漏洞预警 | Redis拒绝服务漏洞
漏洞预警 | Redis拒绝服务漏洞 浅安 浅安安全 2025-04-26 00:00 0x00 漏洞编号 – # CVE-2025-21605 0x01 危险等级 – 高危 0x02 漏洞概述 Redis是一个持久存在于磁盘上的内存数据库。数据模型是键值对,但支持许多不同类型的值:字符串、列表、集合、有序集合、哈希、流、HyperLogLogs、位图。 0x03 漏洞详情
继续阅读标签: POC
【复现】金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告
【复现】金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告 赛博昆仑CERT 2025-04-25 14:38 赛博昆仑漏洞 安全风险通告 金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告 漏洞描述 金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款企业级中间件,全面支持JakartaEE规范,提供Web、EJB、WebService容器,适配国产软硬
继续阅读【成功复现】Langflow框架远程命令执行漏洞(CVE-2025-3248)
【成功复现】Langflow框架远程命令执行漏洞(CVE-2025-3248) 原创 弥天安全实验室 弥天安全实验室 2025-04-25 13:39 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Langflow是Langflow开源的一个用于构建多代理和 RAG 应用程序的可视化框架。是一个面向开发者
继续阅读最新版 ThinkPHP (8.1.2) 反序列化漏洞挖掘
最新版 ThinkPHP (8.1.2) 反序列化漏洞挖掘 原创 Heihu577 Heihu Share 2025-04-25 12:53 最新版 ThinkPHP (8.1.2) 反序列化漏洞挖掘 前言 很久没分析过PHP 了, 最近ThinkPHP 8 又更新了最新版本 (1月14号), 当然在这里进行一个反序列化漏洞挖掘. 其链路后半部分耦合性较高. 挖掘过程略显复杂. 声明:文中涉及到的
继续阅读尽快更新Redis,最新漏洞可导致服务器遭受拒绝服务攻击(CVE-2025-21605)
尽快更新Redis,最新漏洞可导致服务器遭受拒绝服务攻击(CVE-2025-21605) 原创 a1batr0ss 天翁安全 2025-04-25 10:15 漏洞背景 Redis是一款广泛使用的开源内存数据库,支持持久化存储。Redis因其高性能、灵活性和广泛的应用场景而受到众多企业和开发者的青睐。随着其使用范围不断扩大,其安全性也受到越来越多的关注。 2025年4月23日,Redis官方发布了
继续阅读Top 10 漏洞不懂?这还不手拿把掐吗?
Top 10 漏洞不懂?这还不手拿把掐吗? 点击关注👉 马哥网络安全 2025-04-25 09:01 1. SQL注入(SQL Injection) 段子 : HR:你叫什么名字? 程序员:’; DROP TABLE 员工表; — HR:你被录用了!(然后公司数据库消失了) 技术原理 : – 攻击者通过输入恶意SQL代码,欺骗数据库执行非法操作(比如删库、窃取
继续阅读漏洞预警 | 金和OA文件任意文件上传漏洞
漏洞预警 | 金和OA文件任意文件上传漏洞 原创 C4团队运营 C4安全团队 2025-04-25 08:11 0x00 漏洞编号 – # CNVD-2024-22977 0x01 危险等级 – 高危 0x02 漏洞概述 金和OA系统 产品C6协同管理平台,是一个涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围的
继续阅读时空智友 企业流程化管控系统 indexService.notice SQL注入漏洞
时空智友 企业流程化管控系统 indexService.notice SQL注入漏洞 Superhero Nday Poc 2025-04-25 06:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 时
继续阅读【漏洞通告】Commvault 远程代码执行漏洞(CVE-2025-34028)
【漏洞通告】Commvault 远程代码执行漏洞(CVE-2025-34028) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-25 06:33 漏洞名称: Commvault 远程代码执行漏洞(CVE-2025-34028) 组件名称: Commvault-WebServer 影响范围: 11.38.0 ≤ Commvault < 11.38.20 漏洞类型: 绕过认证 利用条
继续阅读【漏洞通告】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞安全风险通告
【漏洞通告】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞安全风险通告 嘉诚安全 2025-04-25 06:28 漏洞背景 近日,嘉诚安全 监测到 金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞。 金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款企业级中间件,全面支持JakartaEE规范,提供Web、EJB、WebService容器,适配国
继续阅读【红队】JNDIExploit 改进版
【红队】JNDIExploit 改进版 pap1rman 贝雷帽SEC 2025-04-25 05:24 免责声明 本公众号所提供的文字和信息仅供学习和研究使用, 请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任 。 工具来自网络,安全性自测,如有侵权请联系删除。 工具介绍 对原版JNDIExploit进行修改增加内存马模块和本地序列
继续阅读【在野利用】SAP NetWeaver MetadataUploader 文件上传漏洞(CVE-2025-31324)
【在野利用】SAP NetWeaver MetadataUploader 文件上传漏洞(CVE-2025-31324) sec0nd安全 2025-04-25 04:44 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 SAP NetWeaver是SAP的集成技术平台,是自从SAP Business Suite以来的所有SAP应用的技术基础。SAP NetWeaver是一个面向服务的应
继续阅读漏洞预警 福建科X讯通信有限公司指挥调度 命令执行 send_fax.php
漏洞预警 福建科X讯通信有限公司指挥调度 命令执行 send_fax.php by 融云安全-cas 融云攻防实验室 2025-04-25 02:23 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果
继续阅读“脚本小子”-之恶意poc投毒事件
“脚本小子”-之恶意poc投毒事件 实战安全研究 2025-04-25 02:01 前言 最经看见一个国外小哥的文章,觉得写的挺好的,但是可能很少人刷到,所以就有了这篇文章,希望能够把每个点都按照自己的理解讲的明明白白,看过之后同时也提醒大家对于网上的poc以及exp,还有一些工具一定要保持严谨仔细的态度,可能一个不小心你的电脑就中招了,是个人pc还好,如果是公司服务器啥的那造成的影响可就不小。
继续阅读Lazarus APT 利用1day漏洞攻击韩国目标
Lazarus APT 利用1day漏洞攻击韩国目标 会杀毒的单反狗 军哥网络安全读报 2025-04-25 01:00 导读 臭名昭著的 Lazarus APT组织最近发起一场网络间谍活动,被追踪为“Operation SyncHole”,自 2024 年 11 月以来,已危害至少六个韩国机构,涉及软件、IT、金融、半导体和电信领域。 根据详细研究,攻击者采用了水坑攻击和利用韩国广泛使用的软件(
继续阅读漏洞预警 | 信呼OA SQL注入漏洞
漏洞预警 | 信呼OA SQL注入漏洞 浅安 浅安安全 2025-04-25 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 信呼OA是一款免费开源的办公OA系统,包括APP,pc上客户端,REIM即时通信,服务端等。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 信呼OA的/xhoa/api.ph
继续阅读漏洞预警 | Netgear信息泄露漏洞
漏洞预警 | Netgear信息泄露漏洞 浅安 浅安安全 2025-04-25 00:01 0x00 漏洞编号 – # CVE-2024-30569 CVE-2024-30570 0x01 危险等级 – 中危 0x02 漏洞概述 Netgear R6850是美国网件公司推出的一款家用无线路由器的具体型号。 0x03 漏洞详情 CVE-2024-30569 漏洞类型: 信息
继续阅读漏洞预警 | 金盘移动图书馆系统信息泄露漏洞
漏洞预警 | 金盘移动图书馆系统信息泄露漏洞 浅安 浅安安全 2025-04-25 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 金盘移动图书馆管理系统是集掌上门户,掌上APP,微信平台为一体的移动服务解决方案,在移动智能时代拉近读者与图书馆之间的距离。 0x03 漏洞详情 漏洞类型: 信息泄露 影响: 获取敏感信息****
继续阅读AI基础设施安全评估系统|漏洞探测
AI基础设施安全评估系统|漏洞探测 Tencent 渗透安全HackTwo 2025-04-24 16:00 0x01 工具介绍 AI Infra Guard(AI Infrastructure Guard) 是一个高效、轻量、易用的AI基础设施安全评估工具,专为发现和检测AI系统潜在安全风险而设计。注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo”设为
继续阅读EnGenius路由器usbinteract.cgi接口存在远程命令漏洞 附POC
EnGenius路由器usbinteract.cgi接口存在远程命令漏洞 附POC 2025-4-24更新 南风漏洞复现文库 2025-04-24 15:20 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. EnGenius路由器简介
继续阅读Rust 中的等待线程劫持。特别感谢 @hasherezade 为了出色的 PoC
Rust 中的等待线程劫持。特别感谢 @hasherezade 为了出色的 PoC Ots安全 2025-04-24 13:39 等待线程劫持技术是一种隐秘的进程注入方法,它会劫持目标进程中的等待线程来执行 Shellcode。它通过操纵线程的返回地址来规避 SuspendThread 或 SetThrea dContext 等常见的检测触发器。阅读本文了解更多信息 https://researc
继续阅读PoC | Commvault 远程代码执行 CVE-2025-34028(9.0)
PoC | Commvault 远程代码执行 CVE-2025-34028(9.0) 独眼情报 2025-04-24 11:14 Commvault它是什么? Commvault 自称是数据保护或网络弹性解决方案;撇开花哨的词语不谈,产品市场评论网站将 Commvault 归类为企业备份和复制套件。这种读取能力告诉我们,Commvault 提供了集成并支持广泛的技术,包括云提供商、数据库、SOAR
继续阅读【原创0day】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞(NVDB-CITIVD-2025865374)
【原创0day】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞(NVDB-CITIVD-2025865374) 长亭安全应急响应中心 2025-04-24 10:10 金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款企业级中间件,全面支持JakartaEE规范,提供Web、EJB、WebService容器,适配国产软硬件,用于支撑企业级应用运行。2
继续阅读【AI风险通告】NVIDIA NeMo存在多个高危漏洞
【AI风险通告】NVIDIA NeMo存在多个高危漏洞 安恒研究院 安恒信息CERT 2025-04-24 10:00 漏洞公告 近 日,安恒信息CERT监测到NVIDIA NeMo存在多个高危漏洞,漏洞(CVE-2025-23249)攻击者可通过远程代码执行导致反序列化不受信任的数据;攻击者可以利用漏洞(CVE-2025-23250)通过任意文件写入将文件路径不当限制到受限目录;漏洞(CVE-2
继续阅读【漏洞通告】PyTorch 远程命令执行漏洞(CVE-2025-32434)
【漏洞通告】PyTorch 远程命令执行漏洞(CVE-2025-32434) 启明星辰安全简讯 2025-04-24 08:41 一、漏洞概述 漏洞名称 PyTorch 远程命令执行漏洞 CVE ID CVE-2025-32434 漏洞类型 命令执行 发现时间 2025-04-24 漏洞评分 9.3 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交互 不需要 PoC/EXP 未公
继续阅读漏洞预警 Netxxxx 日志审计 hostdelay.php 命令注入漏洞
漏洞预警 Netxxxx 日志审计 hostdelay.php 命令注入漏洞 by 融云安全-cas 融云攻防实验室 2025-04-24 07:12 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果
继续阅读大模型10大网络安全威胁及防范策略 | ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序
大模型10大网络安全威胁及防范策略 | ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序 e安在线 e安在线 2025-04-24 05:05 大模型10大网络安全威胁及防范策略 OWASP发布的《大语言模型人工智能应用Top10安全威胁2025》,大语言模型人工智能应用中存在的十大安全风险,相比2023版有一些变化, 10大安全威胁如下: 1、提示词注入:用户通过特殊输入改变模型
继续阅读SpEL 表达式注入漏洞
SpEL 表达式注入漏洞 原创 信安魔方 锐鉴安全 2025-04-24 04:45 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 请大家关注公众号支持,不定期有宠粉福利 Part-01 基础 知识 Spring 表达式语言(Spring Expression Language,SpEL
继续阅读Pega Infinity – 绕过身份验证[CVE-2021-27651]
Pega Infinity – 绕过身份验证[CVE-2021-27651] _7ingLian 偏远酒馆 2025-04-24 03:36 CVE-2021-27651 免责声明 我们发布的内容仅作为测试和学习交流,禁止用于未授权场景。任何人不得将其用于非法目的。我方对于阅读本文技术引起的法律责任概不负责。 —>漏洞描述 Pega Infinity 版本8.2.1到
继续阅读EnGenius usbinteract.cgi 未授权远程命令执行
EnGenius usbinteract.cgi 未授权远程命令执行 Superhero Nday Poc 2025-04-24 02:23 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 EnGenius
继续阅读