我不再依赖 CVE ,对漏洞管理的重新构想
我不再依赖 CVE ,对漏洞管理的重新构想 原创 刘宸宇 数世咨询 2025-06-05 10:31 疲于奔命的漏洞管理 漏洞管理的天然滞后性,加上策略和流程的延迟,让安全团队疲于奔命。在能力有限的现实下,要立即修复所有漏洞只会让团队不堪重负。我们的漏洞运营中心 (VOC) 数据集分析团队在 68,500 个客户资产中发现了 1,337,797 个安全漏洞。其中有CVE编号的 32,585 个漏洞
继续阅读标签: CVE
DataEase H2数据库远程代码执行漏洞(CVE-2025-49002)
DataEase H2数据库远程代码执行漏洞(CVE-2025-49002) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-06-05 10:09 漏洞名称: DataEase H2数据库远程代码执行漏洞(CVE-2025-49002) 组件名称: DataEase 影响范围: DataEase ≤ 2.10.8 漏洞类型: 代码执行 利用条件: 1、用户认证:不需要用户认证 2、前置条件:
继续阅读更新:改造模糊测试工具 | 系统0day安全-二进制漏洞攻防(第4期)
更新:改造模糊测试工具 | 系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-06-05 09:59 更新:第六章:改造模糊测试工具 6.1 模糊测试挖掘命令注入漏洞 https://www.kanxue.com/book-193-5395.htm 6.2 模糊测试挖掘命令注入实现 https://www.kanxue.com/book-193-5420.htm 二进制漏洞,作
继续阅读CVE-2024-4956 Nexus Repository 3 路径遍历漏洞
CVE-2024-4956 Nexus Repository 3 路径遍历漏洞 海狼风暴团队 2025-06-05 09:43 漏洞简述 Nexus Repository 3 在处理用户提供的路径时存在缺陷,仅依赖 Jetty 的基础验证,未进行严格的安全检查。攻击者可构造恶意 URL 进行路径遍历,访问系统上的任意文件。 受影响版本 Nexus Repository 3.0.0 –
继续阅读谷歌披露威胁组织攻击方式:伪造Salesforce数据加载器实施钓鱼攻击
谷歌披露威胁组织攻击方式:伪造Salesforce数据加载器实施钓鱼攻击 邑安科技 邑安全 2025-06-05 09:30 更多全球网络安全资讯尽在邑安全 谷歌近日披露了一个以经济利益为动机的威胁组织UNC6040的详细情况。该组织专门通过语音钓鱼(vishing)攻击入侵企业的Salesforce系统,实施大规模数据窃取和后续勒索活动。 冒充IT支持人员的社交工程攻击 谷歌威胁情报团队追踪发现
继续阅读【漏洞通告】DataEase远程代码执行漏洞安全风险通告
【漏洞通告】DataEase远程代码执行漏洞安全风险通告 嘉诚安全 2025-06-05 08:42 漏洞背景 近日,嘉诚安全 监测到 DataEase远程代码执行漏洞,漏洞编号为: CVE-2025-48999、CVE-2025-49001、CVE-2025-49002 。 DataEase是一款开源的数据分析平台,提供丰富的数据可视化和分析功能,帮助用户轻松地进行数据探索和决策支持。 鉴于漏洞
继续阅读【高危漏洞预警】Dataease JWT认证绕过&H2数据库远程代码执行漏洞
【高危漏洞预警】Dataease JWT认证绕过&H2数据库远程代码执行漏洞 cexlife 飓风网络安全 2025-06-05 08:22 1.Dataease JWT 认证绕过漏洞(CVE-2025-49001) 漏洞描述: DаtаEаѕе是一个开源的业务智能和数据可视化工具,它允许用户通过图形化界面对数据进行分析和展示,在版本2.10.10之前,该工具的密钥验证未能正确实施,导致
继续阅读Roundcube ≤ 1.6.10 通过 PHP 对象反序列化进行身份验证后 RCE
Roundcube ≤ 1.6.10 通过 PHP 对象反序列化进行身份验证后 RCE Ots安全 2025-06-05 07:58 2025年6月5日,网络安全研究人员Kirill Firsov披露了Roundcube webmail(版本1.1.0至1.6.10)中的一个严重远程代码执行(RCE)漏洞,编号CVE-2025-49113。该漏洞源于PHP对象反序列化机制中的缺陷,存在于Round
继续阅读CVE-2025–4123 | Grafana SSRF和账户接管漏洞分析
CVE-2025–4123 | Grafana SSRF和账户接管漏洞分析 白帽子左一 白帽子左一 2025-06-05 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 摘要 开放重定向是指当一个网页应用程序接收一个URL参数并将用户重定向到该指定URL时,未对其进行验证的情况。 /redirect?url=ht
继续阅读【已复现】DataEase 远程代码执行漏洞(CVE-2025-49001、CVE-2025-49002)安全风险通告
【已复现】DataEase 远程代码执行漏洞(CVE-2025-49001、CVE-2025-49002)安全风险通告 奇安信 CERT 2025-06-05 03:43 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 DataEase 远程代码执行漏洞 漏洞编号 CVE-2025-49001、CVE-2025-49002 公开时间 2025-06-03 影响量级 万级 奇安信
继续阅读信息安全漏洞周报(2025年第22期)
信息安全漏洞周报(2025年第22期) 原创 CNNVD CNNVD安全动态 2025-06-05 03:39 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年5月26日至2025年6月1日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞460个。 接报漏洞情况 本周CNNVD接报漏洞7460个,其中信息技术产品漏洞(通用型漏洞)272个,网络
继续阅读微步情报局发现DataEase存在多个高危漏洞,可实现RCE
微步情报局发现DataEase存在多个高危漏洞,可实现RCE 原创 微步情报局 微步在线研究响应中心 2025-06-05 03:30 漏洞概况 DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据、洞察业务趋势,从而支持业务改进和优化。 微步情报局挖掘到DataEase 多个高危漏洞,包括CVE-2025-48999,CVE-2025-49001,CVE-2025-4900
继续阅读漏洞预警 | Google Chrome越界读写漏洞
漏洞预警 | Google Chrome越界读写漏洞 浅安 浅安安全 2025-06-05 00:00 0x00 漏洞编号 – # CVE-2025-5419 0x01 危险等级 – 高危 0x02 漏洞概述 Google Chrome V8是一个高效的开源JavaScript引擎,用于Chrome浏览器和Node.js等平台。 0x03 漏洞详情 CVE-2025-541
继续阅读【AI高危漏洞预警】llama_index DuckDBVectorStore SQL注入漏洞CVE-2025-1750
【AI高危漏洞预警】llama_index DuckDBVectorStore SQL注入漏洞CVE-2025-1750 cexlife 飓风网络安全 2025-06-04 14:24 漏洞描述: llаmа_Indех是一个用于构建基于数据的LLM驱动代理的领先框架,该漏洞由于llаmа_Indех的DuсkDBVесtоrStоrе组件中的rеf_dос_id参数直接执行攻击者传递的恶意SQL
继续阅读【高危漏洞预警】Roundcube Webmail upload.php _from反序列化代码执行漏洞
【高危漏洞预警】Roundcube Webmail upload.php _from反序列化代码执行漏洞 cexlife 飓风网络安全 2025-06-04 14:24 漏洞描述: Roundcube Webmail是一个邮件服务器,CVE-2025-49113中,在1.5.10之前和低于1.6.11的1.6.x版本中,由于在program/actions/settings/upload.php文
继续阅读【成功复现】ZZCMS系统SQL注入漏洞(CVE-2025-0565)
【成功复现】ZZCMS系统SQL注入漏洞(CVE-2025-0565) 原创 弥天安全实验室 弥天安全实验室 2025-06-04 12:04 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 ZZCMS是中国ZZCMS团队的一套内容管理系统(CMS)。 ZZCMS是一款功能强大且灵活的内容管理系统,专为企业
继续阅读Splunk Universal Forwarder for Windows 漏洞授予非管理员用户完全内容访问权限
Splunk Universal Forwarder for Windows 漏洞授予非管理员用户完全内容访问权限 网安百色 2025-06-04 11:30 已针对 Splunk Universal Forwarder for Windows 发布了关键安全公告 (SVD-2025-0602),解决了一个高严重性漏洞 (CVE-2025-20298),该漏洞使 Windows 系统面临潜在的权限
继续阅读谷歌紧急发布安卓安全更新,修复多项高危漏洞
谷歌紧急发布安卓安全更新,修复多项高危漏洞 FreeBuf FreeBuf 2025-06-04 11:13 谷歌紧急发布面向安卓设备的全面安全更新,修复了多个可能导致权限提升和远程代码执行的高危漏洞。此次更新针对Arm、Imagination Technologies和高通等主要硬件厂商的关键缺陷,其中许多漏洞的CVE评级表明它们对全球安卓用户构成重大安全风险。 这份最新安全公告是 今年发布的最
继续阅读【安全圈】高通紧急发布 5 月补丁,修复 3 个 Adreno GPU 零日漏洞
【安全圈】高通紧急发布 5 月补丁,修复 3 个 Adreno GPU 零日漏洞 安全圈 2025-06-04 11:01 关键词 安全漏洞 科技媒体 bleepingcomputer 昨日(6 月 2 日)发布博文,报道称高通针对 Adreno 图形处理单元(GPU)驱动中存在的 3 个零日漏洞,发布了新的安全补丁。 这三个漏洞追踪编号分别为 CVE-2025-21479、CVE-2025-21
继续阅读谷歌悄悄紧急修复已遭利用的 Chrome 0day
谷歌悄悄紧急修复已遭利用的 Chrome 0day Ionut Arghire 代码卫士 2025-06-04 10:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周一,谷歌发布 Chrome 137 更新,修复了三个漏洞,其中一个是已遭在野利用的高危 0day 漏洞,CVE-2025-5419。 该漏洞是位于 V8 JavaScript 引擎中的一个界外读和写问题。谷歌在安全公告
继续阅读慧与:注意这个严重的 StoreOnce 认证绕过漏洞
慧与:注意这个严重的 StoreOnce 认证绕过漏洞 Bill Toulas 代码卫士 2025-06-04 10:41 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 慧与 (HPE) 发布安全通告提醒称,基于磁盘的备份和冗余数据删除解决方案StoreOnce 中存在8个漏洞,其中最严重的是一个认证绕过漏洞CVE-2025-37093(CVSS 评分9.8),其余漏洞是四个RCE漏洞、两
继续阅读CNNVD | 关于Google Chrome安全漏洞的通报
CNNVD | 关于Google Chrome安全漏洞的通报 中国信息安全 2025-06-04 10:30 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于Google Chrome安全漏洞(CNNVD-202506-135、CVE-2025-5419)情况的报送。成功利用漏洞的攻击者可实现远程代码执行,
继续阅读llama_Index SQL注入漏洞(CVE-2025-1750)POC及本地复现部署环境
llama_Index SQL注入漏洞(CVE-2025-1750)POC及本地复现部署环境 原创 a1batr0ss 天翁安全 2025-06-04 10:00 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方
继续阅读潜伏10年!Roundcube Webmail 重大安全漏洞曝光,CVSS 评分 9.9
潜伏10年!Roundcube Webmail 重大安全漏洞曝光,CVSS 评分 9.9 看雪学苑 看雪学苑 2025-06-04 09:59 网络安全研究人员披露了 Roundcube Webmail 软件中一个未被发现长达十年的严重安全漏洞,该漏洞可能被利用来接管易受影响的系统并执行任意代码。 该漏洞被追踪为 CVE – 2025 – 49113,CVSS 评分为 9.
继续阅读CVE-2020-11800 Zabbix 命令注入漏洞复现
CVE-2020-11800 Zabbix 命令注入漏洞复现 海狼风暴团队 2025-06-04 09:48 漏洞简述 Zabbix Server的Trapper Command功能存在代码执行漏洞,攻击者可通过 IPv6 进行绕过并注入任意命令,导致远程代码执行。 受影响版本 Zabbix 3.0.x~3.0.30 漏洞环境搭建 知识扩展 Zabbix 是由 Alexei Vladishev 开
继续阅读CNNVD关于Google Chrome安全漏洞的通报
CNNVD关于Google Chrome安全漏洞的通报 原创 CNNVD CNNVD安全动态 2025-06-04 08:56 点击蓝字 关注我们 漏洞情况 近日,国家信息安全漏洞库(CNNVD)收到关于Google Chrome安全漏洞(CNNVD-202506-135、CVE-2025-5419)情况的报送。成功利用漏洞的攻击者可实现远程代码执行,进而控制目标设备。Google Chrome多
继续阅读【论文速读】| SecVulEval:针对真实世界C/C++漏洞检测的LLM基准测试
【论文速读】| SecVulEval:针对真实世界C/C++漏洞检测的LLM基准测试 原创 知识分享者 安全极客 2025-06-04 08:51 基本信息 原文标题: SECVULEVAL:BenchmarkingLLMsforReal-WorldC/C++VulnerabilityDetection 原文作者: MdBasimUddinAhmed,NimaShiriHarzevili,Jiho
继续阅读联发科芯片漏洞:攻击者无需用户交互即可提权
联发科芯片漏洞:攻击者无需用户交互即可提权 邑安科技 邑安全 2025-06-04 08:10 更多全球网络安全资讯尽在邑安全 联发科(MediaTek)智能手机、平板电脑和物联网芯片组中存在的多个高危安全漏洞,可能允许攻击者在无需用户交互的情况下提升权限并破坏设备安全。 漏洞概况 根据中国台湾芯片制造商发布的2025年6月产品安全公告,共披露了7个通用漏洞披露(CVE),按照CVSS v3.1标
继续阅读谷歌紧急发布安卓安全更新,修复可导致权限提升的多项高危漏洞
谷歌紧急发布安卓安全更新,修复可导致权限提升的多项高危漏洞 邑安科技 邑安全 2025-06-04 08:10 更多全球网络安全资讯尽在邑安全 谷歌紧急发布面向安卓设备的全面安全更新,修复了多个可能导致权限提升和远程代码执行的高危漏洞。此次更新针对Arm、Imagination Technologies和高通等主要硬件厂商的关键缺陷,其中许多漏洞的CVE评级表明它们对全球安卓用户构成重大安全风险。
继续阅读【漏洞通告】Google Chrome V8引擎越界读写漏洞(CVE-2025-5419)
【漏洞通告】Google Chrome V8引擎越界读写漏洞(CVE-2025-5419) 启明星辰安全简讯 2025-06-04 07:24 一、漏洞概述 漏洞名称 Google Chrome V8引擎越界读写漏洞 CVE ID CVE-2025-5419 漏洞类型 越界读写 发现时间 2025-06-04 漏洞评分 8.8 漏洞等级 高危 攻击向量 网络 所需权限 不需要 利用难度 低 用户交
继续阅读