Vite存在任意文件读取漏洞CVE-2025-30208 附POC
Vite存在任意文件读取漏洞CVE-2025-30208 附POC 2025-3-27更新 南风漏洞复现文库 2025-03-27 20:43 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Vite简介 微信公众号搜索:南风漏洞复现文
继续阅读标签: CVE
新的 Windows 0day漏洞让远程攻击者窃取 NTLM 凭据
新的 Windows 0day漏洞让远程攻击者窃取 NTLM 凭据 网安百色 2025-03-27 19:29 点击上方 蓝字 关注我们吧~ 一个严重漏洞影响从 Windows 7 和 Server 2008 R2 到最新的 Windows 11 v24H2 和 Server 2025 的所有 Windows作系统。 此0day漏洞使攻击者只需让用户在 Windows 资源管理器中查看恶意文件,即
继续阅读漏洞预警 | Vite 存在任意文件读取漏洞(CVE-2025-30208)
漏洞预警 | Vite 存在任意文件读取漏洞(CVE-2025-30208) 原创 烽火台实验室 Beacon Tower Lab 2025-03-27 17:37 1 漏洞概述 漏洞类型 文件读取 漏洞等级 中 漏洞编号 CVE-2025-30208 漏洞评分 5.3 利用复杂度 低 影响版本 Vite 6.2.3、6.1.2、6.0.12、5.4.15 和 4.5.10 之前的版本 利用方式
继续阅读【漏洞通告】Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974)
【漏洞通告】Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-27 17:28 漏洞名称: Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974) 组件名称: Nginx Ingress Controller 影响范围: Ingress NGINX C
继续阅读【漏洞通告】Vite 访问控制错误漏洞(CVE-2025-30208)
【漏洞通告】Vite 访问控制错误漏洞(CVE-2025-30208) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-27 17:28 漏洞名称: Vite 访问控制错误漏洞(CVE-2025-30208) 组件名称: Vite 影响范围: 6.2.0 ≤ Vite ≤ 6.2.26.1.0 ≤ Vite ≤ 6.1.16.0.0 ≤ Vite ≤ 6.0.115.0.0 ≤ Vite
继续阅读已复现】Vite 任意文件读取漏洞(CVE-2025-30208)
已复现】Vite 任意文件读取漏洞(CVE-2025-30208) 长亭应急响应 黑伞安全 2025-03-27 17:07 Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。2025 年 3 月,Vite 官方发布安全补丁,修复了一个任意文件读取漏洞(CVE-2025-30208)。
继续阅读【支持排查与检测】Vite任意文件读取漏洞(CVE-2025-30208)
【支持排查与检测】Vite任意文件读取漏洞(CVE-2025-30208) 原创 NS-CERT 绿盟科技CERT 2025-03-27 15:07 通告编号:NS-2025-0017 2025-03-27 TAG: Vite、任意文件读取、CVE-2025-30208 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全
继续阅读漏洞通告 | Kubernetes Ingress-nginx 远程命令执行漏洞
漏洞通告 | Kubernetes Ingress-nginx 远程命令执行漏洞 原创 微步情报局 微步在线研究响应中心 2025-03-27 12:13 漏洞概况 Ingress-nginx Admission Controller 是 Ingress-nginx 的一个重要组件,它是一种准入控制器 (Admission Controller),负责在 Kubernetes 集群中对 Ingre
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-30208)
【已复现】Vite 任意文件读取漏洞(CVE-2025-30208) 长亭安全应急响应中心 2025-03-27 12:04 Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。2025 年 3 月,Vite 官方发布安全补丁,修复了一个任意文件读取漏洞(CVE-2025-30208)。
继续阅读vite 任意文件读取漏洞 CVE-2025-30208
vite 任意文件读取漏洞 CVE-2025-30208 原创 security 网安守护 2025-03-26 23:43 $ npm create vite@latest$ cd vite-project/$ npm install$ npm run dev$ echo “top secret content” > /tmp/secret.txt# expecte
继续阅读【风险提示】天融信关于Vite任意文件读取漏洞(CVE-2025-30208)的风险提示
【风险提示】天融信关于Vite任意文件读取漏洞(CVE-2025-30208)的风险提示 天融信应急响应 天融信阿尔法实验室 2025-03-26 23:21 0x00 背景介绍 3月26日 ,天融信阿尔法实验室监测到Vite 官方披露了一个任意文件读取漏洞(CVE-2025-30208),目前该漏洞POC已公开,建议受影响用户尽快升级。 0x01 漏洞描述 Vite 是一个现代前端构建工具,它旨
继续阅读【漏洞预警】Ingress NGINX Controller远程代码执行漏洞(CVE-2025-1974)
【漏洞预警】Ingress NGINX Controller远程代码执行漏洞(CVE-2025-1974) cexlife 飓风网络安全 2025-03-26 22:22 漏洞描述: 该漏洞源于Inɡrеѕѕ NGINX Cоntrоllеr没有充分验证inɡrеѕѕ配置,攻击者可伪造AdmiѕѕiоnRеviеԝ请求加载恶意共享库执行任意代码,访问Kubеrnеtеѕ集群敏感信息等。 该漏洞可
继续阅读Linux提权漏洞CVE-2025-27591
Linux提权漏洞CVE-2025-27591 原创 柠檬赏金猎人 柠檬赏金猎人 2025-03-26 21:59 CVE-2025-27591 是一个已知的权限提升漏洞,存在于 Below 服务(版本 < v0.9.0)。该漏洞源于 /var/log/below 目录被设置为全局可写(world-writable),允许本地非特权用户通过符号链接攻击修改敏感文件(如 /etc/shadow
继续阅读【漏洞速递】Google Chrome 沙箱逃逸漏洞(CVE-2025-2783)
【漏洞速递】Google Chrome 沙箱逃逸漏洞(CVE-2025-2783) 安全狐 2025-03-26 21:37 漏洞背景 Google Chrome 是全球使用最广泛的网页浏览器之一,以其快速、安全和稳定的特性著称。Chrome 采用了沙箱机制来隔离网页进程,以防止恶意代码对系统造成危害。2025年3月, 卡巴斯基安全研究人员发现了一个高危漏洞(CVE-2025-2783),该漏洞允
继续阅读FOXCMS黔狐内容管理系统index.html接口存在远程代码执行漏洞CVE-2025-29306 漏洞预警
FOXCMS黔狐内容管理系统index.html接口存在远程代码执行漏洞CVE-2025-29306 漏洞预警 2025-3-26更新 南风漏洞复现文库 2025-03-26 21:22 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1.
继续阅读【已复现】Ingress NGINX Controller 远程代码执行漏洞
【已复现】Ingress NGINX Controller 远程代码执行漏洞 长亭安全应急响应中心 2025-03-26 20:18 Ingress NGINX Controller 是 Kubernetes 生态系统中广泛使用的入口控制器,基于 NGINX 反向代理,用于管理外部流量并将其路由到 Kubernetes 服务。2025年3月,Wiz Research 团队发现并披露了一组未经身份验
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-30208)安全风险通告
【已复现】Vite 任意文件读取漏洞(CVE-2025-30208)安全风险通告 奇安信 CERT 2025-03-26 20:15 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-12001,CVE-2025-30208 公开时间 2025-03-24 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读【已复现】Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974)安全风险通告
【已复现】Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974)安全风险通告 奇安信 CERT 2025-03-26 20:15 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ingress NGINX Controller 远程代码执行漏洞 漏洞编号 QVD-2025-12033,CVE-2025-1974 公开时间 2025-03
继续阅读CVE-2025-0693:AWS IAM 用户枚举
CVE-2025-0693:AWS IAM 用户枚举 Ots安全 2025-03-26 20:02 用户名枚举漏洞可让攻击者识别有效用户,这是许多攻击的第一步。在最近的一次渗透测试中,我们在 AWS Web 控制台中发现了两个用户名枚举漏洞。这些漏洞很有趣,因为它们位于共享责任模型的 AWS 端。我们的大部分测试和研究都集中在模型的客户端或“云中的安全性”上。 我们将在此详细介绍的两个用户名枚举发
继续阅读【处置手册】Next.js中间件权限绕过漏洞(CVE-2025-29927)
【处置手册】Next.js中间件权限绕过漏洞(CVE-2025-29927) 原创 NS-CERT 绿盟科技CERT 2025-03-26 18:47 通告编号:NS-2025-0015-1 2025-03-26 TAG: Next.js、权限绕过、CVE-2025-29927 漏洞危害: 攻击者利用此漏洞,可实现权限绕过。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Next.j
继续阅读博通:注意 Vmware Windows Tools 中的认证绕过漏洞
博通:注意 Vmware Windows Tools 中的认证绕过漏洞 Sergiu Gatlan 代码卫士 2025-03-26 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 博通发布安全更新,修复了位于Windows版 Vmware Tools中的一个高危认证绕过漏洞CVE-2025-22230。 Vmware Tools 包括一系列驱动和工具,旨在提升在 Vmware 虚
继续阅读谷歌紧急修复已遭利用的0day
谷歌紧急修复已遭利用的0day Ravie Lakshmanan 代码卫士 2025-03-26 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布带外修复方案,修复了位于Windows 版本 Chrome 浏览器中已遭利用的高危漏洞。该漏洞被用于攻击俄罗斯的组织机构。 该漏洞的编号是CVE-2025-2783,是“对Windows 上 Mojo 中未明确情境中提供的错误句
继续阅读Vite开发服务器漏洞预警!启动即裸奔,低门槛攻击可致系统数据泄露
Vite开发服务器漏洞预警!启动即裸奔,低门槛攻击可致系统数据泄露 原创 Gobybot GobySec 2025-03-26 18:00 近日,Vite 官方披露了一个中高风险安全漏洞,分配编号为CVE-2025-30208,攻击者可利用该漏洞绕过开发服务器的保护机制,非法访问项目根目录外的敏感文件。Vite团队反应迅速,立即在2025年3月24日发布补丁,Goby安全团队收到该情报后立即响应测
继续阅读Google Chrome 沙箱逃逸漏洞(CVE-2025-2783)
Google Chrome 沙箱逃逸漏洞(CVE-2025-2783) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-26 16:02 漏洞名称: Google Chrome 沙箱逃逸漏洞(CVE-2025-2783) 组件名称: 谷歌-Chrome 影响范围: Chrome (windows) < 134.0.6998.177 漏洞类型: 代码执行 利用条件: 1、用户认证:不
继续阅读在野!谷歌Chrome沙箱逃逸漏洞, 被APT高度武器化
在野!谷歌Chrome沙箱逃逸漏洞, 被APT高度武器化 原创 微步情报局 微步在线研究响应中心 2025-03-26 13:03 漏洞概况 Google Chrome 是由 Google 开发的免费网页浏览器,凭借其简洁的设计和先进的功能,已迅速成为全球最受欢迎的网页浏览器之一。 微步情报局获取到 Google Chrome 修复了一处高危漏洞(CVE-2025-2783),该漏洞允许攻击者绕过
继续阅读【已发现在野利用】Google Chrome沙箱逃逸漏洞(CVE-2025-2783)安全风险通告
【已发现在野利用】Google Chrome沙箱逃逸漏洞(CVE-2025-2783)安全风险通告 奇安信 CERT 2025-03-26 10:17 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome沙箱逃逸漏洞 漏洞编号 QVD-2025-12183,CVE-2025-2783 公开时间 2025-03-25 影响量级 千万级 奇安信评级 高危 CV
继续阅读漏洞预警 | Next.js 中间件鉴权绕过漏洞 (CVE-2025-29927)
漏洞预警 | Next.js 中间件鉴权绕过漏洞 (CVE-2025-29927) 原创 烽火台实验室 Beacon Tower Lab 2025-03-26 08:59 1 漏洞概述 漏洞类型 鉴权绕过 漏洞等级 高 漏洞编号 CVE-2025-29927 漏洞评分 9.1 利用复杂度 低 影响版本 Next.js 14.2.25 和 15.2.3 之前的版本 利用方式 远程 POC/EXP 已
继续阅读Mitel企业协作平台存在任意文件读取漏洞 附POC
Mitel企业协作平台存在任意文件读取漏洞 附POC 2025-3-25更新 南风漏洞复现文库 2025-03-25 23:23 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Mitel企业协作平台简介 微信公众号搜索:南风漏洞复现文
继续阅读next.js再出严重安全漏洞
next.js再出严重安全漏洞 原创 pippybear 安全无界 2025-03-25 23:12 受影响资产 依赖next.js进行身份验证或安全检查的应用程序。 漏洞利用方式 该漏洞可通过添加 x-middleware-subrequest: middleware 标头来绕过 Next.js 的 身份验证检查。 漏洞编号 CVE-2025-29927 漏洞原理 这里稍稍引用大佬的原文内容。
继续阅读【漏洞挖掘案例】RCE
【漏洞挖掘案例】RCE 迪哥讲事 2025-03-25 20:30 01 前言 团队的师傅突然发来一句,”要RCE北大了”,还配上了一个截图,是执行了ls / 的全回显结果,卧槽,我直呼牛逼,当时就兴奋了,于是我那天晚上忙(耍)完也去对北大做了信息收集,想去找找看这位师傅所说的可以RCE的站点,后面确实被”RCE”了,觉得有点意思,于是有了这篇文章。
继续阅读