漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题
漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题 黑白之道 2025-04-05 21:41 原文首发在:奇安信攻防社区 https://forum.butian.net/share/4164 以go的gin后端框架为例子,详细剖析了各种逻辑越权漏洞的成因已经对应防范手段,也为白帽子提供挖掘思路 并发漏洞 原理 例如这是一段简单的go商城的示例代码 package handlersimp
继续阅读标签: EXP
震惊!Verizon 750万用户数据泄露,供应商成安全漏洞?
震惊!Verizon 750万用户数据泄露,供应商成安全漏洞? 原创 老兵 网安守护 2025-04-05 19:44 近日,BreachForums 论坛上一位名为 IntelBroker 的用户声称发布了 Verizon 通信公司的客户数据,引发广泛关注。 这名威胁者声称掌握了包含 750 万 Verizon 客户记录 的数据库。 经 The Cyber Express 媒体求证,Verizo
继续阅读深入Vite任意文件读取与分析复现
深入Vite任意文件读取与分析复现 船山信安 2025-04-05 15:14 Vite 任意文件读取漏洞(CVE-2025-30208) 前言 看到群里有人发了一个链接 https://github.com/ThumpBo/CVE-2025-30208-EXP 发现这个漏洞危害很大很大,而且利用起来也是非常的容易 而且资产也是比较多的 于是分析分析这个漏洞 漏洞描述 Vite 是一个现代前端构建
继续阅读【漏洞复现】用友 GRP-U8-obr_zdybxd_check等四个SQL注入漏洞
【漏洞复现】用友 GRP-U8-obr_zdybxd_check等四个SQL注入漏洞 原创 文峰SEC 文峰SEC 2025-04-04 21:12 漏洞简介 用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager,产品分B、C、G三个产品系列,以上受到本次通报漏洞的影响。用友GRP-U8存在obr_zdybxd_check等四个SQL注入漏洞。 – 漏洞复现 Quak
继续阅读【曾哥】从CVE-2025-30208看任意文件读取利用
【曾哥】从CVE-2025-30208看任意文件读取利用 星悦安全 2025-04-04 11:03 微信公众号: 渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-
继续阅读从CVE-2025-30208看网络空间安全专业
从CVE-2025-30208看网络空间安全专业 梅苑安全 2025-04-03 22:04 微信公众号:渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-2025-
继续阅读【漏洞预警】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)
【漏洞预警】Zabbix groupBy SQL注入漏洞(CVE-2024-36465) 原创 安全探索者 安全探索者 2025-04-03 18:57 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Z abbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 fofa: app=”ZABBIX-监控系统” 0x02 漏洞描述
继续阅读【已复现】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)安全风险通告
【已复现】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)安全风险通告 奇安信 CERT 2025-04-03 18:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Zabbix groupBy SQL注入漏洞 漏洞编号 CVE-2024-36465,QVD-2025-13797 公开时间 2025-04-02 影响量级 十万级 奇安信评级 高
继续阅读Jan AI 系统中存在多个漏洞,可遭远程操纵
Jan AI 系统中存在多个漏洞,可遭远程操纵 Ionut Arghire 代码卫士 2025-04-03 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究人员提到,标榜为ChatGPT 替代品的开源工具 Jan AI中存在多个漏洞,可导致远程未认证攻击者操纵系统。 Jan AI 是由 Menlo Research 开发的一款个人助手,可在桌面和移动设备上离线使用,包含热
继续阅读今日更新!系统0day安全-二进制漏洞攻防(第4期)
今日更新!系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-04-02 17:59 更新:第四章 模糊测试工具基础使用 4.6 AFL拓展 https://www.kanxue.com/book-193-5311.htm 二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的底层代码中,一旦被利用,可能导致数据泄露、系统崩溃,甚至更严重的安全事件。为了应对这一挑战
继续阅读新的 OpenSSH 漏洞使 SSH 服务器面临 MitM 攻击和拒绝服务攻击的风险
新的 OpenSSH 漏洞使 SSH 服务器面临 MitM 攻击和拒绝服务攻击的风险 胡金鱼 嘶吼专业版 2025-04-02 14:01 OpenSSH 发布了安全更新,修复了两个漏洞,一个是 MitM 攻击漏洞,另一个是拒绝服务漏洞,其中一个漏洞是在十多年前引入的。Qualys 发现了这两个漏洞,并向 OpenSSH 的维护人员展示了其可利用性。 OpenSSH(开放安全外壳)是 SSH(安全
继续阅读Microsoft 使用 Copilot 在 GRUB2、U-Boot、Barebox 引导加载程序中发现了多个漏洞
Microsoft 使用 Copilot 在 GRUB2、U-Boot、Barebox 引导加载程序中发现了多个漏洞 邑安科技 邑安全 2025-04-01 17:23 更多全球网络安全资讯尽在邑安全 Microsoft 发现了多个影响广泛使用的引导加载程序(包括 GRUB2、U-Boot 和 Barebox)的严重漏洞。 这些安全漏洞可能会使系统面临复杂的启动级攻击,这些攻击甚至可能在作系统初始
继续阅读关键 PHP 漏洞允许黑客绕过验证以加载恶意内容
关键 PHP 漏洞允许黑客绕过验证以加载恶意内容 邑安科技 邑安全 2025-04-01 17:23 更多全球网络安全资讯尽在邑安全 已在 PHP 的 libxml 流中发现了一个严重漏洞,该漏洞可能会影响依赖 DOM 或 SimpleXML 扩展进行 HTTP 请求的 Web 应用程序。 该漏洞被跟踪为 CVE-2025-1219,涉及在请求重定向资源时错误地处理标头,从而导致文档误读和验证绕
继续阅读新发现的Ubuntu安全绕过漏洞使攻击者可利用内核漏洞
新发现的Ubuntu安全绕过漏洞使攻击者可利用内核漏洞 邑安科技 邑安全 2025-04-01 17:23 更多全球网络安全资讯尽在邑安全 Ubuntu Linux权限限制遭突破:攻击者可利用三组漏洞绕过命名空间防护并提权 安全研究人员发现Ubuntu Linux系统中存在三组关键安全绕过漏洞,允许本地攻击者突破非特权用户命名空间限制,实现权限提升并利用内核漏洞。这些漏洞主要影响以下系统: • U
继续阅读Cannon Printer 漏洞让攻击者可以执行任意代码
Cannon Printer 漏洞让攻击者可以执行任意代码 邑安科技 邑安全 2025-04-01 17:23 更多全球网络安全资讯尽在邑安全 Canon 已发布一个重要的安全公告,内容涉及在其多个打印机驱动程序中检测到的严重漏洞,该漏洞可能允许攻击者在受影响的系统上执行任意代码。 该漏洞被确定为 CVE-2025-1268,严重性 CVSS 基本分数为 9.4,表明对受影响 Canon 产品的用
继续阅读【漏洞通告】Vite 任意文件读取漏洞(CVE-2025-31125)
【漏洞通告】Vite 任意文件读取漏洞(CVE-2025-31125) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-01 17:11 漏洞名称: Vite 任意文件读取漏洞(CVE-2025-31125) 组件名称: Vite 影响范围: Vite ≤ 4.5.10 5.0.0 ≤ Vite ≤ 5.4.15 6.0.0 ≤ Vite ≤ 6.0.12 6.1.0 ≤ Vite ≤
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-31125)安全风险通告
【已复现】Vite 任意文件读取漏洞(CVE-2025-31125)安全风险通告 奇安信 CERT 2025-04-01 15:11 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-13137,CVE-2025-31125 公开时间 2025-03-31 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读【原创0day】Vite 任意文件读取漏洞(CVE-2025-31125)
【原创0day】Vite 任意文件读取漏洞(CVE-2025-31125) 长亭安全应急响应中心 2025-04-01 15:02 Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。2025 年 3 月,长亭安全研究员发现一个 Vite 任意文件读取漏洞,并第一时间向监管单位报送了漏洞
继续阅读漏洞预警 | Kubernetes Ingress-NGINX Controller 存在未授权远程代码执行漏洞
漏洞预警 | Kubernetes Ingress-NGINX Controller 存在未授权远程代码执行漏洞 原创 烽火台实验室 Beacon Tower Lab 2025-04-01 13:10 1 漏洞概述 漏洞类型 远程代码执行 漏洞等级 高 漏洞编号 CVE-2025-1974 漏洞评分 9.8 利用复杂度 低 影响版本 Ingress-Nginx 在 v1.11.5、v1.12.1
继续阅读CNCERT:关于Google Chrome存在沙箱逃逸漏洞的安全公告
CNCERT:关于Google Chrome存在沙箱逃逸漏洞的安全公告 安全内参 2025-03-31 18:16 安全公告编号: CNTA-2025-0005 2025年3月28日,国家信息安全漏洞共享平台(CNVD)收录了Google Chrome沙箱逃逸漏洞(CNVD-2025-06046,对应CVE-2025-2783)。攻击者利用该漏洞可远程绕过Chrome的沙箱保护机制,造成信息泄露
继续阅读【已复现】CrushFTP 身份验证绕过漏洞(CVE-2025-2825)安全风险通告
【已复现】CrushFTP 身份验证绕过漏洞(CVE-2025-2825)安全风险通告 奇安信 CERT 2025-03-31 11:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 CrushFTP 身份验证绕过漏洞 漏洞编号 QVD-2025-12327,CVE-2025-2825 公开时间 2025-03-26 影响量级 万级 奇安信评级 高危 CVSS 3.1分数
继续阅读关于Google Chrome存在沙箱逃逸漏洞的安全公告
关于Google Chrome存在沙箱逃逸漏洞的安全公告 原创 CNVD CNVD漏洞平台 2025-03-31 10:28 安全公告编号: CNTA-2025-0005 2025年3月28日,国家信息安全漏洞共享平台(CNVD)收录了Google Chrome沙箱逃逸漏洞(CNVD-2025-06046,对应CVE-2025-2783)。攻击者利用该漏洞可远程绕过Chrome的沙箱保护机制,造成
继续阅读CVE-2025-24071|Windows 文件资源管理器欺骗漏洞(POC)
CVE-2025-24071|Windows 文件资源管理器欺骗漏洞(POC) alicy 信安百科 2025-03-30 18:00 0x00 前言 Windows 文件资源管理器(File Explorer)是Windows操作系统的核心组件,主要用于浏览、管理和操作本地及网络文件、文件夹、驱动器等资源。它提供直观的图形化界面,支持文件创建、复制、移动、删除、重命名等基础操作,同时集成网络共享
继续阅读Vite 任意文件读取 CVE-2025-30208
Vite 任意文件读取 CVE-2025-30208 YuanQiu安全 2025-03-29 21:16 免责声明 由于传播、 本公众号 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任! 一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即删除并致歉,谢谢! 一、前言 1. 漏洞简介 Vite 是一个现代化的前端构建工具,旨在提供快速的开
继续阅读VulnHub靶场之DC-3超详细Joomla漏洞命令提权和系统内核漏洞提权
VulnHub靶场之DC-3超详细Joomla漏洞命令提权和系统内核漏洞提权 原创 Cauchy Cauchy网安 2025-03-29 16:05 靶场的搭建 设备:vm虚拟机,靶场的镜像,kali 靶场的镜像我已经放在下面的迅雷网盘里,因为文件比较大,用迅雷下载快一点,解压后直接用vm打开就好,但是会出现一些问题需要配置一些信息: 分享文件:DC-3-2.zip 链接:https://pan.
继续阅读CVE-2025-30208,资产巨多(中国域名资产:12635+),附POC+批量检测脚本
CVE-2025-30208,资产巨多(中国域名资产:12635+),附POC+批量检测脚本 原创 尘佑不尘 泷羽Sec-尘宇安全 2025-03-29 13:32 前言 这个CVE-2025-30208资产真的巨多,而且出货量也高。 几天前的晚上,我就全部跑了一遍了,导出了12635条中国域名资产,总共大概跑了9000多条,出了大概快3000了,出货量很高,详情请看下文 往期推荐 oscp+:简
继续阅读审计技巧 | TP框架的系统如何快速高效挖掘漏洞
审计技巧 | TP框架的系统如何快速高效挖掘漏洞 WK安全 2025-03-29 10:46 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 我们系统整理了PHP的审计技巧及ThinkPHP框架的审计技巧。通过对这些文章的深入研究,结合其他权威资源,我们提取了一系列实用的代码审计方法和技巧,旨在帮助安全研究人员和开发者更有效地发现和修复PHP及ThinkPHP应用中的安全漏洞。 0x01
继续阅读CVE-2025-30208-Vite任意文件读取漏洞服批量漏洞扫描
CVE-2025-30208-Vite任意文件读取漏洞服批量漏洞扫描 原创 泷羽Sec-track 泷羽Sec-track 2025-03-29 10:37 声明!本公众号及团队所做的文章及工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!! 漏洞信息 CVE-2025-30208是Vite开发服务器 中存在的一个高危逻辑漏洞,允许攻击者通过构造特
继续阅读SAP_EEM_CVE-2020-6207-PoC
SAP_EEM_CVE-2020-6207-PoC 骇客安全 骇客安全 2025-03-28 21:56 SAP_EEM_CVE-2020-6207 PoC SAP Solution Manager是德国思爱普(SAP)公司的一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。该平台可以帮助客户建立SAP解决方案的生命周期管理,并提供系统监控、远程支持服务和SAP
继续阅读【漏洞预警】Microsoft Windows文件资源管理器欺骗漏洞(CVE-2025-24071)
【漏洞预警】Microsoft Windows文件资源管理器欺骗漏洞(CVE-2025-24071) cexlife 飓风网络安全 2025-03-28 18:55 漏洞描述: Windows文件资源管理器(File Explorer)是Windows操作系统中用于浏览、管理和操作文件和文件夹的核心工具。它提供直观的界面,支持文件的创建、复制、移动、删除、重命名以及访问网络共享和外部设备。用户可以
继续阅读