Chrome 曝高危漏洞:攻击者可窃取数据并获取未授权访问权限
Chrome 曝高危漏洞:攻击者可窃取数据并获取未授权访问权限 信息安全大事件 2025-04-16 08:28 谷歌公司发现Chrome浏览器存在两个高危漏洞后,紧急发布了安全更新。这些漏洞可能让攻击者窃取敏感数据并获取用户系统的未授权访问权限。 这两个漏洞编号为CVE-2025-3619和CVE-2025-3620,影响Windows和Mac平台135.0.7049.95/.96之前版本,以及
继续阅读标签: CVE
信息安全漏洞周报(2025年第15期)
信息安全漏洞周报(2025年第15期) 原创 CNNVD CNNVD安全动态 2025-04-16 07:45 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年4月7日至2025年4月13日)安全漏洞情况如下: 公开漏洞情况本周CNNVD采集安全漏洞976个。接报漏洞情况本周CNNVD接报漏洞9194个,其中信息技术产品漏洞(通用型漏洞)381个,网络信息系
继续阅读CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效
CVSS 10.0!Apache Roller 曝高危漏洞:密码修改后会话仍持续有效 FreeBuf 2025-04-16 07:23 Apache Roller 开源博客服务器软件近日曝出一个高危安全漏洞,攻击者可利用该漏洞在用户修改密码后仍保持未授权访问。这款基于 Java 的博客平台存在会话管理缺陷,被赋予最高危险等级的 CVSS 10.0 评分。 01 漏洞详情(CVE-2025-2485
继续阅读美国CVE漏洞数据库面临资金枯竭危机
美国CVE漏洞数据库面临资金枯竭危机 原创 NightTeam 夜组OSINT 2025-04-16 07:10 美国非营利组织 MITRE 负责维护的全球网络安全关键漏洞数据库——“常见漏洞与披露”(CVE),由政府提供的资金将于本周三到期,或将面临停摆。 CVE漏洞数据库是全球网络安全生态系统的重要基石,为各组织提供漏洞编号、严重程度分级及详细描述。安全专家担忧,一旦CVE漏洞数据库停摆,将严
继续阅读【复现】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)风险通告
【复现】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)风险通告 赛博昆仑CERT 2025-04-16 06:18 赛博昆仑漏洞 安全风险通告 Oracle E-Business Suite远程代码执行漏洞 (CVE-2025-30727) 风险通告 漏洞描述 Oracle E-Business Suite(简称 EBS),是Oracle 公司开发的
继续阅读CISA警告:CrushFTP漏洞正遭利用,风险严峻!
CISA警告:CrushFTP漏洞正遭利用,风险严峻! 原创 紫队 紫队安全研究 2025-04-16 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 4月7日,美国网络安全与基础设施安全局(
继续阅读CVE停摆?全球通用漏洞数据库项目面临资金危机
CVE停摆?全球通用漏洞数据库项目面临资金危机 安全客 2025-04-16 03:25 由美国非营利研究机构MITRE主导的“通用漏洞与暴露(CVE)”计划,其资金支持于4月16日到期。这一全球网络安全领域的基石项目,长期以来在漏洞管理和防御方面发挥着举足轻重的作用。然而,由于美国国土安全部(DHS)未续签MITRE的资助合同,CVE项目的持续运营面临中断的风险。此举引发了全球安全行业的广泛关注
继续阅读赫兹租车公司披露数据泄露事件 起因系2024年Cleo系统零日漏洞攻击
赫兹租车公司披露数据泄露事件 起因系2024年Cleo系统零日漏洞攻击 鹏鹏同学 黑猫安全 2025-04-16 03:21 【安全事件通报】 2025年4月2日,赫兹公司正式确认其客户数据遭第三方非法获取。攻击者利用Cleo文件传输平台在2024年10月和12月曝出的两个零日漏洞(CVE-2024-50623,CVSS评分8.8),入侵了该公司系统。此次事件影响范围涵盖: 客户姓名、联系方式、出
继续阅读关键Apache Roller漏洞允许在密码更改后仍保留未授权访问权限
关键Apache Roller漏洞允许在密码更改后仍保留未授权访问权限 鹏鹏同学 黑猫安全 2025-04-16 03:21 Apache Roller开源博客软件曝出高危漏洞(CVE-2025-24859,CVSS评分10.0),该Java开发的博客服务器在6.1.5之前版本存在会话管理缺陷:修改密码后仍可沿用旧会话保持未授权访问。 该漏洞影响Apache Roller 6.1.4及更早版本,当
继续阅读Oracle 2025年4月补丁日多产品高危漏洞安全风险通告
Oracle 2025年4月补丁日多产品高危漏洞安全风险通告 奇安信 CERT 2025-04-16 01:05 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Oracle 2025年4月补丁日多产品高危漏洞 影响产品 Oracle MySQL Connectors、Oracle MySQL Server等 公开时间 2025-04-16 影响对象数量级 百万级 奇安信评级
继续阅读【漏洞预警】Microsoft Edge信息泄露漏洞(CVE-2025-29834)
【漏洞预警】Microsoft Edge信息泄露漏洞(CVE-2025-29834) cexlife 飓风网络安全 2025-04-15 22:09 漏洞描述: Miсrоѕоft Edɡе(基于Chrоmium)中的跨界内存读允许未经授权的攻击者通过网络执行代码。 攻击场景: 攻击者可能通过网络执行代码,导致信息泄露 影响产品: 1.0.0.0<=Microsoft Edge (Chrom
继续阅读【成功复现】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108)
【成功复现】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108) 原创 弥天安全实验室 弥天安全实验室 2025-04-15 20:39 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Palo Alto Networks PAN-OS是美国Palo Alto N
继续阅读从披露到被利用仅4小时!WordPress插件漏洞使黑客肆意创建管理员账户
从披露到被利用仅4小时!WordPress插件漏洞使黑客肆意创建管理员账户 看雪学苑 看雪学苑 2025-04-15 18:01 4月10日,WordPress插件SureTriggers被曝出存在一个严重的身份验证绕过漏洞(CVE-2025-3102),该漏洞在公开披露后仅4小时内就被黑客积极利用,全球超过10万个使用该插件的网站面临巨大安全威胁。 漏洞详情 SureTriggers是一款拥有超
继续阅读更新第五章:ASAN原理解析 | 系统0day安全-二进制漏洞攻防(第4期)
更新第五章:ASAN原理解析 | 系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-04-15 18:01 更新:第五章:ASAN原理解析 5.1 开源asanhttps://www.kanxue.com/book-193-5339.htm 二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的底层代码中,一旦被利用,可能导致数据泄露、系统崩溃,甚至更严重的安全事
继续阅读EncryptHub的双重生活:网络罪犯与Windows漏洞赏金研究人员
EncryptHub的双重生活:网络罪犯与Windows漏洞赏金研究人员 胡金鱼 嘶吼专业版 2025-04-15 14:00 据悉,臭名昭著的威胁分子EncryptHub向微软报告了两个Windows零日漏洞,揭示了介于网络犯罪和安全研究之间的矛盾人物。 报告的漏洞是CVE-2025-24061 (Web绕过标记)和CVE-2025-24071(文件浏览器欺骗),微软在2025年3月的补丁星期二
继续阅读国际象棋网站漏洞 从XSS到账户接管的探索之旅
国际象棋网站漏洞 从XSS到账户接管的探索之旅 原创 子午猫 网络侦查研究院 2025-04-15 01:00 前言 在网络安全的世界里,每一次探索都是一次冒险。今天,我要分享的是一个关于如何发现并利用Chess.com漏洞的故事。这个过程充满了曲折和意外,但也正是这些意外,让我最终找到了那个“大奖”。 背景:初次探索与XSS尝试 2019年11月,我第一次开始研究Chess.com的漏洞。当时,
继续阅读一次就学会网络钓鱼“骚”姿势
一次就学会网络钓鱼“骚”姿势 obse**** 菜鸟学信安 2025-04-15 00:30 作者: obse**** 转载于先知社区:https://xz.aliyun.com/news/12128 一、什么是网络钓鱼 网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。 二、网络
继续阅读漏洞分析 | Apache Skywalking的log4shell分析
漏洞分析 | Apache Skywalking的log4shell分析 原创 杂七 杂七杂八聊安全 2025-04-15 00:02 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把 杂七杂八聊安全“ 设为星标”, 否则可能就看不到了啦~ 0x01触发点位置 graphql.GraphQL#parseAndValidate 调用堆栈: parseAndValidate:504, Gr
继续阅读300页 Android 应用安全:缓解黑客攻击和安全漏洞
300页 Android 应用安全:缓解黑客攻击和安全漏洞 原创 计算机与网络安全 计算机与网络安全 2025-04-14 23:57 扫码加入知识星球: 网络安全攻防(HVV) 下载全套资料 《Android应用安全:缓解黑客攻击与安全漏洞(第二版)》一书深入探讨了保护Android应用免受恶意攻击的实用策略与技术。书中强调,Android应用面临的主要威胁包括数据泄露、逆向工程、权限滥用以及不
继续阅读思科设备曝出七年旧漏洞 攻击者可远程执行代码
思科设备曝出七年旧漏洞 攻击者可远程执行代码 FreeBuf 2025-04-14 11:15 思科网络设备中存在一个长达七年的安全漏洞,至今仍对未打补丁的系统构成重大风险,攻击者可利用该漏洞远程执行代码。 该漏洞编号为CVE-2018-0171,最初于2018年发现,针对思科的Smart Install(智能安装)功能。该功能是一种即插即用配置工具,旨在简化网络设备部署。 尽管漏洞年代久远,但最
继续阅读日产Leaf被曝存在远程控制漏洞
日产Leaf被曝存在远程控制漏洞 原创 PCAutomotive 安全脉脉 2025-04-14 10:46 近日,PCAutomotive在BlackHat Asia 2025会议上披露了一项针对日产Leaf的研究成果。研究人员通过一系列漏洞成功实现了对车辆的远程监控和物理控制。 PCAutomotive选择了2020年生产的第二代日产Leaf作为研究对象。 攻击者可以利用这些漏洞实现以下操作:
继续阅读黑客利用已修复的Fortinet FortiGate设备漏洞获取Root权限
黑客利用已修复的Fortinet FortiGate设备漏洞获取Root权限 信息安全大事件 2025-04-14 10:04 Fortinet发现威胁攻击者使用了一种复杂的后利用技术,即使在初始漏洞修复后仍能维持对FortiGate设备的未授权访问。 根据Fortinet最新调查报告,攻击者利用了三个已知漏洞(FG-IR-22-398、FG-IR-23-097和FG-IR-24-015)入侵Fo
继续阅读Fortinet 漏洞再现,攻击者利用新方法入侵
Fortinet 漏洞再现,攻击者利用新方法入侵 看雪学苑 看雪学苑 2025-04-14 10:02 近期,网络安全领域风波不断,Fortinet 防火墙漏洞问题再次引发广泛关注。据相关报道,Fortinet 承认攻击者已找到新方法,利用其认为已在去年修复的三个漏洞。这些漏洞涉及 FortiGate 和 FortiOS 设备,攻击者通过创建符号链接(symlinks),将用户链接到根文件系统,从
继续阅读系统0day安全-IOT设备漏洞挖掘
系统0day安全-IOT设备漏洞挖掘 Ms08067实验室 Ms08067安全实验室 2025-04-14 10:02 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureN
继续阅读你知道JWT漏洞如何进行攻击利用吗?
你知道JWT漏洞如何进行攻击利用吗? 原创 夜风Sec 夜风Sec 2025-04-14 09:55 JWT攻击 研究 JSON Web 令牌 (JWT) 的设计问题和处理缺陷如何导致网站容易受到各种高严重性攻击。由于 JWT 最常用于身份验证、会话管理和访问控制机制,这些漏洞可能会危及整个网站及其用户。 jwt-00 什么是JWT? JSON Web 令牌 (JWT) 是一种在系统之间发送加密签
继续阅读高危!Vite任意文件读取漏洞安全风险通告
高危!Vite任意文件读取漏洞安全风险通告 应急响应中心 亚信安全 2025-04-14 09:54 近日,亚信安全CERT监控到安全社区研究人员发布安全通告,Vite存在一个任意文件读取漏洞,编号为 CVE-2025-31486。由于Vite在处理特定URL请求时缺少对路径的安全检查,这导致攻击者可以通过构造特定的 URL 请求绕过服务器的保护机制,非法访问敏感文件。 目前官方已发布安全更新,亚
继续阅读雷神众测漏洞周报2025.4.7-2025.4.13
雷神众测漏洞周报2025.4.7-2025.4.13 原创 雷神众测 雷神众测 2025-04-14 09:51 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读日产 Leaf 电动汽车被曝存在漏洞,黑客可远程操控车辆
日产 Leaf 电动汽车被曝存在漏洞,黑客可远程操控车辆 原创 HackerNews 安全威胁纵横 2025-04-14 08:43 研究人员发现一系列漏洞,可被利用来远程控制日产Leaf电动汽车的功能,包括物理控制功能。 研究人员发现,日产Leaf电动汽车存在一系列漏洞,攻击者可利用这些漏洞远程入侵车辆,进行监视甚至接管车辆的多项功能。这项研究由提供汽车和金融服务行业渗透测试及威胁情报服务的公司
继续阅读CVE-2021-31956 Windows 内核漏洞(NTFS 与 WNF)利用 —— 第二部分
CVE-2021-31956 Windows 内核漏洞(NTFS 与 WNF)利用 —— 第二部分 Alex Plaskett securitainment 2025-04-14 05:37 【翻译】CVE-2021-31956 Exploiting the Windows Kernel (NTFS with WNF) – Part 2 引言 在 第一部分[1] 中,我们主要讨论了以下内容: &#
继续阅读