漏洞挖掘的几种思维
漏洞挖掘的几种思维 隐雾安全 迪哥讲事 2025-04-11 12:31 No.0 推荐语 本地知识库里,看到的一位大佬的分享,内容很优秀,认真通读一遍,深切的体会到了自己与大佬之间的差距,其中避免原子性思维真的让我茅塞洞开,分享给喜欢挖洞的同学。 ,我是 前言 漏洞挖掘-思想建设 最近也没有挖到什么漏洞,分析类的现在卡的也严格,想了想,总结—些关于漏洞的看法吧。 为什么我要谈这些呢? 很多年轻小
继续阅读标签: EXP
WordPress插件身份验证漏洞披露数小时后即遭利用
WordPress插件身份验证漏洞披露数小时后即遭利用 FreeBuf 2025-04-11 11:02 在公开披露仅数小时后,黑客就开始利用WordPress的OttoKit(原SureTriggers)插件中一个可绕过身份验证的高危漏洞。安全专家强烈建议用户立即升级至本月初发布的OttoKit/SureTriggers最新版本1.0.79。 01 插件功能与影响范围 OttoKit插件允许用户
继续阅读CVE-2025-30208&31125:Vite任意文件读取漏洞
CVE-2025-30208&31125:Vite任意文件读取漏洞 原创 tpaer Timeline Sec 2025-04-11 10:02 关注我们❤️,添加星标🌟,一起学安全! 作者:tpaer@Timeline Sec 本文字数:3386 阅读时长:2~4mins 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Vite 是一款高效的现代化前端构建工
继续阅读【已支持检测】Langflow存在远程代码执行漏洞(CVE-2025-3248)
【已支持检测】Langflow存在远程代码执行漏洞(CVE-2025-3248) 安恒研究院 安恒信息CERT 2025-04-11 09:43 漏洞概述 漏洞名称 Langflow存在远程代码执行漏洞(CVE-2025-3248) 安恒CERT评级 1级 CVSS3.1评分 9.8 CVE编号 CVE-2025-3248 CNVD编号 未分配 CNNVD编号 CNNVD-202504-1135
继续阅读安全威胁情报周报(2025/04/05-2025/04/11)
安全威胁情报周报(2025/04/05-2025/04/11) 观安无相实验室 2025-04-11 09:02 #本期热点 0 1 热点安全事件 微软在安全公告上感谢勒索软件组织EncryptHub Oracle 因涉嫌云泄露事件被起诉,影响数百万美元 Sec-Gemini v1 – 谷歌发布了网络安全新 AI 模型 新型恶意软件威胁 Android 通话,号码替换引发信息安全危机 ChatGP
继续阅读【漏洞预警】Foxmail邮件客户端存在跨站脚本攻击漏洞,建议立即升级防护!
【漏洞预警】Foxmail邮件客户端存在跨站脚本攻击漏洞,建议立即升级防护! 原创 52 易云安全应急响应中心 2025-04-11 07:28 漏洞预警 共/筑/网/络/安/全 1、漏洞描述 近日,易云科技监测到一则Foxmail邮件客户端跨站脚本攻击 漏洞。 Foxmail是我国知名电子邮件客户端之一,其上市时间自1997年第一版公测开始至今已28年,Foxmail电子邮件客户端在2005年3
继续阅读Foxmail 官方致谢!Foxmail for Windows 远程代码执行漏洞(QVD-2025-13936)安全风险通告
Foxmail 官方致谢!Foxmail for Windows 远程代码执行漏洞(QVD-2025-13936)安全风险通告 奇安信 CERT 2025-04-11 06:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Foxmail for Windows 远程代码执行漏洞 漏洞编号 QVD-2025-13936,CNVD-2025-06036 公开时间 2025-0
继续阅读YesWiki知识库edit接口存在任意文件读取漏洞 附POC
YesWiki知识库edit接口存在任意文件读取漏洞 附POC 2025-4-10更新 南风漏洞复现文库 2025-04-10 23:27 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. YesWiki知识库简介 微信公众号搜索:南风漏
继续阅读Vite vite-project接口存在任意文件读取漏洞CNNVD-202504-684 附POC
Vite vite-project接口存在任意文件读取漏洞CNNVD-202504-684 附POC 2025-4-10更新 南风漏洞复现文库 2025-04-10 23:27 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Vite
继续阅读【安全圈】Adobe 紧急发布安全更新,修复十二款产品多项漏洞
【安全圈】Adobe 紧急发布安全更新,修复十二款产品多项漏洞 安全圈 2025-04-10 19:00 关键词 安全漏洞 Adobe 已发布了一套全面的安全更新,用于修复旗下十二款产品中存在的多个漏洞。 这些补丁均于 2025 年 4 月 8 日发布,旨在解决严重、重要及中等程度的安全缺陷,这些缺陷可能会使用户面临各种网络威胁,包括任意代码执行、权限提升以及应用程序拒绝服务攻击。 已修复的重大漏
继续阅读CISA:速修复已遭利用的 CentreStack 和 Windows 0day漏洞
CISA:速修复已遭利用的 CentreStack 和 Windows 0day漏洞 Ionut Arghire 代码卫士 2025-04-10 18:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,CISA督促组织机构紧急修复Gladinet CentreStack 和微软 Windows 中的两个0day 漏洞。 CVE-2025-30406(CVSS评分9)是 Gladi
继续阅读假冒的微软Office插件工具通过SourceForge推送恶意软件
假冒的微软Office插件工具通过SourceForge推送恶意软件 胡金鱼 嘶吼专业版 2025-04-10 14:00 据了解,威胁者正在滥用 SourceForge 分发假冒的微软插件,这些插件会在受害者的电脑上安装恶意软件,以同时挖掘和窃取加密货币。 SourceForge.net 是一个合法的软件托管和分发平台,还支持版本控制、错误跟踪以及专门的论坛/维基,因此在开源项目社区中非常受欢迎
继续阅读漏洞预警 | CrushFTP 存在身份验证绕过漏洞(CVE-2025-2825)
漏洞预警 | CrushFTP 存在身份验证绕过漏洞(CVE-2025-2825) 原创 烽火台实验室 Beacon Tower Lab 2025-04-10 09:46 1 漏洞概述 漏洞类型 身份验证绕过 漏洞等级 高 漏洞编号 CVE-2025-2825 漏洞评分 9.8 利用复杂度 低 影响版本 10.0.0 <= CrushFTP <= 10.8.3 11.0.0 <=
继续阅读云安全(九):容器逃逸—披露漏洞
云安全(九):容器逃逸—披露漏洞 JJ1ng JJ1ng 2025-04-09 23:30 0x00 Introduction 本篇章中将说明历史上有关容器逃逸的披露漏洞。个人才疏学浅,有未阐述清楚或遗漏的地方,还请谅解,相关的内容可自行搜索。 Docker 整体包括:Docker Client 、Docker Daemon 、Containerd 、Containerd-shim 、Runc
继续阅读EMQX后台插件命令执行
EMQX后台插件命令执行 原创 yudays yudays实验室 2025-04-09 22:56 欢迎转发,请勿抄袭 EMQX(简称 EMQ)是一款完全开源、高度可伸缩且高可用的分布式 MQTT 消息服务器。它不仅支持 MQTT 协议,还支持其他 IoT 协议如 CoAP/LwM2M 等,适用于物联网(IoT)、机器对机器(M2M)通信以及移动应用程序。常用于物联网设备与web控
继续阅读利用 CVE-2025-29824 CLFS 零日漏洞可导致勒索软件活动
利用 CVE-2025-29824 CLFS 零日漏洞可导致勒索软件活动 原创 0x6270 0x6270安全团队 2025-04-09 21:00 Microsoft 威胁情报中心 (MSTIC) 和 Microsoft 安全响应中心 (MSRC) 发现,在入侵后利用 Windows 通用日志文件系统 (CLFS) 中的零日特权提升漏洞攻击少数目标。目标包括美国信息技术 (IT) 和房地产行业的
继续阅读【安全圈】假冒 Microsoft Office 插件工具通过 SourceForge 推送恶意软件
【安全圈】假冒 Microsoft Office 插件工具通过 SourceForge 推送恶意软件 安全圈 2025-04-09 19:01 关键词 恶意软件 威胁行为者正在滥用 SourceForge 分发伪造的 Microsoft 插件,这些插件会在受害者的计算机上安装恶意软件,以挖掘和窃取加密货币。 SourceForge.net 是一个合法的软件托管和分发平台,还支持版本控制、错误跟踪和
继续阅读【安全圈】谷歌紧急发布4月安全更新 修复62个Android漏洞含两大零日漏洞
【安全圈】谷歌紧急发布4月安全更新 修复62个Android漏洞含两大零日漏洞 安全圈 2025-04-09 19:01 关键词 零日漏洞 谷歌近日发布了2025年4月Android安全更新,共修复62个安全漏洞。其中尤以两个已被实际利用的零日漏洞最为引人注目,暴露了Android系统面临的严峻安全挑战。 技术分析显示,第一个高危零日漏洞CVE-2024-53197存在于Linux内核的ALSA设
继续阅读微软4月补丁星期二值得关注的漏洞
微软4月补丁星期二值得关注的漏洞 综合编译 代码卫士 2025-04-09 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软四月补丁星期二共修复了134个漏洞,其中一个已遭活跃利用。在本轮修复中,11个漏洞是“严重”等级,都是远程代码执行 (RCE) 漏洞。 微软本次修复的漏洞包括: 49个提权漏洞 9个安全特性绕过漏洞 31个远程代码执行漏洞 17个信息泄露漏洞 14个拒绝
继续阅读微软4月补丁日多个产品安全漏洞风险通告:1个在野利用、11个紧急漏洞
微软4月补丁日多个产品安全漏洞风险通告:1个在野利用、11个紧急漏洞 奇安信 CERT 2025-04-09 09:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年4月补丁日多个产品安全漏洞 影响产品 Windows 通用日志文件系统驱动程序、Windows 远程桌面服务、Windows 轻量级目录访问协议服务等。 公开时间 2025-04-09 影响对象数
继续阅读用友crm客户关系管理borrowout/ajaxgetborrowdata.php接口存在SQL注入漏洞 附POC
用友crm客户关系管理borrowout/ajaxgetborrowdata.php接口存在SQL注入漏洞 附POC 2025-4-8更新 南风漏洞复现文库 2025-04-08 23:07 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1
继续阅读MCP漏洞被利用,你的聊天记录可能已被泄露!
MCP漏洞被利用,你的聊天记录可能已被泄露! AI前沿 恒脑与AI 2025-04-08 11:45 朋友们,你是否放心地让智能助手帮你管理 WhatsApp 消息?最近,安全团队发现了一种新型攻击手段,黑客竟能绕过加密,悄悄偷走你的聊天记录! 今天我们就聊一下关于全球超27亿用户使用的类微信应用 WhatsApp和Model Context Protocol(MCP)的安全问题。 一、事件背景:
继续阅读Emlog index.php接口的存在SQL注入漏洞 附POC
Emlog index.php接口的存在SQL注入漏洞 附POC 2025-4-7更新 南风漏洞复现文库 2025-04-07 23:44 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Emlog 简介 微信公众号搜索:南风漏洞复现文
继续阅读Metasploitable2-Linux。关于老师给了任务,一位彦祖返回家无私奉献,打穿靶场的故事。手搓+msf提权漏洞利用
Metasploitable2-Linux。关于老师给了任务,一位彦祖返回家无私奉献,打穿靶场的故事。手搓+msf提权漏洞利用 原创 泷羽Sec-朝阳 泷羽Sec-朝阳 2025-04-07 23:25 Metasploitable2-Linux 1、主机发现 首先打开靶机就是这个界面,你没看错,通常情况下你是不可能知道账户密码的,所以老老实实去做 arp-scan -l 主机探测,由于你开的靶机
继续阅读Crushftp存在未授权访问漏洞CVE-2025-2825 附POC
Crushftp存在未授权访问漏洞CVE-2025-2825 附POC 2025-4-7更新 南风漏洞复现文库 2025-04-07 22:03 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Crushftp简介 微信公众号搜索:南风
继续阅读金蝶云星空K3Cloud反序列化漏洞(老洞新遇)
金蝶云星空K3Cloud反序列化漏洞(老洞新遇) Yiz 破晓信安 2025-04-07 19:58 金蝶K3 Cloud系统, 聚焦多组织、多利润中心的大中型企业,全面支持多组织财务管理、业务协同、精细管控,借助平台实现全网资源聚合,通过云平台实现敏捷协同 测试遇到金蝶,试了一下网上搜的漏洞,测试成功,记录下。 FOFA app="金蝶云星空-管理中心" POC POST /
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-31486)安全风险通告
【已复现】Vite 任意文件读取漏洞(CVE-2025-31486)安全风险通告 奇安信 CERT 2025-04-07 17:44 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-14036,CVE-2025-31486 公开时间 2025-04-03 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读安全热点周报:Apache Tomcat RCE 漏洞遭两步利用
安全热点周报:Apache Tomcat RCE 漏洞遭两步利用 奇安信 CERT 2025-04-07 17:44 安全资讯导视 • 《关键信息基础设施安全测评要求》公安行业标准发布 • 哈尔滨亚冬会赛事信息系统遭境外网络攻击超27万次,攻击源大部来自美国 • 俄乌黑客展开铁路大战,运营系统瘫痪殃及百万民众 PART01 漏洞情报 1.Zabbix groupBy SQL注入漏洞安全风险通告
继续阅读漏洞利用 第二集 – 进入矩阵
漏洞利用 第二集 – 进入矩阵 Dennis Goodlett securitainment 2025-04-06 23:38 !exploitable Episode Two – Enter the Matrix 引言 如果你刚刚开始关注,Doyensec 团队正在地中海的一艘游轮上度假。放松身心,与同事交流,享受乐趣。 第一部分 讲述了我们在 IoT ARM 漏洞利用
继续阅读0033. JS 漏洞赏金 2.0 Extreme Edition 2024
0033. JS 漏洞赏金 2.0 Extreme Edition 2024 Kongsec Rsec 2025-04-06 21:02 本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。 声明:本文搬运自互联网,如你是原作者,请联系我们! 标签:JS 图1: 封面 我们可以使用以下不同的工具(以下工具可以在github搜索;或点击“阅读原文”,可直接跳转): – hakr
继续阅读