SysAid SysAid On-Prem 未授权 XML外部实体注入(XXE)漏洞
SysAid SysAid On-Prem 未授权 XML外部实体注入(XXE)漏洞 上汽集团网络安全应急响应中心 2025-05-20 15:55 漏洞情报 SysAid SysAid On-Prem 未授权 XML外部实体注入(XXE)漏洞 【 漏洞编号 】 CVE-2025-2776,CNNVD-202505-991 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到SysAid发
继续阅读标签: CVE
Gnu Glibc 逻辑缺陷漏洞
Gnu Glibc 逻辑缺陷漏洞 上汽集团网络安全应急响应中心 2025-05-20 15:55 漏洞情报 Gnu Glibc 逻辑缺陷漏洞 【 漏洞编号 】 CVE-2025-4802 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到GNU C 库版本 2.27 到 2.38 中被披露存在逻辑缺陷漏洞,这一漏洞使得攻击者能够在调用 dlopen 的静态编译且设置了 setuid 的二
继续阅读Google Chrome 访问控制不当漏洞
Google Chrome 访问控制不当漏洞 上汽集团网络安全应急响应中心 2025-05-20 15:55 漏洞情报 Google Chrome 访问控制不当漏洞 【 漏洞编号 】 CVE-2025-4664 【 情报等级 】 中危 【 漏洞描述 】 360漏洞云监测到 Google Chrome 发布新版本,修复了4个安全漏洞,其中包括一个访问控制不当漏洞,该漏洞的存在是由于Loader的策略
继续阅读Nodejs Node.Js 异常处理不当漏洞
Nodejs Node.Js 异常处理不当漏洞 上汽集团网络安全应急响应中心 2025-05-20 15:55 漏洞情报 Nodejs Node.Js 异常处理不当漏洞 【 漏洞编号 】 CVE-2025-23166 【 情报等级 】 中危 【 漏洞描述 】 360漏洞云监测到Nodejs官方发布新版本,新版本中修复了多个安全漏洞,其中包括一个异常处理不当漏洞,可导致拒绝服务攻击。该漏洞是由于C+
继续阅读漏洞速递 | CVE-2025-29927漏洞(附EXP)
漏洞速递 | CVE-2025-29927漏洞(附EXP) 渗透Xiao白帽 2025-05-20 15:53 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Next.js是Vercel开源的一个 React 框架,Next.js 是一款基于 React 的热门 Web 应用程序框架,提供服务器端渲染、静态
继续阅读【AI漏洞预警】Infiniflow Ragflow账户接管漏洞CVE-2025-48187
【AI漏洞预警】Infiniflow Ragflow账户接管漏洞CVE-2025-48187 cexlife 飓风网络安全 2025-05-20 15:08 漏洞描述: RAGFlow是由InfiniFlow开发的开源RAG(检索增强生成)引擎,专注于对文档的深入理解,旨在为各类企业提供高效、可扩展的问答系统解决方案,版本0.18.1及更早版本容易受到帐户接管缺陷的影响,该漏洞允许攻击者暴力破解电
继续阅读【安全圈】CISA最近将Chrome漏洞标记为被积极利用
【安全圈】CISA最近将Chrome漏洞标记为被积极利用 安全圈 2025-05-20 11:01 关键词 安全漏洞 周四,CISA警告美国联邦机构保护其系统免受利用Chrome网络浏览器中高严重性漏洞的持续攻击。 Solidlab安全研究员Vsevolod Kokorin发现了这个漏洞(CVE-2025-4664),并于5月5日在线分享了技术细节。released security update
继续阅读【安全圈】黑客在Pwn2Own柏林大赛中利用28个零日漏洞斩获107万美元奖金
【安全圈】黑客在Pwn2Own柏林大赛中利用28个零日漏洞斩获107万美元奖金 安全圈 2025-05-20 11:01 关键词 网络安全 在刚刚落幕的Pwn2Own柏林2025黑客大赛中,安全研究人员通过成功利用28个零日漏洞,累计斩获1,078,750美元奖金。在这场为期三天的赛事中,参赛者针对多个关键领域发起挑战,包括人工智能平台、网络浏览器、虚拟化软件、服务器基础设施、云原生/容器技术以及
继续阅读火狐修复Pwn2Own大会上利用的2个0day漏洞
火狐修复Pwn2Own大会上利用的2个0day漏洞 Ravie Lakshmanan 代码卫士 2025-05-20 10:34 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Mozilla 公司已发布安全更新,修复位于火狐浏览器中的两个严重漏洞。这两个漏洞可被用于访问敏感数据或实现代码执行。 这两个漏洞均在刚刚结束的柏林 Pwn2Own 大赛上遭利用,简述如下: CVE-2025-491
继续阅读Pwn2Own 2025柏林赛落幕!29个零日漏洞曝光,百万奖金花落谁家?
Pwn2Own 2025柏林赛落幕!29个零日漏洞曝光,百万奖金花落谁家? 看雪学苑 看雪学苑 2025-05-20 09:59 2025年Pwn2Own柏林黑客大赛已经落下帷幕,这场备受瞩目的网络安全竞赛吸引了众多顶尖安全研究人员参与。经过三天的激烈角逐,参赛者们凭借发现和利用29个零日漏洞的出色表现,共获得了107.875万美元的奖金,同时也暴露出了一些漏洞碰撞的情况。 比赛期间,选手们将目标
继续阅读Ghost Route 检测 Next JS 中间件绕过漏洞 (CVE-2025-29927) 的攻击
Ghost Route 检测 Next JS 中间件绕过漏洞 (CVE-2025-29927) 的攻击 TtTeam 2025-05-20 08:38 允许攻击者通过发送自定义标头来绕过身份验证并访问受保护的路由x-middleware-subrequest。 受影响的下一个 JS 版本:11.1.4 及更高版本 python ghost-route.py <url> <path
继续阅读【漏洞通告】glibc静态setuid程序dlopen代码执行漏洞 (CVE-2025-4802)
【漏洞通告】glibc静态setuid程序dlopen代码执行漏洞 (CVE-2025-4802) 启明星辰安全简讯 2025-05-20 08:38 一、漏洞概述 漏洞名称 glibc静态setuid程序dlopen代码执行漏洞 CVE ID CVE-2025-4802 漏洞类型 代码执行 发现时间 2025-05-20 漏洞评分 9.8 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度
继续阅读Mongoose 搜索注入漏洞复现与修复
Mongoose 搜索注入漏洞复现与修复 蚁景网安 2025-05-20 08:31 漏洞简介 CVE-2024-53900 Mongoose 8.8.3、7.8.3 和 6.13.5 之前的版本容易受到 $where 运算符不当使用的影响。此漏洞源于 $where 子句能够在 MongoDB 查询中执行任意 JavaScript 代码,这可能导致代码注入攻击以及未经授权的数据库数据访问或操纵。
继续阅读GitHub 坟场又添新魂?‘data-cve-poc’ 这把铁锹想挖啥?
GitHub 坟场又添新魂?‘data-cve-poc’ 这把铁锹想挖啥? 龙哥网络安全 龙哥网络安全 2025-05-20 03:01 GitHub 坟场又添新魂?‘data-cve-poc’ 这把铁锹想挖啥? 得,GitHub 上又冒出来个新玩意儿——‘data-cve-poc’。 号称是把所有 CVE 相关的 PoC 都给扒拉下来了?口气倒是不小。这种聚合型的信息源,对我们这些天天在枪林弹雨
继续阅读CNVD漏洞周报2025年第18期
CNVD漏洞周报2025年第18期 国家互联网应急中心CNCERT 2025-05-20 02:02 2 0 2 5 年 0 5 月1 2 日 – 2 0 2 5 年 0 5 月18 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞 363个,其中高危漏洞181个
继续阅读高危WordPress插件漏洞威胁超1万个网站安全
高危WordPress插件漏洞威胁超1万个网站安全 黑白之道 2025-05-20 01:59 漏洞概述 热门WordPress插件Eventin近日曝出严重权限提升漏洞(CVE-2025-47539),导致超过10,000个网站面临完全被控制的风险。该漏洞允许未认证攻击者无需用户交互即可创建管理员账户,从而完全掌控受影响网站。安全研究人员强烈建议用户立即升级至4.0.27版本,该版本已包含针对此
继续阅读Mozilla修复了在Pwn2Own Berlin 2025上公开演示的零日漏洞
Mozilla修复了在Pwn2Own Berlin 2025上公开演示的零日漏洞 鹏鹏同学 黑猫安全 2025-05-20 01:54 Mozilla发布安全更新修复Firefox浏览器两处高危漏洞 攻击者可窃取敏感数据或执行任意代码 “在本周举行的Pwn2Own安全黑客大赛上,研究人员演示了两种针对Firefox内容进程的新型攻击手段。虽然这些攻击均未能突破我们的沙箱防护(获取系统控
继续阅读英特尔CPU再曝高危漏洞,新型内存泄漏与Spectre v2攻击卷土重来
英特尔CPU再曝高危漏洞,新型内存泄漏与Spectre v2攻击卷土重来 SOC 赛欧思安全研究实验室 2025-05-20 01:30 – 恶意软体 FrigidStealer 假借 Safari 更新做为诱饵,攻击 macOS 用户 安全专家发现,一只名为 FrigidStealer 的窃密程式冒充 Safari 更新散布,窃取 Mac 电脑用户密码、虚拟货币钱包凭证等敏感资料。
继续阅读GNU C(glibc)漏洞可以在数百万 Linux 系统执行任意代码
GNU C(glibc)漏洞可以在数百万 Linux 系统执行任意代码 会杀毒的单反狗 军哥网络安全读报 2025-05-20 01:00 导读 安全研究人员披露 GNU C 库 (glibc) 中的一个重大漏洞,可能影响全球数百万个 Linux 系统。 漏洞编号为 CVE-2025-4802,涉及静态链接的 setuid 二进制文件,这些二进制文件错误地搜索库路径,可能允许攻击者以提升的权限执行
继续阅读SAP漏洞风暴升级:BianLian、RansomExx及更多团伙利用组合拳攻击NetWeaver
SAP漏洞风暴升级:BianLian、RansomExx及更多团伙利用组合拳攻击NetWeaver 原创 Hankzheng 技术修道场 2025-05-20 00:03 导语: 企业核心系统SAP NetWeaver正面临严峻的安全挑战。 BianLian 、 RansomExx (Storm-2460) 等多个高级威胁团伙,以及包括 UNC5221 在内的其他攻击力量,均被发现利用SAP
继续阅读漏洞预警 | FortiOS TACACS+身份认证绕过漏洞
漏洞预警 | FortiOS TACACS+身份认证绕过漏洞 浅安 浅安安全 2025-05-20 00:00 0x00 漏洞编号 – # CVE-2025-22252 0x01 危险等级 – 高危 0x02 漏洞概述 FortiOS是Fortinet提供的操作系统,用于其安全设备。FortiProxy是FortiOS的一个组件,主要用于代理服务,提供反向代理、Web应用防
继续阅读CVE-2020-1472NetLogon权限提升
CVE-2020-1472NetLogon权限提升 Patrick.Lin SecurePulse 2025-05-19 15:12 一、漏洞简介 CVE-2020-1472,也被称为ZeroLogon,是一个严重的Windows域控远程权限提升漏洞。 攻击者仅需访问到域控制器的135端口即可通过Netlogon远程协议连接至域控制器,并重置域控制器机器账号的哈希。 利用该漏洞,攻击者可以获取域管
继续阅读【AI漏洞预警】huggingface transformers拒绝服务漏洞(CVE-2025-2099)
【AI漏洞预警】huggingface transformers拒绝服务漏洞(CVE-2025-2099) cexlife 飓风网络安全 2025-05-19 15:09 漏洞描述: рrерrосеѕѕ_ѕtrinɡ()函数中的漏洞位于huɡɡinɡfасе/trаnѕfоrmеrѕ版本v4.48.3的`trаnѕfоrmеrѕ.tеѕtinɡ_utilѕ模块中,允许进行正则表达式拒绝服务(Rе
继续阅读【漏洞预警】Invision Community themeeditor远程代码执行漏洞CVE-2025-47916
【漏洞预警】Invision Community themeeditor远程代码执行漏洞CVE-2025-47916 cexlife 飓风网络安全 2025-05-19 15:09 漏洞描述: Invision Community是一款流行的在线社区平台软件,提供论坛、博客、画廊、文件分享等多种功能,用于建立和管理各类在线社区。Invision Community5.0.0至5.0.6版本中存在一
继续阅读Firefox紧急修复两大零日漏洞!Pwn2Own柏林大赛黑客斩获$10万奖金
Firefox紧急修复两大零日漏洞!Pwn2Own柏林大赛黑客斩获$10万奖金 原创 道玄安全 道玄网安驿站 2025-05-19 14:26 “ 火狐0day。” PS:有内网web自动化需求可以私信 01 — 导语 在刚刚落幕的 Pwn2Own柏林2025 黑客大赛中,Mozilla Firefox浏览器成为焦点——两名安全研究员利用 两个零日漏洞(CVE-2025-4918和CVE-202
继续阅读Zyxel USG FLEX H 系列 uOS 1.31 权限提升漏洞
Zyxel USG FLEX H 系列 uOS 1.31 权限提升漏洞 原创 Ots安全 Ots安全 2025-05-19 11:33 今天早上,当我刷到 Exploit Database 的一条推文时,心头不由得一震——Zyxel USG FLEX H 系列防火墙 uOS 1.31 版本竟然爆出了一个本地权限提升漏洞(CVE-2025-1731)!作为一个长期关注网络安全的技术爱好者,我立刻深入
继续阅读【安全圈】glibc漏洞使数百万Linux系统面临代码执行风险
【安全圈】glibc漏洞使数百万Linux系统面临代码执行风险 安全圈 2025-05-19 11:01 关键词 安全漏洞 GNU C 库(glibc)中新报告的漏洞,是无数 Linux 应用程序的基本组成部分,它详细介绍了静态 setuid 二进制文件的共享库加载机制中可能可利用的弱点。 跟踪为 CVE-2025-4802,environment该漏洞源于静态 setuid 二进制文件在通过 d
继续阅读英特尔CPU曝重大安全漏洞,可导致内存泄露;美国议员以安全为借口呼吁禁售TP-Link网络设备| 牛览
英特尔CPU曝重大安全漏洞,可导致内存泄露;美国议员以安全为借口呼吁禁售TP-Link网络设备| 牛览 安全牛 2025-05-19 10:41 新闻速览 •工信部等九部门联合印发《关于加快推进科技服务业高质量发展的实施意见》 •《数字中国建设2025年行动方案》近日印发 •美国议员以安全为借口呼吁禁售TP-Link网络设备 •网安工程师变身勒索黑客:利用AI技术攻击企业系统获刑 •黑客因攻击SE
继续阅读Windows远程桌面网关UAF漏洞可导致远程代码执行
Windows远程桌面网关UAF漏洞可导致远程代码执行 FreeBuf 2025-05-19 10:30 微软远程桌面网关(RD Gateway)中存在一个高危漏洞,攻击者可利用该漏洞在受影响系统上远程执行恶意代码。该漏洞编号为CVE-2025-21297,由微软在2025年1月安全更新中披露,目前已在野外被积极利用。 Part01 漏洞技术分析 该漏洞由昆仑实验室研究员VictorV发现并报告,
继续阅读Pwn2Own大赛:黑客利用JavaScript零日漏洞攻破Firefox的技术细节
Pwn2Own大赛:黑客利用JavaScript零日漏洞攻破Firefox的技术细节 FreeBuf 2025-05-19 10:30 Mozilla已紧急修复Firefox浏览器中的两个关键零日漏洞(zero-day vulnerability),这两个漏洞均在上周柏林举行的Pwn2Own 2025黑客大赛中被成功利用。 Part01 漏洞利用过程 在这场以顶尖安全研究员挑战流行软件而闻名的赛事
继续阅读