Linux 内核越界写入漏洞( CVE-2025-0927 )
Linux 内核越界写入漏洞( CVE-2025-0927 ) 网安百色 2025-03-22 19:35 点击上方 蓝字 关注我们吧~ 近二十年来,Linux 内核中的一个严重漏洞一直未被发现,该漏洞允许本地用户获得受影响系统的 root 权限。 这个名为 CVE-2025-0927 的 Linux 内核的 HFS+ 文件系统驱动程序中的越界写入漏洞会影响运行最高版本 6.12.0 的内核的系统
继续阅读标签: CVE
FreeBuf周报 | “人肉开盒”再调查;ChatGPT SSRF漏洞迅速成为热门攻击向量
FreeBuf周报 | “人肉开盒”再调查;ChatGPT SSRF漏洞迅速成为热门攻击向量 FreeBuf 2025-03-22 18:01 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 热点资讯 1. “人肉开盒”再调查:网络灰产隐秘升级,记者买到自己的秘密 “开盒”,即利用非法手段获得并公开曝光他人隐私
继续阅读WordPress安全插件WP Ghost有远程代码执行漏洞
WordPress安全插件WP Ghost有远程代码执行漏洞 HackSee安全团队 HackSee 2025-03-22 17:28 流行的WordPress安全插件WP Ghost容易受到一个严重漏洞的攻击,该漏洞可能允许未经身份验证的攻击者远程执行代码并劫持服务器。 WP Ghost是一个流行的安全插件,在超过20万个WordPress网站中使用,声称每月阻止14万次黑客攻击和超过900万次
继续阅读全球服务器正遭PHP漏洞精准爆破
全球服务器正遭PHP漏洞精准爆破 知机安全 知机安全 2025-03-22 16:02 1. PHP安全漏洞被利用,攻击者传播Quasar RAT和加密矿工 PHP中存在一个严重的安全漏洞CVE-2024-4577,威胁者利用该漏洞在Windows系统中传播Quasar RAT等RAT以及加密货币挖掘工具,全球范围内多个地区成为重点攻击目标。网络安全公司Bitdefender报告,Taiwan、香
继续阅读NUUO网络视频录像机 handle_config.php 远程命令执行漏洞(CVE-2025-1338)
NUUO网络视频录像机 handle_config.php 远程命令执行漏洞(CVE-2025-1338) Superhero Nday Poc 2025-03-22 15:17 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担
继续阅读NETGEAR-R7000-缓冲区溢出漏洞(CVE-2021-31802)
NETGEAR-R7000-缓冲区溢出漏洞(CVE-2021-31802) 骇客安全 骇客安全 2025-03-22 14:21 漏洞描述:漏洞使邻近网络的攻击者可以在受影响的NETGEAR R7000路由器安装上执行任意代码。利用此漏洞不需要身份验证。 影响版本: 运行固件版本1.0.11.116及更低版本的Netgear Nighthawk R7000 exploit.py: # coding
继续阅读Web篇 |【全网最详细】Apache CC反序列化漏洞:CC1调用链POC构造过程,干货!!!(上)
Web篇 |【全网最详细】Apache CC反序列化漏洞:CC1调用链POC构造过程,干货!!!(上) 原创 零日安全实验室 零日安全实验室 2025-03-22 13:48 免责声明! 本 公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。 上一文章讲解了Apache CC漏洞的原理以及CC1调用链,这一文章我们继续接
继续阅读malicious-devfile-registry :在Gitlab中利用CVE-2024-0402
malicious-devfile-registry :在Gitlab中利用CVE-2024-0402 z1 Z1sec 2025-03-21 22:00 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! GitHub –
继续阅读【漏洞预警】Mattermost MFA绕过漏洞 (CVE-2025-25068)
【漏洞预警】Mattermost MFA绕过漏洞 (CVE-2025-25068) cexlife 飓风网络安全 2025-03-21 21:12 漏洞描述 Mаttеrmоѕt版本10.4.х<=10.4.2,10.3.х<=10.3.3,9.11.х<= 9.11.8,10.5.х<=10.5.0未能在插件端点上强制执行多因素认证(MFA),这允许经过身份验证的攻击者通
继续阅读信息安全漏洞周报【第014期】
信息安全漏洞周报【第014期】 零零捌信安观察 银天信息 2025-03-21 20:58 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读GLPI 中的预认证 SQL 注入到 RCE(CVE-2025-24799/CVE-2025-24801)
GLPI 中的预认证 SQL 注入到 RCE(CVE-2025-24799/CVE-2025-24801) Ots安全 2025-03-21 20:01 在红队交战期间,已经发现了几个GLPI实例。该软件在法语公司中很受欢迎,其中一些公司甚至直接在互联网上公开其实例。众所周知,GLPI 历史上隐藏着多个易于发现的漏洞,而且由于它通常与 Active Directory 相连,因此在红队交战或内部基
继续阅读Veeam 修复Backup & Replication 中的严重RCE漏洞
Veeam 修复Backup & Replication 中的严重RCE漏洞 Ionut Arghire 代码卫士 2025-03-21 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,Veeam 宣布修复了 Backup &Replication 产品中的一个严重漏洞,可导致攻击者远程执行任意代码。 该漏洞的编号是CVE-2025-23120(CVSS评分
继续阅读Cisco智能许可工具漏洞遭利用,内置后门账户曝光
Cisco智能许可工具漏洞遭利用,内置后门账户曝光 FreeBuf 2025-03-21 18:14 近期,攻击者开始针对未修复漏洞的Cisco智能许可工具(Cisco Smart Licensing Utility, CSLU)实例发起攻击,该漏洞暴露了一个内置的后门管理员账户。 Cisco智能许可工具是一款Windows应用程序,允许管理员在本地环境中管理许可证和关联产品,而无需将其连接到Ci
继续阅读Veeam与IBM发布备份和AIX系统高危漏洞补丁
Veeam与IBM发布备份和AIX系统高危漏洞补丁 FreeBuf 2025-03-21 18:14 Veeam近日发布了安全更新,修复了其备份与复制软件中的一个关键安全漏洞,该漏洞可能导致远程代码执行。 高风险漏洞详情 该漏洞被标记为CVE-2025-23120,CVSS评分为9.9(满分10.0),影响12.3.0.310及之前所有版本12的构建。Veeam在周三发布的公告中表示:“该漏洞允许
继续阅读Hyper-v虚拟磁盘驱动vhdmp.sys漏洞汇总分析
Hyper-v虚拟磁盘驱动vhdmp.sys漏洞汇总分析 王cb 看雪学苑 2025-03-21 17:59 这篇文章的目的是介绍hyper-v虚拟磁盘驱动vhdmp.sys相关的漏洞CVE-2023-36408,CVE-2025-24048和CVE-2025-24050汇总分析。 文章结合了逆向代码和调试结果分析了hyper-v虚拟磁盘驱动vhdmp.sys相关的漏洞的利用过程和漏洞成因。 复现
继续阅读更新小节:syscallfuzz | 系统0day安全-Windows平台漏洞挖掘(第5期)
更新小节:syscallfuzz | 系统0day安全-Windows平台漏洞挖掘(第5期) 小雪 看雪学苑 2025-03-21 17:59 更新: 3.3 syscallfuzz https://www.kanxue.com/book-194-5304.htm · 课程介绍 本课程将深入探讨Windows平台的漏洞挖掘技术,包括内核漏洞、应用程序漏洞等。课程内容结合理论与实践,帮助学员掌握Wi
继续阅读Veeam 备份服务器现重大漏洞,速更新补丁!
Veeam 备份服务器现重大漏洞,速更新补丁! 看雪学苑 看雪学苑 2025-03-21 17:59 近期 Veeam Backup & Replication 软件被曝出一项严重的远程代码执行漏洞(CVE-2025-23120),给众多企业和组织的数据安全带来了巨大风险。 据相关报道,该漏洞是由 watchTowr Labs 发现的,主要影响 Veeam Backup & Re
继续阅读PHP XXE 注入漏洞允许攻击者访问配置文件和私钥
PHP XXE 注入漏洞允许攻击者访问配置文件和私钥 嘶吼专业版 2025-03-21 11:07 Web 应用程序安全研究员 Aleksandr Zhurnakov 详细揭示了 PHP 中新发现的 XML 外部实体(XXE)注入漏洞。 该漏洞展示了攻击者如何绕过多种安全机制,进而访问敏感配置文件和私钥,凸显了即便在看似安全的实现中,不当的 XML 解析配置也存在巨大风险。 此漏洞利用了 PHP
继续阅读CVE-2025-24813-PoC:Apache Tomcat 远程代码执行漏洞批量检测脚本
CVE-2025-24813-PoC:Apache Tomcat 远程代码执行漏洞批量检测脚本 z1 Z1sec 2025-03-20 22:41 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! GitHub – iS
继续阅读Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞验证
Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞验证 Ots安全 2025-03-20 19:45 Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞的概念验证。该程序将伪装成视频的恶意文件上传到 Telegram 频道,利用安全漏洞安装恶意软件或重定向
继续阅读更新2节(附课后作业)| 系统0day安全-IOT设备漏洞挖掘(第6期)
更新2节(附课后作业)| 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-03-20 17:59 更新: 第三章 课时8:自动化仿真工具-FAT的介绍与使用 https://www.kanxue.com/book-7-5300.htm 课时9:自动化仿真工具-FirmAE的介绍与使用 https://www.kanxue.com/book-7-5301.htm 自动化
继续阅读Chrome 修复 Lens 特性中的严重 UAF 漏洞
Chrome 修复 Lens 特性中的严重 UAF 漏洞 do son 代码卫士 2025-03-20 17:42 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌推出重大安全更新,修复了位于 Chrome 的 Lens 特性中的释放后使用 (UAF) 漏洞 CVE-2025-2476。该漏洞已在 Windows、Mac 和 Linux 的最新稳定版本中修复。 该漏洞如遭成功利用,可导致
继续阅读mySCADA myPRO中存在多个严重漏洞,可导致攻击者接管工控系统
mySCADA myPRO中存在多个严重漏洞,可导致攻击者接管工控系统 Ravie Lakshmanan 代码卫士 2025-03-20 17:42 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 瑞士安全公司 PRODAFT的网络安全研究员详述了影响 mySCADA myPRO 的两个严重漏洞,它们可导致恶意人员控制可疑系统。MySCADA myPRO是用于运行技术 (OT) 环境中的数据
继续阅读用友crm客户关系管理ajax/getufvouchdata.php接口存在SQL注入漏洞 漏洞预警
用友crm客户关系管理ajax/getufvouchdata.php接口存在SQL注入漏洞 漏洞预警 2025-3-19更新 南风漏洞复现文库 2025-03-19 23:15 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友crm
继续阅读【安全圈】ChatGPT 漏洞遭超一万个 IP 地址主动利用,美国政府机构惨遭攻击
【安全圈】ChatGPT 漏洞遭超一万个 IP 地址主动利用,美国政府机构惨遭攻击 安全圈 2025-03-19 19:01 关键词 攻击者正在积极利用 OpenAI 的 ChatGPT 基础设施中的一个服务器端请求伪造(SSRF)漏洞。该漏洞被标识为 CVE-2024-27564,尽管其被归类为中等严重程度,但已成为一个重大威胁。 根据网络安全公司 Veriti 的研究,这个漏洞已在众多实际攻击
继续阅读ChatGPT 漏洞被用于攻击美国政府组织机构
ChatGPT 漏洞被用于攻击美国政府组织机构 Ionut Arghire 代码卫士 2025-03-19 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全公司 Veriti 报道称,威胁行动者们正在利用ChatGPT去年的服务器端请求伪造 (SSRF) 漏洞,攻击金融实体和美国政府组织机构。 该漏洞CVE-2024-27564是一个影响 pictureproxy.php
继续阅读专题·漏洞人才培养 | 聚焦漏洞技术研究 探索实战型网安人才培养的实践路径
专题·漏洞人才培养 | 聚焦漏洞技术研究 探索实战型网安人才培养的实践路径 原创 毛丽艳 李跃忠 中国信息安全 2025-03-19 18:06 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 北京天融信教育科技有限公司 毛丽艳 李跃忠 随着信息技术的飞速发展,各行各业都在享受着数字化带来的便捷与高效。然而,网络安全问题日益凸显,成为制约数字化进程的一大
继续阅读ChatGPT漏洞被超过10000个IP积极利用,攻击美国政府组织
ChatGPT漏洞被超过10000个IP积极利用,攻击美国政府组织 安全客 2025-03-19 16:24 近期,网络安全公司 Veriti 发布的研究报告揭示,黑客正在积极利用OpenAI ChatGPT基础设施中的服务器端请求伪造(SSRF)漏洞(CVE-2024-27564)。尽管该漏洞的严重性被归类为中等,但它已经被大规模武器化,成为全球网络攻击的一个新威胁。更值得注意的是,尽管攻击者正
继续阅读【漏洞通告】Windows文件资源管理器欺骗漏洞(CVE-2025-24071)
【漏洞通告】Windows文件资源管理器欺骗漏洞(CVE-2025-24071) 原创 NS-CERT 绿盟科技CERT 2025-03-19 16:24 通告编号:NS-2025-0014 2025-03-19 TAG: Windows、哈希泄露、CVE-2025-24071 漏洞危害: 攻击者利用此漏洞,可获取用户NTLM哈希。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到微软
继续阅读警惕!Fortinet防火墙漏洞遭勒索软件利用,多家企业被黑
警惕!Fortinet防火墙漏洞遭勒索软件利用,多家企业被黑 安全内参编译 安全内参 2025-03-19 15:01 关注我们 带你读懂网络安全 网络安全产品屡屡成为企业被黑入口。 前情回顾·安全产品漏洞利用态势 – Palo Alto防火墙又被黑:最新漏洞披露后第二天就遭利用 警惕!近期Fortinet防火墙频遭攻击,疑似零日漏洞被利用 网安巨头Palo Alto全球数千防火墙被攻
继续阅读