百易云资产管理运营系统 admin.ticket.close.php SQL注入漏洞(CVE-2025-1535) Superhero Nday Poc 2025-03-25 20:23 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请
继续阅读【漏洞预警】Spring Security授权绕过漏洞(CVE-2025-22223) cexlife 飓风网络安全 2025-03-25 20:11 漏洞描述: Sрrinɡ Sесuritу可能无法正确定位参数化类型或方法上的方法安全注释,这可能会导致授权绕过。 影响产品: 6.4.0<=Spring Security<=6.4.3 攻击场景: 攻击者可能通过参数化的超类、接口或
继续阅读【漏洞预警】Yii2反序列化漏洞(CVE-2025-2689|2690) cexlife 飓风网络安全 2025-03-25 20:11 CVE-2025-2689 漏洞描述: 在уiiѕоft Yii2版本至2.0.45中发现了一个被分类为严重的漏洞,这个问题影响到了文件ѕуmfоnу\findеr\Itеrаtоr\SоrtаblеItеrаtоr.рhр中的ɡеtItеrаtоr函数,通过操
继续阅读Next.js 严重漏洞:攻击者可绕过中间件授权检查 FreeBuf 2025-03-25 19:23 Next.js React 框架近日披露了一个严重的安全漏洞,攻击者可利用该漏洞绕过授权检查,未经授权访问仅限管理员或其他高权限用户访问的敏感网页。该漏洞被标记为 CVE-2025-29927,其 CVSS 评分为 9.1(满分 10.0)。 Next.js 框架及漏洞详情 Next.js 是一
继续阅读研究显示:超300万财富500强员工账户凭证近三年内遭泄露;严重漏洞威胁Next.js应用,攻击者可绕过授权访问管理面板 |牛览 安全牛 2025-03-25 18:29 新闻速览 • 研究显示: 超300万财富500强员工账户凭证在近三年内遭泄露 •欧盟严重有组织犯罪威胁评估:混合威胁与AI重塑犯罪格局 • 一公司因OA系统数据安全保障不力被罚 •前密歇根大学橄榄球教练因未授权访问和身份盗窃被起
继续阅读「1day」D-Link DIR 823G路由器存在未授权访问漏洞(CVE-2025-2360) 原创 zangcc Eureka安全 2025-03-25 18:23 在2025年3月25日,在Eureka威胁情报平台监测到了一处新的漏洞预警。在发现这一预警后, 我们的安全研究人员立即展开深入研究,力求全面了解该漏洞的性质、影响范围以及潜在的利用方 式。 需要明确的是,此次研究和分享基于技术研究
继续阅读Next.js 框架惊现致命漏洞,黑客可轻松绕过授权 看雪学苑 看雪学苑 2025-03-25 18:00 最近,一个名为 CVE-2025-29927 的重大漏洞在 Next.js 开源框架中被发现,这一消息瞬间在开发界和安全领域引发了轩然大波。 Next.js 作为一款广受欢迎的 React 框架,拥有每周超 900 万次的 npm 下载量,是众多企业构建全栈 Web 应用的首选。从 TikT
继续阅读Ingress NGINX 控制器中存在严重漏洞可导致RCE Ravie Lakshmanan 代码卫士 2025-03-25 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ingress NGINX Controller (Kubernetes) 中存在五个严重漏洞,无需认证即可导致远程代码执行,可将超过6500个集群暴露在公开互联网中。 这些漏洞(CVE-2025-2451
继续阅读9.4分漏洞!Next.js Middleware鉴权绕过漏洞安全风险通告 应急响应中心 亚信安全 2025-03-25 17:32 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Next.js 存在一个授权绕过漏洞,编号为 CVE-2025-29927。攻击者可能通过发送精心构造的 x-middleware-subrequest 请求头绕过中间件安全控制,从而在未授权的情况下访问受保
继续阅读Kubernetes惊现“入口噩梦”:Ingress NGINX高危漏洞可致集群全面沦陷 原创 网空闲话 网空闲话plus 2025-03-25 17:23 2025年3月24日Wiz博客披露,Kubernetes的Ingress NGINX Controller被发现存在一系列名为“IngressNightmare”的远程代码执行(RCE)漏洞,具体包括 CVE-2025-1097、CVE-20
继续阅读【高危漏洞】Tenda AC15命令注入漏洞 原创 moon 皓月当空w 2025-03-24 21:27 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称 : Tenda AC15命令注入漏洞 漏洞出现时间 :2025年3月14日 影响等级 :高危 漏洞说明: Tenda AC15 15.03.05.19版本存在命令注入漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。
继续阅读流行的 Python 日志库存在远程代码执行漏洞 (CVE-2025-27607) TtTeam 2025-03-24 21:27 用于生成 JSON 日志的流行 Python 库“python-json-logger”中发现了一个严重漏洞。此漏洞可能允许攻击者在安装该库的系统上执行任意代码。 该漏洞被标记为 CVE-2025-27607,CVSS 评分为 8.8,源于缺少名为“msgspec-p
继续阅读【漏洞挖掘案例】不是哥们,北大被”RCE”了? 原创 X1ly?S The One安全 2025-03-24 21:11 01 前言 团队的师傅突然发来一句,”要RCE北大了”,还配上了一个截图,是执行了ls / 的全回显结果,卧槽,我直呼牛逼,当时就兴奋了,于是我那天晚上忙(耍)完也去对北大做了信息收集,想去找找看这位师傅所说的可以RCE的站点,后
继续阅读【安全圈】JumpServer漏洞使攻击者可绕过认证并获取完全控制权 安全圈 2025-03-24 19:00 关键词 安全漏洞 Fit2Cloud 开发的开源特权访问管理 (PAM) 工具 JumpServer 中发现一系列严重漏洞,引发了重大的安全担忧。 JumpServer 作为内部网络的堡垒主机,通过用户友好的 Web 界面提供通过 SSH、RDP、数据库和 FTP 隧道访问内部资源的集中
继续阅读速修复Next.js中严重的授权绕过漏洞 do son 代码卫士 2025-03-24 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门的 React 框架 Next.js 能帮助开发人员更快更有效地构建全栈 web 应用,广泛用于大量企业,其中不乏一些全球最大的企业,因其“可通过扩展 React 的最新特性并集成强大的基于 Rust 的 JavaScript 工具以最快进行
继续阅读思科智能许可证实用程序中的严重漏洞已遭利用 SERGIU GATLAN 代码卫士 2025-03-24 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 攻击者已经开始利用暴露内置后门管理员账户的未修复漏洞,攻击思科只能许可证实用程序 (CSLU) 实例。 该 CSLU Windows 应用可使管理员管理许可证并连接本地产品,而无需将其连接到思科的基于云的智能软件管理器解决方案。
继续阅读【处置手册】Apache Tomcat远程代码执行漏洞(CVE-2025-24813) 原创 NS-CERT 绿盟科技CERT 2025-03-24 18:17 通告编号:NS-2025-0012-1 2025-03-20 TAG: Tomcat、代码执行、CVE-2025-24813 漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。 版本: 1.1 1 漏洞概述 近日,绿盟科技CERT监测到
继续阅读【漏洞通告】Next.js中间件权限绕过漏洞(CVE-2025-29927) 原创 NS-CERT 绿盟科技CERT 2025-03-24 18:17 通告编号:NS-2025-0015 2025-03-24 TAG: Next.js、权限绕过、CVE-2025-29927 漏洞危害: 攻击者利用此漏洞,可实现权限绕过。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Next.js发
继续阅读CVE-2023-2598 内核提权详细分析 默文 看雪学苑 2025-03-24 18:00 01 漏洞简介 漏洞编号: CVE-2023-2598 影响版本:6.3 <= Linux Kernel < v6.3.2 漏洞产品: linux kernel – io_uring & io_sqe_buffer_register io_uring & foli
继续阅读Next.js Middleware 认证绕过漏洞(CVE-2025-29927) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-24 17:06 漏洞名称: Next.js Middleware 认证绕过漏洞(CVE-2025-29927) 组件名称: Next.js 影响范围: 11.1.4 < Next.js ≤ 13.5.614.0 < Next.js < 1
继续阅读漏洞预警 | Windows 文件资源管理器欺骗漏洞(CVE-2025-24071、CVE-2025-24054) 原创 烽火台实验室 Beacon Tower Lab 2025-03-24 16:01 1 漏洞概述 漏洞类型 信息泄露 漏洞等级 高 漏洞编号 CVE-2025-24071、 CVE-2025-24054 漏洞评分 7.5 利用复杂度 中 影响版本 Windows三月更新前版本 利
继续阅读CAPEC 漏洞管理的“真”攻击者视角 摄星 数世咨询 2025-03-24 16:00 PART01 引言 在攻防对抗的网络安全战场中,攻击者的手段日新月异,而防御者亟需一套”攻击者思维”的语言体系。CAPEC(通用攻击模式枚举与分类)正是这样一把钥匙,它从攻击者视角系统化梳理逾500种攻击模式,帮助防御者预判威胁路径、构建防御策略。 CAPEC并非孤立存在。它与ATT&
继续阅读漏洞通告 | Next.js middleware 权限绕过漏洞 原创 微步情报局 微步在线研究响应中心 2025-03-24 11:56 漏洞概况 Next.js 是一个用于构建全栈 Web 应用程序的 React 框架。 微步情报局获取到 next.js middleware 权限绕过漏洞情报 CVE-2025-29927 (https://x.threatbook.com/v5/vul/XV
继续阅读【已复现】影响部分热门 AI 应用,Next.js 中间件绕过漏洞(CVE-2025-29927) 长亭安全应急响应中心 2025-03-24 11:49 Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server-side Rendering (SSR) 和静态站点生成(SSG)项目。Next.js 支持传统的 No
继续阅读【已复现】Next.js Middleware鉴权绕过漏洞(CVE-2025-29927)安全风险通告 奇安信 CERT 2025-03-24 11:42 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Next.js Middleware鉴权绕过漏洞 漏洞编号 QVD-2025-11773,CVE-2025-29927 公开时间 2025-03-21 影响量级 百万级 奇安信
继续阅读利用Fortinet漏洞LockBit Black勒索病毒样本分析 安全分析与研究 2025-03-24 08:31 安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 最近几年勒索病毒已经席卷全球,全球范围内越来越多的政府、企业,组织机构等受到勒索病毒黑客组织的攻击,几乎每天都有企业被勒索病毒攻击的新闻被曝光,可能还有更多的企业被勒索病毒攻击之后,选择默默交纳赎金,由于勒索病毒太过于暴利,
继续阅读CVE-2025-24071:通过RAR/ZIP做到解压就传输NTLM哈希 z1 Z1sec 2025-03-23 22:58 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! GitHub – 0x6rss/CVE-2
继续阅读工控漏洞 | mySCADA myPRO或被攻击者掌控工业控制系统 FreeBuf 商密君 2025-03-23 21:25 网络安全研究人员披露了影响mySCADA myPRO系统的两个重大漏洞的细节。myPRO是一种广泛应用于工业技术(OT)环境中的监控与数据采集(SCADA)系统,这些漏洞可能使恶意攻击者控制易受攻击的设施。 瑞士安全公司PRODAFT表示:“如果这些漏洞被利用,可能导致未授
继续阅读Apache Tomcat 高危RCE漏洞CVE-2024-50379:复现分析与防御策略 HSCERT 山石网科安全技术研究院 2025-03-23 09:00 您的Web服务器可能正暴露在远程攻击的风险中!立即了解Apache Tomcat的最新漏洞及其修复方法。 在网络安全领域,Apache Tomcat 作为广泛使用的开源Web服务器和Servlet容器,其安全性一直受到开发者和管理员的高
继续阅读IBM AIX 存在允许攻击者执行任意命令漏洞 网安百色 2025-03-22 19:35 点击上方 蓝字 关注我们吧~ IBM AIX作系统中的关键安全漏洞可能允许未经授权的远程攻击者执行任意命令,从而可能危及整个系统。 IBM 已发布安全补丁,以解决影响多个基于 Unix 的作系统版本的这些高严重性缺陷。 跟踪为 CVE-2024-56346 和 CVE-2024-56347 的漏洞都与 AI
继续阅读