从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486 船山信安 2025-04-13 16:04 最近有花了一些时间看vite任意文件读取相关的一系列漏洞,下面打算以漏洞发现者的视角,讲讲这些漏洞的一些要点 CVE-2025-30208 CVE-2025-30208这个漏洞其实是历史漏洞 CVE-2024-45811 的绕过,在CVE-2024-45811核
继续阅读EncryptHub 与 Windows 系统上的 MMC 零日漏洞攻击有关 Rhinoer 犀牛安全 2025-04-13 16:01 一个名为 EncryptHub 的攻击者被发现与利用本月修补的 Microsoft 管理控制台漏洞的 Windows 零日漏洞攻击有关。 趋势科技员工研究员 Aliakbar Zahravi 发现,这种安全功能绕过(被称为“MSC EvilTwin”,目前跟踪为
继续阅读Zyxel-USG-Series-账户硬编码漏洞(CVE-2020-29583) 原创 骇客安全 骇客安全 2025-04-13 16:00 FOFA: title="USG40" Username: zyfwp Password: PrOw!aN_fXp 该帐户可以同时在SSH和Web界面上使用。 $ ssh [email protected] Password: Pr*
继续阅读Zyxel-硬编码后门账户漏洞-CVE-2020-29583 原创 骇客安全 骇客安全 2025-04-13 16:00 漏洞描述 Zyxel固件中发现的后门被称为关键固件漏洞,CVE编号CVE-2020-29583,得分为7.8 CVSS。虽然CVSS评分看似不是很高,但却不可小觑。研究人员表示,这是一个极为严重的漏洞,所有者必须立即更新其系统。因为任何人都可以轻松利用这个漏洞,从DDoS僵尸网
继续阅读CVE-2025-24813:Apache Tomcat 漏洞POC z1 Z1sec 2025-04-13 15:15 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! CVE-2025-24813是一个影响Apache Tomc
继续阅读【安全圈】TP-Link 漏洞:Wi-Fi 凭据面临泄露风险 安全圈 2025-04-13 11:00 关键词 安全漏洞 TP-Link Tapo H200 V1 物联网智能集线器存在一个严重漏洞,该漏洞可能会让用户的 Wi-Fi 凭据暴露给攻击者。 该漏洞编号 CVE-2025-3442,其根源在于该设备的固件以明文形式存储敏感信息,这使得能够实际接触到该设备的攻击者可以获取这些信息。该漏洞被归
继续阅读【安全圈】WordPress插件漏洞导致网站遭受关键文件包含攻击 安全圈 2025-04-13 11:00 关键词 网络攻击 在InstaWP Connect WordPress 插件中发现了一个严重的安全漏洞,可能使数千个网站面临远程攻击。 Wordfence 的安全研究人员发现并报告了这个严重漏洞 (CVE-2025-2636),该漏洞允许未经身份验证的攻击者在受影响的网站上执行任意代码。该
继续阅读elestio memos SSRF漏洞 (CVE-2025-22952) Superhero Nday Poc 2025-04-13 10:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 eleest
继续阅读Vite 任意文件读取漏洞 (CVE-2025-32395) Superhero Nday Poc 2025-04-13 09:33 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 漏洞源于Vite在处理带有
继续阅读【漏洞复现】Vite 任意文件读取系列漏洞(附POC) 原创 仇辉攻防 仇辉攻防 2025-04-13 07:46 Vite是什么,和Next.js有什么区别? 上一篇文章刚介绍了Next.js漏洞的复现: 【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927 Vite 和 Next.js 是两个不同类型的前端工具,它们各自的用途、架构和适用场景有所不同。 Vite 是什么?
继续阅读Zyxel-NBG2105-身份验证绕过-CVE-2021-3297 原创 骇客安全 骇客安全 2025-04-13 06:19 Zyxel-NBG2105-身份验证绕过-CVE-2021-3297 Zyxel NBG2105 身份验证绕过 CVE-2021-3297 漏洞描述 Zyxel NBG2105 存在身份验证绕过,攻击者通过更改 login参数可用实现后台登陆 漏洞影响 Zyxel NB
继续阅读Zyxel-NBG2105-身份验证绕过(CVE-2021-3297) 原创 骇客安全 骇客安全 2025-04-13 06:19 FOFA: app="ZyXEL-NBG2105" 漏洞代码: http://target/js/util_gw.js PoC: Cookie: login=1; 只需要将cookie中login=0 修改为login=1即可直接进入管理界面。
继续阅读浅谈AI部署场景下的web漏洞 黑白之道 2025-04-13 05:44 文章首发在:奇安信攻防社区 https://forum.butian.net/share/4259 总结了一些部署过程中出现可能的漏洞点位,并且分析了对应的攻防思路 要想知道对应的大模型在本地部署过程中可能存在的漏洞,就要先了解大模型是如何进行本地部署的。这里笔者给出了两个轻量化的解决方案,让大家了解一下一般开发者对大模型
继续阅读从CVE-2025-30208看任意文件读取利用 骨哥说事 2025-04-13 05:38 微信公众号:渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-2025-
继续阅读CVE-2021-31956 Windows 内核漏洞(NTFS 与 WNF)利用 —— 第一部分 Alex Plaskett securitainment 2025-04-13 05:37 【翻译】CVE-2021-31956 Exploiting the Windows Kernel (NTFS with WNF) – Part 1 引言 最近我决定研究 CVE-2021-31956,这是一个
继续阅读CVE-2025-22457 Khan安全团队 2025-04-13 02:36 远程未经身份验证的基于堆栈的缓冲区溢出漏洞影响 Ivanti Connect Secure、Pulse Connect Secure、Ivanti Policy Secure 和 ZTA 网关。 针对存在漏洞的 Ivanti Connect Secure 目标(版本 22.7r2.4)运行此脚本,如下所示: 启动 n
继续阅读Vite import存在任意文件读取漏洞CVE-2025-31125 附POC 2025-4-13更新 南风漏洞复现文库 2025-04-13 01:50 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Vite简介 微信公众号搜索:
继续阅读警惕!NVIDIA Triton推理服务器整数溢出漏洞曝光:原理、复现与修复全解析 原创 mag1c7 山石网科安全技术研究院 2025-04-13 01:00 一个小小的整数溢出,竟可能引发整个推理服务的崩溃! 在当今人工智能飞速发展的时代,推理服务器作为模型部署的关键环节,其安全性至关重要。然而,即使是像NVIDIA Triton Inference Server这样被广泛使用的推理平台,也可
继续阅读GeoServer-Tools-CVE-2024-36401内存马利用工具 原创 爱坤 爱坤sec 2025-04-12 18:30 漏洞获取地址在文章末尾 CVE-2024-36401 图形化利用工具,支持各个JDK版本利用以及回显、内存马实现 影响版本: GeoServer < 2.23.6 2.24.0 <= GeoServer < 2.24.4 2.25.0 <=
继续阅读nextjs中间件权限绕过漏洞(CVE-2025-29927) 原创 爱坤 爱坤sec 2025-04-12 16:08 漏洞获取地址在文章末尾 一个简单的 Python 工具,可自动进行 Shodan 搜索和筛选目标 IP/域,以识别Next.js部署中可能易受 CVE-2025-29927 攻击的资产。 用法 提取 IP 和域 python3 nextjs-CVE-2025-29927-hun
继续阅读Langflow code接口存在远程代码执行漏洞CVE-2025-3248 附POC 2025-4-12更新 南风漏洞复现文库 2025-04-12 15:08 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Langflow简介 微
继续阅读【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927 原创 仇辉攻防 仇辉攻防 2025-04-12 11:03 什么是Next.js? Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server-side Rendering (SSR) 和静态站点生成(SSG)项目。Next.js 支持传统的
继续阅读【安全圈】微软4月安全更新:修复125个漏洞,12个存在高利用风险 安全圈 2025-04-12 11:00 关键词 漏洞 一、漏洞概述 📊 漏洞总数 :125个 漏洞级别分布 : 🟢 11个 严重级别漏洞 🟡 112个 重要级别漏洞 🟠 2个 低危级别漏洞 高风险漏洞 : 🚨 12个漏洞被标记为 “更可能被利用” 或 “已检测到利用情形” ,存在较高的利用风险,建议优先修复。 二、重点漏洞简介
继续阅读CrushFTP新安全漏洞:未授权访问和CVE-2025-31161 知机安全 知机安全 2025-04-12 10:24 Agentic AI在SOC中的应用:提升效率与价值 本文探讨了Agentic AI(有时称为Agentic Security)在安全运营中心(SOC)中的作用,对比了它与传统辅助型AI(Copilots)的区别。Agentic AI具备自主性,能独立感知、规划、调查和结论,
继续阅读NAVIDROME 权限绕过漏洞(CVE-2025-27112) Superhero Nday Poc 2025-04-12 09:15 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 在某些 Subsoni
继续阅读Langflow 远程命令执行漏洞(CVE-2025-3248) Superhero Nday Poc 2025-04-12 08:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 1.3.0 之前的 L
继续阅读MindshaRE: 使用 Binary Ninja API 检测潜在的 Use-After-Free 漏洞 Reno Robert securitainment 2025-04-12 05:37 【翻译】MindshaRE Using Binary Ninja API to Detect Potential Use-After-Free Vulnerabilities Use-after-fre
继续阅读【已复现】Vite 文件读取漏洞(CVE-2025-32395)(已经出了四个CVE了!!!!) 原创 安全探索者 安全探索者 2025-04-12 05:06 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Vite 是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力,广泛应用于 Vue.js 项目的开发过程中。 fofa语句: body=”/@v
继续阅读CVE-2025-22457:Ivanti Connect Secure X-Forwarded-For 堆栈缓冲区溢出漏洞 Ots安全 2025-04-12 04:53 目标 – Ivanti Connect Secure <= 22.7R2.5 Pulse Connect Secure (EOS) <= 9.1R18.9 Ivanti Policy Secure <
继续阅读【漏洞预警】Vite 任意文件读取漏洞(CVE-2025-32395) 原创 聚焦网络安全情报 安全聚 2025-04-12 03:55 中 危 公 告 近日,安全聚实验室监测到 Vite 存在任意文件读取漏洞 ,编号为:CVE-2025-32395,CVSS:6.0 由于没有对请求的路径进行严格的安全检查和限制,攻击者可利用该漏洞获取敏感信息,可能导致系统数据泄露等严重后果。 01 漏洞描述
继续阅读