【漏洞通告】Google Chrome V8越界写入漏洞(CVE-2025-5280)
【漏洞通告】Google Chrome V8越界写入漏洞(CVE-2025-5280) 启明星辰安全简讯 2025-05-29 08:10 一、漏洞概述 漏洞名称 Google Chrome V8越界写入漏洞 CVE ID CVE-2025-5280 漏洞类型 越界写入 发现时间 2025-05-29 漏洞评分 8.8 漏洞等级 高危 攻击向量 网络 所需权限 不需要 利用难度 低 用户交互 需要
继续阅读标签: EXP
微软OneDrive严重安全漏洞:OAuth权限滥用,数据泄露风险高
微软OneDrive严重安全漏洞:OAuth权限滥用,数据泄露风险高 知机安全 知机安全 2025-05-29 06:15 1. 微软OneDrive文件选择器安全漏洞:潜在数据泄露风险 微软OneDrive的文件选择器存在安全漏洞,黑客可能借此获取用户整个云端存储内容,而非仅上传的文件,该漏洞源于OAuth权限过宽和误导性的用户许可。Oasis Research Team已对此报告,并警告这可能
继续阅读SSRF漏洞详细讲解:攻击者是怎么“骗”服务器发起请求的
SSRF漏洞详细讲解:攻击者是怎么“骗”服务器发起请求的 AegisGuard AegisGuard 2025-05-29 05:58 免责声明 合法使用原则:文中提及的技术、工具或案例,仅用于授权范围内的安全测试、防御研究或合规技术分享,未经授权的网络攻击、数据窃取等行为均属违法,需承担法律责任。 风险自担与责任豁免:文章内容基于公开信息整理,不保证技术的准确性、完整性或适用性。读者需自行评估技
继续阅读NIST发布“漏洞预测指标”,大幅提升漏洞管理能力
NIST发布“漏洞预测指标”,大幅提升漏洞管理能力 GoUpSec 2025-05-29 04:11 近日,美国国家标准与技术研究院(NIST)发布了《网络安全白皮书41号》(CSWP41),提出了一种名为“可能被利用漏洞”(Likely Exploited Vulnerabilities,简称LEV)的新型安全指标,用于衡量软件和硬件漏洞被实际利用的可能性。 该指标旨在弥补现有漏洞管理工具的不足
继续阅读ofcms的XXE漏洞分析
ofcms的XXE漏洞分析 原创 派大星 赤弋安全团队 2025-05-29 01:52 forever young 路虽远行则将至, 事虽难做则必成。 01 代码审计 赤弋安全 XXE 代码审计常搜索的关键字如下: XMLReader SAXBuilder SAXReader SAXParserFactory Digester DocumentBuilderFactory … 还有一个特殊的
继续阅读CVE-2025-24054的漏洞深度解析与 PoC 利用指南
CVE-2025-24054的漏洞深度解析与 PoC 利用指南 云梦DC 云梦安全 2025-05-29 01:00 关于 CVE-2025-24071(已更新为 CVE-2025-24054)的漏洞深度解析与 PoC 利用指南 一、漏洞核心原理与机制 漏洞成因 Windows 资源管理器在处理包含恶意 .library-ms 文件的压缩包(RAR/ZIP)时,会自动解析文件内
继续阅读CVE-2025-24813 Apache Tomcat RCE 漏洞深度解析与 PoC
CVE-2025-24813 Apache Tomcat RCE 漏洞深度解析与 PoC 云梦DC 云梦安全 2025-05-29 01:00 一、漏洞核心原理 CVE-2025-24813 是 Apache Tomcat 中因 路径等效性缺陷 和 反序列化漏洞 结合导致的远程代码执行(RCE)漏洞。其核心机制如下: 路径处理缺陷:Tomcat 在处理部分 PUT 请求时,会将 URL 路径中
继续阅读攻防演练连个Nday都扫不出?你只是Nday的打开方式不对!
攻防演练连个Nday都扫不出?你只是Nday的打开方式不对! 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-05-28 23:01 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 众所周知,在一年接着一年的攻防演练加持下
继续阅读Windows10 Penetration渗透系统,一套环境通吃内网、Web、APP全渗透,工具包实战指南|漏洞探测
Windows10 Penetration渗透系统,一套环境通吃内网、Web、APP全渗透,工具包实战指南|漏洞探测 makoto56 渗透安全HackTwo 2025-05-28 16:00 0x01 工具介绍 渗透测试套件工具集是一款基于Windows 10打造的一体化安全测试环境,集成了400多种专业工具,涵盖Web渗透、移动安全、内网攻防、社会工程学等多个领域。内置WSL2 Kali Li
继续阅读PagerMaid-Pyro run_sh接口存在远程命令执行漏洞 附POC
PagerMaid-Pyro run_sh接口存在远程命令执行漏洞 附POC 2025-5-28更新 南风漏洞复现文库 2025-05-28 12:20 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. PagerMaid-Pyro简介
继续阅读【漏洞复现】vBulletin replaceAdTemplat 远程代码执行漏洞(CVE-2025-48827/48828)
【漏洞复现】vBulletin replaceAdTemplat 远程代码执行漏洞(CVE-2025-48827/48828) 安全探索者 安全探索者 2025-05-28 11:03 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 vBulletin 是互联网上最广泛使用的商业论坛解决方案之一,为从利基爱好者网站到大型科技论坛的数千个在线社区提供支持。它主要使用 PHP 开发,具有类
继续阅读阿迪达斯数据泄露,第三方服务商漏洞致客户信息外泄
阿迪达斯数据泄露,第三方服务商漏洞致客户信息外泄 FreeBuf FreeBuf 2025-05-28 10:07 德国运动品牌巨头阿迪达斯已确认发生重大数据泄露事件,攻击者通过入侵第三方客户服务提供商获取了客户联系信息。2025年5月23日的泄露事件导致曾与该公司客服中心互动过的消费者联系方式外泄,但密码、信用卡数据等支付相关信息未受影响。 该事件凸显了大型零售商面临的日益严峻的网络安全挑战。根
继续阅读逐帧分析:Kernel Streaming 持续暴露漏洞
逐帧分析:Kernel Streaming 持续暴露漏洞 Angelboy securitainment 2025-05-28 08:17 【翻译】Frame by Frame, Kernel Streaming Keeps Giving Vulnerabilities 这是一系列关于 Kernel Streaming 攻击面的研究。建议先阅读以下文章: – Windows Kern
继续阅读已公开漏洞的认知“真相”
已公开漏洞的认知“真相” 摄星 数世咨询 2025-05-28 08:00 当我们过于追逐未公开漏洞与0day漏洞时,却往往忽视了更危险的威胁——那些已被公开却未被认知的漏洞。实际上存在的是,已公开你所知道的,已公开你所不知道的。这种认知上的选择性的安全盲区,本质上成为数字时代的”装聋作哑”。 01 已公开编号漏洞的重叠度和差异 当前,各国网络安全政策和战略,都强调了漏洞信
继续阅读通达OA OfficeTask前台RCE、SQL注入漏洞分析
通达OA OfficeTask前台RCE、SQL注入漏洞分析 原创 烽火台实验室 Beacon Tower Lab 2025-05-28 02:55 一、漏洞概述 注:本文仅以安全研究为目的,分享对该漏洞的挖掘过程,文中涉及的所有漏洞均已报送给国家单位,请勿用做非法用途。 通达OA是国内常用的智能办公系统,为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析
继续阅读渗透测试 | 分享某次项目上的渗透测试漏洞复盘
渗透测试 | 分享某次项目上的渗透测试漏洞复盘 原创 神农Sec 神农Sec 2025-05-28 02:06 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠券)。 文章作者: 一个想当文人的黑客 文章来源: h
继续阅读独家洞察|Mallox勒索团伙疑似继续利用产品漏洞攻击投毒国内数百个资产
独家洞察|Mallox勒索团伙疑似继续利用产品漏洞攻击投毒国内数百个资产 运营保障部 中国电信安全 2025-05-28 01:14 2025年2月至5月,中国电信安全公司·MSSP团队及华南区域中心发现,境外高级勒索团伙疑似利用20多款产品的漏洞攻击中国境内数据中心、外贸、教育、医疗及物业管理等行业,涉及数百个企业/部门。 根据多个事件现场排查及全网风险态势分析,多数失陷资产遭勒索木马快速加密数
继续阅读新手也能学会的安卓漏洞!手把手教你查出 App 数据泄露!
新手也能学会的安卓漏洞!手把手教你查出 App 数据泄露! 原创 火力猫 季升安全 2025-05-28 00:15 🧩 ContentProvider 数据泄露全面解析:小白也能看懂的安全检测指南 随着 Android 应用越来越复杂,ContentProvider 成为了应用间共享数据的重要桥梁。但如果配置不当,极易成为攻击入口,导致用户隐私和重要数据泄露。本文将帮你拆解 ContentPr
继续阅读CVE-2024-45436:Ollama ZIP文件解压导致的命令执行漏洞
CVE-2024-45436:Ollama ZIP文件解压导致的命令执行漏洞 姓*户 七芒星实验室 2025-05-27 23:01 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 文章作者:先知社区( 姓*户 ) 文章来源: https:
继续阅读Panalog大数据日志审计系统sprog_upstatus.php存在SQL注入漏洞 附POC
Panalog大数据日志审计系统sprog_upstatus.php存在SQL注入漏洞 附POC 2025-5-27更新 南风漏洞复现文库 2025-05-27 15:37 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Panalog
继续阅读CISA提醒注意已遭利用的 Commvault 0day漏洞
CISA提醒注意已遭利用的 Commvault 0day漏洞 Ionut Arghire 代码卫士 2025-05-27 10:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA提到,正遭利用的 Commvault 0day漏洞可能是更广范围的软件即服务 (SaaS) 解决方案的一部分。 该漏洞的编号是CVE-2025-3928(CVSS 评分8.7),可导致远程攻击者创建和执行
继续阅读【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防
【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 原创 solarsec solar应急响应团队 2025-05-27 06:50 1.引言 在现代操作系统中,文件资源管理器(File Explorer)不仅是用户交互的核心组件,也是系统自动处理文件元数据的关键模块。2025年3月披露的 CVE-2025-24071 漏洞揭示了该组件在处理 .library-ms
继续阅读【漏洞预警】Grafana未授权跨站点脚本攻击xss和SSRF漏洞(CVE-2025-4123)
【漏洞预警】Grafana未授权跨站点脚本攻击xss和SSRF漏洞(CVE-2025-4123) PokerSec PokerSec 2025-05-26 11:11 先关注,不迷路. 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞介绍
继续阅读OpenAI大语言模型漏洞挖掘
OpenAI大语言模型漏洞挖掘 点击关注→ 智探AI应用 2025-05-26 10:15 该事件引发了业内广泛关注,标志着AI在漏洞挖掘领域的实用能力正从理论走向现实。 来源|安全客 以下为全文 近日,一个编号为CVE-2025-37899的Linux内核0Day漏洞被披露。不同于传统由人类安全研究员或自动化工具挖掘,本次漏洞的发现者是OpenAI最新发布的大语言模型ChatGPT o3。该事件
继续阅读安全热点周报:Ivanti EPMM 远程代码执行漏洞已被利用于有限的攻击中
安全热点周报:Ivanti EPMM 远程代码执行漏洞已被利用于有限的攻击中 奇安信 CERT 2025-05-26 09:45 安全资讯导视 • 零售巨头马莎百货因勒索攻击运营中断数月,预计损失近30亿元 • 超1.84亿条账号密码泄露,涉苹果、谷歌、小米等众多知名公司 • 国内一打印机品牌官方软件感染窃密木马超半年 PART01 新增在野利用 1.MagicINFO 任意文件上传漏洞(CVE
继续阅读地盘战打响,DragonForce争夺勒索软件市场主导权;AI助手DIANNA首次成功识别大语言模型生成的恶意软件 | 牛览
地盘战打响,DragonForce争夺勒索软件市场主导权;AI助手DIANNA首次成功识别大语言模型生成的恶意软件 | 牛览 安全牛 2025-05-26 09:32 新闻速览 •《网络交易平台收费行为合规指南》面向社会征求意见 •FBI警告:SRG索团伙针对律师事务所发动攻击 •国际”终局行动”重创恶意软件生态系统:DanaBot被瓦解,QakBot头目被起诉 • DIA
继续阅读AI首次独立发现Linux内核可利用0Day漏洞
AI首次独立发现Linux内核可利用0Day漏洞 安全客 2025-05-26 06:45 近日,一个编号为CVE-2025-37899 的Linux内核0Day漏洞 被披露。不同于传统由人类安全研究员或自动化工具挖掘,本次漏洞的发现者是OpenAI 最新发布的大语言模型ChatGPT o3 。该事件引发了业内广泛关注,标志着AI在漏洞挖掘领域的实用能力正从理论走向现实 。 漏洞概述 CVE-20
继续阅读【1day】某无提示云挖矿4链盗u系统前台文件上传漏洞
【1day】某无提示云挖矿4链盗u系统前台文件上传漏洞 原创 Mstir 星悦安全 2025-05-26 05:52 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 项目编号:10033 内部编号:XY-101547 无授权提示云挖矿4链盗u系统,修复后台无法登录问题,代码全开源无后门,优化后台模板 修复刷新余额报错问题,去授权提示 带最新4链提币接口 后台可直接提币. Fofa
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇)
【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 赤弋安全团队 2025-05-26 01:48 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇)
【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 赤弋安全团队 2025-05-26 01:48 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是
继续阅读