Windows Server 2025 “BadSuccessor”漏洞可导致域控接管(PoC已公开,暂无补丁)
Windows Server 2025 “BadSuccessor”漏洞可导致域控接管(PoC已公开,暂无补丁) 信息安全大事件 2025-05-28 10:01 漏洞概述 Windows Server 2025操作系统中新发现的”BadSuccessor”安全漏洞(CVE编号待分配)允许攻击者完全接管Active Directory(活动目录)域控
继续阅读标签: POC
CVE-2025-21298零点击漏洞深度解析
CVE-2025-21298零点击漏洞深度解析 云梦DC 云梦安全 2025-05-28 06:05 一、漏洞概述 CVE-2025-21298 是微软 Windows OLE(对象链接与嵌入)组件中的超危漏洞(CVSS 9.8),允许攻击者通过特制RTF文件(如钓鱼邮件附件)实现零点击远程代码执行(RCE)。用户仅需预览邮件或打开文件,即可触发漏洞,导致系统崩
继续阅读Vite开发服务器任意文件读取(CVE-2025-30208)
Vite开发服务器任意文件读取(CVE-2025-30208) 云梦DC 云梦安全 2025-05-28 06:05 一、漏洞概述 CVE-2025-30208 是 Vite 开发服务器(Dev Server)中曝出的超危漏洞(CVSS 评分9.8),允许攻击者通过构造特殊 URL 参数,绕过文件访问限制,直接读取服务器任意文件(如 /etc/passwd、/tmp/secre
继续阅读“开盒”,坚决打击!| Windows Server 2025 “BadSuccessor” 漏洞曝光,可导致域控接管
“开盒”,坚决打击!| Windows Server 2025 “BadSuccessor” 漏洞曝光,可导致域控接管 e安在线 e安在线 2025-05-28 04:12 “开盒”,坚决打击! 中央网信办部署进一步加强“开盒”问题整治工作 近日,中央网信办专门印发通知,从阻断“开盒”信息传播、完善预警机制、加大惩治力度、优化保护措施、加强宣传引导等多个维度明确工作要求,督
继续阅读实战EDUSRC挖掘|微信小程序渗透漏洞及getshell复盘
实战EDUSRC挖掘|微信小程序渗透漏洞及getshell复盘 不秃头的安全 2025-05-28 04:09 微信小程序渗透漏洞及getshell复盘 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。还在学怎么挖通用漏洞和src吗?知识星球有什么,续费也有优惠私聊~~想要入交流群在最下方,考安全证书请联系vx咨询。 0x1
继续阅读InvisionCommunity 远程代码执行漏洞 (CVE-2025-47916)
InvisionCommunity 远程代码执行漏洞 (CVE-2025-47916) Superhero Nday Poc 2025-05-28 03:02 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述
继续阅读通达OA OfficeTask前台RCE、SQL注入漏洞分析
通达OA OfficeTask前台RCE、SQL注入漏洞分析 原创 烽火台实验室 Beacon Tower Lab 2025-05-28 02:55 一、漏洞概述 注:本文仅以安全研究为目的,分享对该漏洞的挖掘过程,文中涉及的所有漏洞均已报送给国家单位,请勿用做非法用途。 通达OA是国内常用的智能办公系统,为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析
继续阅读渗透测试 | 分享某次项目上的渗透测试漏洞复盘
渗透测试 | 分享某次项目上的渗透测试漏洞复盘 原创 神农Sec 神农Sec 2025-05-28 02:06 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠券)。 文章作者: 一个想当文人的黑客 文章来源: h
继续阅读国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞
国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞 汇能云安全 2025-05-28 01:42 5月28日,星期三,您好!中科汇能与您分享信息安全快讯: 01 Zimbra协作套件XSS漏洞被武器化,影响全球超12.9万服务器 Zimbra协作套件(ZCS)近日被发现存在一个严重安全漏洞(CVE-2024-27443),该漏洞已被列入CISA已知被利用漏洞(KEV)目录,并疑似被黑客组织S
继续阅读【DDDD二开】修复bug 新增指纹poc 新增功能
【DDDD二开】修复bug 新增指纹poc 新增功能 凯撒安全实验室 2025-05-28 00:52 Sfd3n安全 背景 随着近年来网络攻防演练规模的持续扩大与实战化要求的不断提升,信息收集以及漏洞扫描依赖多个工具等需要手动执行,效率略低,在此背景下,由SleepingBag945师傅开发的dddd工具凭借其高效的信息收集、精准的指纹识别及灵活的漏洞探测能力应运而生,然而随着2024年6月后项
继续阅读漏洞预警 | 智慧校园(安校易)管理系统SQL注入漏洞
漏洞预警 | 智慧校园(安校易)管理系统SQL注入漏洞 浅安 浅安安全 2025-05-28 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 “安校易”是银达云创公司基于多年教育市场信息化建设经验沉淀,经过充分的客户需求调研,并依据国家”十三五”教育信息化建设规范而推出的综合互联网+教育信息
继续阅读漏洞预警 | FoxCMS SQL注入漏洞
漏洞预警 | FoxCMS SQL注入漏洞 浅安 浅安安全 2025-05-28 00:00 0x00 漏洞编号 – # CVE-2025-5155 0x01 危险等级 – 中危 0x02 漏洞概述 FoxCMS是一款采用PHP+MySQL架构、可免费商用且开源的内容管理系统,内置多种企业常用内容模型,具备丰富模板标签、强大SEO和伪静态优化机制,还支持多语言等功能,能助力
继续阅读漏洞预警 | 用友U8Cloud任意文件读取漏洞
漏洞预警 | 用友U8Cloud任意文件读取漏洞 浅安 浅安安全 2025-05-28 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 用友U8Cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取敏感信息 简述: 用友U8
继续阅读CVE-2024-45436:Ollama ZIP文件解压导致的命令执行漏洞
CVE-2024-45436:Ollama ZIP文件解压导致的命令执行漏洞 姓*户 七芒星实验室 2025-05-27 23:01 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 文章作者:先知社区( 姓*户 ) 文章来源: https:
继续阅读Panalog大数据日志审计系统sprog_upstatus.php存在SQL注入漏洞 附POC
Panalog大数据日志审计系统sprog_upstatus.php存在SQL注入漏洞 附POC 2025-5-27更新 南风漏洞复现文库 2025-05-27 15:37 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Panalog
继续阅读Windows Server 2025 “BadSuccessor” 漏洞曝光,可导致域控接管
Windows Server 2025 “BadSuccessor” 漏洞曝光,可导致域控接管 FreeBuf FreeBuf 2025-05-27 11:57 Part01 漏洞概述 Windows Server 2025操作系统中新发现的”BadSuccessor”安全漏洞(CVE编号待分配)允许攻击者完全接管Active Directory(活
继续阅读Mesh Wi-Fi存在CVSS 9.1分高危漏洞,设计缺陷可被用于数据帧注入攻击
Mesh Wi-Fi存在CVSS 9.1分高危漏洞,设计缺陷可被用于数据帧注入攻击 FreeBuf FreeBuf 2025-05-27 11:57 Part01 漏洞概述 研究人员发现主流Mesh Wi-Fi系统中存在一个关键设计缺陷(CVSS评分9.1),攻击者可利用该漏洞实施A-MSDU(聚合MAC服务数据单元)欺骗攻击,实现无线数据帧注入。目前已有概念验证(PoC)代码公开。 Part02
继续阅读Apache Tomcat 允许远程执行代码漏洞
Apache Tomcat 允许远程执行代码漏洞 网安百色 2025-05-27 11:32 Apache Tomcat 中的一个关键路径等效漏洞(称为 CVE-2025-24813)在概念验证漏洞利用代码公开发布后被广泛利用。 该漏洞于 2025 年 3 月 10 日披露,允许在特定服务器配置下执行未经身份验证的远程代码,并影响全球数百万个基于 Java 的 Web 应用程序。 安全研究人员在漏
继续阅读记某众测Fastjson<=1.2.68反序列化RCE过程
记某众测Fastjson<=1.2.68反序列化RCE过程 脚*猪 亿人安全 2025-05-27 09:30 原文首发在:先知社区 https://xz.aliyun.com/news/17489 前言 在某次众测过程中使用搜索引擎找到某单位部署的旁站,通过前端JS信息分析找到一处ssrf漏洞。在ssrf测试时根据提示信息得到服务端接收的数据格式为json格式,再通过构造json报错语句时
继续阅读量子计算破解RSA加密难度降低20倍,后量子密码学迫在眉睫;国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞 | 牛览
量子计算破解RSA加密难度降低20倍,后量子密码学迫在眉睫;国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞 | 牛览 安全牛 2025-05-27 08:54 新闻速览 •国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞 •国家互联网应急中心提醒防范 “游蛇”黑产攻击活动的风险 •量子计算破解RSA加密难度降低20倍,后量子密码学迫在眉睫 •SilverRAT远控木马源代码泄露,
继续阅读【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防
【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 原创 solarsec solar应急响应团队 2025-05-27 06:50 1.引言 在现代操作系统中,文件资源管理器(File Explorer)不仅是用户交互的核心组件,也是系统自动处理文件元数据的关键模块。2025年3月披露的 CVE-2025-24071 漏洞揭示了该组件在处理 .library-ms
继续阅读WordPress Madara 本地文件包含漏洞 (CVE-2025-4524)
WordPress Madara 本地文件包含漏洞 (CVE-2025-4524) Superhero Nday Poc 2025-05-27 06:48 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 适用
继续阅读全新下一代目录爆破扫描工具,一个全方位的目录爆破的解决方案|漏洞探测
全新下一代目录爆破扫描工具,一个全方位的目录爆破的解决方案|漏洞探测 M09Ic 渗透安全HackTwo 2025-05-26 16:00 0x01 工具介绍 spray 是一个非常强大的安全扫描工具,主要用来收集信息、进行爆破攻击、扫描目录和挖掘漏洞。它可以通过字典和规则生成来进行爆破,并且内置了智能过滤功能,可以帮助快速检测一些常见的安全问题。还可以自定义请求、使用断点续传功能、以及做递归扫描
继续阅读618 领券 | 稍后读软件 Pocket 即将关闭,这个更强的工具能担起重任!
618 领券 | 稍后读软件 Pocket 即将关闭,这个更强的工具能担起重任! 网络空间信息安全学习 2025-05-26 13:02 前两天 浏览器 Firefox 母公司, Mozilla 旗下的 稍后阅读产品 Pocket 宣布, 将于 2025 年 7 月 8 日关闭服务。 作为 2007 年就发布的老牌稍后读工具, Pocket 可能是很多朋友用过的第一款类似软件,现在也成
继续阅读【漏洞预警】Grafana未授权跨站点脚本攻击xss和SSRF漏洞(CVE-2025-4123)
【漏洞预警】Grafana未授权跨站点脚本攻击xss和SSRF漏洞(CVE-2025-4123) PokerSec PokerSec 2025-05-26 11:11 先关注,不迷路. 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞介绍
继续阅读OpenAI大语言模型漏洞挖掘
OpenAI大语言模型漏洞挖掘 点击关注→ 智探AI应用 2025-05-26 10:15 该事件引发了业内广泛关注,标志着AI在漏洞挖掘领域的实用能力正从理论走向现实。 来源|安全客 以下为全文 近日,一个编号为CVE-2025-37899的Linux内核0Day漏洞被披露。不同于传统由人类安全研究员或自动化工具挖掘,本次漏洞的发现者是OpenAI最新发布的大语言模型ChatGPT o3。该事件
继续阅读安全热点周报:Ivanti EPMM 远程代码执行漏洞已被利用于有限的攻击中
安全热点周报:Ivanti EPMM 远程代码执行漏洞已被利用于有限的攻击中 奇安信 CERT 2025-05-26 09:45 安全资讯导视 • 零售巨头马莎百货因勒索攻击运营中断数月,预计损失近30亿元 • 超1.84亿条账号密码泄露,涉苹果、谷歌、小米等众多知名公司 • 国内一打印机品牌官方软件感染窃密木马超半年 PART01 新增在野利用 1.MagicINFO 任意文件上传漏洞(CVE
继续阅读漏洞通告 | Grafana 开放重定向与服务端请求伪造漏洞
漏洞通告 | Grafana 开放重定向与服务端请求伪造漏洞 原创 微步情报局 微步在线研究响应中心 2025-05-26 09:01 漏洞概况 Grafana 是一个开源分析平台,用于可视化来自 Prometheus 和 InfluxDB 等来源的数据。 微步情报局获取到Grafana 开放重定向与服务端请求伪造漏洞情报(CVE-2025-4123、CNNVD-202505-3274)。该漏洞由
继续阅读Pichome 任意文件读取漏洞 (CVE-2025-1743)
Pichome 任意文件读取漏洞 (CVE-2025-1743) Superhero Nday Poc 2025-05-26 07:56 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 Pichome ind
继续阅读AI首次独立发现Linux内核可利用0Day漏洞
AI首次独立发现Linux内核可利用0Day漏洞 安全客 2025-05-26 06:45 近日,一个编号为CVE-2025-37899 的Linux内核0Day漏洞 被披露。不同于传统由人类安全研究员或自动化工具挖掘,本次漏洞的发现者是OpenAI 最新发布的大语言模型ChatGPT o3 。该事件引发了业内广泛关注,标志着AI在漏洞挖掘领域的实用能力正从理论走向现实 。 漏洞概述 CVE-20
继续阅读