CVE-2024-0012&CVE-2025-0108 PAN-OS 从配置文件中寻找认证绕过漏洞 原创 KCyber 自在安全 2025-04-20 02:14 漏洞概述 Palo Alto Networks PAN-OS 先后爆出2 个认证绕过漏洞CVE-2024-0012 和CVE-2025-0108 ,漏洞原理比较类似,都是因为在多级配置转发的过程中存在逻辑缺陷,导致可通过构造特殊
继续阅读紧急预警!CVE-2025-24054漏洞遭主动攻击,文件下载竟成“钓鱼陷阱”! 原创 道玄安全 道玄网安驿站 2025-04-19 23:00 “ CVE-2025-24054。” 01 — 事件背景 近日,安全研究人员监测到 高危漏洞CVE-2025-24054 正被黑客组织大规模利用,攻击者通过伪装“文件下载”操作,诱导用户触发恶意请求,窃取Windows系统的 NTLM凭据 。该漏洞已造
继续阅读CVE-2024-22243 Spring Web UriComponentsBuilder URL 解析不当漏洞分析 船山信安 2025-04-19 16:00 漏洞描述 Spring Framework 是一个开源的 Java 应用程序框架,UriComponentsBuilder 是 Spring Web 中用于构建和操作 URI 的工具类。 受影响版本中,由于 UriComponentsB
继续阅读【安全圈】Windows NTLM 漏洞肆虐,低交互高风险、可提权窃取敏感数据 安全圈 2025-04-19 11:00 关键词 漏洞 科技媒体 bleepingcomputer 昨日(4 月 17 日)发布博文,报道称已有证据表明,黑客利用 Windows 漏洞(CVE-2025-24054),在网络钓鱼活动中,通过 .library-ms 文件诱导用户泄露 NTLM 哈希值,从而绕过身份认证和
继续阅读CVE-2025-27218|Sitecore CMS远程代码执行漏洞 alicy 信安百科 2025-04-19 10:00 0x00 前言 Sitecore Experience Platform™ (XP) 是一款基于.NET WebForm技术构建的内容管理系统,可以将客户数据、分析、人工智能与营销自动化功能相结合,在任何渠道上实时提供个性化的内容,从而在客户旅程中与客户建立良好的关系。
继续阅读华硕警告称,启用 AiCloud 的路由器存在身份验证绕过漏洞CVE-2025-2492(9.2) 独眼情报 2025-04-19 09:33 华硕警告称,启用 AiCloud 的路由器存在身份验证绕过漏洞,该漏洞可能允许远程攻击者在设备上执行未经授权的功能。 该漏洞编号为CVE-2025-2492,级别为严重(CVSS v4 评分:9.2),可通过特制请求进行远程利用,且无需身份验证,因此特别危
继续阅读【漏洞复现】Zyxel NAS设备 setCookie 未授权命令注入漏洞(CVE-2024-29973) 骇客安全 2025-04-19 03:40 0x01 产品简介 Zyxel-NAS 是指由 Zyxel Communications Corporation(合勤科技股份有限公司)开发和生产的网络附加存储(Network Attached Storage,简称 NAS)设备。NAS 是一种专
继续阅读【一周安全资讯0419】九部门印发《关于加快推进教育数字化的意见》;Windows11高危漏洞:300毫秒即可提权至管理员 聚铭网络 2025-04-19 03:00 WEEKLY NEWS 每周安全资讯 新鲜资讯热点都在这里 要闻速览 1 中国人民银行等六部门联合印发《促进和规范金融业数据跨境流动合规指南》 2 教育部等九部门印发《关于加快推进教育数字化的意见》 3 最后一刻的“缓刑”:CISA
继续阅读AD域内网渗透-三种漏洞利用方式 jzhoucdc 泷羽Sec 2025-04-19 00:11 本文基于AD域内网渗透中三种漏洞利用的学习记录。 PrintNightmare PrintNightmare包括两项漏洞CVE-2021-34527 和 CVE-2021-1675,这些漏洞存在于Windows操作系统上的打印后台处理程序(Print Spooler)服务中。目前基于该漏洞,已经有很多
继续阅读漏洞预警 | Oracle Scripting iSurvey模块远程代码执行漏洞 浅安 浅安安全 2025-04-19 00:00 0x00 漏洞编号 – # CVE-2025-30727 0x01 危险等级 – 高危 0x02 漏洞概述 Oracle Scripting是Oracle E-Business Suite中的一个组件,用于创建和管理在线调查、表单及动态脚本。
继续阅读安全提醒:Apple 零日漏洞正被利用于攻击 祺印说信安 2025-04-18 16:01 美国网络安全和基础设施安全局 (CISA) 发布了紧急公告,警告称,目前有多个 Apple 0day漏洞正被有针对性的攻击所利用。这些严重的安全漏洞影响了包括 iOS、iPadOS、macOS 和其他相关系统在内的多种 Apple 产品,使用户容易受到利用以前未知的安全漏洞的复杂威胁行为者的攻击。苹果零日漏
继续阅读WordPress SureTriggers插件漏洞(CVE-2025-3102)创建未经身份验证的管理用户 原创 爱坤 爱坤sec 2025-04-18 15:24 漏洞获取地址在文章末尾 描述: CVE-2025-3102是一个严重的身份验证绕过漏洞,影响SureTriggers:All-in-One Automation PlatformWordPress 插件,该插件已主动安装在超过100
继续阅读Windows漏洞CVE-2025-24054被利用,文件下载可致NTLM凭据被盗 FreeBuf 2025-04-18 12:34 微软上月已发布补丁的 Windows NTLM 哈希泄露漏洞 CVE-2025-24054,近期被威胁分子用于针对波兰和罗马尼亚政府及私营机构的攻击活动。 Check Point 研究人员表示:”自 2025 年 3 月 19 日起已观测到该漏洞的野外活
继续阅读iOS 设备遭定向攻击,苹果紧急修复两枚零日漏洞 FreeBuf 2025-04-18 12:34 苹果公司已发布iOS 18.4.1和iPadOS 18.4.1更新,修复两个被用于针对特定iPhone用户实施高度定向、复杂攻击的关键零日漏洞。 这两个漏洞存在于CoreAudio和RPAC组件中,攻击者可利用它们在受影响设备上执行任意代码或绕过安全保护机制。 01 两个正被活跃利用的零日漏洞 1.
继续阅读【漏洞预警】F5 BIG-IP命令注入漏洞CVE-2025-23239 cexlife 飓风网络安全 2025-04-18 12:22 漏洞描述: 在Aррliаnсе模式下运行时,未公开的iCоntrоl REST端点中存在经过身份验证的远程命令注入漏洞成功利用,该漏洞可让攻击者跨越安全边界。 攻击场景: 攻击者可能通过未公开的iControl REST端点上传恶意文件,实现远程命令注入 影响产
继续阅读【漏洞预警】Jupyter Remote Desktop未授权访问漏洞CVE-2025-32428 cexlife 飓风网络安全 2025-04-18 12:22 漏洞描述: Jupyter远程桌面代理使得TigerVNC能够通过网络访问,而非仅通过UNIX套接字进行访问(这是其预期功能),Jupyter远程桌面代理允许您在JupyterHub上运行Linux桌面,jupyter-remote-d
继续阅读【安全圈】Erlang/OTP SSH 远程代码执行漏洞 PoC 漏洞利用发布 安全圈 2025-04-18 11:01 关键词 安全漏洞 安全业界正面临一场前所未有的挑战——研究人员日前确认Erlang/OTP的SSH实现存在一个可导致远程代码执行的严重漏洞(CVE-2025-32433),该漏洞已被评定为CVSS最高分10.0的危险等级。攻击者无需任何认证即可执行任意代码,完全控制系统。 这一
继续阅读Erlang/OTP SSH 高危漏洞 CVE-2025-32433:无需认证即可远程执行代码 信息安全大事件 2025-04-18 10:02 在 Erlang/Open Telecom Platform(OTP)的 SSH 实现中存在一个严重漏洞,该漏洞允许攻击者在无需进行身份验证的情况下执行任意代码。 这个被追踪编号为 CVE-2025-32433 的漏洞,已被赋予通用漏洞评分系统(CVS
继续阅读Atlassian 和思科修复多个高危漏洞 Ionut Arghire 代码卫士 2025-04-18 09:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,Atlassian 和思科宣布修复多个高危漏洞,其中一些可导致远程代码执行后果。 Atlassian 发布了7份更新,修复了影响 Bamboo、Confluence和 Jira 中第三方依赖的四个高危漏洞,其中一些漏洞早在近
继续阅读速修复!Erlang/OTP SSH 中存在严重的预认证 RCE Lawrence Abrams 代码卫士 2025-04-18 09:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Erlang/OTP SSH 中存在一个严重漏洞CVE-2025-32433,可导致在未认证的远程代码执行 (RCE) 后果。 该漏洞由德国波鸿鲁尔大学的研究人员发现,CVSS评分为满分10分。所有运行
继续阅读CVE-2025-21204:通过 Windows 更新堆栈中的不当链接跟踪进行权限提升 Ots安全 2025-04-18 09:32 网址 – https://cyberdom.blog/abusing-the-windows-update-stack-to-gain-system-access-cve-2025-21204/ 目标 使用 2025 年 4 月更新之前的更新堆栈的 W
继续阅读CVE计划停摆:全球漏洞治理体系面临协同危机 奇安信 CERT 2025-04-18 08:20 当美国网络安全和基础设施安全局 (CISA) 批准 MITRE 延长其 CVE 和 CWE 项目监管合同 11 个月的消息传出后,一些业内人士松了一口气。但经验丰富的网络安全专业人士却并非如释重负,而是担忧。因为虽然这次情况还算稳定,但距离系统崩溃仅一步之遥。 奇安信CERT梳理当前安全态势,以帮助提
继续阅读微软产品的漏洞:哪些已得到改进,哪些仍面临风险 原创 D1net编译 信息安全D1net 2025-04-18 08:03 点击上方“蓝色字体 ”,选择 “设为星标 ” 关键讯息,D1时间送达! 微软2024年漏洞总数突破历史峰值达1360个,但严重高危漏洞锐减至78个创十年最低。权限提升漏洞以40%占比成攻击者”黄金钥匙”,Edge浏览器漏洞暴增292%、Office套件
继续阅读Windows 提权漏洞速报:CVE-2025-21204 红队安全圈 红队安全圈 2025-04-18 07:39 漏洞概述 CVE-2025-21204 是Windows更新栈中的高危本地提权漏洞,攻击者通过符号链接劫持可获取SYSTEM权限 – • CVSS评分 :8.8(高危) • 攻击复杂度 :低 漏洞原理与攻击方式 🚨 1. 漏洞核心 • 存在于 MoUsoCoreWor
继续阅读【已复现】CrushFTP SSRF和目录遍历漏洞(CVE-2025-32102,CVE-2025-32103 ) 原创 安全探索者 安全探索者 2025-04-18 06:38 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 CrushFTP是一款支持FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV and WebDAV SSL等协议的跨平台FTP服务器软件。
继续阅读CVE-2025-21204: Windows Update Stack 中的不当链接跟随导致的权限提升 pwndorei securitainment 2025-04-18 06:37 【翻译】CVE-2025-21204 Windows Update Stack의 Improper Link Following Privilege Escalation URL https://cyberdom
继续阅读OneBlog最新模板注入漏洞(CNVD-2025-06047、CVE-2024-54954) 原创 护卫神 护卫神说安全 2025-04-18 06:24 OneBlog是一款基于Java的开源博客系统,采用Spring Boot和Bootstrap开发,支持移动端自适应。它提供多种编辑器、广告管理、自动友链申请、SEO优化等丰富功能,配备完善的后台管理系统。系统支持Docker一键部署,集成七
继续阅读如果没了CVE,我们还有哪些漏洞库可以选择 sec0nd安全 2025-04-18 04:27 点击上方 蓝字 关注我们 美国非营利研发组织 MITRE 在 2025 年 4 月宣布,其与美国国土安全部(DHS)签订的 CVE 数据库维护合同于 4 月 16 日午夜到期,DHS 拒绝续约。运行长达 25 年的 CVE 项目,面临着随时可能终止的危机。虽然美国网络安全与基础设施安全局(CISA)表示
继续阅读网安人的咯噔文学|CVE-2025-404NotFound? 原创 冰片Ice 安全女王 2025-04-18 04:12 “咯噔”文学是一种让人看了产生 心理不适 的文字,也可以看作是一种 夸张 的表达方式。 网安人的咯噔文学 ▼ 1、安全运营 刚打完一场酣畅淋漓的球赛,你到场边喝水休息,抓起矿泉水猛灌。一边解锁手机瞬间看到20个未接来电全来自领导。你马上打开随身携带的笔记本电脑,手忙脚乱开热
继续阅读【全网最全】Struts2终极漏洞合集靶机发布!一次通关,掌握所有高危漏洞利用! cslab 红队蓝军 2025-04-18 03:40 从S2-001到S2-061,全网最全Struts2漏洞实战沙盘! 🚨 为什么Struts2漏洞必须死磕? 企业Web渗透的“万用钥匙”! ✅ 全版本覆盖:15年漏洞史,20+经典CVE复现(含已修复/未公开漏洞) ✅ 真实场景还原:Ognl注入、RCE、文件上
继续阅读