Github中项目的公开漏洞合集
Github中项目的公开漏洞合集 进击的hack 进击的HACK 2025-04-21 23:49 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢 ! 文章有疑问的,可以公众号发消息问我,或者留言。我每天都会看的。 字数 216,阅读大约需 2 分钟 前言 最近在搜CVE
继续阅读标签: CVE
Vite 任意文件读取漏洞(CVE-2025-30208)
Vite 任意文件读取漏洞(CVE-2025-30208) HK安全小屋 2025-04-21 16:17 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: CVE-2025-30208 是 Vite(一个前端开发工具提供商)在特定
继续阅读【漏洞预警】PyTorch反序列化远程代码执行漏洞CVE-2025-32434
【漏洞预警】PyTorch反序列化远程代码执行漏洞CVE-2025-32434 cexlife 飓风网络安全 2025-04-21 13:16 产品简介: PyTorch是一个用于机器学习和深度学习的开源深度学习框架,由Facebook于2016年发布,其主要实现了自动微分功能,并引入动态计算图使模型建立更加灵活。Pytorch可分为前后端两个部分,前端是与用户直接交互的python API,后端
继续阅读【漏洞速递】PyTorch模型加载远程代码执行漏洞(CVE-2025-32434)
【漏洞速递】PyTorch模型加载远程代码执行漏洞(CVE-2025-32434) 安全狐 2025-04-21 11:31 漏洞背景 PyTorch作为由Meta AI开发的开源深度学习框架,被广泛应用于计算机视觉、自然语言处理等领域。其模型加载机制的安全性问题直接关系到数百万开发者和研究机构的生产环境安全。2025年4月披露的该漏洞颠覆了开发者对weights_only=True 参数的安全认
继续阅读【安全圈】Speedify VPN macOS 漏洞使攻击者能够提升权限
【安全圈】Speedify VPN macOS 漏洞使攻击者能够提升权限 安全圈 2025-04-21 11:00 关键词 安全漏洞 Speedify VPN 的macOS 应用程序中发现了一个重大安全漏洞,编号为 CVE-2025-25364,该漏洞使用户面临本地权限提升和整个系统被入侵的风险。 SecureLayer7 发现的该漏洞存在于特权辅助工具 me.connectify.SMJobB
继续阅读华硕确认AiCloud路由器存在严重漏洞;敦促用户更新固件
华硕确认AiCloud路由器存在严重漏洞;敦促用户更新固件 走狗是狗哥 安在 2025-04-21 10:24 ASUS(华硕)已披露一个影响启用AiCloud功能的路由器的严重安全漏洞,该漏洞可能会使远程攻击者在易受攻击的设备上执行未经授权的功能。 此漏洞被追踪为CVE-2025-2492,其CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)评分
继续阅读安全热点周报:零日漏洞瞄准 iPhone,苹果紧急发布安全补丁
安全热点周报:零日漏洞瞄准 iPhone,苹果紧急发布安全补丁 奇安信 CERT 2025-04-21 10:12 安全资讯导视 • 六部门联合印发《促进和规范金融业数据跨境流动合规指南》 • 哈尔滨市公安局公开通缉3名美国国家安全局特工 • 超1.4万台Fortinet设备长期被黑客入侵,约1100台位于中国 PART01 漏洞情报 1.Apple iOS与iPadOS多个在野高危漏洞安全风险
继续阅读【风险通告】PyTorch存在远程代码执行漏洞(CVE-2025-32434)
【风险通告】PyTorch存在远程代码执行漏洞(CVE-2025-32434) 安恒研究院 安恒信息CERT 2025-04-21 10:06 漏洞概述 漏洞名称 PyTorch 存在远程代码执行漏洞(CVE-2025-32434) 安恒CERT评级 1级 CVSS3.1评分 9.8(安恒自评) CVE编号 CVE-2025-32434 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编
继续阅读华硕AiCloud功能现重大安全漏洞
华硕AiCloud功能现重大安全漏洞 看雪学苑 看雪学苑 2025-04-21 09:59 近日,华硕公司发布了一则紧急安全警告,其多款启用AiCloud功能的路由器被发现存在一个严重的身份验证绕过漏洞,该漏洞被追踪为CVE-2025-2492,CVSS v4评分高达9.2,属于“危急”级别。这意味着攻击者无需任何身份验证,仅通过精心构造的网络请求,就可能远程利用该漏洞,在路由器上执行未经授权的操
继续阅读PyTorch 中存在严重的RCE漏洞
PyTorch 中存在严重的RCE漏洞 Ddos 代码卫士 2025-04-21 09:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 最有名的深度学习框架 PyTorch 中存在一个严重的远程命令执行 (RCE) 漏洞CVE-2025-32434,CVSS v4 评分9.3,影响 PyTorch ≤ 2.5.1,位于 torch.load() 函数中。具体而言,当通过参数 weigh
继续阅读华硕:启用AiCloud 的路由器中存在严重的认证绕过漏洞
华硕:启用AiCloud 的路由器中存在严重的认证绕过漏洞 Bill Toulas 代码卫士 2025-04-21 09:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 华硕提醒称,启用 AiCloud 的路由器中存在一个认证绕过漏洞,可导致远程攻击者在设备上执行未授权函数执行。 该漏洞的编号是CVE-2025-2492,CVSS v4评分为9.2,可通过一个特殊构造的请求遭远程利用且
继续阅读CVE-2025-22457:基于堆栈的远程缓冲区溢出的POC验证脚本
CVE-2025-22457:基于堆栈的远程缓冲区溢出的POC验证脚本 原创 z1 Z1sec 2025-04-21 05:19 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! CVE-2025-22457介绍: 基于堆栈的远程缓
继续阅读WordPress wpdm-premium-packages SQL注入漏洞(CVE-2025-24659)
WordPress wpdm-premium-packages SQL注入漏洞(CVE-2025-24659) 船山信安 2025-04-21 05:00 插件介绍: Premium Packages 是一款免费的全功能 WordPress 电子商务插件,可轻松销售数字产品。 漏洞描述: Premium Packages – Sell Digital Products Securely
继续阅读严重 PyTorch 漏洞 CVE-2025-32434 允许远程代码执行
严重 PyTorch 漏洞 CVE-2025-32434 允许远程代码执行 独眼情报 2025-04-21 04:27 PyTorch 是目前最受欢迎的深度学习框架之一,如今被发现存在一个严重漏洞。安全研究员周吉安发现,PyTorch 中最受开发人员信赖的函数之一存在一个严重远程命令执行 (RCE) 漏洞,即使已进行安全配置,该函数也用于安全加载模型。 该漏洞编号为 CVE-2025-32434,
继续阅读MRCMS(蘑菇建站)跨站脚本漏洞及解决方法(CNVD-2025-05252、CVE-2025-2195)
MRCMS(蘑菇建站)跨站脚本漏洞及解决方法(CNVD-2025-05252、CVE-2025-2195) 原创 护卫神 护卫神说安全 2025-04-21 03:40 MRCMS(蘑菇建站)是一款基于Java开发的开源内容管理系统,专为中小型网站设计。它支持跨平台运行,功能完善,易于部署和扩展。MRCMS通过数据模型、模板和插件实现灵活定制,满足企业官网、个人博客、行业门户等多样化需求。其遵循G
继续阅读Kubernetes CVE-2025-1974 RCE
Kubernetes CVE-2025-1974 RCE TtTeam 2025-04-21 03:29 Kubernetes 中发现了一个安全问题。在某些情况下,未经身份验证且能够访问 Pod 网络的攻击者可以在 ingress-nginx 控制器上下文中执行任意代码。这可能导致控制器可访问的 Secret 信息泄露。(请注意,在默认安装中,控制器可以访问集群范围内的所有 Secret。) 此问
继续阅读DC-1,一台和蔼可亲的靶机。Drupal7,msfcve-2018-7600漏洞利用,隧道建立,SUID提权
DC-1,一台和蔼可亲的靶机。Drupal7,msfcve-2018-7600漏洞利用,隧道建立,SUID提权 原创 泷羽Sec-朝阳 泷羽Sec-朝阳 2025-04-21 03:11 一、信息收集 1、主机探测 arp-scan -l 探测同网段 2、端口扫描 nmap -sS -sV 192.168.66.136 这里三个端口,有个ssh可能会爆出来,80端口访问,先后台扫描目录 3、目录扫
继续阅读WinRAR安全漏洞可绕过Windows安全警告 执行恶意软件
WinRAR安全漏洞可绕过Windows安全警告 执行恶意软件 国家网络安全通报中心 2025-04-21 02:49 近日,日本安全团队 CSIRT揭露了WinRAR中的一项安全漏洞,该漏洞能够绕过微软Windows的Mark of the Web(MoTW)安全机制,使得用户在不知情的情况下,有可能执行来自网络的恶意程序,造成严重安全风险,该漏洞被编号CVE-2025-31334。 一、基本情
继续阅读苹果紧急修复两个“极其复杂”的高危零日漏洞
苹果紧急修复两个“极其复杂”的高危零日漏洞 汇能云安全 2025-04-21 01:46 4月21日,星期一,您好!中科汇能与您分享信息安全快讯: 01 Linux中国开源社区官网正式关闭 因为Linux.cn域名因未知原因被冻结 运营超过二十年的Linux中国开源社区(linux.cn)官方网站近日宣告关闭。2025年3月20日起,其主域名被注册商设置为”clientHoldR
继续阅读搭载AiCloud功能的华硕(ASUS)路由器存在身份验证绕过漏洞
搭载AiCloud功能的华硕(ASUS)路由器存在身份验证绕过漏洞 鹏鹏同学 黑猫安全 2025-04-21 01:16 华硕(ASUS)发布安全警告称,其搭载AiCloud功能的路由器存在身份验证绕过漏洞(编号CVE-2025-2492,CVSS v4评分9.2)。远程攻击者可通过构造特殊请求触发该漏洞,在未授权情况下执行设备功能。 华硕产品安全公告指出,”部分华硕路由器固件存在认证
继续阅读必备安全工具:推荐一款高效的漏洞扫描工具
必备安全工具:推荐一款高效的漏洞扫描工具 原创 ralap 网络个人修炼 2025-04-21 01:00 又发现一个好用的工具Nuclei,Nuclei是一个强大的开源工具,它基于模板执行漏洞扫描,帮助用户快速识别系统中的安全隐患。本文将详细介绍如何在Windows操作系统上安装并配置Nuclei。 1.安装Go语言环境 由于Nuclei是用Go语言编写的,因此首先需要安装Go语言环境。截至20
继续阅读云对象存储桶写漏洞?模型和数据被投毒、机器沦陷?- AI & 云安全
云对象存储桶写漏洞?模型和数据被投毒、机器沦陷?- AI & 云安全 原创 lufeisec lufeisec 2025-04-21 00:00 一、前言 随着云计算的兴起,私有云也逐渐成为企业数字化转型的重要选择之一。然而,无论是公有云还是私有云,在建设过程中都曾爆出过许多安全漏洞。今天,我们就来聊一聊最近爆出的私有云的对象存储系统的漏洞(可以导致任意覆盖写桶里面的文件)以及这个漏洞在A
继续阅读新的Windows NTLM漏洞被利用进行攻击
新的Windows NTLM漏洞被利用进行攻击 祺印说信安 2025-04-20 22:38 Check Point 警告称,Windows NTLM 漏洞的利用始于上个月补丁发布后大约一周。该漏洞编号为 CVE-2025-24054(CVSS 评分为 6.5),并于2025 年 3 月补丁星期二得到解决,该中等严重性漏洞可能允许 NTLM 哈希泄露,从而使攻击者能够通过网络执行欺骗攻击。根据微软
继续阅读UNACMS PHP对象注入漏洞(CVE-2025-32101)
UNACMS PHP对象注入漏洞(CVE-2025-32101) Superhero Nday Poc 2025-04-20 17:34 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 该漏洞位于 /temp
继续阅读CentreStack 反序列化漏洞 (CVE-2025-30406)
CentreStack 反序列化漏洞 (CVE-2025-30406) Superhero Nday Poc 2025-04-20 16:02 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 该应用程序在 I
继续阅读Windows NTLM 哈希泄露欺骗漏洞
Windows NTLM 哈希泄露欺骗漏洞 网安百色 2025-04-20 11:30 点击上方 蓝字 关注我们吧~ CISA)提醒注意积极利用新披露的 Microsoft Windows 漏洞,该漏洞被跟踪为 CVE-2025-24054。 该漏洞会影响 Windows 的 NTLM 身份验证协议,为未经授权的攻击者通过欺骗漏洞渗透系统创造了机会。 漏洞概述 CVE-2025-24054,正式指
继续阅读Erlang/OTP SSH存在CVSS 10.0级高危远程代码执行漏洞
Erlang/OTP SSH存在CVSS 10.0级高危远程代码执行漏洞 FreeBuf 2025-04-20 10:03 安全研究人员披露了编号为CVE-2025-32433的漏洞,该漏洞存在于Erlang/OTP SSH组件中,CVSS评分为10.0分(最高危险等级),攻击者可利用此漏洞在未经验证的情况下在暴露系统上执行任意代码。 研究人员在Erlang/OTP的SSH实现中发现一个新漏洞,攻
继续阅读Windows 任务计划程序漏洞允许提升权限和篡改日志
Windows 任务计划程序漏洞允许提升权限和篡改日志 Ots安全 2025-04-20 06:02 Windows 的核心组件之一——任务计划程序——中发现了四个新漏洞,这些漏洞可导致本地权限提升攻击。研究表明,攻击者不仅可以获取管理权限,还可以通过篡改事件日志来抹去其活动痕迹。 这些漏洞主要围绕二进制文件“schtasks.exe”展开,该文件用于本地和远程管理任务。专家发现其运行中存在严重漏
继续阅读严重 Windows 漏洞可窃取 NTLM 哈希值
严重 Windows 漏洞可窃取 NTLM 哈希值 Ots安全 2025-04-20 06:02 黑客已开始积极利用新发现的 Windows 文件处理漏洞.library-ms,该漏洞可远程窃取用户 NTLM 哈希值。该漏洞编号为 CVE-2025-24054,已在微软 3 月份的安全更新中得到修复,但最初被认为不太可能被利用。然而,在补丁发布几天后,Check Point的研究人员就观察到了针对
继续阅读Windows 11高危漏洞CVE-2025-24076:300毫秒即可夺取系统权限!速修!
Windows 11高危漏洞CVE-2025-24076:300毫秒即可夺取系统权限!速修! 原创 道玄安全 道玄网安驿站 2025-04-20 04:00 “ dll劫持+条件竞争。” 01 — 一、漏洞速览:极速提权的“定时炸弹” 近日,Windows 11曝出一枚高危本地权限提升漏洞 CVE-2025-24076 ,攻击者仅需 300毫秒 即可从普通用户跃升为系统管理员,堪称“秒级提权”!
继续阅读