WinRAR新漏洞:绕过Web标记,恶意代码悄悄运行,快更新!
WinRAR新漏洞:绕过Web标记,恶意代码悄悄运行,快更新! 一个不正经的黑客 2025-04-05 10:29 WinRAR新漏洞:绕过Web标记,恶意代码悄悄运行,快更新! 你知道吗?你每天都在用的WinRAR——这款全球超过5亿人都在用的文件压缩工具,最近爆出了一个不小的漏洞,可能会让黑客绕过Windows的安全警告,偷偷在你的电脑上运行恶意代码! 简直像是给恶意软件开了一扇后门,心里想想
继续阅读标签: CVE
nuclei扫描漏洞实操及漏洞模版收集
nuclei扫描漏洞实操及漏洞模版收集 原创 qife 网络安全技术点滴分享 2025-04-05 09:28 当收集到足够多的url后,即可开始做一些安全测试。nuclei可以加载各种安全漏洞模版对url进行测试,还支持根据最新的cve或者漏洞自定义开发模版。在这篇文章中,主要介绍nuclei启动安全测试以及漏洞模版收集。 一、安装、运行nuclei 1. 链接地址: https://githu
继续阅读【漏洞复现】Vite 任意文件读取漏洞
【漏洞复现】Vite 任意文件读取漏洞 PokerSec PokerSec 2025-04-05 09:00 先关注,不迷路. 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞介绍 Vite是一个现代前端构建工具,为Web项目提供更快、更
继续阅读600+历年攻防演练漏洞汇编!千起实战案例还原漏洞攻击链
600+历年攻防演练漏洞汇编!千起实战案例还原漏洞攻击链 Drt安全战队 Drt安全战队 2025-04-05 08:30 随着国家攻防演练行动进入实战化深水区,攻击方技术手段持续升级,传统基于漏洞评分的”打补丁式防御”已难以应对复杂攻击链威胁。在2025攻防演练即将开启之际,360漏洞云基于对2023-2024年1372起真实攻防案例 的深度分析,发布《2025攻防演练必
继续阅读CrushFTP 漏洞概念验证代码公开后遭攻击者利用
CrushFTP 漏洞概念验证代码公开后遭攻击者利用 FreeBuf 2025-04-04 18:07 安全研究人员证实,在概念验证(PoC)利用代码公开后,针对CrushFTP关键身份验证绕过漏洞(CVE-2025-2825)的攻击尝试已经开始活跃。 根据Shadowserver基金会最新监测数据,截至2025年3月30日,全球仍有约1512个未打补丁的实例处于暴露状态,其中北美地区占比最高(8
继续阅读ipTIME 未授权访问漏洞(CVE-2024-54764)
ipTIME 未授权访问漏洞(CVE-2024-54764) Superhero Nday Poc 2025-04-04 17:07 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 ipTIME A2004的
继续阅读ipTIME 未授权访问漏洞(CVE-2024-54763)
ipTIME 未授权访问漏洞(CVE-2024-54763) Superhero Nday Poc 2025-04-04 16:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 ipTIME A2004的
继续阅读CrushFTP存在认证绕过漏洞(CVE-2025-2825)
CrushFTP存在认证绕过漏洞(CVE-2025-2825) 哆啦安全 2025-04-04 11:41 CrushFTP认证绕过漏洞(CVE-2025-2825)风险提示 漏洞情况 CrushFTP是一款多协议文件传输服务器,支持FTP、SFTP、WebDAV和HTTP/S等协议。在2025年3月,安全研究人员发现其实现的S3兼容API存在严重的认证绕过漏洞(CVE-2025-2825), 这
继续阅读【曾哥】从CVE-2025-30208看任意文件读取利用
【曾哥】从CVE-2025-30208看任意文件读取利用 星悦安全 2025-04-04 11:03 微信公众号: 渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-
继续阅读【漏洞速递】Zabbix API SQL注入漏洞(CVE-2024-36465)
【漏洞速递】Zabbix API SQL注入漏洞(CVE-2024-36465) 安全狐 2025-04-03 22:56 漏洞背景 Zabbix是一款开源的网络监控和报警系统,广泛应用于监视网络设备、服务器和应用程序的性能和可用性。近日,官方披露了Zabbix API中存在的一个SQL注入漏洞(CVE-2024-36465),该漏洞允许低权限用户通过API执行任意SQL命令,可能导致数据泄露或系
继续阅读从CVE-2025-30208看网络空间安全专业
从CVE-2025-30208看网络空间安全专业 梅苑安全 2025-04-03 22:04 微信公众号:渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-2025-
继续阅读漏扫设备误报漏洞处理;数据安全事件中的 “开盒” 防护| FB甲方群话题讨论
漏扫设备误报漏洞处理;数据安全事件中的 “开盒” 防护| FB甲方群话题讨论 FreeBuf 2025-04-03 19:24 各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第252期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 话题抢先看 1、漏扫设备会将一些的特殊漏洞也写到报告之中
继续阅读CVE-2025-31334:WinRAR 漏洞可导致绕过 Web 标记并执行任意代码
CVE-2025-31334:WinRAR 漏洞可导致绕过 Web 标记并执行任意代码 Ots安全 2025-04-03 19:23 WinRAR 是全球使用最广泛的文件压缩工具,用户超过 5 亿,最近披露的一个漏洞可能允许攻击者绕过 Windows 安全警告并执行恶意代码而不引起警报。这个被标记为 CVE-2025-31334 的 Mark-of-the-Web (MotW) 绕过漏洞影响 Wi
继续阅读CVE-2025-0108:通过 PAN-OS Nginx/Apache 路径混淆实现的身份验证绕过漏洞 _
CVE-2025-0108:通过 PAN-OS Nginx/Apache 路径混淆实现的身份验证绕过漏洞 _ Ots安全 2025-04-03 19:23 目标 – PAN OS 10.2.x < 10.2.13-h3 PAN OS 11.0.x < 11.1.6-h1 PAN OS 11.2.x < 11.2.4-h4 解释 CVE-2025-0108是在 Palo
继续阅读【漏洞预警】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)
【漏洞预警】Zabbix groupBy SQL注入漏洞(CVE-2024-36465) 原创 安全探索者 安全探索者 2025-04-03 18:57 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Z abbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 fofa: app=”ZABBIX-监控系统” 0x02 漏洞描述
继续阅读【漏洞预警】Apache Parquet 代码执行漏洞(CVE-2025-30065)
【漏洞预警】Apache Parquet 代码执行漏洞(CVE-2025-30065) cexlife 飓风网络安全 2025-04-03 18:46 漏洞描述: Apache Parquet是一种开源的列式存储文件格式,专门设计用于大数据处理和分析,广泛应用于Hadoop生态系统。 Aрасhе Pаrԛuеt 1.15.0及之前版本的раrԛuеt-аvrо模块中的模式解析允许攻击者执行任意
继续阅读【已复现】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)安全风险通告
【已复现】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)安全风险通告 奇安信 CERT 2025-04-03 18:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Zabbix groupBy SQL注入漏洞 漏洞编号 CVE-2024-36465,QVD-2025-13797 公开时间 2025-04-02 影响量级 十万级 奇安信评级 高
继续阅读Jan AI 系统中存在多个漏洞,可遭远程操纵
Jan AI 系统中存在多个漏洞,可遭远程操纵 Ionut Arghire 代码卫士 2025-04-03 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究人员提到,标榜为ChatGPT 替代品的开源工具 Jan AI中存在多个漏洞,可导致远程未认证攻击者操纵系统。 Jan AI 是由 Menlo Research 开发的一款个人助手,可在桌面和移动设备上离线使用,包含热
继续阅读你以为的未授权漏洞VS我挖的未授权漏洞 | 一场与开发博弈的头脑风暴
你以为的未授权漏洞VS我挖的未授权漏洞 | 一场与开发博弈的头脑风暴 原创 庆尘qc Daylight庆尘 2025-04-03 18:19 (后文漏洞为 靶场环境,如有巧合,纯属雷同) 最近有一阵子没更新了,主要是也没研究什么新技术,所以就更新几篇最近打的 靶场案例,希望师傅们看了之后能有所收获。(师傅们可要好好看了,下次遇见类似的情况你就有思路啦) 一、挖掘历程 经典开局空白页(本人最喜欢的开
继续阅读【处置手册】Vite任意文件读取漏洞(CVE-2025-31125)
【处置手册】Vite任意文件读取漏洞(CVE-2025-31125) 原创 NS-CERT 绿盟科技CERT 2025-04-03 17:00 通告编号:NS-2025-0020-1 2025-04-03 TAG: Vite、任意文件读取、CVE-2025-31125 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.1 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全公告
继续阅读AI赋能代码审计:利用微软Security Copilot辅助挖出20个漏洞
AI赋能代码审计:利用微软Security Copilot辅助挖出20个漏洞 安全内参编译 安全内参 2025-04-03 16:04 关注我们 带你读懂网络安全 微软安全研究员利用Security Copilot辅助分析大型复杂代码项目(GRUB2、U-Boot和Barebox),在其中找出了20个零日漏洞,据估算Security Copilot给研究员节约了约一周的手动分析时间。 前情回顾·
继续阅读佳能打印机驱动中存在严重漏洞
佳能打印机驱动中存在严重漏洞 Eduard Kovacs 代码卫士 2025-04-02 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软提醒称,佳能的一些打印机驱动受严重漏洞 (CVE-2025-1268) 的影响。 佳能在上周发布安全公告表示,与多个生产打印机、办公室多功能打印机和激光打印机相关联的驱动受界外漏洞CVE-2025-1268的影响。该漏洞的CVSS评分为9.
继续阅读Apache Parquet Java 中存在CVSS满分漏洞
Apache Parquet Java 中存在CVSS满分漏洞 do son 代码卫士 2025-04-02 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 与列存储相关的开源数据文件格式 Apache Parquet 中被指存在一个严重漏洞,为使用 Apache Parquet Java 库的系统造成严重风险。 Apache Parquet 为有效存储和检索数据而设计,因高性能
继续阅读佳能打印机驱动曝高危漏洞,请及时更新
佳能打印机驱动曝高危漏洞,请及时更新 看雪学苑 看雪学苑 2025-04-02 17:59 近日,微软的进攻性安全研究与工程(MORSE)团队发现佳能打印机驱动中存在一个严重的代码执行漏洞,该漏洞被标记为CVE-2025-1268,CVSS评分为9.4,属于高危漏洞。 漏洞详情 该漏洞是一个越界问题,存在于某些生产打印机、办公/小型办公多功能打印机和激光打印机的驱动程序中,包括Generic Pl
继续阅读今日更新!系统0day安全-二进制漏洞攻防(第4期)
今日更新!系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-04-02 17:59 更新:第四章 模糊测试工具基础使用 4.6 AFL拓展 https://www.kanxue.com/book-193-5311.htm 二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的底层代码中,一旦被利用,可能导致数据泄露、系统崩溃,甚至更严重的安全事件。为了应对这一挑战
继续阅读新的 OpenSSH 漏洞使 SSH 服务器面临 MitM 攻击和拒绝服务攻击的风险
新的 OpenSSH 漏洞使 SSH 服务器面临 MitM 攻击和拒绝服务攻击的风险 胡金鱼 嘶吼专业版 2025-04-02 14:01 OpenSSH 发布了安全更新,修复了两个漏洞,一个是 MitM 攻击漏洞,另一个是拒绝服务漏洞,其中一个漏洞是在十多年前引入的。Qualys 发现了这两个漏洞,并向 OpenSSH 的维护人员展示了其可利用性。 OpenSSH(开放安全外壳)是 SSH(安全
继续阅读【高危漏洞预警】Vite任意文件读取漏洞(CVE-2025-31125)
【高危漏洞预警】Vite任意文件读取漏洞(CVE-2025-31125) cexlife 飓风网络安全 2025-04-01 22:16 漏洞描述: Vite框架中存在访问控制不当漏洞,该漏洞源于Vite中可以通过使用?inline&import或?raw?import来越权获取非允许文件内容,攻击者可以利用该漏洞读取设备上任意文件内容,该漏洞的利用需要特定的服务器配置。官方已发布新版本修
继续阅读【安全圈】Dell Unity 企业存储系统现严重漏洞,攻击者借此可实现 root 权限接管
【安全圈】Dell Unity 企业存储系统现严重漏洞,攻击者借此可实现 root 权限接管 安全圈 2025-04-01 19:01 关键词 安全漏洞 Dell Technologies 发布了一项关键的安全更新,以修复其 Unity 企业存储系统中存在的多个严重漏洞。这些漏洞可能会让攻击者以 root 权限执行任意命令、删除关键系统文件,并在无需进行身份验证的情况下开展其他恶意活动。 安全研究
继续阅读微软利用AI从开源引导加载器中找到20个0day漏洞
微软利用AI从开源引导加载器中找到20个0day漏洞 Bill Toulas 代码卫士 2025-04-01 18:38 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软通过其受AI驱动的 Security Copilot 在开源引导加载器 GRUB2、U-Boot 和 Barebox 中发现了20个0day漏洞。 GRUB2(GRand Unified Bootloader)是多数Li
继续阅读【支持排查与检测】Vite任意文件读取漏洞(CVE-2025-31125)
【支持排查与检测】Vite任意文件读取漏洞(CVE-2025-31125) 原创 NS-CERT 绿盟科技CERT 2025-04-01 18:20 通告编号:NS-2025-0020 2025-04-01 TAG: Vite、任意文件读取、CVE-2025-31125 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全公
继续阅读