2025年4月企业必修安全漏洞清单
2025年4月企业必修安全漏洞清单 腾讯安全 2025-05-19 10:15 前言 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,
继续阅读标签: CVE
每周网安资讯 (5.13-5.19)| Siemens SIMATIC PCS neo漏洞预警
每周网安资讯 (5.13-5.19)| Siemens SIMATIC PCS neo漏洞预警 交大捷普 2025-05-19 10:14 2025[ 每周网安资讯 ]5.13-5.19 网安资讯 1、国家信息中心牵头编制的国家标准《数据安全技术 政务数据处理安全要求》正式发布 近日,《数据安全技术 政务数据处理安全要求》(GB/T 45396-2025)经国家市场监督管理总局、国家标准化管理委员
继续阅读Jboss反序列化漏洞(CVE-2017-12149)漏洞复现nc与javaDeserH2HC反弹shell
Jboss反序列化漏洞(CVE-2017-12149)漏洞复现nc与javaDeserH2HC反弹shell 原创 Cauchy Cauchy网安 2025-05-19 09:12 环境 搭建jboss:win2003:(192.168.2.148) 攻击机:kali(192.168.2.129) 序列化 序列化就是将对象 object、字符串 string、数组 array、变量,转换成具有⼀定
继续阅读DocsGPT 远程命令执行漏洞 (CVE-2025-0868)
DocsGPT 远程命令执行漏洞 (CVE-2025-0868) Superhero Nday Poc 2025-05-19 08:32 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 DocsGPT 中存在
继续阅读新型 CPU 漏洞曝光!英特尔芯片陷内存泄露风险
新型 CPU 漏洞曝光!英特尔芯片陷内存泄露风险 原创 HackerNews 安全威胁纵横 2025-05-19 08:27 研究人员发现新型英特尔CPU漏洞, 影响所有英特尔处理器。 攻击者可利用分支预测机制绕过安全屏障,获取特权进程的机密信息,导致内存敏感数据泄露。 GitHub Action 中广泛使用的 tj-actions/changed-files 被攻破,导致使用 CI/CD 工
继续阅读雷神众测漏洞周报2025.5.12-2025.5.18
雷神众测漏洞周报2025.5.12-2025.5.18 原创 雷神众测 雷神众测 2025-05-19 08:11 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意
继续阅读Linux 内核补丁管理:漏洞防御新策略
Linux 内核补丁管理:漏洞防御新策略 信息安全大事件 2025-05-19 08:00 随着Linux内核持续支撑从云基础设施到嵌入式设备的各类系统,其安全性始终至关重要。2025年,补丁策略面临前所未有的挑战:自2024年以来CVE漏洞数量同比增长3529%,针对虚拟化子系统的复杂利用技术层出不穷,能够绕过传统安全模块的内核级攻击日益猖獗。本文将探讨企业如何调整补丁管理实践以应对这些威胁,同
继续阅读poc | Windows 远程桌面网关 (RD Gateway) CVE-2025-21297介绍
poc | Windows 远程桌面网关 (RD Gateway) CVE-2025-21297介绍 唐天闻 独眼情报 2025-05-19 02:35 文章地址为:https://v-v.space/2025/05/15/CVE-2025-21297/ 已取得大佬转载同意,赛博昆仑的大佬是真滴多啊。 对作者敢兴趣的可以关注大佬的 x ,@vv474172261 时隔多月, 也是时候分享一个RDG
继续阅读全球政府邮件系统沦陷:黑客利用XSS漏洞发起大规模间谍活动
全球政府邮件系统沦陷:黑客利用XSS漏洞发起大规模间谍活动 汇能云安全 2025-05-19 02:12 5月19日,星期一,您好!中科汇能与您分享信息安全快讯: 01 恶意NPM包利用Google日历作为C2中间人实施隐蔽攻击 Veracode威胁研究团队近日发现恶意NPM包”os-info-checker-es6″,巧妙利用Google日历平台作为命令与控制(C2)服务
继续阅读【漏洞通告】FortiOS TACACS+身份认证绕过漏洞安全风险通告
【漏洞通告】FortiOS TACACS+身份认证绕过漏洞安全风险通告 嘉诚安全 2025-05-19 02:03 漏洞背景 近日,嘉诚安全 监测到 FortiOS TACACS+身份认证绕过漏洞,漏洞编号为: CVE-2025-22252 。 FortiOS是Fortinet提供的操作系统,用于其安全设备(如防火墙)。FortiProxy是FortiOS的一个组件,主要用于代理服务,提供反向代理
继续阅读【漏洞通告】Tornado日志解析器拒绝服务漏洞安全风险通告
【漏洞通告】Tornado日志解析器拒绝服务漏洞安全风险通告 嘉诚安全 2025-05-19 02:03 漏洞背景 近日,嘉诚安全 监测到 Tornado日志解析器拒绝服务漏洞,漏洞编号为: CVE-2025-47287 。 Tornado是一个高性能的Web框架和异步网络库,专为处理大规模并发连接设计。它支持非阻塞I/O,能够处理成千上万的连接,适用于实时Web应用程序。Tornado提供了一个
继续阅读谷歌修复了可能导致账户完全被劫持的Chrome漏洞
谷歌修复了可能导致账户完全被劫持的Chrome漏洞 鹏鹏同学 黑猫安全 2025-05-19 01:40 谷歌发布紧急安全更新修复可导致账户完全被劫持的Chrome漏洞(编号CVE-2025-4664)。该漏洞由安全研究员Vsevolod Kokorin(@slonser_)发现,源于Chrome 136.0.7103.113之前版本中Loader组件的策略执行缺陷。攻击者可通过特制HTML页面触
继续阅读英特尔新漏洞:Spectre 和 Meltdown 问题以新面貌重现
英特尔新漏洞:Spectre 和 Meltdown 问题以新面貌重现 会杀毒的单反狗 军哥网络安全读报 2025-05-19 01:02 导读 苏黎世联邦理工学院和阿姆斯特丹自由大学的研究人员披露了英特尔处理器中导致内存泄漏和 Spectre v2 攻击的新漏洞。这些发现表明,尽管 Spectre 和 Meltdown 漏洞披露已有七年,但推测指令执行问题仍然构成重大威胁。 研究人员发现了三个关键
继续阅读漏洞预警 | Apache IoTDB远程代码执行漏洞
漏洞预警 | Apache IoTDB远程代码执行漏洞 浅安 浅安安全 2025-05-19 00:00 0x00 漏洞编号 – # CVE-2024-24780 0x01 危险等级 – 高危 0x02 漏洞概述 Apache IoTDB是一个专为物联网数据存储和处理设计的高效时序数据库。 0x03 漏洞详情 CVE-2024-24780 漏洞类型: 代码执行 影响: 执行
继续阅读三星MagicINFO严重漏洞CVE-2025-4632:从路径遍历到Mirai部署的技术细节与企业应对之道
三星MagicINFO严重漏洞CVE-2025-4632:从路径遍历到Mirai部署的技术细节与企业应对之道 原创 Hankzheng 技术修道场 2025-05-18 23:41 前言: 企业级内容管理系统三星MagicINFO 9 Server近日爆出高危安全漏洞CVE-2025-4632,CVSS评分高达9.8。该漏洞不仅是对先前补丁的绕过,且已证实被用于实际攻击,包括部署Mirai僵尸网
继续阅读漏洞研究(9):XXL-JOB调度中心后台任务执行SSRF漏洞 CVE-2024-24113
漏洞研究(9):XXL-JOB调度中心后台任务执行SSRF漏洞 CVE-2024-24113 原创 罗锦海 OneMoreThink 2025-05-18 16:00 组件介绍 原理与危害 影响版本 利用方式 加固措施(单选) 5.1 修改默认口令 5.2 限制端口访问 1. 组件介绍 XXL-JOB是一个分布式任务调度 平台,分为调度中心和执行器两部分。 在调度中心添加执行器后,调度中心可以对执
继续阅读Windows NTLM 哈希泄漏漏洞被利用来针对政府进行网络钓鱼攻击
Windows NTLM 哈希泄漏漏洞被利用来针对政府进行网络钓鱼攻击 Rhinoer 犀牛安全 2025-05-18 16:00 Windows 中存在一个漏洞,它会利用 .library-ms 文件暴露 NTLM 哈希值,而黑客现在正积极利用该漏洞,在针对政府实体和私营公司的网络钓鱼活动中利用该漏洞。 该漏洞编号为CVE-2025-24054 ,已于微软2025 年 3 月补丁星期二发布后修复
继续阅读【安全圈】Linux 漏洞数量一年激增 967%
【安全圈】Linux 漏洞数量一年激增 967% 安全圈 2025-05-18 11:01 关键词 漏洞 网络安全厂商Action1基于对美国国家漏洞数据库(NVD)及CVEdetails.com的深度分析发布《2025年软件漏洞评级报告》显示,2024年Linux与macOS新发现漏洞数量激增。传统上被视为较安全平台的这两大基于UNIX的生态系统均出现异常波动:Linux漏洞数量同比暴增9
继续阅读2025年漏洞统计报告附下载
2025年漏洞统计报告附下载 原创 很近也很远 网络研究观 2025-05-18 09:27 我们的 2025 年报告比以往任何时候都更深入地探讨了安全专业人员关注的关键指标。我们探索了跨网络/设备和应用层的风险密度模式,发现了自动化工具经常遗漏的复杂漏洞,并评估了当今领先的漏洞评分方法(包括 EPSS、CISA KEV、CVSS 以及我们专有的 EVSS 系统)的实际有效性。 今年的调查结果显示
继续阅读CVE-2025-3102 WordPress 任意用户创建
CVE-2025-3102 WordPress 任意用户创建 TtTeam 2025-05-18 04:34 SureTriggers:WordPress 的一体化自动化平台插件容易受到身份验证绕过的影响,由于缺少对“secret_key”的空值检查,导致创建管理帐户。 POST /wp-json/sure-triggers/v1/automation/action HTTP/1.
继续阅读SysAid On-Prem XML注入漏洞 (CVE-2025-2776)
SysAid On-Prem XML注入漏洞 (CVE-2025-2776) Superhero Nday Poc 2025-05-18 03:05 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 SysAi
继续阅读华硕警告使用 AiCloud 的路由器存在严重的身份验证绕过漏洞
华硕警告使用 AiCloud 的路由器存在严重的身份验证绕过漏洞 Rhinoer 犀牛安全 2025-05-17 16:00 华硕警告称,启用 AiCloud 的路由器存在身份验证绕过漏洞,该漏洞可能允许远程攻击者在设备上执行未经授权的功能。 该漏洞编号为CVE-2025-2492,级别为严重(CVSS v4 评分:9.2),可通过特制请求进行远程利用,且无需身份验证,因此特别危险。 该供应商的公
继续阅读攻防实战之若依(RuoYi)框架漏洞战争手册
攻防实战之若依(RuoYi)框架漏洞战争手册 Locks_ Z2O安全攻防 2025-05-17 14:00 当你在用若依时,黑客已经在用Shiro默认密钥弹你的Shell;当你还在纠结分页查询,攻击者已通过SQL注入接管数据库;而你以为安全的定时任务,不过是他们拿捏服务器的玩具。这份手册,带你用渗透的视角,解剖若依的每一处致命弱点——因为真正的安全,始于知晓如何毁灭它。 0x00 前言 简介 R
继续阅读多个 Ivanti Endpoint Mobile Manager 存在远程执行代码漏洞
多个 Ivanti Endpoint Mobile Manager 存在远程执行代码漏洞 网安百色 2025-05-17 11:31 广泛使用的移动设备管理 (MDM) 解决方案 Ivanti Endpoint Manager Mobile (EPMM) 中发现了严重的安全漏洞,使组织面临未经身份验证的远程代码执行 (RCE) 风险。 这些漏洞被跟踪为 CVE-2025-4427 和 CVE-20
继续阅读2025年Linux内核补丁管理:漏洞防御新策略
2025年Linux内核补丁管理:漏洞防御新策略 FreeBuf 2025-05-17 10:01 随着Linux内核持续支撑从云基础设施到嵌入式设备的各类系统,其安全性始终至关重要。2025年,补丁策略面临前所未有的挑战:自2024年以来CVE漏洞数量同比增长3529%,针对虚拟化子系统的复杂利用技术层出不穷,能够绕过传统安全模块的内核级攻击日益猖獗。本文将探讨企业如何调整补丁管理实践以应对这些
继续阅读一包包免费纸巾骗走老人们2亿元;|谷歌Chrome曝高危漏洞,可导致账户接管与MFA绕过
一包包免费纸巾骗走老人们2亿元;|谷歌Chrome曝高危漏洞,可导致账户接管与MFA绕过 黑白之道 2025-05-17 09:42 一包包免费纸巾骗走老人们2亿元; 警方披露了一起“专挑老年人下手”的非法集资案件。湖南株洲的李先生偶然得知,有家体检中心可以免费做全面体检。体检后,业务员小王隔三差五就打电话请李先生参与免费讲座,每次都送些纸巾、鸡蛋等小礼品。 不久后,小王声称体检中心要扩大规模,以
继续阅读CVE-2025-4427/4428:Ivanti EPMM 远程代码执行 – 技术分析
CVE-2025-4427/4428:Ivanti EPMM 远程代码执行 – 技术分析 Ots安全 2025-05-17 08:34 介绍 作为安全研究人员,我们都知道在黑盒测试 Web 应用和 API 时,那种似曾相识的“舞蹈”。你点击一个端点,收到“缺少 blah 参数”或“blah 类型错误”的提示,在满足所有要求后,你常常会遇到令人沮丧的 401 或 403 错误。这种近在咫
继续阅读微软2025年5月份于周二补丁日针对78漏洞发布安全补丁
微软2025年5月份于周二补丁日针对78漏洞发布安全补丁 何威风 祺印说信安 2025-05-17 06:08 微软周二发布了修复程序,修复了其软件系列中总共78 个安全漏洞,其中包括五个已被广泛利用的零日漏洞。 这家科技巨头已解决的 78 个漏洞中,11 个被评为“严重”,66 个被评为“重要”,1 个被评为“低”。其中 28 个漏洞可导致远程代码执行,21 个漏洞为权限提升漏洞,另有 16 个
继续阅读【成功复现】JeeWMS系统SQL注入漏洞漏洞(CVE-2025-0392)
【成功复现】JeeWMS系统SQL注入漏洞漏洞(CVE-2025-0392) 原创 弥天安全实验室 弥天安全实验室 2025-05-17 04:00 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍JeeWMS是中国华壹(JeeWMS)公司的一个基于 JAVA 的仓库管理系统。JeeWMS基于JAVA的智能仓
继续阅读WordPress前台任意文件读取漏洞POC(CVE-2025-2294)
WordPress前台任意文件读取漏洞POC(CVE-2025-2294) 原创 a1batr0ss 天翁安全 2025-05-17 01:00 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权,严禁将公
继续阅读