AboutSSRF一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测插件 hnking-star 渗透安全HackTwo 2025-05-21 16:01 0x01 工具介绍SSRF_Detector是一款基于Burpsuite MontoyaAPI的黑盒SSRF漏洞自动化检测工具,用于检测无回显&全回显SSRF漏洞,提供了多种功能供用户自定义,包括但不限于关键字
继续阅读SpringBlade api/blade-system/menu/list接口存在SQL注入漏洞 附POC 2025-5-21更新 南风漏洞复现文库 2025-05-21 15:10 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. S
继续阅读突破限制模式:Visual Studio Code 中的 XSS 到 RCE Ots安全 2025-05-21 11:19 2024 年 4 月,我发现了 Visual Studio Code(VS Code <= 1.89.1)中一个高严重性漏洞,该漏洞允许攻击者将跨站点脚本 (XSS) 漏洞升级为完全远程代码执行 (RCE)——即使在受限模式下也是如此。 桌面版 Visual Studi
继续阅读【漏洞预警】全球数万设备受影响!Clash用户小心:暴露Web控制端口=门户大开! 原创 Gobybot GobySec 2025-05-21 10:58 近日,Goby安全研究团队发现Clash verge 两个RCE漏洞:4月28日,Clash verge RCE漏洞:此漏洞需要本地提权触发,官方告知广大用户无需过渡恐慌。5月19日,Clash verge RCE漏洞:攻击者通过该漏洞构造恶意
继续阅读【AI风险通告】vLLM存在远程代码执行漏洞(CVE-2025-47277) 安恒研究院 安恒信息CERT 2025-05-21 10:15 漏洞概述 漏洞名称 vLLM存在远程代码执行漏洞(CVE-2025-47277) 安恒CERT评级 1级 CVSS3.1评分 9.8(安恒自评) CVE编号 CVE-2025-47277 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-
继续阅读【漏洞处置SOP】飞致云DataEase未授权访问控制不当漏洞(CVE-2024-30269) 原创 just4fun 方桥安全漏洞防治中心 2025-05-21 10:02 01 SOP基本信息 SOP名称:飞致云DataEase未授权访问控制不当漏洞(CVE-2024-30269)处置标准作业程序(SOP) 版本: 1.0 发布日期: 2025-04-09 作者:just4fun 审核人: T
继续阅读Redis 漏洞分析——lua 脚本篇 fuxxcss 看雪学苑 2025-05-21 09:59 Redis是一个开源的高性能内存数据库,并且开启了安全策略,针对7.4.x、7.2.x和6.2.x及以上版本的Redis漏洞进行公开披露[1]。 《Redis漏洞分析》对其中的Moderate、High级别漏洞进行分析,同时根据Redis的攻击面进行分篇,本篇是lua脚本篇。 分析流程 对Redis
继续阅读漏洞速递 | CVE-2025-0868 RCE漏洞(附EXP) 原创 Xiao 渗透Xiao白帽 2025-05-21 04:04 0x01 前言 DocsGPT 中存在导致远程代码执行 (RCE) 的漏洞。由于使用 eval() 对 JSON 数据进行解析不当,未经授权的攻击者可发送任意 Python 代码以通过 /api/remote 端点执行 。 0x02 漏洞等级 高危 0x03 漏洞影
继续阅读美特CRM upload3.jsp 任意文件上传漏洞 Superhero Nday Poc 2025-05-21 02:49 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 美特CRM /common/jsp
继续阅读漏洞预警 美特CRM mcc_login.jsp SQL注入漏洞 by 融云安全-cas 融云攻防实验室 2025-05-21 01:55 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由
继续阅读漏洞预警 | 力软敏捷开发框架远程代码执行漏洞 浅安 浅安安全 2025-05-21 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 力软敏捷开发框架是一套基于智能化可扩展组件式的软件系统项目,采用当前主流开发技术,内置多种组件,适合企业管理软件和互联网平台后台系统开发,能帮助开发者快速构建高质量信息系统。 0x03 漏洞详情
继续阅读漏洞预警 | NetMizer日志管理系统SQL注入漏洞 浅安 浅安安全 2025-05-21 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 NetMizer日志管理系统是一款可以记录流经设备的所有会话日志并将其传送到外部的管理中心上的系统。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: NetM
继续阅读漏洞预警 | Optilink管理系统注入漏洞 浅安 浅安安全 2025-05-21 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 Optilink管理系统是一款基于现代通信技术,用于对不同领域的设备、生产流程或环境进行实时监控、数据可视化以及远程控制,以实现优化管理和提高效率等功能的软件系统。 0x03 漏洞详情 漏洞类型
继续阅读BurpAPI越权漏洞检测工具|漏洞探测 shuanx 渗透安全HackTwo 2025-05-20 16:00 0x01 工具介绍 BurpAPIFinder 是一款用于攻防演练的Burp Suite插件,旨在帮助安全研究人员发现网站中未授权访问、敏感信息泄露和越权漏洞。它可以提取网站的URL,解析JS文件中的链接,识别敏感信息,如账户、密码、私钥等。支持自定义敏感关键词和路径,集成多种敏感信息
继续阅读漏洞速递 | CVE-2025-29927漏洞(附EXP) 渗透Xiao白帽 2025-05-20 15:53 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Next.js是Vercel开源的一个 React 框架,Next.js 是一款基于 React 的热门 Web 应用程序框架,提供服务器端渲染、静态
继续阅读【漏洞通告】glibc静态setuid程序dlopen代码执行漏洞 (CVE-2025-4802) 启明星辰安全简讯 2025-05-20 08:38 一、漏洞概述 漏洞名称 glibc静态setuid程序dlopen代码执行漏洞 CVE ID CVE-2025-4802 漏洞类型 代码执行 发现时间 2025-05-20 漏洞评分 9.8 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度
继续阅读EDUSRC | 两个证书站小程序漏洞挖掘思路及方法 zkaq-满心欢喜 掌控安全EDU 2025-05-20 04:02 扫码领资料 获网安教程 本文由掌控安全学院 – 满心欢喜 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn) 一、信息收集思路及技巧 注:这一段信息收集思路及技巧是笔者借鉴我大湘安无事的大佬–沫颜
继续阅读GitHub 坟场又添新魂?‘data-cve-poc’ 这把铁锹想挖啥? 龙哥网络安全 龙哥网络安全 2025-05-20 03:01 GitHub 坟场又添新魂?‘data-cve-poc’ 这把铁锹想挖啥? 得,GitHub 上又冒出来个新玩意儿——‘data-cve-poc’。 号称是把所有 CVE 相关的 PoC 都给扒拉下来了?口气倒是不小。这种聚合型的信息源,对我们这些天天在枪林弹雨
继续阅读漏洞预警 | 飞企互联FE业务协作平台任意文件读取漏洞 浅安 浅安安全 2025-05-20 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 数夫CRM客户关系管理系统是专为家居、家具等制造业深度定制的全流程客户管理平台。 0x03 漏洞详情 漏洞类型: 文件读取 影响: 获取敏感信息**** 简述: 数夫CRM客户关系管理系
继续阅读漏洞预警 | FortiOS TACACS+身份认证绕过漏洞 浅安 浅安安全 2025-05-20 00:00 0x00 漏洞编号 – # CVE-2025-22252 0x01 危险等级 – 高危 0x02 漏洞概述 FortiOS是Fortinet提供的操作系统,用于其安全设备。FortiProxy是FortiOS的一个组件,主要用于代理服务,提供反向代理、Web应用防
继续阅读Clash Verge 1-Click RCE漏洞 原创 ru1n 网络空间威胁观察 2025-05-19 18:51 摘要 危害 用户使用默认配置的Clash Verge时,访问一个恶意网页即可触发本地文件写入攻击,进一步利用各种软件的插件加载机制,即可将文件写入扩展至RCE漏洞。本文以IDA的插件加载机制演示该例 漏洞成因 Clash Verge客户端默认配置下在http://127.0.0.
继续阅读Zyxel USG FLEX H 系列 uOS 1.31 权限提升漏洞 原创 Ots安全 Ots安全 2025-05-19 11:33 今天早上,当我刷到 Exploit Database 的一条推文时,心头不由得一震——Zyxel USG FLEX H 系列防火墙 uOS 1.31 版本竟然爆出了一个本地权限提升漏洞(CVE-2025-1731)!作为一个长期关注网络安全的技术爱好者,我立刻深入
继续阅读推荐一个专为新手打造的漏洞挖掘实战圈 安全渗透感知 FreeBuf知识大陆APP 2025-05-19 11:30 面对挖洞时毫无头绪? 你不是一个人在战斗! 想学习漏洞挖掘,却苦于不知道从哪里开始? 看着师傅们一边提交漏洞一边领赏,你却连个POC都写不出来? 打开各类公开资料,零散又重复,学完感觉自己还是什么都不会? 尝试搭建靶场,环境一堆报错、漏洞复现卡壳,信心受挫? 这不是你的问题——而是缺
继续阅读2025年4月企业必修安全漏洞清单 腾讯安全 2025-05-19 10:15 前言 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,
继续阅读安全热点周报:Fortinet 修复了 FortiVoice 攻击中利用的关键零日漏洞 奇安信 CERT 2025-05-19 09:58 安全资讯导视 • 国务院2025年预备制定网络安全等级保护条例 • 美国最大钢铁公司纽柯因网络攻击被迫停产 • 迪奥中国客户信息遭泄露,官方群发短信通知客户 PART01 漏洞情报 1.Google Chrome跨源数据泄露漏洞安全风险通告 5月15日,奇安
继续阅读WHMCS 7.x 存在恶性漏洞 原创 JunYi 毅心安全 2025-05-19 09:25 WHMCS 7.x 存在恶性漏洞 !! 漏洞安全警告 !! 请各位仍在使用 WHMCS 7.x 版本的商家 尽快更新到 WHMCS 8.3 及以上版本,目前已有部分商家发现了 7.x 版本存在恶性漏洞,该Bug可能会导致被“白嫖”的情况出现,且复现难度极低。 截至 WHMCS 7 最后版本 7.10.3
继续阅读DocsGPT 远程命令执行漏洞 (CVE-2025-0868) Superhero Nday Poc 2025-05-19 08:32 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 DocsGPT 中存在
继续阅读poc | Windows 远程桌面网关 (RD Gateway) CVE-2025-21297介绍 唐天闻 独眼情报 2025-05-19 02:35 文章地址为:https://v-v.space/2025/05/15/CVE-2025-21297/ 已取得大佬转载同意,赛博昆仑的大佬是真滴多啊。 对作者敢兴趣的可以关注大佬的 x ,@vv474172261 时隔多月, 也是时候分享一个RDG
继续阅读漏洞预警 | 金和OA XXE漏洞 浅安 浅安安全 2025-05-19 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。 0x03 漏洞详情 漏洞类型: XXE 影响: 获
继续阅读