用、9个紧急漏洞
微软6月补丁日多个产品安全漏洞风险通告:1个在野利用、9个紧急漏洞 奇安信 CERT 2025-06-11 00:56 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年6月补丁日多个产品安全漏洞 影响产品 Windows 通用日志文件系统驱动程序、Windows Installer、Microsoft Office等。 公开时间 2025-06-11 影响对象数量
继续阅读【已复现】Kafka Connect 任意文件读取漏洞(CVE-2025-27817)
【已复现】Kafka Connect 任意文件读取漏洞(CVE-2025-27817) 长亭安全应急响应中心 2025-06-10 13:43 Apache Kafka Connect 是 Apache Kafka 生态系统的核心组件之一,用于实现 Kafka 与外部数据系统之间的可靠、可扩展的数据集成。 2025年6月10日,Apache发布安全通告,修复了 Kafka Connect 组件中的
继续阅读【复现】Kafka Connect任意文件读取漏洞(CVE-2025-27817)风险通告
【复现】Kafka Connect任意文件读取漏洞(CVE-2025-27817)风险通告 赛博昆仑CERT 2025-06-10 12:05 赛博昆仑漏洞 安全风险通告 Kafka Connect任意文件读取漏洞(CVE-2025-27817)风险通告 漏洞描述 Kafka Connect 是一种用于在 Apache Kafka 和其他系统之间可扩展且可靠地流式传输数据的工具。 它使快速定义将大
继续阅读【漏洞通告】Apache Kafka Connect 任意文件读取漏洞(CVE-2025-27817)
【漏洞通告】Apache Kafka Connect 任意文件读取漏洞(CVE-2025-27817) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-06-10 12:04 漏洞名称: Apache Kafka Connect 任意文件读取漏洞(CVE-2025-27817) 组件名称: Apache-Kafka 影响范围: 3.1.0 ≤ Apache Kafka < 3.9.1 漏
继续阅读CLFS cve-2022-37969
CLFS cve-2022-37969 原创 12138 我吃你家米了 2025-06-10 12:04 阅读原文
继续阅读Redis未授权漏洞复现汇总
Redis未授权漏洞复现汇总 网安探索员 网安探索员 2025-06-10 12:00 原文链接: https://www.freebuf.com/articles/web/433079.html Redis介绍 Redis是现在最受欢迎的NoSQL数据库之一,Redis是一个使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数据库,其具备如下特性: 基于内存
继续阅读【成功复现】Roundcube Webmail代码执行漏洞(CVE-2025-49113)
【成功复现】Roundcube Webmail代码执行漏洞(CVE-2025-49113) 弥天安全实验室 弥天安全实验室 2025-06-10 11:10 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 Roundcube Webmail是一款流行的开源Web邮件客户端,旨在提供用户友好的界面和强大的功能
继续阅读【漏洞通告】Apache Kafka Connect LDAP远程代码执行漏洞(CVE-2025-27818)
【漏洞通告】Apache Kafka Connect LDAP远程代码执行漏洞(CVE-2025-27818) 启明星辰安全简讯 2025-06-10 10:17 一、漏洞概述 漏洞名称 Apache Kafka Connect LDAP远程代码执行漏洞 CVE ID CVE-2025-27818 漏洞类型 RCE 发现时间 2025-06-10 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所
继续阅读【漏洞通告】Apache Kafka Broker JNDI远程代码执行漏洞(CVE-2025-27819)
【漏洞通告】Apache Kafka Broker JNDI远程代码执行漏洞(CVE-2025-27819) 启明星辰安全简讯 2025-06-10 10:17 一、漏洞概述 漏洞名称 Apache Kafka Broker JNDI远程代码执行漏洞 CVE ID CVE-2025-27819 漏洞类型 RCE 发现时间 2025-06-10 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权
继续阅读【论文速读】| VADER:漏洞评估、检测、解释和修复的人工评估基准
【论文速读】| VADER:漏洞评估、检测、解释和修复的人工评估基准 原创 知识分享者 安全极客 2025-06-10 10:08 基本信息 原文标题: VADER:AHuman-EvaluatedBenchmarkforVulnerabilityAssessment,Detection,Explanation,andRemediation 原文作者: EthanTS.Liu,AustinWang
继续阅读漏洞管理玩法已变,四大常见错误亟待摒弃
漏洞管理玩法已变,四大常见错误亟待摒弃 安全牛 2025-06-10 10:04 N 漏洞管理已经彻底转型,它不再是简单地完成清单上的任务,而是构建一个融合实时可见性、智能风险排序和前瞻性自动化的完整防御体系。 可以说,今天的漏洞管理与五年前相比已经发生了质的变化。如果你仍然固守于定期扫描模式,仅仅”建议”而非强制实施更新,或过度依赖CVSS分数作为唯一决策依据,那么,你实
继续阅读Fuzz挖掘sudo提权漏洞:一次堆溢出如何逆向分析出提权思路
Fuzz挖掘sudo提权漏洞:一次堆溢出如何逆向分析出提权思路 Brinmon 看雪学苑 2025-06-10 09:59 1 文章概述 堆漏洞在二进制中是非常常见的,之前一直觉得CTF-Pwn的堆题没有任何实战价值,之后开始实战漏洞挖掘后发现大部分挖出来的奔溃样本都是堆内存相关的,这就引发了思考,堆内存触发的奔溃大部分都只能触发溢出到底该如何利用呢?但是我觉得这个应该是我自己的知识范围不够,之后
继续阅读【漏洞通告】Apache Kafka任意文件读取与SSRF漏洞(CVE-2025-27817)
【漏洞通告】Apache Kafka任意文件读取与SSRF漏洞(CVE-2025-27817) 原创 NS-CERT 绿盟科技CERT 2025-06-10 09:40 通告编号:NS-2025-0032 2025-06-10 TAG: Apache Kafka、任意文件读取、CVE-2025-27817 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟
继续阅读2024年度Linux内核漏洞类型及趋势分析
2024年度Linux内核漏洞类型及趋势分析 原创 unr4v31 山石网科安全技术研究院 2025-06-10 09:06 Linux内核漏洞频发,2024年竟高达3119个! Linux内核作为操作系统的核心,其安全性直接影响系统的稳定性与可靠性。通过对CVE数据的统计与分析,可以更好地理解内核漏洞的分布。 本文统计了2024年Linux内核的CVE数据,共计3119个漏洞,数据来源于NVD。
继续阅读2024年度Linux内核漏洞类型及趋势分析
2024年度Linux内核漏洞类型及趋势分析 原创 unr4v31 山石网科安全技术研究院 2025-06-10 09:06 Linux内核漏洞频发,2024年竟高达3119个! Linux内核作为操作系统的核心,其安全性直接影响系统的稳定性与可靠性。通过对CVE数据的统计与分析,可以更好地理解内核漏洞的分布。 本文统计了2024年Linux内核的CVE数据,共计3119个漏洞,数据来源于NVD。
继续阅读【高危漏洞预警】Apache Kafka Client 任意文件读取与SSRF漏洞CVE-2025-27817
【高危漏洞预警】Apache Kafka Client 任意文件读取与SSRF漏洞CVE-2025-27817 cexlife 飓风网络安全 2025-06-10 07:52 漏洞描述: 该漏洞产生的原因是Aрасhе Kаfkа客户端在处理SASL/OAUTHBEARER连接配置时,允许通过配置项ѕаѕl.оаuthbеаrеr.tоkеn.еndроint.url和 ѕаѕl.оаuthbеа
继续阅读【高危漏洞预警】Apache Kafka Client配置造成远程代码执行漏洞CVE-2025-27818
【高危漏洞预警】Apache Kafka Client配置造成远程代码执行漏洞CVE-2025-27818 cexlife 飓风网络安全 2025-06-10 07:52 漏洞描述: 该漏洞产生的原因是Aрасhе Kаfkа在处理Kаfkа Cоnnесt的SASL JAAS配置时,允许通过ѕаѕl.јааѕ.соnfiɡ属性配置соm.ѕun.ѕесuritу.аuth.mоdulе.Ldар
继续阅读【漏洞预警】Apache Kafka Connect 任意文件读取和服务端请求伪造漏洞(CVE-2025-27817)
【漏洞预警】Apache Kafka Connect 任意文件读取和服务端请求伪造漏洞(CVE-2025-27817) 原创 聚焦网络安全情报 安全聚 2025-06-10 07:21 高 危 公 告 近日,安全聚实验室监测到 Apache Kafka Connect 存在任意文件读取和服务端请求伪造漏洞,编号为:CVE-2025-27817,CVSS:7.5 Kafka 客户端在配置 SASL
继续阅读【漏洞预警】Apache Kafka Connect任意文件读取漏洞风险通告
【漏洞预警】Apache Kafka Connect任意文件读取漏洞风险通告 原创 masterC 企业安全实践 2025-06-10 07:13 一、漏洞描述 Kafka是由Apache软件基金会开发的一个开源流处理平台,由Scala和Java编写。Apache Kafka Connect是Apache Kafka生态系统中的一个组件,它提供了一种可靠且可扩展的方式来连接Kafka与其他系统。
继续阅读图书管理员食尸鬼APT组织:将合法工具武器化的网络犯罪集团
图书管理员食尸鬼APT组织:将合法工具武器化的网络犯罪集团 邑安科技 邑安全 2025-06-10 07:12 更多全球网络安全资讯尽在邑安全 卡巴斯基实验室最新报告披露,一个被称为”图书管理员食尸鬼”(Librarian Ghouls,别称”稀有狼人”和”Rezet”)的高级持续性威胁(APT)组织近期再度活跃,正在俄罗斯和
继续阅读谷歌账户恢复漏洞致攻击者可获取任意用户手机号
谷歌账户恢复漏洞致攻击者可获取任意用户手机号 邑安科技 邑安全 2025-06-10 07:12 更多全球网络安全资讯尽在邑安全 根据BruteCat安全研究人员本周披露的报告,谷歌账户恢复系统中存在一个高危漏洞,攻击者可通过精心设计的暴力破解攻击获取任意谷歌用户的手机号码。该漏洞现已被修复,其利用谷歌的无JavaScript(No-JS)用户名恢复表单绕过安全防护机制,窃取敏感个人信息。 漏洞原
继续阅读CVE-2025-49113 漏洞分析与利用方式
CVE-2025-49113 漏洞分析与利用方式 原创 4uuu Nya 奇安信天工实验室 2025-06-10 07:06 目 录 一、前 言 二、版本diff 三、复现环境 四、漏洞分析 五、总 结 一 前 言 2025年6月2日公开了一个RoundCube邮件系统中的一个RCE漏洞,信息如下: 影响版 本<1.5.10 <1.6.11 , 虽 然 是一个认证后才可以触发的漏
继续阅读利用Reverge自动化工具:提升漏洞赏金 hunting 的速度与效率
利用Reverge自动化工具:提升漏洞赏金 hunting 的速度与效率 Ots安全 2025-06-10 06:26 本文深入探讨了如何通过利用自动化工具“reverge”显著提升漏洞赏金(bug bounty) hunting的效率与成功率,特别针对当前网络安全领域日益增长的需求和挑战。文章以作者的亲身实践为基础,详细讲解了从漏洞的证明概念(PoC,例如近期在Fortinet产品中被利用的CV
继续阅读Apache Kafka 多个高危漏洞安全风险通告
Apache Kafka 多个高危漏洞安全风险通告 奇安信 CERT 2025-06-10 06:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Kafka 多个高危漏洞 漏洞编号 CVE-2025-27817、CVE-2025-27818、CVE-2025-27819 公开时间 2025-06-09 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数
继续阅读