影响资产居多 | Vite 任意文件读取 【CVE-2025-32395】
影响资产居多 | Vite 任意文件读取 【CVE-2025-32395】 原创 匿名白帽子 WK安全 2025-04-12 03:09 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! 漏洞描述 Vite 是一款现代化前端构建工具,
继续阅读标签: CVE
固件安全的隐忧:UEFI漏洞的持续威胁与修复之路
固件安全的隐忧:UEFI漏洞的持续威胁与修复之路 原创 T10Ng7_7 山石网科安全技术研究院 2025-04-12 01:01 UEFI固件漏洞:为何它们反复出现,又该如何守护我们的设备安全? 在 数字化时代,设备的安全性是保障用户隐私和数据安全的关键。然而,近期Binarly研究团队对UEFI固件的深入研究[1]揭示了一个令人不安的事实:尽管安全专家们不断努力,但UEFI固件中的漏洞仍然频繁
继续阅读小程序渗透记录 | 通过细节挖掘漏洞的艺术
小程序渗透记录 | 通过细节挖掘漏洞的艺术 一天要喝八杯水 HACK之道 2025-04-12 01:00 作者:一天要喝八杯水 原文链接:https://forum.butian.net/share/4229 低价享受高价 锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格也不同上,包括成人价格 儿童老年人优惠等,站点特征明显,厚码叠甲 选择一个目的地出行,
继续阅读漏洞预警 | Kavita路径遍历漏洞
漏洞预警 | Kavita路径遍历漏洞 浅安 浅安安全 2025-04-12 00:04 0x00 漏洞编号 – # CVE-2025-31131 0x01 危险等级 – 高危 0x02 漏洞概述 YesWiki是一个基于PHP和MySQL开发的开源、易用的Wiki平台。 0x03 漏洞详情 CVE-2025-31131 漏洞类型: 目录遍历**** 影响: 获取敏感信息
继续阅读【漏洞通告】Vite 任意文件访问漏洞(CVE-2025-32395)
【漏洞通告】Vite 任意文件访问漏洞(CVE-2025-32395) 启明星辰安全简讯 2025-04-11 16:30 一、漏洞概述 漏洞名称 Vite 任意文件访问漏洞 CVE ID CVE-2025-32395 漏洞类型 信息泄露 发现时间 2025-04-11 漏洞评分 6.0 漏洞等级 中危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 需要 PoC/EXP 已公开 在野利用
继续阅读ZZCMS最新跨站脚本漏洞及解决办法(CNVD-2025-05384、CVE-2025-1949)
ZZCMS最新跨站脚本漏洞及解决办法(CNVD-2025-05384、CVE-2025-1949) 原创 护卫神 护卫神说安全 2025-04-11 15:36 ZZCMS 是一款基于 PHP + MySQL 的内容管理系统,主要用于快速搭建招商网站,可快速搭建:医药招商、保健品招商、化妆品招商、农资招商、孕婴童招商、酒类副食类等招商网站。 它以简洁、高效和安全为特点,适合企业、个人及开发者使用。
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-32395)
【已复现】Vite 任意文件读取漏洞(CVE-2025-32395) 长亭安全应急响应中心 2025-04-11 15:18 Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。2025 年 4 月,Vite 官方发布安全补丁,修复了一个任意文件读取漏洞(CVE-2025-32395)。
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-32395)安全风险通告
【已复现】Vite 任意文件读取漏洞(CVE-2025-32395)安全风险通告 奇安信 CERT 2025-04-11 14:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-15227,CVE-2025-32395 公开时间 2025-04-10 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读YesWiki 任意文件读取漏洞(CVE-2025-31131)
YesWiki 任意文件读取漏洞(CVE-2025-31131) Superhero Nday Poc 2025-04-11 13:14 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 这是一个未经身份验证的
继续阅读Jenkins Docker 镜像中存在漏洞 (CVE-2025-32754, CVE-2025-32755)
Jenkins Docker 镜像中存在漏洞 (CVE-2025-32754, CVE-2025-32755) Ots安全 2025-04-11 11:15 在不断发展的 DevOps 自动化领域,Jenkins 是支撑各种规模组织中无数构建流水线的基石工具。但最近披露的一个漏洞揭示了某些 Jenkins 构建环境背后潜伏的威胁——SSH 构建代理 Docker 镜像中的主机密钥重用,漏洞编号为
继续阅读WordPress插件身份验证漏洞披露数小时后即遭利用
WordPress插件身份验证漏洞披露数小时后即遭利用 FreeBuf 2025-04-11 11:02 在公开披露仅数小时后,黑客就开始利用WordPress的OttoKit(原SureTriggers)插件中一个可绕过身份验证的高危漏洞。安全专家强烈建议用户立即升级至本月初发布的OttoKit/SureTriggers最新版本1.0.79。 01 插件功能与影响范围 OttoKit插件允许用户
继续阅读CISA将Linux内核漏洞列入已知被利用漏洞目录
CISA将Linux内核漏洞列入已知被利用漏洞目录 FreeBuf 2025-04-11 11:02 美国网络安全和基础设施安全局(CISA)近日将两个Linux内核漏洞(编号分别为CVE-2024-53197和CVE-2024-53150)列入其已知被利用漏洞(KEV)目录。 01 漏洞技术细节分析 CVE-2024-53197漏洞(CVSS评分为7.8)存在于Linux内核的ALSA USB音
继续阅读日产聆风存在多个漏洞,可用于远程监控和物理接管
日产聆风存在多个漏洞,可用于远程监控和物理接管 Eduard Kovacs 代码卫士 2025-04-11 10:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PCAutomotive 公司的研究人员在亚洲黑帽大会上,展示了如何利用日产聆风 (Nissan Leaf) 电动车中的一系列漏洞,远程黑入汽车,包括加农和物理接管多种功能。 研究人员的目标是在2020年生产的第二代日产聆风。
继续阅读CVE-2025-30208&31125:Vite任意文件读取漏洞
CVE-2025-30208&31125:Vite任意文件读取漏洞 原创 tpaer Timeline Sec 2025-04-11 10:02 关注我们❤️,添加星标🌟,一起学安全! 作者:tpaer@Timeline Sec 本文字数:3386 阅读时长:2~4mins 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Vite 是一款高效的现代化前端构建工
继续阅读【漏洞通告】Ivanti多产品缓冲区溢出漏洞(CVE-2025-22457)
【漏洞通告】Ivanti多产品缓冲区溢出漏洞(CVE-2025-22457) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-11 09:43 漏洞名称: Ivanti多产品缓冲区溢出漏洞(CVE-2025-22457) 组件名称: Ivanti多产品 影响范围: Ivanti Connect Secure < 22.7R2.6 Pulse Connect Secure (EoS)
继续阅读【已支持检测】Langflow存在远程代码执行漏洞(CVE-2025-3248)
【已支持检测】Langflow存在远程代码执行漏洞(CVE-2025-3248) 安恒研究院 安恒信息CERT 2025-04-11 09:43 漏洞概述 漏洞名称 Langflow存在远程代码执行漏洞(CVE-2025-3248) 安恒CERT评级 1级 CVSS3.1评分 9.8 CVE编号 CVE-2025-3248 CNVD编号 未分配 CNNVD编号 CNNVD-202504-1135
继续阅读【漏洞预警】Vite 访问控制不当导致任意文件读取漏洞(CVE-2025-32395)
【漏洞预警】Vite 访问控制不当导致任意文件读取漏洞(CVE-2025-32395) cexlife 飓风网络安全 2025-04-11 09:06 漏洞描述: Vite发布安全公告,公开披露了一个访问控制不当漏洞。在某些特定条件下,通过构造特殊URL可以绕过server.fs.deny限制获取服务器上的任意文件内容。 修复建议: 正式防护方案: 针对此漏洞,官方已经发布了漏洞修复版本,请立即更
继续阅读Tomcat 漏洞分析与修复(2)CVE-2024-21733
Tomcat 漏洞分析与修复(2)CVE-2024-21733 原创 ralap 网络个人修炼 2025-04-11 09:01 前言 接着继续研究CVE-2024-21733,详细阐述漏洞复现步骤及修复方法 漏洞概述 当 Web 服务器无法正确处理 POST 请求的内容长度时发生。这种错误行为可被攻击者利用来强制受害者的浏览器取消与网站的连接,从而导致敏感数据从服务器和/或客户端泄露。 受影响版
继续阅读【漏洞预警】Langflow code代码执行漏洞(CVE-2025-3248)
【漏洞预警】Langflow code代码执行漏洞(CVE-2025-3248) cexlife 飓风网络安全 2025-04-10 23:39 漏洞描述 LangFlow是一个针对LangChain的GUI,它采用了反应流设计,提供了一种轻松的方式,通过拖放组件和聊天框来实验和原型化流程,将llm嵌入到您的应用程序中。2025年4月,互联网上披露CVE-2025-3248Langflow cod
继续阅读YesWiki知识库edit接口存在任意文件读取漏洞 附POC
YesWiki知识库edit接口存在任意文件读取漏洞 附POC 2025-4-10更新 南风漏洞复现文库 2025-04-10 23:27 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. YesWiki知识库简介 微信公众号搜索:南风漏
继续阅读Vite vite-project接口存在任意文件读取漏洞CNNVD-202504-684 附POC
Vite vite-project接口存在任意文件读取漏洞CNNVD-202504-684 附POC 2025-4-10更新 南风漏洞复现文库 2025-04-10 23:27 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Vite
继续阅读【新原创漏洞】Vite任意文件读取漏洞
【新原创漏洞】Vite任意文件读取漏洞 原创 NS-CERT 绿盟科技CERT 2025-04-10 20:11 通告编号:NS-2025-0023 2025-04-10 TAG: Vite、任意文件读取 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全公告,修复了Vite任意文件读取漏洞(CVE-2025-32395
继续阅读AI大模型安全漏洞预警!Langflow高危远程代码执行漏洞(CVE-2025-3248)
AI大模型安全漏洞预警!Langflow高危远程代码执行漏洞(CVE-2025-3248) Gobybot GobySec 2025-04-10 18:49 4月6日,Goby安全团队检测发现,AI大模型开源项目 Langflow-ai github issue 提交了一个关于代码注入漏洞反馈(当前该issue已关闭), 攻击者可以通过向特定端点发送精心构造的HTTP请求,执行任意代码,官方迅速响
继续阅读CISA:速修复已遭利用的 CentreStack 和 Windows 0day漏洞
CISA:速修复已遭利用的 CentreStack 和 Windows 0day漏洞 Ionut Arghire 代码卫士 2025-04-10 18:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,CISA督促组织机构紧急修复Gladinet CentreStack 和微软 Windows 中的两个0day 漏洞。 CVE-2025-30406(CVSS评分9)是 Gladi
继续阅读漏洞预警 | CrushFTP 存在身份验证绕过漏洞(CVE-2025-2825)
漏洞预警 | CrushFTP 存在身份验证绕过漏洞(CVE-2025-2825) 原创 烽火台实验室 Beacon Tower Lab 2025-04-10 09:46 1 漏洞概述 漏洞类型 身份验证绕过 漏洞等级 高 漏洞编号 CVE-2025-2825 漏洞评分 9.8 利用复杂度 低 影响版本 10.0.0 <= CrushFTP <= 10.8.3 11.0.0 <=
继续阅读云安全(九):容器逃逸—披露漏洞
云安全(九):容器逃逸—披露漏洞 JJ1ng JJ1ng 2025-04-09 23:30 0x00 Introduction 本篇章中将说明历史上有关容器逃逸的披露漏洞。个人才疏学浅,有未阐述清楚或遗漏的地方,还请谅解,相关的内容可自行搜索。 Docker 整体包括:Docker Client 、Docker Daemon 、Containerd 、Containerd-shim 、Runc
继续阅读利用 CVE-2025-29824 CLFS 零日漏洞可导致勒索软件活动
利用 CVE-2025-29824 CLFS 零日漏洞可导致勒索软件活动 原创 0x6270 0x6270安全团队 2025-04-09 21:00 Microsoft 威胁情报中心 (MSTIC) 和 Microsoft 安全响应中心 (MSRC) 发现,在入侵后利用 Windows 通用日志文件系统 (CLFS) 中的零日特权提升漏洞攻击少数目标。目标包括美国信息技术 (IT) 和房地产行业的
继续阅读【安全圈】谷歌紧急发布4月安全更新 修复62个Android漏洞含两大零日漏洞
【安全圈】谷歌紧急发布4月安全更新 修复62个Android漏洞含两大零日漏洞 安全圈 2025-04-09 19:01 关键词 零日漏洞 谷歌近日发布了2025年4月Android安全更新,共修复62个安全漏洞。其中尤以两个已被实际利用的零日漏洞最为引人注目,暴露了Android系统面临的严峻安全挑战。 技术分析显示,第一个高危零日漏洞CVE-2024-53197存在于Linux内核的ALSA设
继续阅读【安全圈】Adobe 修复了 11 个 ColdFusion 严重漏洞,共发现 30 个漏洞
【安全圈】Adobe 修复了 11 个 ColdFusion 严重漏洞,共发现 30 个漏洞 安全圈 2025-04-09 19:01 关键词 安全漏洞 Adobe发布了安全更新来修复一系列新的安全漏洞,包括 ColdFusion 版本 2025、2023 和 2021 中的多个严重漏洞,这些漏洞可能导致任意文件读取和代码执行。 该产品的 30 个缺陷中,有 11 个严重程 度被评为“ 高危 ”
继续阅读2025-04微软漏洞通告
2025-04微软漏洞通告 火绒安全 火绒安全 2025-04-09 18:32 微软官方发布了2025年04月的安全更新。本月更新公布了202个漏洞,包含49个特权提升漏洞、33个远程执行代码漏洞、17个信息泄露漏洞、14个拒绝服务漏洞、9个安全功能绕过漏洞、3个身份假冒漏洞,其中11个漏洞级别为“Critical”(高危),112个为“Important”(严重)。 建议用户及时使用火绒安全软
继续阅读