【漏洞通告】VMware vCenter Server认证命令执行漏洞(CVE-2025-41225) 启明星辰安全简讯 2025-05-22 08:45 一、漏洞概述 漏洞名称 VMware vCenter Server认证命令执行漏洞 CVE ID CVE-2025-41225 漏洞类型 命令执行 发现时间 2025-05-22 漏洞评分 8.8 漏洞等级 高危 攻击向量 本地 所需权限 低
继续阅读漏洞复现|无垠智能模糊测试系统实战复现OpenSSL高危漏洞 原创 Yannis 云起无垠 2025-05-22 08:30 本文将详细介绍如何使用无垠智能模糊测试系统复现OpenSSL中的CVE-2022-3602漏洞。平台不仅简化了模糊测试流程,还通过AI赋能大幅提升了漏洞挖掘的效率和准确性,为企业构建自动化安全测试体系提供了强有力的支持。 背景介绍 在网络安全领域,OpenSSL作为广泛应用
继续阅读前瞻对抗|这大概是首次,AI挖出了Linux内核可利用0day 原创 前瞻对抗 DARKNAVY 2025-05-22 07:01 正如 DARKNAVY 在深蓝洞察 | 2024年度最具想象空间的新应用 所展望的: 新一代的 AI Agent 将具备优秀的推理能力和泛化能力,并能熟练地运用多种安全研究工具,继承大量的人类专家经验,如同顶尖的安全专家一般,发现现实世界中更多的 0day 漏洞。 不
继续阅读朱雀实验室协助vLLM修复CVSS 9.8分严重漏洞 原创 腾讯朱雀实验室 腾讯安全应急响应中心 2025-05-22 03:24 作者:Kikay、Nicky 腾讯朱雀实验室发现vLLM推理框架存在严重安全漏洞(CVE-2025-47277,CVSS 9.8分),攻击者可利用此漏洞控制GPU服务器,窃取模型、算力或中断服务。vLLM团队已修复该漏洞并致谢腾讯朱雀实验室。 vLLM框架的重要性与安
继续阅读黑客在柏林 Pwn2Own 漏洞竞赛中凭借 28 个零日漏洞赢得 1,078,750 美元 Rhinoer 犀牛安全 2025-05-21 16:03 Pwn2Own 柏林 2025 黑客大赛已经结束,安全研究人员在利用 29 个零日漏洞并遇到一些错误碰撞后获得了 1,078,750 美元的奖金。 在整个比赛过程中,他们瞄准了人工智能、网络浏览器、虚拟化、本地权限提升、服务器、企业应用程序、云原生
继续阅读SpringBlade api/blade-system/menu/list接口存在SQL注入漏洞 附POC 2025-5-21更新 南风漏洞复现文库 2025-05-21 15:10 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. S
继续阅读【漏洞预警】VMware VCenter Server 命令执行漏洞(CVE-2025-41225) 原创 聚焦网络安全情报 安全聚 2025-05-21 12:44 高 危 公 告 近日,安全聚实验室监测到 VMware VCenter Server 存在命令执行漏洞 ,编号为: CVE-2025-41225,CVSS:8.8 具有创建或修改警报权限的攻击者通过构造恶意警报并绑定脚本动作,可在
继续阅读CVE-2025-47916:Metasploit模块开源 z1 Z1sec 2025-05-21 11:55 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 影响范围:Invision Community ≤ 5.0.6 编号:
继续阅读VMware ESXi & vCenter 执行任意命令漏洞 网安百色 2025-05-21 11:28 Broadcom 的 VMware 部门披露了其虚拟化产品中的关键安全漏洞,包括一个高严重性漏洞,该漏洞可能允许经过身份验证的用户在受影响的系统上执行任意命令。 今天的安全公告解决了影响多个 VMware 产品的四个不同漏洞,严重性等级从中等到重要不等。 关键命令执行漏洞 最严重的漏洞
继续阅读【漏洞通告】VMware vCenter Server命令执行漏洞 (CVE-2025-41225) 原创 NS-CERT 绿盟科技CERT 2025-05-21 11:07 通告编号:NS-2025-0030 2025-05-21 TAG: VMware vCenter Server、命令执行、CVE-2025-41225 漏洞危害: 攻击者利用此漏洞,可实现命令执行。 版本: 1.0 1 漏
继续阅读【漏洞预警】FortiOS TACACS+身份认证绕过漏洞(CVE-2025-22252) cexlife 飓风网络安全 2025-05-21 10:49 漏洞描述: FortiOS是Fortinet提供的操作系统,用于其安全设备(如防火墙),FortiProxy是FortiOS的一个组件主要用于代理服务,提供反向代理、Web应用防火墙等功能帮助企业保护其Web应用免受攻击并优化网络流量。fort
继续阅读NIST、CISA联合提出漏洞利用概率度量标准 Eduard Kovacs 代码卫士 2025-05-21 10:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA和NIST 的研究人员提出一项新的网络安全度量标准,旨在计算漏洞已遭在野利用的可能性。 NIST研究员 Peter Mell 和 CISA 研究员 Jonathan Spring 发表论文,说明了他们所提出的“可能遭利
继续阅读VMware 紧急修复多个漏洞 Ryan Naraine 代码卫士 2025-05-21 10:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,博通紧急修复多个 VMware 漏洞,可导致数据泄露、命令执行和拒绝服务 (DoS) 攻击,目前不存在应变措施。 博通发布两份公告,至少提到了位于 VMware Cloud Foundation、VMware ESXi、vCenter
继续阅读【AI风险通告】vLLM存在远程代码执行漏洞(CVE-2025-47277) 安恒研究院 安恒信息CERT 2025-05-21 10:15 漏洞概述 漏洞名称 vLLM存在远程代码执行漏洞(CVE-2025-47277) 安恒CERT评级 1级 CVSS3.1评分 9.8(安恒自评) CVE编号 CVE-2025-47277 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-
继续阅读vLLM 曝高危远程代码漏洞,AI 服务器面临攻击风险 FreeBuf 2025-05-21 10:04 研究人员近日披露了大型语言模型(LLM)高性能推理与服务引擎 vLLM 中存在的一个高危漏洞(编号 CVE-2025-47277)。该漏洞源于 PyNcclPipe 通信服务中存在的不安全反序列化缺陷,可导致远程代码执行(RCE),其 CVSS 评分为 9.8 分。 Part01 漏洞技术细节
继续阅读【漏洞处置SOP】飞致云DataEase未授权访问控制不当漏洞(CVE-2024-30269) 原创 just4fun 方桥安全漏洞防治中心 2025-05-21 10:02 01 SOP基本信息 SOP名称:飞致云DataEase未授权访问控制不当漏洞(CVE-2024-30269)处置标准作业程序(SOP) 版本: 1.0 发布日期: 2025-04-09 作者:just4fun 审核人: T
继续阅读OPC UA协议与漏洞分析 原创 自主研发技术驱动 珞安科技 2025-05-21 10:02 01 概 述 OPC(OLE for Process Control)是一种专为工业自动化系统设计的数据通信标准,旨在解决不同厂商设备间接口不统一、通信协议不兼容、驱动开发重复等问题。早期 OPC 标准基于微软 COM/DCOM 技术,主要运行于 Windows 平台。这一阶段的 OPC 规范统称为 O
继续阅读Redis 漏洞分析——lua 脚本篇 fuxxcss 看雪学苑 2025-05-21 09:59 Redis是一个开源的高性能内存数据库,并且开启了安全策略,针对7.4.x、7.2.x和6.2.x及以上版本的Redis漏洞进行公开披露[1]。 《Redis漏洞分析》对其中的Moderate、High级别漏洞进行分析,同时根据Redis的攻击面进行分篇,本篇是lua脚本篇。 分析流程 对Redis
继续阅读【漏洞通告】VMware vCenter 认证后命令执行漏洞(CVE-2025-41225) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-05-21 09:17 漏洞名称: VMware vCenter 认证后命令执行漏洞(CVE-2025-41225) 组件名称: VMware-vCenter 影响范围: vCenter Server 7.0 < 7.0 U3v vCenter S
继续阅读信息安全漏洞周报(2025年第20期) 原创 CNNVD CNNVD安全动态 2025-05-21 07:41 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年5月12日至2025年5月18日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞1118个。 接报漏洞情况 本周CNNVD接报漏洞11529个,其中信息技术产品漏洞(通用型漏洞)378个
继续阅读【CVE-2025-40634】缓冲区溢出 EXP 公布 原创 骨哥说事 骨哥说事 2025-05-21 06:32 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/ **不想错过任何消息?设置星标↓ ↓ ↓ 概述 TP-Lin
继续阅读漏洞速递 | CVE-2025-0868 RCE漏洞(附EXP) 原创 Xiao 渗透Xiao白帽 2025-05-21 04:04 0x01 前言 DocsGPT 中存在导致远程代码执行 (RCE) 的漏洞。由于使用 eval() 对 JSON 数据进行解析不当,未经授权的攻击者可发送任意 Python 代码以通过 /api/remote 端点执行 。 0x02 漏洞等级 高危 0x03 漏洞影
继续阅读基于路由转发导致的权限认证绕过漏洞分析 原创 Mmuz 奇安信天工实验室 2025-05-21 03:31 目 录 一、前 言 二、路由转发导致权限认证绕过 三、漏洞分析 四、总 结 一 前 言 在 Web 应用程序的开发过程中,安全问题始终是至关重要的。权限认证作为保障系统安全的重要防线,能够确保只有经过授权的用户才能访问特定的资源。然而,由于开发人员的疏忽或者对某些技术细节的理解不够深入
继续阅读俄 APT 组织利用0day漏洞和擦除器加强对欧洲的攻击 会杀毒的单反狗 军哥网络安全读报 2025-05-21 01:01 导读 ESET 表示,2024 年底和 2025 年初,俄罗斯黑客组织的恶意网络活动强度增强。 ESET Research在其《2024 年第四季度至 2025 年第一季度APT 活动报告》中记录了 2024 年 10 月至 2025 年 3 月期间全球主要 APT 组织的
继续阅读【漏洞通告】glibc静态setuid程序dlopen代码执行漏洞安全风险通告 嘉诚安全 2025-05-21 00:39 漏洞背景 近日,嘉诚安全 监测到 glibc静态setuid程序dlopen代码执行漏洞,漏洞编号为: CVE-2025-4802 。 setuid二进制文件是具有特殊权限的程序,可以以文件拥有者的身份执行。dlopen是一个动态加载库的函数,通常用于在运行时加载共享库。 鉴
继续阅读30个云安全漏洞的发现与利用技巧,非常有用! 原创 牛叫瘦 HACK之道 2025-05-21 00:03 云计算已成为企业数字化转型的核心基础设施,但其复杂性和开放性也带来了前所未有的安全挑战。作为渗透测试从业者,我们需深入理解云环境的脆弱点,并掌握针对性的发现与利用技术。以下从配置错误、身份管理、数据安全、API滥用、供应链攻击 等维度,结合实战经验,总结30个关键漏洞及应对技巧,仅供参考。
继续阅读商用漏洞扫描器的盲区:为什么越权漏洞总被漏检? 原创 筑梦网安 全栈安全 2025-05-20 16:04 导语: 2021年某电商平台曝出重大越权漏洞,黑客可任意查看用户订单,然而该漏洞在全年12次系统扫描中均未被发现。这背后折射出商用扫描工具的最大盲区——越权漏洞检测。本文将会解析这一安全困境的技术本质。 一、越权漏洞:权限体系的”万能钥匙” 漏洞原理 : –
继续阅读Fortinet FortiOS 身份验证缺陷漏洞 上汽集团网络安全应急响应中心 2025-05-20 15:55 漏洞情报 Fortinet FortiOS 身份验证缺陷漏洞 【 漏洞编号 】 CVE-2025-22252 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到 Fortinet 发布安全公告,披露了一处 Fortinet FortiOS 身份认证绕过漏洞,该漏洞影响 F
继续阅读Apache IoTDB 需授权 代码注入漏洞 上汽集团网络安全应急响应中心 2025-05-20 15:55 漏洞情报 Apache IoTDB 需授权 代码注入漏洞 【 漏洞编号 】 CVE-2024-24780,CNNVD-202505-2026 【 情报等级 】 高危 【 漏洞描述 】 Apache IoTDB是美国阿帕奇(Apache)基金会的一款为时间序列数据设计的集成数据管理引擎,它
继续阅读Ivanti Endpoint Manager Mobile 需授权 代码注入漏洞 上汽集团网络安全应急响应中心 2025-05-20 15:55 漏洞情报 Ivanti Endpoint Manager Mobile 需授权 代码注入漏洞 【 漏洞编号 】 CVE-2025-4428,CNVD-2025-09948,CNNVD-202505-1802 【 情报等级 】 高危 【 漏洞描述 】 3
继续阅读