EnGenius路由器usbinteract.cgi接口存在远程命令漏洞 附POC
EnGenius路由器usbinteract.cgi接口存在远程命令漏洞 附POC 2025-4-24更新 南风漏洞复现文库 2025-04-24 15:20 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. EnGenius路由器简介
继续阅读标签: CVE
【漏洞预警】DataEase H2 JDBC远程代码执行漏洞CVE-2025-32966
【漏洞预警】DataEase H2 JDBC远程代码执行漏洞CVE-2025-32966 cexlife 飓风网络安全 2025-04-24 14:32 漏洞描述: DataEase是Tableau的开源BI工具替代品,在版本2.10.8之前,经过身份验证的用户可以通过后端JDBC链接完成RCE,此问题已在版本2.10.8中修复,DataEase是开源的BI工具,帮助用户快速分析数据并洞察业务趋势
继续阅读利用 Windows 更新堆栈获取系统访问权限(CVE-2025-21204)附exploit
利用 Windows 更新堆栈获取系统访问权限(CVE-2025-21204)附exploit sec0nd安全 2025-04-24 12:51 CVE-2025-21204 是 Windows 更新堆栈中的一个本地提权漏洞。攻击者通过滥用目录连接点或符号链接,可以劫持由 MoUsoCoreWorker.exe 等以 SYSTEM 级别运行的进程所访问的可信路径,并以提升的权限执行任意代码。该
继续阅读浏览器加密钱包高危漏洞可致资金遭窃
浏览器加密钱包高危漏洞可致资金遭窃 FreeBuf 2025-04-24 11:43 研究人员发现主流浏览器加密货币钱包存在重大安全漏洞,攻击者无需用户任何交互或授权即可窃取资金。 在Stellar Freighter、Frontier Wallet和Coin98等钱包中发现的这些关键漏洞,标志着针对加密货币用户的攻击手段出现重大转变。与传统网络钓鱼攻击需要用户批准恶意交易不同,这些漏洞仅需用户访
继续阅读Synology 网络文件系统漏洞允许读取任何文件
Synology 网络文件系统漏洞允许读取任何文件 网安百色 2025-04-24 11:30 Synology 的 DiskStation Manager (DSM) 软件中发现了一个严重的安全漏洞。此漏洞允许远程攻击者在未经适当授权的情况下通过网络文件系统 (NFS) 服务读取任意文件。 该漏洞被跟踪为 CVE-2025-1021,并在安全公告中进行了详细说明,该漏洞已在最近的更新中得到解决,
继续阅读【AI风险通告】NVIDIA NeMo存在多个高危漏洞
【AI风险通告】NVIDIA NeMo存在多个高危漏洞 安恒研究院 安恒信息CERT 2025-04-24 10:00 漏洞公告 近 日,安恒信息CERT监测到NVIDIA NeMo存在多个高危漏洞,漏洞(CVE-2025-23249)攻击者可通过远程代码执行导致反序列化不受信任的数据;攻击者可以利用漏洞(CVE-2025-23250)通过任意文件写入将文件路径不当限制到受限目录;漏洞(CVE-2
继续阅读无认证也能入侵?Commvault 现严重漏洞,黑客可借此远程 “掌控” 系统
无认证也能入侵?Commvault 现严重漏洞,黑客可借此远程 “掌控” 系统 看雪学苑 看雪学苑 2025-04-24 09:59 在当今数字化时代,数据已成为企业最为关键的资产之一,而数据保护平台的安全性直接关系到企业的核心利益与用户的隐私安全。然而,近期一则关于 Commvault Command Center Innovation Release 版本存在严重安全漏洞的消息,如同一颗突然投
继续阅读华硕修复严重的AMI 漏洞
华硕修复严重的AMI 漏洞 Bill Toulas 代码卫士 2025-04-24 09:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 华硕发布安全更新,修复CVSS评分为10的严重漏洞CVE-2024-54085,它可导致攻击者劫持并导致服务器崩溃。 该漏洞影响安迈科技公司的 MegaRAC BMC 软件,而它用于超过12家服务器硬件厂商,包括慧与、华硕以及ASRock公司。CVE
继续阅读从 CVE-2024-0012 到 CVE-2024-9474:Palo Alto 的分析与思考
从 CVE-2024-0012 到 CVE-2024-9474:Palo Alto 的分析与思考 原创 imjdl 源影安全团队 2025-04-24 09:30 引言 本文是一个漏洞分析回顾。2024年,在Palo Alto Networks的防火墙和SSL VPN产品中出现了两个严重的安全漏洞:CVE-2024-0012和CVE-2024-9474。这两个漏洞(身份验证绕过漏洞和权限提升漏洞)
继续阅读【漏洞通告】PyTorch 远程命令执行漏洞(CVE-2025-32434)
【漏洞通告】PyTorch 远程命令执行漏洞(CVE-2025-32434) 启明星辰安全简讯 2025-04-24 08:41 一、漏洞概述 漏洞名称 PyTorch 远程命令执行漏洞 CVE ID CVE-2025-32434 漏洞类型 命令执行 发现时间 2025-04-24 漏洞评分 9.3 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交互 不需要 PoC/EXP 未公
继续阅读大模型10大网络安全威胁及防范策略 | ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序
大模型10大网络安全威胁及防范策略 | ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序 e安在线 e安在线 2025-04-24 05:05 大模型10大网络安全威胁及防范策略 OWASP发布的《大语言模型人工智能应用Top10安全威胁2025》,大语言模型人工智能应用中存在的十大安全风险,相比2023版有一些变化, 10大安全威胁如下: 1、提示词注入:用户通过特殊输入改变模型
继续阅读微软警示:俄罗斯“沙虫”APT组织借Edge漏洞全球出击
微软警示:俄罗斯“沙虫”APT组织借Edge漏洞全球出击 原创 紫队 紫队安全研究 2025-04-24 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 在网络安全领域,有一个组织恶名昭彰,那
继续阅读攻击 FastCGI 库:CVE-2025-23016
攻击 FastCGI 库:CVE-2025-23016 独眼情报 2025-04-24 03:57 介绍 FastCGI 是一个用 C 语言编写的库,用于通过设计一种在 NGINX 等 Web 服务器和第三方软件之间进行通信的方式来开发编译的 Web 应用程序。 它是通用网关接口 (CGI) 的演进。 它的主要优势在于它能够集成轻量级 Web 应用程序。 此功能意味着该库主要用于计算能力较低的设备
继续阅读GitLab 发布安全更新以修复 XSS 和帐户接管漏洞
GitLab 发布安全更新以修复 XSS 和帐户接管漏洞 独眼情报 2025-04-24 03:57 GitLab 发布了安全公告,敦促用户立即升级其自管理的 GitLab 安装。该公告强调了 GitLab Community Edition (CE) 和 Enterprise Edition (EE) 的 17.11.1、17.10.5 和 17.9.7 版本的发布,以解决“ 重要的错误和安全修
继续阅读Pega Infinity – 绕过身份验证[CVE-2021-27651]
Pega Infinity – 绕过身份验证[CVE-2021-27651] _7ingLian 偏远酒馆 2025-04-24 03:36 CVE-2021-27651 免责声明 我们发布的内容仅作为测试和学习交流,禁止用于未授权场景。任何人不得将其用于非法目的。我方对于阅读本文技术引起的法律责任概不负责。 —>漏洞描述 Pega Infinity 版本8.2.1到
继续阅读PHPGurukul Men Salon Management System最新SQL注入漏洞及解决方法
PHPGurukul Men Salon Management System最新SQL注入漏洞及解决方法 原创 护卫神 护卫神说安全 2025-04-24 02:28 PHPGurukul Men Salon Management System 是一款基于 PHP 和 MySQL 开发的男士美发沙龙管理系统,系统功能涵盖发型师管理、预约管理、订单处理等,旨在提升沙龙运营效率。 CVE安全漏洞共享平
继续阅读Spring漏洞扫描工具,springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证
Spring漏洞扫描工具,springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证 黑白之道 2025-04-24 01:55 一、工具概述 SBSCAN是一款专注于spring框架的渗透测试工具,可以对指定站点进行springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证。 – 最全的敏感路径字典 :最全的springboot站点
继续阅读Windows CVE-2025-24054 漏洞解析:下载即泄 NTLM 哈希,Pass-the-Hash 风险剧增!
Windows CVE-2025-24054 漏洞解析:下载即泄 NTLM 哈希,Pass-the-Hash 风险剧增! 原创 Hankzheng 技术修道场 2025-04-23 23:59 美国网络安全与基础设施安全局 (CISA) 近日将 Windows NTLM 漏洞 CVE-2025-24054 (CVSS 6.5) 加入其“已知被利用漏洞 (KEV)”清单,证实该漏洞正在野外被积极利
继续阅读HFS2.3远程代码执行(CVE-2024-23692 )漏洞
HFS2.3远程代码执行(CVE-2024-23692 )漏洞 渗透测试研究中心 2025-04-23 23:01 免则声明:本公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权转载和其他公众号白名单转载,如需转载,联系作者开白。 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
继续阅读Cleo Synchronization接口任意文件读取漏洞CVE-2024-50623 附POC
Cleo Synchronization接口任意文件读取漏洞CVE-2024-50623 附POC 2025-4-23更新 南风漏洞复现文库 2025-04-23 15:33 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Cleo 简
继续阅读【漏洞预警】Vmware Spring Security设计缺陷漏洞
【漏洞预警】Vmware Spring Security设计缺陷漏洞 cexlife 飓风网络安全 2025-04-23 14:55 漏洞描述: Vmware Spring Security发布安全公告,披露了一处逻辑缺陷漏洞,漏洞源于对CVE-2025-22228漏洞的修复中破坏了DaoAuthenticationProvider中实现的计时攻击缓解机制,官方已在新版本中修复此漏洞,建议受影响用
继续阅读【翻译】Greenshift WordPress 插件中的任意文件上传漏洞影响 5 万个 WordPress 网站
【翻译】Greenshift WordPress 插件中的任意文件上传漏洞影响 5 万个 WordPress 网站 wordfence 安全视安 2025-04-23 14:24 2025年4月14日,我们收到了Greenshift插件 中存在的任意文件上传漏洞的提交。Greenshift是一款WordPress插件,活跃安装量超过5万次。经过身份验证的攻击者(拥有订阅者及以上权限)可以利用此漏洞
继续阅读Windows 更新堆栈中存在允许代码执行和权限提升漏洞
Windows 更新堆栈中存在允许代码执行和权限提升漏洞 网安百色 2025-04-23 11:38 在研究人员透露,Windows 更新堆栈中新发现的一个漏洞被跟踪为 CVE-2025-21204,该漏洞可能使攻击者能够在目标计算机上执行任意代码并将权限升级到 SYSTEM 级别,这在网络安全社区引起了震动。 Cyberdom 博客的研究人员披露了该漏洞,对数百万依赖 Windows 更新机制进
继续阅读通过代理实现代码执行——DLL劫持的另一种方式
通过代理实现代码执行——DLL劫持的另一种方式 Ots安全 2025-04-23 11:10 在不断发展的网络安全格局中,攻击者不断设计出新的方法来利用终端中的漏洞执行恶意代码。DLL 劫持是最近越来越流行的一种方法。虽然 DLL 劫持攻击有多种形式,但本文将探讨一种称为 DLL 代理的特定攻击类型,深入分析其工作原理、潜在风险,并简要介绍发现这些易受攻击的 DLL 的方法。这种方法导致发现了几个
继续阅读ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序
ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序 FreeBuf 2025-04-23 10:42 安全研究员Matt Keeley近期演示了人工智能如何在公开概念验证(PoC)攻击代码发布前,就成功生成针对关键漏洞的有效利用程序。这一突破可能彻底改变漏洞研究领域的现状。 Keeley使用GPT-4为CVE-2025-32433开发出功能性攻击程序,该漏洞是Erlang/OTP S
继续阅读Active! mail 中的RCE 0day漏洞用于攻击位于日本的机构
Active! mail 中的RCE 0day漏洞用于攻击位于日本的机构 Bill Toulas 代码卫士 2025-04-23 10:14 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Active! mail 中存在一个远程代码执行 (RCE) 0day 漏洞,现已被用于攻击位于日本的大型组织机构。 Active! mail 最初是由 TransWARE 开发的一款基于 web 的邮件
继续阅读【漏洞处置SOP】Apache Tomcat远程代码执行漏洞(CVE-2025-24813)
【漏洞处置SOP】Apache Tomcat远程代码执行漏洞(CVE-2025-24813) 原创 just4fun 方桥安全漏洞防治中心 2025-04-23 10:06 01 SOP基本信息 SOP名称: Apache Tomcat远程代码执行漏洞(CVE-2025-24813)处置标准作业程序(SOP) 版本: 1.0 发布日期: 2025-03-12 作者:just4fun 审核人: T小
继续阅读入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第三十二期
入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第三十二期 原创 安钥 方桥安全漏洞防治中心 2025-04-23 10:06 2025年4月9日发布的安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第14期,总第32期] 活动现已结束。经过初评和复审,本次共有 5 篇 SOP 入选 。 入选SOP作品 结构清晰、 内容翔实、实用性强,有较高的借鉴意义,体现了作者在漏
继续阅读CVE-2025-32433 – Erlang/OTP SSH 中的严重 RCE(CVSS 10)
CVE-2025-32433 – Erlang/OTP SSH 中的严重 RCE(CVSS 10) Khan安全团队 2025-04-23 07:45 身份验证前即可利用,在 Erlang 内置的 SSH 服务器中找到用于后端服务、物联网、电信设备。 https://github.com/ProDefense/CVE-2025-32433
继续阅读