【工具分享】供应链漏洞探测工具
【工具分享】供应链漏洞探测工具 信安魔方 锐鉴安全 2025-04-14 23:00 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标,不定期有宠粉福利 工具介绍 dddd是一款使用简单的批量信息收集,供应链漏洞探测工具,旨在优化红队工作流,减少伤肝的机械性操作。支持
继续阅读标签: POC
JeeWMS cgAutoListController.do SQL注入漏洞
JeeWMS cgAutoListController.do SQL注入漏洞 Superhero Nday Poc 2025-04-14 12:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 JeeWM
继续阅读泛微Ecology后台远程代码执行漏洞风险通告
泛微Ecology后台远程代码执行漏洞风险通告 赛博昆仑CERT 2025-04-14 11:02 赛博昆仑漏洞 安全风险通告 泛微Ecology后台远程代码执行漏洞风险通告 漏洞描述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,形成了一系列的通
继续阅读【已复现】泛微e-cology 前台SQL注入漏洞
【已复现】泛微e-cology 前台SQL注入漏洞 长亭安全应急响应中心 2025-04-14 10:02 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。2025年4月,泛微官方发布了新补丁,修复了一处 SQL 注入漏洞。经分析,攻击者无需认证即可利用该漏洞,建议受影响的客户尽快修复漏洞。 漏洞描述 Description 01 漏洞成
继续阅读高危!Vite任意文件读取漏洞安全风险通告
高危!Vite任意文件读取漏洞安全风险通告 应急响应中心 亚信安全 2025-04-14 09:54 近日,亚信安全CERT监控到安全社区研究人员发布安全通告,Vite存在一个任意文件读取漏洞,编号为 CVE-2025-31486。由于Vite在处理特定URL请求时缺少对路径的安全检查,这导致攻击者可以通过构造特定的 URL 请求绕过服务器的保护机制,非法访问敏感文件。 目前官方已发布安全更新,亚
继续阅读安全热点周报:PipeMagic 木马利用 Windows 零日漏洞部署勒索软件
安全热点周报:PipeMagic 木马利用 Windows 零日漏洞部署勒索软件 奇安信 CERT 2025-04-14 09:15 安全资讯导视 • 《数据安全技术 政务数据处理安全要求》等6项网络安全国家标准发布 • 摩洛哥国家社保基金遭网络攻击,近200万民众敏感数据或泄露 • 美国工业传感器上市公司森萨塔遭勒索攻击,生产运营被迫中断 PART01 漏洞情报 1.Foxmail for W
继续阅读CVE-2021-31956 Windows 内核漏洞(NTFS 与 WNF)利用 —— 第二部分
CVE-2021-31956 Windows 内核漏洞(NTFS 与 WNF)利用 —— 第二部分 Alex Plaskett securitainment 2025-04-14 05:37 【翻译】CVE-2021-31956 Exploiting the Windows Kernel (NTFS with WNF) – Part 2 引言 在 第一部分[1] 中,我们主要讨论了以下内容: &#
继续阅读针对漏洞安全研究人员的钓鱼攻击
针对漏洞安全研究人员的钓鱼攻击 原创 pandazhengzheng 安全分析与研究 2025-04-14 00:30 安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 通过GitHub项目钓鱼针对安全研究人员进行钓鱼攻击已经不是第一次了,此前Lazarus APT组织就曾使用GitHub项目针对漏洞研究人员进行钓鱼攻击,盗取漏洞研究人员高价值漏洞,该组织通过建立技术BLOG、发布漏洞分析
继续阅读从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486
从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486 船山信安 2025-04-13 16:04 最近有花了一些时间看vite任意文件读取相关的一系列漏洞,下面打算以漏洞发现者的视角,讲讲这些漏洞的一些要点 CVE-2025-30208 CVE-2025-30208这个漏洞其实是历史漏洞 CVE-2024-45811 的绕过,在CVE-2024-45811核
继续阅读通过HOST碰撞发现更多资产和漏洞|挖洞技巧
通过HOST碰撞发现更多资产和漏洞|挖洞技巧 X1lyS/Yf3te 渗透安全HackTwo 2025-04-13 16:01 0x01 前言 HOST碰撞的概念已提出很久了,但是网上的部分文章感觉都解释得不太详细,可能是作者水平比较高的缘故哈哈,自行省略了很多细节没谈。于是想写一篇新手师傅也能看懂的HOST碰撞的文章,解释清楚HOST碰撞到底原理是啥,怎么利用?怎么修复? 参考文章:https
继续阅读CVE-2025-24813:Apache Tomcat 漏洞POC
CVE-2025-24813:Apache Tomcat 漏洞POC z1 Z1sec 2025-04-13 15:15 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! CVE-2025-24813是一个影响Apache Tomc
继续阅读elestio memos SSRF漏洞 (CVE-2025-22952)
elestio memos SSRF漏洞 (CVE-2025-22952) Superhero Nday Poc 2025-04-13 10:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 eleest
继续阅读Vite 任意文件读取漏洞 (CVE-2025-32395)
Vite 任意文件读取漏洞 (CVE-2025-32395) Superhero Nday Poc 2025-04-13 09:33 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 漏洞源于Vite在处理带有
继续阅读【漏洞复现】Vite 任意文件读取系列漏洞(附POC)
【漏洞复现】Vite 任意文件读取系列漏洞(附POC) 原创 仇辉攻防 仇辉攻防 2025-04-13 07:46 Vite是什么,和Next.js有什么区别? 上一篇文章刚介绍了Next.js漏洞的复现: 【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927 Vite 和 Next.js 是两个不同类型的前端工具,它们各自的用途、架构和适用场景有所不同。 Vite 是什么?
继续阅读Zyxel-NBG2105-身份验证绕过-CVE-2021-3297
Zyxel-NBG2105-身份验证绕过-CVE-2021-3297 原创 骇客安全 骇客安全 2025-04-13 06:19 Zyxel-NBG2105-身份验证绕过-CVE-2021-3297 Zyxel NBG2105 身份验证绕过 CVE-2021-3297 漏洞描述 Zyxel NBG2105 存在身份验证绕过,攻击者通过更改 login参数可用实现后台登陆 漏洞影响 Zyxel NB
继续阅读Zyxel-NBG2105-身份验证绕过(CVE-2021-3297)
Zyxel-NBG2105-身份验证绕过(CVE-2021-3297) 原创 骇客安全 骇客安全 2025-04-13 06:19 FOFA: app="ZyXEL-NBG2105" 漏洞代码: http://target/js/util_gw.js PoC: Cookie: login=1; 只需要将cookie中login=0 修改为login=1即可直接进入管理界面。
继续阅读CVE-2025-22457
CVE-2025-22457 Khan安全团队 2025-04-13 02:36 远程未经身份验证的基于堆栈的缓冲区溢出漏洞影响 Ivanti Connect Secure、Pulse Connect Secure、Ivanti Policy Secure 和 ZTA 网关。 针对存在漏洞的 Ivanti Connect Secure 目标(版本 22.7r2.4)运行此脚本,如下所示: 启动 n
继续阅读Vite import存在任意文件读取漏洞CVE-2025-31125 附POC
Vite import存在任意文件读取漏洞CVE-2025-31125 附POC 2025-4-13更新 南风漏洞复现文库 2025-04-13 01:50 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Vite简介 微信公众号搜索:
继续阅读Langflow code接口存在远程代码执行漏洞CVE-2025-3248 附POC
Langflow code接口存在远程代码执行漏洞CVE-2025-3248 附POC 2025-4-12更新 南风漏洞复现文库 2025-04-12 15:08 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Langflow简介 微
继续阅读【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927
【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927 原创 仇辉攻防 仇辉攻防 2025-04-12 11:03 什么是Next.js? Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server-side Rendering (SSR) 和静态站点生成(SSG)项目。Next.js 支持传统的
继续阅读NAVIDROME 权限绕过漏洞(CVE-2025-27112)
NAVIDROME 权限绕过漏洞(CVE-2025-27112) Superhero Nday Poc 2025-04-12 09:15 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 在某些 Subsoni
继续阅读Langflow 远程命令执行漏洞(CVE-2025-3248)
Langflow 远程命令执行漏洞(CVE-2025-3248) Superhero Nday Poc 2025-04-12 08:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 1.3.0 之前的 L
继续阅读【已复现】Vite 文件读取漏洞(CVE-2025-32395)(已经出了四个CVE了!!!!)
【已复现】Vite 文件读取漏洞(CVE-2025-32395)(已经出了四个CVE了!!!!) 原创 安全探索者 安全探索者 2025-04-12 05:06 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Vite 是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力,广泛应用于 Vue.js 项目的开发过程中。 fofa语句: body=”/@v
继续阅读影响资产居多 | Vite 任意文件读取 【CVE-2025-32395】
影响资产居多 | Vite 任意文件读取 【CVE-2025-32395】 原创 匿名白帽子 WK安全 2025-04-12 03:09 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! 漏洞描述 Vite 是一款现代化前端构建工具,
继续阅读固件安全的隐忧:UEFI漏洞的持续威胁与修复之路
固件安全的隐忧:UEFI漏洞的持续威胁与修复之路 原创 T10Ng7_7 山石网科安全技术研究院 2025-04-12 01:01 UEFI固件漏洞:为何它们反复出现,又该如何守护我们的设备安全? 在 数字化时代,设备的安全性是保障用户隐私和数据安全的关键。然而,近期Binarly研究团队对UEFI固件的深入研究[1]揭示了一个令人不安的事实:尽管安全专家们不断努力,但UEFI固件中的漏洞仍然频繁
继续阅读泛微云桥20240725存在未授权文件上传漏洞
泛微云桥20240725存在未授权文件上传漏洞 tj 神农Sec 2025-04-12 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 原文链接: https://xz.aliyun.com/n
继续阅读漏洞预警 | Kavita路径遍历漏洞
漏洞预警 | Kavita路径遍历漏洞 浅安 浅安安全 2025-04-12 00:04 0x00 漏洞编号 – # CVE-2025-31131 0x01 危险等级 – 高危 0x02 漏洞概述 YesWiki是一个基于PHP和MySQL开发的开源、易用的Wiki平台。 0x03 漏洞详情 CVE-2025-31131 漏洞类型: 目录遍历**** 影响: 获取敏感信息
继续阅读【漏洞通告】Vite 任意文件访问漏洞(CVE-2025-32395)
【漏洞通告】Vite 任意文件访问漏洞(CVE-2025-32395) 启明星辰安全简讯 2025-04-11 16:30 一、漏洞概述 漏洞名称 Vite 任意文件访问漏洞 CVE ID CVE-2025-32395 漏洞类型 信息泄露 发现时间 2025-04-11 漏洞评分 6.0 漏洞等级 中危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 需要 PoC/EXP 已公开 在野利用
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-32395)
【已复现】Vite 任意文件读取漏洞(CVE-2025-32395) 长亭安全应急响应中心 2025-04-11 15:18 Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。2025 年 4 月,Vite 官方发布安全补丁,修复了一个任意文件读取漏洞(CVE-2025-32395)。
继续阅读