rConfig-ajaxEditTemplate.php-后台远程命令执行漏洞
rConfig-ajaxEditTemplate.php-后台远程命令执行漏洞 骇客安全 骇客安全 2025-04-19 16:01 漏洞描述 rConfig ajaxEditTemplate.php 存在后台远程命令执行 漏洞影响 rConfig FOFA app="rConfig" 漏洞复现 漏洞文件为 rconfig/www/lib/ajaxHandlers/ajaxEd
继续阅读标签: POC
CVE-2024-22243 Spring Web UriComponentsBuilder URL 解析不当漏洞分析
CVE-2024-22243 Spring Web UriComponentsBuilder URL 解析不当漏洞分析 船山信安 2025-04-19 16:00 漏洞描述 Spring Framework 是一个开源的 Java 应用程序框架,UriComponentsBuilder 是 Spring Web 中用于构建和操作 URI 的工具类。 受影响版本中,由于 UriComponentsB
继续阅读【漏洞复现】CVE-2025-24071|Windows 文件资源管理器欺骗漏洞
【漏洞复现】CVE-2025-24071|Windows 文件资源管理器欺骗漏洞 sec0nd安全 2025-04-19 12:59 0x00 前言 Window s 文件资源管理器(File Explorer)是Windows操作系统的核心组件,主要用于浏览、管理和操作本地及网络文件、文件夹、驱动器等资源。它提供直观的图形化界面,支持文件创建、复制、移动、删除、重命名等基础操作,同时集成网络共享
继续阅读【安全圈】Windows NTLM 漏洞肆虐,低交互高风险、可提权窃取敏感数据
【安全圈】Windows NTLM 漏洞肆虐,低交互高风险、可提权窃取敏感数据 安全圈 2025-04-19 11:00 关键词 漏洞 科技媒体 bleepingcomputer 昨日(4 月 17 日)发布博文,报道称已有证据表明,黑客利用 Windows 漏洞(CVE-2025-24054),在网络钓鱼活动中,通过 .library-ms 文件诱导用户泄露 NTLM 哈希值,从而绕过身份认证和
继续阅读CVE-2025-27218|Sitecore CMS远程代码执行漏洞
CVE-2025-27218|Sitecore CMS远程代码执行漏洞 alicy 信安百科 2025-04-19 10:00 0x00 前言 Sitecore Experience Platform™ (XP) 是一款基于.NET WebForm技术构建的内容管理系统,可以将客户数据、分析、人工智能与营销自动化功能相结合,在任何渠道上实时提供个性化的内容,从而在客户旅程中与客户建立良好的关系。
继续阅读某短视频矩阵营销系统前台RCE漏洞审计
某短视频矩阵营销系统前台RCE漏洞审计 原创 Swimt 星悦安全 2025-04-19 05:19 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Fofa语句:请见文末 搭建完之后长这样. ThinkPHP框架,需要将目录设置为Public. 这套系统洞挺多的,大家可以研究学习一下 目录结构 控制器全都是简单的eval加密: 0x01 前台任意文件读取+SSRF 在 /applica
继续阅读【漏洞复现】Zyxel NAS设备 setCookie 未授权命令注入漏洞(CVE-2024-29973)
【漏洞复现】Zyxel NAS设备 setCookie 未授权命令注入漏洞(CVE-2024-29973) 骇客安全 2025-04-19 03:40 0x01 产品简介 Zyxel-NAS 是指由 Zyxel Communications Corporation(合勤科技股份有限公司)开发和生产的网络附加存储(Network Attached Storage,简称 NAS)设备。NAS 是一种专
继续阅读IngressNightmare:揭秘CVE-2025-1974 Kubernetes RCE漏洞
IngressNightmare:揭秘CVE-2025-1974 Kubernetes RCE漏洞 原创 mag1c7 山石网科安全技术研究院 2025-04-19 01:00 Kubernetes安全警报:一个漏洞,足以颠覆你的容器帝国! 在云计算和容器化技术日益成熟的今天,Kubernetes作为容器编排的领头羊,其安全性一直是社区关注的焦点。然而,最近发现的一个名为IngressNightm
继续阅读漏洞预警 | Oracle Scripting iSurvey模块远程代码执行漏洞
漏洞预警 | Oracle Scripting iSurvey模块远程代码执行漏洞 浅安 浅安安全 2025-04-19 00:00 0x00 漏洞编号 – # CVE-2025-30727 0x01 危险等级 – 高危 0x02 漏洞概述 Oracle Scripting是Oracle E-Business Suite中的一个组件,用于创建和管理在线调查、表单及动态脚本。
继续阅读漏洞预警 | JieLink+智能终端操作平台SQL注入漏洞
漏洞预警 | JieLink+智能终端操作平台SQL注入漏洞 浅安 浅安安全 2025-04-19 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 捷顺JeLink+智能终端操作平台是捷顺历经多年行业经验积累,集智能硬件技术视频分析技术、互联网技术等多种技术融合,基于B/S架构,实现核心业务处理模型的搭建;基于C/S架构实现岗
继续阅读deepseek分析代码变动推测漏洞
deepseek分析代码变动推测漏洞 原创 进击的hack 进击的HACK 2025-04-18 23:51 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢 ! 文章有疑问的,可以公众号发消息问我,或者留言。我每天都会看的。 字数 447,阅读大约需 3 分钟 前言 日常
继续阅读Windows漏洞CVE-2025-24054被利用,文件下载可致NTLM凭据被盗
Windows漏洞CVE-2025-24054被利用,文件下载可致NTLM凭据被盗 FreeBuf 2025-04-18 12:34 微软上月已发布补丁的 Windows NTLM 哈希泄露漏洞 CVE-2025-24054,近期被威胁分子用于针对波兰和罗马尼亚政府及私营机构的攻击活动。 Check Point 研究人员表示:”自 2025 年 3 月 19 日起已观测到该漏洞的野外活
继续阅读【安全圈】Erlang/OTP SSH 远程代码执行漏洞 PoC 漏洞利用发布
【安全圈】Erlang/OTP SSH 远程代码执行漏洞 PoC 漏洞利用发布 安全圈 2025-04-18 11:01 关键词 安全漏洞 安全业界正面临一场前所未有的挑战——研究人员日前确认Erlang/OTP的SSH实现存在一个可导致远程代码执行的严重漏洞(CVE-2025-32433),该漏洞已被评定为CVSS最高分10.0的危险等级。攻击者无需任何认证即可执行任意代码,完全控制系统。 这一
继续阅读速修复!Erlang/OTP SSH 中存在严重的预认证 RCE
速修复!Erlang/OTP SSH 中存在严重的预认证 RCE Lawrence Abrams 代码卫士 2025-04-18 09:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Erlang/OTP SSH 中存在一个严重漏洞CVE-2025-32433,可导致在未认证的远程代码执行 (RCE) 后果。 该漏洞由德国波鸿鲁尔大学的研究人员发现,CVSS评分为满分10分。所有运行
继续阅读CVE-2025-21204:通过 Windows 更新堆栈中的不当链接跟踪进行权限提升
CVE-2025-21204:通过 Windows 更新堆栈中的不当链接跟踪进行权限提升 Ots安全 2025-04-18 09:32 网址 – https://cyberdom.blog/abusing-the-windows-update-stack-to-gain-system-access-cve-2025-21204/ 目标 使用 2025 年 4 月更新之前的更新堆栈的 W
继续阅读【已复现】CrushFTP SSRF和目录遍历漏洞(CVE-2025-32102,CVE-2025-32103 )
【已复现】CrushFTP SSRF和目录遍历漏洞(CVE-2025-32102,CVE-2025-32103 ) 原创 安全探索者 安全探索者 2025-04-18 06:38 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 CrushFTP是一款支持FTP, FTPS, SFTP, HTTP, HTTPS, WebDAV and WebDAV SSL等协议的跨平台FTP服务器软件。
继续阅读CVE-2025-21204: Windows Update Stack 中的不当链接跟随导致的权限提升
CVE-2025-21204: Windows Update Stack 中的不当链接跟随导致的权限提升 pwndorei securitainment 2025-04-18 06:37 【翻译】CVE-2025-21204 Windows Update Stack의 Improper Link Following Privilege Escalation URL https://cyberdom
继续阅读如果没了CVE,我们还有哪些漏洞库可以选择
如果没了CVE,我们还有哪些漏洞库可以选择 sec0nd安全 2025-04-18 04:27 点击上方 蓝字 关注我们 美国非营利研发组织 MITRE 在 2025 年 4 月宣布,其与美国国土安全部(DHS)签订的 CVE 数据库维护合同于 4 月 16 日午夜到期,DHS 拒绝续约。运行长达 25 年的 CVE 项目,面临着随时可能终止的危机。虽然美国网络安全与基础设施安全局(CISA)表示
继续阅读Erlang/OTP SSH远程代码执行漏洞的概念验证(PoC)利用代码已公开
Erlang/OTP SSH远程代码执行漏洞的概念验证(PoC)利用代码已公开 邑安科技 邑安全 2025-04-18 03:24 更多全球网络安全资讯尽在邑安全 在研究人员确认开发了概念验证漏洞后,Erlang/OTP 的 SSH 实施中存在一个关键的远程代码执行漏洞,安全团队争先恐后地修补受影响的系统。 该漏洞被跟踪为 CVE-2025-32433,并被分配了最高可能的 CVSS 分数 10.
继续阅读漏洞预警 博华X龙防火墙系统 arp_scan文件读取漏洞
漏洞预警 博华X龙防火墙系统 arp_scan文件读取漏洞 by 融云安全-cas 融云攻防实验室 2025-04-18 02:42 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者
继续阅读计划任务程序schtasks.exe 的0day漏洞被微软忽略
计划任务程序schtasks.exe 的0day漏洞被微软忽略 独眼情报 2025-04-18 01:15 引言 schtasks.exe二进制文件是Windows中任务调度器服务的核心组件,使用户能够自动安排和管理任务。 作为Windows任务调度框架的一部分,schtasks.exe为系统管理员和普通用户提供了通过自动执行任务来简化操作的能力,从简单程序到复杂的系统维护过程。 在网络安全领域,
继续阅读【代码审计】某友云平台远程命令执行漏洞
【代码审计】某友云平台远程命令执行漏洞 原创 WL Rot5pider安全团队 2025-04-18 00:39 点击上方蓝字 关注安全知识 引 言 此漏洞未公开未公开漏洞 某友云平台远程命令执行漏洞 漏洞概述 xxx云平台存在未授权SQL注入漏洞,攻击者可通过构造恶意JSON请求实现数据库版本信息泄露,进而可能获取服务器控制权限。 影响版本 复现环境 参数 值 请求方式
继续阅读漏洞预警 | 科拓全智能停车收费系统SQL注入漏洞
漏洞预警 | 科拓全智能停车收费系统SQL注入漏洞 浅安 浅安安全 2025-04-18 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 科拓全智能停车收费系统是一套先进的停车场管理系统,它集成了计算机、网络设备、车道管理设备等多种技术,旨在实现对停车场车辆出入、场内车流引导、以及停车费收取的智能化管理。 0x03 漏洞详情
继续阅读WEB漏洞扫描器Invicti-Professional-V25.4(自动化爬虫扫描)更新
WEB漏洞扫描器Invicti-Professional-V25.4(自动化爬虫扫描)更新 原创 城北 渗透安全HackTwo 2025-04-17 16:02 前言 Invicti 专业 Web 应用程序安全扫描器 自动、极其准确且易于使用的 Web 应用程序安全扫描程序,可自动查找网站、Web 应用程序和 Web 服务中的安全漏洞。 Invicti Professional Edition 是
继续阅读【成功复现】NUUO Camera远程命令执行漏洞(CVE-2025-1338)
【成功复现】NUUO Camera远程命令执行漏洞(CVE-2025-1338) 原创 弥天安全实验室 弥天安全实验室 2025-04-17 14:36 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍NUUO摄像头是由中国台湾省NUUO公司生产的一款网络视频录像机(Network Video Record
继续阅读CVE-2025-0411:因 7-Zip 的 Mark-of-the-Web (MotW) 绕过而导致的恶意软件感染 _
CVE-2025-0411:因 7-Zip 的 Mark-of-the-Web (MotW) 绕过而导致的恶意软件感染 _ Ots安全 2025-04-17 13:06 网址 https://www.trendmicro.com/ko_kr/research/25/a/cve-2025-0411-ukrainian-organizations-targeted.html 目标 – 7-
继续阅读今日更新 | 系统0day安全-Windows平台漏洞挖掘(第5期)
今日更新 | 系统0day安全-Windows平台漏洞挖掘(第5期) 小雪 看雪学苑 2025-04-17 09:59 课程更新: 4.2 cve-2020-xxxx内核调试分析,反poc https://www.kanxue.com/book-194-5340.htm · 课程介绍 本课程将深入探讨Windows平台的漏洞挖掘技术,包括内核漏洞、应用程序漏洞等。课程内容结合理论与实践,帮助学员掌
继续阅读【漏洞预警】Erlang/OTP 严重 SSH 漏洞允许未认证的远程代码执行(CVE-2025-32433)
【漏洞预警】Erlang/OTP 严重 SSH 漏洞允许未认证的远程代码执行(CVE-2025-32433) 原创 安全探索者 安全探索者 2025-04-17 08:46 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Erlang 它是一款强大的编程语言和 运行时系统 ,旨在构建高度可扩展、容错和软实时的系统。 OTP 是一套 Erlang 库,包含 Erlang 运行时系统和
继续阅读300 毫秒获取管理员权限:掌握 DLL 劫持和 Hook 技术(CVE-2025-24076/CVE-2025-24994)
300 毫秒获取管理员权限:掌握 DLL 劫持和 Hook 技术(CVE-2025-24076/CVE-2025-24994) JOHN OSTROWSKI securitainment 2025-04-17 08:20 300 Milliseconds to Admin Mastering DLL Hijacking and Hooking to Win the Race (CVE-2025-2
继续阅读速达软件 多款产品 doSavePrintTpl.action SQL注入漏洞
速达软件 多款产品 doSavePrintTpl.action SQL注入漏洞 Superhero Nday Poc 2025-04-17 07:47 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 速达软件
继续阅读