苹果修复iOS、macOS 平台上的多个严重漏洞
苹果修复iOS、macOS 平台上的多个严重漏洞 Ryan Naraine 代码卫士 2025-05-13 10:23 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周一,苹果修复了 macOS、iPhone 和 iPad 软件栈中的多个漏洞,提醒称只需打开一个特殊构造的图片、视频或网站,就能触发这些代码执行漏洞。 iOS 18.5更新与 iPadOS 补丁一起推出,涵盖 AppleJP
继续阅读标签: CVE
GNU Screen 多漏洞曝光,本地提权与终端劫持风险浮现
GNU Screen 多漏洞曝光,本地提权与终端劫持风险浮现 FreeBuf 2025-05-13 10:16 SUSE安全团队全面审计发现,广泛使用的终端复用工具GNU Screen存在一系列严重漏洞,包括可导致本地提权至root权限的缺陷。这些问题同时影响最新的Screen 5.0.0版本和更普遍部署的Screen 4.9.x版本,具体影响范围取决于发行版配置。 尽管GNU Screen是类U
继续阅读华硕DriverHub漏洞允许恶意网站以管理员权限执行命令
华硕DriverHub漏洞允许恶意网站以管理员权限执行命令 FreeBuf 2025-05-13 10:16 华硕DriverHub驱动程序管理工具存在一个严重的远程代码执行漏洞,可使恶意网站在安装该软件的设备上执行任意命令。 Part01 漏洞发现与技术细节 该漏洞由新西兰独立网络安全研究员Paul(化名”MrBruh”)发现。研究发现该软件对发送至DriverHub后台
继续阅读macOS远程视图服务沙箱逃逸漏洞PoC公开,攻击者可突破系统限制
macOS远程视图服务沙箱逃逸漏洞PoC公开,攻击者可突破系统限制 FreeBuf 2025-05-13 10:16 苹果公司近日针对macOS系统中新披露的CVE-2025-31258漏洞发布补丁,该漏洞可能允许恶意应用程序突破沙箱限制,获取未授权的系统资源访问权限。在安全研究员Seo Hyun-gyu公开概念验证(PoC)利用代码后,该漏洞已在macOS Sequoia 15.5版本中得到修复
继续阅读【漏洞通告】F5 BIG-IP Appliance 模式命令执行漏洞(CVE-2025-31644)
【漏洞通告】F5 BIG-IP Appliance 模式命令执行漏洞(CVE-2025-31644) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-05-13 10:15 漏洞名称: F5 BIG-IP Appliance 模式命令执行漏洞(CVE-2025-31644) 组件名称: F5 BIG-IP 影响范围: 17.1.0 ≤ F5 BIG-IP < 17.1.2.2 16.1.
继续阅读客户端漏洞在红蓝对抗中的挖掘与利用
客户端漏洞在红蓝对抗中的挖掘与利用 原创 白鵺实验室 京东安全应急响应中心 2025-05-13 10:08 客户端风险 背景概述 客户端软件是指在用户的设备上运行的程序,通常用于访问和与服务器进行交互。它们可以提供各种功能,包括数据处理、用户界面和网络连接。常见的客户端软件有办公软件(Office、WPS等),浏览器(Google Chrome, Safari等),邮箱(Microsoft Ou
继续阅读PoC 发布:CVE-2025-31644 漏洞利用通过设备模式命令注入授予 F5 BIG-IP 的 Root 访问权限
PoC 发布:CVE-2025-31644 漏洞利用通过设备模式命令注入授予 F5 BIG-IP 的 Root 访问权限 Ots安全 2025-05-13 09:41 F5 的 BIG-IP 系统在 Appliance 模式下运行,发现了一个高危漏洞,编号为 CVE-2025-31644。该漏洞可能允许经过身份验证的管理用户执行任意 bash 命令并获得 root 级访问权限。该漏洞由德勤的 Ma
继续阅读Apache Calcite Avatica 远程代码执行
Apache Calcite Avatica 远程代码执行 蚁景网安 2025-05-13 08:31 前段时间看到Apache Calcite Avatica远程代码执行漏洞 CVE-2022-36364 在网上搜索也没有找到相关的分析和复现文章,于是想着自己研究一下,看能不能发现可以利用的方法。 首先利用一下最近比较热门的 Deepseek ,询问他是否清楚漏洞相关的信息。 通过回答我们可以了
继续阅读【漏洞复现】F5 BIG-IP IControl REST和TMSH 命令执行漏洞(CVE-2025-31644)
【漏洞复现】F5 BIG-IP IControl REST和TMSH 命令执行漏洞(CVE-2025-31644) 原创 安全探索者 安全探索者 2025-05-13 06:29 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。 app=”f5-BIGIP”
继续阅读VMware Tools 漏洞允许攻击者篡改文件以触发恶意作
VMware Tools 漏洞允许攻击者篡改文件以触发恶意作 邑安科技 邑安全 2025-05-13 05:24 更多全球网络安全资讯尽在邑安全 VMware Tools 中存在一个中等严重性漏洞,该漏洞可能允许具有有限权限的攻击者在虚拟机中纵文件并触发不安全的作。 该漏洞被跟踪为 CVE-2025-22247,影响 VMware Tools 11.x.x 和 12.x.x 的 Windows 和
继续阅读黑客利用 Output Messenger 0 Day 漏洞部署恶意负载
黑客利用 Output Messenger 0 Day 漏洞部署恶意负载 邑安科技 邑安全 2025-05-13 05:24 更多全球网络安全资讯尽在邑安全 Microsoft 威胁情报已确定针对伊拉克库尔德军事实体的复杂网络间谍活动。自 2024 年 4 月以来,被称为 Marbled Dust 的威胁行为者一直在利用 Output Messenger 中的零日漏洞来收集敏感的用户数据并在受害者
继续阅读【高危漏洞预警】SAP NetWeaver Visual Composer反序列化漏洞CVE-2025-42999
【高危漏洞预警】SAP NetWeaver Visual Composer反序列化漏洞CVE-2025-42999 cexlife 飓风网络安全 2025-05-13 03:45 漏洞描述: 当特权用户可以上传不受信任或恶意的内容时,SAP NetWeaver Visual Composer Metadata Uploader容易受到攻击,这些内容在反序列化时可能会导致主机系统的机密性、完整性和可
继续阅读中标价85万防火墙,网购仅300元?;|苹果自研 5G 基带首个漏洞被修复:可拦截流量,中国安全专家发现;
中标价85万防火墙,网购仅300元?;|苹果自研 5G 基带首个漏洞被修复:可拦截流量,中国安全专家发现; 黑白之道 2025-05-13 02:06 重要!!!HW中高级急聘,薪资从优,急速面试,项目优先, 加V:Hacker-ED 详情请点击: 重要!2025HW招募! 中标价85万防火墙,网购仅300元?; 75万元采购防火墙实为299元路由器!重庆三峡学院:出现违法、违规行为,项目终止采购
继续阅读研究人员发现华硕预装软件DriverHub存在”一键式”远程代码执行漏洞
研究人员发现华硕预装软件DriverHub存在”一键式”远程代码执行漏洞 鹏鹏同学 黑猫安全 2025-05-13 01:19 安全研究人员”MrBruh”在华硕主板预装的驱动程序DriverHub中发现两个漏洞(编号CVE-2025-3462,CVSS评分8.4;CVE-2025-3463,CVSS评分9.4)。远程攻击者可利用这些漏洞实现任意代码
继续阅读华硕预装软件DriverHub中存在漏洞,可被利用来执行远程代码
华硕预装软件DriverHub中存在漏洞,可被利用来执行远程代码 会杀毒的单反狗 军哥网络安全读报 2025-05-13 01:00 导读 新西兰安全研究员“MrBruh”表示,华硕主板预装的驱动程序软件 DriverHub 中存在两个漏洞,可被远程利用执行任意代码。 这两个漏洞编号为CVE-2025-3462(CVSS 评分为 8.4)和CVE-2025-3463(CVSS 评分为 9.4),可
继续阅读微软发现针对伊拉克库尔德民兵的间谍活动中存在0day漏洞利用
微软发现针对伊拉克库尔德民兵的间谍活动中存在0day漏洞利用 会杀毒的单反狗 军哥网络安全读报 2025-05-13 01:00 导读 微软研究人员周一表示,一个有土耳其背景的网络间谍组织似乎利用了一款通讯应用程序中的 0 day 漏洞来监视伊拉克库尔德人的军事行动。 据微软威胁情报显示,这些名为 Marbled Dust 的黑客自 2024 年 4 月以来一直在入侵 Output Messeng
继续阅读漏洞预警 | Kibana原型污染漏洞
漏洞预警 | Kibana原型污染漏洞 浅安 浅安安全 2025-05-13 00:01 0x00 漏洞编号 – # CVE-2025-25014 0x01 危险等级 – 高危 0x02 漏洞概述 Kibana是开源的分析和可视化平台,与Elasticsearch协同工作。 0x03 漏洞详情 CVE-2025-25014 漏洞类型: 原型污染 影响: 执行任意代码 简述:
继续阅读紧急!华硕DriverHub曝高危漏洞,请立即更新!—远程攻击者可通过HTTP请求劫持你的主板驱动管理
紧急!华硕DriverHub曝高危漏洞,请立即更新!—远程攻击者可通过HTTP请求劫持你的主板驱动管理 原创 道玄安全 道玄网安驿站 2025-05-12 23:01 “ CVE-2025-3462” PS:有内网web自动化需求可以私信 01 — 一.漏洞速览:两大RCE漏洞威胁主板安全 近日,华硕官方发布紧急安全公告,其主板驱动管理工具 ASUS DriverHub 被曝存在两个严重远程代
继续阅读PHP 静态分析漏洞挖掘:挑战、对策与研究进展综述
PHP 静态分析漏洞挖掘:挑战、对策与研究进展综述 网安探索员 网安探索员 2025-05-12 12:00 原文链接: https://forum.butian.net/share/4308 静态应用安全测试 SAST(Static Application Security Testing)是指基于静态分析技术,在无需实际运行程序的情况下分析代码的语义和行为,找出潜在的漏洞从而保障软件的安全。本
继续阅读【漏洞预警】Docker Desktop信息泄露漏洞(CVE-2025-1696)
【漏洞预警】Docker Desktop信息泄露漏洞(CVE-2025-1696) cexlife 飓风网络安全 2025-05-12 10:04 漏洞描述: 在Dосkеr Dеѕktор4.39.0版本之前的版本中存在一个漏洞,可能导致通过应用程序日志无意中泄露敏感信息。在受影响的版本中,每当通过代理进行HTTP GET请求时,代理配置数据(可能包括敏感细节)会被以明文形式写入日志文件。具有读
继续阅读CVE-2024-26809利用nftables双重释放漏洞获取Root权限
CVE-2024-26809利用nftables双重释放漏洞获取Root权限 FreeBuf 2025-05-12 10:02 Linux内核的nftables子系统(特别是net/netfilter模块)中发现一个高危漏洞,攻击者可利用nft_pipapo_destroy()函数中的双重释放(double-free)漏洞实现本地提权。该漏洞编号为CVE-2024-26809,影响内核版本6.1-
继续阅读安全漏洞管理的4个常见误区
安全漏洞管理的4个常见误区 原创 Richard 方桥安全漏洞防治中心 2025-05-12 10:01 4个常见误区 10年过去了,还像2015年那样调度漏洞扫描任务。 每次发现“危急”漏洞都在救火。 还没实现自动处理日常琐事。 对软件供应链安全漏洞风险不上心。 这里不详细解释。 感兴趣可查看: https://www.csoonline.com/article/3970955/4-big-mi
继续阅读雷神众测漏洞周报2025.5.6-2025.5.11
雷神众测漏洞周报2025.5.6-2025.5.11 原创 雷神众测 雷神众测 2025-05-12 08:09 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读WordPress depicter插件 Sql注入漏洞 (CVE-2025-2011)
WordPress depicter插件 Sql注入漏洞 (CVE-2025-2011) Superhero Nday Poc 2025-05-12 08:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述
继续阅读【漏洞通告】D-Link DIR-605L 无线路由器缓冲器溢出(CVE-2025-4441)
【漏洞通告】D-Link DIR-605L 无线路由器缓冲器溢出(CVE-2025-4441) 安迈信科应急响应中心 2025-05-12 07:57 01 漏洞概况 D-Link DIR-605L 2.13B01存在一个被分类为严重的漏洞。这个漏洞影响了formSetWAN_Wizard534功能。对参数curTime的操作会导致缓冲区溢出。攻击者可以远程发起攻击。02 漏洞处置综合处
继续阅读【漏洞通告】Sourcecodester在线大学图书馆系统 SQL注入(CVE-2025-4504)
【漏洞通告】Sourcecodester在线大学图书馆系统 SQL注入(CVE-2025-4504) 安迈信科应急响应中心 2025-05-12 07:57 01 漏洞概况 Android 15之前的libsavscmn库中存在越界写入漏洞,允许本地攻击者执行任意代码。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称Sourcecodester 在线大学图书馆系统 SQL 注入漏洞漏洞编
继续阅读SAP NetWeaver漏洞利用进入第二波威胁活动
SAP NetWeaver漏洞利用进入第二波威胁活动 原创 David 信息安全D1net 2025-05-12 07:54 点击上方“蓝色字体 ”,选择 “设为星标 ” 关键讯息,D1时间送达! 网络安全机构发现,利用SAP NetWeaver Visual Composer高危漏洞(CVE-2025-31324,CVSS 10分)的第二波攻击浪潮正在全球蔓延。Onapsis与Mandiant已
继续阅读漏洞预警:CVE-2024-26809利用nftables双重释放漏洞获取Root权限
漏洞预警:CVE-2024-26809利用nftables双重释放漏洞获取Root权限 邑安科技 邑安全 2025-05-12 05:25 更多全球网络安全资讯尽在邑安全 漏洞概述 Linux内核的nftables子系统(特别是net/netfilter模块)中发现一个高危漏洞,攻击者可利用nft_pipapo_destroy()函数中的双重释放(double-free)漏洞实现本地提权。该漏洞编
继续阅读华硕预装驱动软件中的一键RCE
华硕预装驱动软件中的一键RCE Ots安全 2025-05-12 03:11 介绍 这个故事始于有关新 PC 零件的对话。 不顾朋友的建议,我买了一块新的华硕主板。我有点担心BIOS会默认在后台默默地安装软件到我的操作系统里。不过这个功能可以关掉,所以我想干脆就关掉吧。 登录 Windows 后,我立即收到一条通知,要求管理员权限才能完成 ASUS DriverHub 的安装,因为我忘记更改 BI
继续阅读网络安全厂商SonicWall修复SMA 100系列设备高危漏洞 攻击者可组合利用执行任意代码
网络安全厂商SonicWall修复SMA 100系列设备高危漏洞 攻击者可组合利用执行任意代码 鹏鹏同学 黑猫安全 2025-05-11 23:00 漏洞详情: 1. CVE-2025-32819(CVSS 8.8分) 类型:SSL VPN用户身份认证后任意文件删除漏洞 影响:通过绕过路径遍历检查,攻击者可删除任意文件导致设备恢复出厂设置 CVE-2025-32820(CVSS 8.3分) 类型:
继续阅读