Canon 打印机存在获取管理员权限漏洞
Canon 打印机存在获取管理员权限漏洞 网安百色 2025-05-25 11:30 Canon Inc. 发布了一份重要的安全建议,警告客户注意影响其各种生产打印机、Office 多功能打印机和激光打印机的严重漏洞。 这些漏洞被确定为 CVE-2025-3078 和 CVE-2025-3079,使恶意行为者能够从受感染的设备中提取敏感的身份验证信息,从而可能导致更广泛的网络渗透。 该回传漏洞影响
继续阅读标签: CVE
Java代码审计 | Alibaba Sentinel SSRF漏洞代码审计
Java代码审计 | Alibaba Sentinel SSRF漏洞代码审计 小瑟斯 闪石星曜CyberSecurity 2025-05-25 08:38 内部学员投稿。 首发于:https://xz.aliyun.com/news/18017 学代码审计就找闪石星曜CyberSecurity。 详情可点击下方链接了解。 《JavaWeb代码审计企业级项目实战》课程2.0升级版,新增10节实战课!
继续阅读黑客利用Cisco路由器漏洞建立大规模Honeypot网络,全球感染5300多台设备
黑客利用Cisco路由器漏洞建立大规模Honeypot网络,全球感染5300多台设备 知机安全 知机安全 2025-05-24 10:03 1. ViciousTrap黑客组织利用Cisco路由器漏洞建立大规模 honeypot网络 网络安全研究人员披露,一个名为ViciousTrap的威胁行动者已经通过利用Cisco Small Business Routers的严重安全漏洞,感染了5300多台
继续阅读Linux内核漏洞利用CVE-2025-21756:Vsock 攻击
Linux内核漏洞利用CVE-2025-21756:Vsock 攻击 Ots安全 2025-05-24 08:50 w 文章讲的是Linux内核的一个漏洞,CVE-2025-21756,名字还挺酷,叫“Attack of the Vsock”。这个漏洞其实是个Use-After-Free问题,存在于vsock子系统里,主要是因为引用计数处理得不好,导致攻击者能直接提权到root,拿到系统控制权。作
继续阅读Apache Httpd 常见漏洞解析(全)
Apache Httpd 常见漏洞解析(全) 船山信安 2025-05-24 06:56 一、Apache HTTPD 换行解析漏洞 漏洞编号:CVE-2017-15715 Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。 其2.4.0~2.4.29版本中存在一个解析漏洞。 在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安
继续阅读【一周安全资讯0524】《2025年深入推进IPv6规模部署和应用工作要点》印发;英特尔CPU曝重大安全漏洞,可导致内存泄露
【一周安全资讯0524】《2025年深入推进IPv6规模部署和应用工作要点》印发;英特尔CPU曝重大安全漏洞,可导致内存泄露 聚铭网络 2025-05-24 03:00 WEEKLY NEWS 每周安全资讯 新鲜资讯热点都在这里 要闻速览 1 中央网信办等三部门印发《2025年深入推进IPv6规模部署和应用工作要点》 2 公安部网安局部署依托网络安全服务认证体系加强等级测评监管工作 3 英特尔CP
继续阅读ViciousTrap 威胁组织利用思科漏洞用 5,300 台受感染设备构建全球蜜罐
ViciousTrap 威胁组织利用思科漏洞用 5,300 台受感染设备构建全球蜜罐 会杀毒的单反狗 军哥网络安全读报 2025-05-24 01:00 导读 网络安全研究人员称,代号为 ViciousTrap 的威胁组织入侵了 84 个国家近 5,300 个独特的网络边缘设备,并将它们变成了类似蜜罐的网络。 据观察,威胁组织利用影响思科小型企业 RV016、RV042、RV042G、RV082、
继续阅读Grafana CVE-2025-4123:SSRF 和账户接管漏洞完整解读
Grafana CVE-2025-4123:SSRF 和账户接管漏洞完整解读 haidragon 安全狗的自我修养 2025-05-24 00:05 https://nightbloodz.github.io/grafana-CVE-2025-4123/ 概括 当 Web 应用程序采用 URL 参数并将用户重定向到指定的 URL 而不进行验证时,就会发生开放重定向。 /redirect?url=h
继续阅读全网首发!CVE-2025-24813 Tomcat 最新 RCE 分析复现
全网首发!CVE-2025-24813 Tomcat 最新 RCE 分析复现 菜狗 富贵安全 2025-05-24 00:03 漏洞概况 Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。 该漏洞利用条件较为复杂,需同时满足以下四个条件: 1. 应用程序启用
继续阅读ViciousTrap利用思科漏洞构建全球蜜罐网络:5300余台设备沦为监控工具
ViciousTrap利用思科漏洞构建全球蜜罐网络:5300余台设备沦为监控工具 原创 道玄安全 道玄网安驿站 2025-05-23 23:00 “ 思科。” PS:有内网web自动化需求可以私信 01 — 导语 2025年5月,网络安全公司Sekoia.io揭露了一项名为 ViciousTrap 的高级持续性威胁活动。该组织通过利用思科(Cisco)路由器的漏洞(CVE-2023-20118)
继续阅读浅谈src挖掘中——文件上传和XSS漏洞的组合拳
浅谈src挖掘中——文件上传和XSS漏洞的组合拳 routing 网络安全者 2025-05-23 16:01 0x1 前言 哈喽,师傅们好! 这次打算给师弟们分享的是XSS之Flash弹窗钓鱼和文件上传getshell各种姿势的内容,然后先是给小白师傅们简单介绍下XSS漏洞和文件上传漏洞。然后后面给师傅们简单演示了XSS之Flash弹窗钓鱼,然后后面很详细的介绍了文件上传和XSS漏洞的组合拳的好
继续阅读【CVE-2025–4123】:Grafana SSRF 及帐户接管利用
【CVE-2025–4123】:Grafana SSRF 及帐户接管利用 原创 骨哥说事 骨哥说事 2025-05-23 16:00 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4339 **不想错过任何消
继续阅读【漏洞预警】Grafana未授权跨站点脚本攻击XSS&SSRF漏洞
【漏洞预警】Grafana未授权跨站点脚本攻击XSS&SSRF漏洞 cexlife 飓风网络安全 2025-05-23 12:25 漏洞描述: Grafana发布安全公告修复了2个安全漏洞,其中包括一个跨站点脚本(XSS)漏洞,该漏洞是由客户端路径遍历和开放重定向的结合造成的。这使得攻击者能够将用户重定向到一个托管前端插件的网站该插件将执行任意的JavaScript,如果安装了Grafan
继续阅读Grafana 紧急提前修复已被公开的XSS 0day漏洞
Grafana 紧急提前修复已被公开的XSS 0day漏洞 Ddos 代码卫士 2025-05-23 10:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Grafana Labs 披露了计划之外的安全发布,修复了一个高危XSS漏洞CVE-2025-4123(CVSS评分7.6)。 该XSS漏洞结合了一个客户端路径遍历漏洞和自定义前端插件中的一个开放重定向漏洞。该漏洞可导致攻击者将不知
继续阅读【漏洞复现】Grafana XSS &SSRF & 账户接管(CVE-2025–4123)
【漏洞复现】Grafana XSS &SSRF & 账户接管(CVE-2025–4123) 原创 安全探索者 安全探索者 2025-05-23 09:53 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Grafana 是一个开源的分析平台,主要用 Go 和 TypeScript 构建,用于可视化来自 Prometheus 和 InfluxDB 等数据源的数据。 搜索语
继续阅读信息安全漏洞周报【第023期】
信息安全漏洞周报【第023期】 零零捌信安观察 银天信息 2025-05-23 07:31 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读企业内部安全漏洞修复流程的建立与思考
企业内部安全漏洞修复流程的建立与思考 云下信安 2025-05-23 07:25 最近因为工作问题,一直在与企业内部的漏洞修复进行跟进,针对企业内部修复有一些自己的见解 。 笔者根据自己在漏洞修复的具体参与工作,针对这些工作,给出具体实施的时候存在的一些注意事项(偏向具体实施),以及自己的一些心得感受和对安全从业人员的技术要求(踩过不少坑)。 1.漏洞发现与接收 1.1 内部漏洞扫描工具 1.1.
继续阅读【严重AI漏洞预警】vLLM PyNcclPipe pickle反序列化漏洞(CVE-2025-47277)
【严重AI漏洞预警】vLLM PyNcclPipe pickle反序列化漏洞(CVE-2025-47277) cexlife 飓风网络安全 2025-05-22 13:52 漏洞描述: vLLM是一个用于大型语言模型(LLM)的推理和服务引擎,当vllm使用PyNcclPipeKV缓存传输集成与V0引擎的环境时,由于PyNcclPipe存在一个pickle反序列化漏洞,当PyNcclPipe组件对
继续阅读Ivanti EPMM 未授权远程代码执行漏洞(CVE-2025-4428)
Ivanti EPMM 未授权远程代码执行漏洞(CVE-2025-4428) Superhero Nday Poc 2025-05-22 13:04 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 漏洞是由于
继续阅读【成功复现】Gladinet CentreStack反序列化漏洞(CVE-2025-30406)
【成功复现】Gladinet CentreStack反序列化漏洞(CVE-2025-30406) 弥天安全实验室 弥天安全实验室 2025-05-22 12:35 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Gladinet CentreStack是美国Gladinet公司的一个主要移动访问和安全共享解决
继续阅读CVE-2025-26147:Denodo Scheduler 中经过身份验证的 RCE
CVE-2025-26147:Denodo Scheduler 中经过身份验证的 RCE Ots安全 2025-05-22 11:41 介绍 受影响产品摘要 Denodo提供一系列逻辑数据管理软件。 本博客重点介绍一款名为“Scheduler”的软件。Denodo Scheduler 可以调度和执行数据提取和集成作业。 受影响产品摘要 供应商:Denodo 产品:Denodo Scheduler
继续阅读多个 GitLab 漏洞使攻击者能够发起 DoS 攻击
多个 GitLab 漏洞使攻击者能够发起 DoS 攻击 网安百色 2025-05-22 11:30 GitLab 已经发布了关键安全补丁,解决了其社区版 (CE) 和企业版 (EE) 平台上的 11 个漏洞,其中三个高风险漏洞使拒绝服务 (DoS) 攻击占据了威胁态势。 版本 18.0.1、17.11.3 和 17.10.7 的协调发布正值 DevOps 平台面临多种攻击媒介之际,这些攻击媒介可能
继续阅读漏洞安全亦是国家安全|斗象晋级CNNVD国家漏洞库首批“核心技术支撑单位”
漏洞安全亦是国家安全|斗象晋级CNNVD国家漏洞库首批“核心技术支撑单位” 斗象科技 2025-05-22 10:15 4月16日,美国非营利组织MITRE宣布,作为全球漏洞管理基石的CVE通用漏洞披露数据库,由于美国联邦政府不再与其续签合同,面临停摆危机,引发多方关注。(查看报道) 5月16日,国家信息安全漏洞库(CNNVD)2024年度工作总结暨优秀表彰大会在京隆重召开,会议强调了当前全球复杂
继续阅读ChatGPT漏洞允许攻击者在共享对话中嵌入恶意SVG与图像文件
ChatGPT漏洞允许攻击者在共享对话中嵌入恶意SVG与图像文件 中科天齐软件安全中心 2025-05-22 10:00 点击 蓝字 关注中科天齐 漏洞详情 研究人员发现ChatGPT存在一个严重安全漏洞(编号CVE-2025-43714),攻击者可利用该漏洞将恶意SVG(可缩放矢量图形)和图像文件直接嵌入共享对话中,可能导致用户遭受复杂的钓鱼攻击或接触到有害内容。 该漏洞影响截至2025年3月3
继续阅读【风险通告】VMware vCenter存在命令执行漏洞(CVE-2025-41225)
【风险通告】VMware vCenter存在命令执行漏洞(CVE-2025-41225) 安恒研究院 安恒信息CERT 2025-05-22 09:55 漏洞概述 漏洞名称 VMware vCenter存在命令执行漏洞(CVE-2025-41225) 安恒CERT评级 2级 CVSS3.1评分 8.8 CVE编号 CVE-2025-41225 CNVD编号 未分配 CNNVD编号 未分配 安恒CE
继续阅读域0day容易利用吗
域0day容易利用吗 蚁景网络安全 2025-05-22 09:54 前言 很久以前的一个例子了 kerberos认证原理 先了解几个概念 认证服务(Authentication server):简称AS,认证客户端身份提供认证服务。 域控服务器(Domain Control):即DC。 服务票据(Server Ticket):简称ST,在Kerberos认证中,客户端请求的服务通过ST票据认证。
继续阅读满分严重漏洞导致 MB-Gateway 设备易受远程攻击
满分严重漏洞导致 MB-Gateway 设备易受远程攻击 Eduard Kovacs 代码卫士 2025-05-22 09:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 由工业自动化公司 AutomationDirect 制造的 MB-Gateway 设备因受严重漏洞影响,易受远程攻击。 CISA 在本周二披露了该漏洞,并在安全通告中提到,易受攻击的 Modbus 网关产品的客户遍布
继续阅读Setuptools 漏洞导致数百万 Python 用户易受RCE攻击
Setuptools 漏洞导致数百万 Python 用户易受RCE攻击 Ddos 代码卫士 2025-05-22 09:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 广为使用的 setuptools 项目中存在一个严重的路径遍历漏洞CVE-2025-47273(CVSS v4 7.7),它可导致攻击者将文件写到受害者文件系统中的任意位置,在一定条件下可导致远程代码执行后果。该漏洞已修
继续阅读Samlify SSO 签名绕过 (CVE-2025-47949):从XML签名本质到纵深防御
Samlify SSO 签名绕过 (CVE-2025-47949):从XML签名本质到纵深防御 原创 Hankzheng 技术修道场 2025-05-22 09:25 近期,Node.js 生态中流行的 SAML SSO 库 Samlify 曝出的关键级别签名绕过漏洞 (CVE-2025-47949 , CVSS v4.0: 9.9) 引发了广泛关注。此漏洞允许攻击者通过精心构造的SAML响应,
继续阅读【漏洞预警】vLLM PyNcclPipe pickle反序列化漏洞(CVE-2025-47277)
【漏洞预警】vLLM PyNcclPipe pickle反序列化漏洞(CVE-2025-47277) 原创 安全探索者 安全探索者 2025-05-22 09:05 点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 vLLM是一个专为大型语言模型(LLM)推理设计的高性能框架,通过创新的内存管理和计算加速技术,显著提升吞吐量并降低延迟,特别适用于企业级高并发场景。目前,有众多企业广泛使用v
继续阅读