【已复现】Vite 任意文件读取漏洞(CVE-2025-32395)安全风险通告
【已复现】Vite 任意文件读取漏洞(CVE-2025-32395)安全风险通告 奇安信 CERT 2025-04-11 14:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-15227,CVE-2025-32395 公开时间 2025-04-10 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读标签: POC
【漏洞复现】帆软报表 /view/ReportServer SQL注入漏洞
【漏洞复现】帆软报表 /view/ReportServer SQL注入漏洞 原创 PumpkinBridge 红细胞安全实验室 2025-04-11 13:57 前言 这里拿到目标站,结合漏扫指纹库可以发现是帆软数据决策系统,需要各位师傅收集系统指纹路径 登录页面 这里可以通过该路径查看当前版本,个别情况根目录可能没有webroot /webroot/dicision/system/info /d
继续阅读YesWiki 任意文件读取漏洞(CVE-2025-31131)
YesWiki 任意文件读取漏洞(CVE-2025-31131) Superhero Nday Poc 2025-04-11 13:14 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 这是一个未经身份验证的
继续阅读CVE-2025-30208&31125:Vite任意文件读取漏洞
CVE-2025-30208&31125:Vite任意文件读取漏洞 原创 tpaer Timeline Sec 2025-04-11 10:02 关注我们❤️,添加星标🌟,一起学安全! 作者:tpaer@Timeline Sec 本文字数:3386 阅读时长:2~4mins 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Vite 是一款高效的现代化前端构建工
继续阅读【漏洞通告】Ivanti多产品缓冲区溢出漏洞(CVE-2025-22457)
【漏洞通告】Ivanti多产品缓冲区溢出漏洞(CVE-2025-22457) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-11 09:43 漏洞名称: Ivanti多产品缓冲区溢出漏洞(CVE-2025-22457) 组件名称: Ivanti多产品 影响范围: Ivanti Connect Secure < 22.7R2.6 Pulse Connect Secure (EoS)
继续阅读【已支持检测】Langflow存在远程代码执行漏洞(CVE-2025-3248)
【已支持检测】Langflow存在远程代码执行漏洞(CVE-2025-3248) 安恒研究院 安恒信息CERT 2025-04-11 09:43 漏洞概述 漏洞名称 Langflow存在远程代码执行漏洞(CVE-2025-3248) 安恒CERT评级 1级 CVSS3.1评分 9.8 CVE编号 CVE-2025-3248 CNVD编号 未分配 CNNVD编号 CNNVD-202504-1135
继续阅读漏洞预警 Optilink 管理系统 upgrade.php 任意命令执行漏洞
漏洞预警 Optilink 管理系统 upgrade.php 任意命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-11 09:18 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后
继续阅读安全威胁情报周报(2025/04/05-2025/04/11)
安全威胁情报周报(2025/04/05-2025/04/11) 观安无相实验室 2025-04-11 09:02 #本期热点 0 1 热点安全事件 微软在安全公告上感谢勒索软件组织EncryptHub Oracle 因涉嫌云泄露事件被起诉,影响数百万美元 Sec-Gemini v1 – 谷歌发布了网络安全新 AI 模型 新型恶意软件威胁 Android 通话,号码替换引发信息安全危机 ChatGP
继续阅读Tomcat 漏洞分析与修复(2)CVE-2024-21733
Tomcat 漏洞分析与修复(2)CVE-2024-21733 原创 ralap 网络个人修炼 2025-04-11 09:01 前言 接着继续研究CVE-2024-21733,详细阐述漏洞复现步骤及修复方法 漏洞概述 当 Web 服务器无法正确处理 POST 请求的内容长度时发生。这种错误行为可被攻击者利用来强制受害者的浏览器取消与网站的连接,从而导致敏感数据从服务器和/或客户端泄露。 受影响版
继续阅读【漏洞预警】Foxmail邮件客户端存在跨站脚本攻击漏洞,建议立即升级防护!
【漏洞预警】Foxmail邮件客户端存在跨站脚本攻击漏洞,建议立即升级防护! 原创 52 易云安全应急响应中心 2025-04-11 07:28 漏洞预警 共/筑/网/络/安/全 1、漏洞描述 近日,易云科技监测到一则Foxmail邮件客户端跨站脚本攻击 漏洞。 Foxmail是我国知名电子邮件客户端之一,其上市时间自1997年第一版公测开始至今已28年,Foxmail电子邮件客户端在2005年3
继续阅读慢雾(SlowMist) 与 Web3 的香港之约圆满落幕
慢雾(SlowMist) 与 Web3 的香港之约圆满落幕 慢雾安全团队 慢雾科技 2025-04-11 07:21 2025 年香港 Web3 嘉年华如期举行,汇聚了来自全球的开发者、投资人、监管机构及技术先锋,共同探讨区块链、DeFi、加密合规、AI 与 Web3 融合等最前沿议题。本届嘉年华以四季“春、夏、秋、冬”为灵感,每个舞台都巧妙融入中华传统文化意象,象征着区块链产业的韧性与周期性,也
继续阅读Foxmail 官方致谢!Foxmail for Windows 远程代码执行漏洞(QVD-2025-13936)安全风险通告
Foxmail 官方致谢!Foxmail for Windows 远程代码执行漏洞(QVD-2025-13936)安全风险通告 奇安信 CERT 2025-04-11 06:48 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Foxmail for Windows 远程代码执行漏洞 漏洞编号 QVD-2025-13936,CNVD-2025-06036 公开时间 2025-0
继续阅读YesWiki知识库edit接口存在任意文件读取漏洞 附POC
YesWiki知识库edit接口存在任意文件读取漏洞 附POC 2025-4-10更新 南风漏洞复现文库 2025-04-10 23:27 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. YesWiki知识库简介 微信公众号搜索:南风漏
继续阅读Vite vite-project接口存在任意文件读取漏洞CNNVD-202504-684 附POC
Vite vite-project接口存在任意文件读取漏洞CNNVD-202504-684 附POC 2025-4-10更新 南风漏洞复现文库 2025-04-10 23:27 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Vite
继续阅读【新原创漏洞】Vite任意文件读取漏洞
【新原创漏洞】Vite任意文件读取漏洞 原创 NS-CERT 绿盟科技CERT 2025-04-10 20:11 通告编号:NS-2025-0023 2025-04-10 TAG: Vite、任意文件读取 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全公告,修复了Vite任意文件读取漏洞(CVE-2025-32395
继续阅读漏洞预警 | CrushFTP 存在身份验证绕过漏洞(CVE-2025-2825)
漏洞预警 | CrushFTP 存在身份验证绕过漏洞(CVE-2025-2825) 原创 烽火台实验室 Beacon Tower Lab 2025-04-10 09:46 1 漏洞概述 漏洞类型 身份验证绕过 漏洞等级 高 漏洞编号 CVE-2025-2825 漏洞评分 9.8 利用复杂度 低 影响版本 10.0.0 <= CrushFTP <= 10.8.3 11.0.0 <=
继续阅读云安全(九):容器逃逸—披露漏洞
云安全(九):容器逃逸—披露漏洞 JJ1ng JJ1ng 2025-04-09 23:30 0x00 Introduction 本篇章中将说明历史上有关容器逃逸的披露漏洞。个人才疏学浅,有未阐述清楚或遗漏的地方,还请谅解,相关的内容可自行搜索。 Docker 整体包括:Docker Client 、Docker Daemon 、Containerd 、Containerd-shim 、Runc
继续阅读Java XMLDecode反序列化POC变形
Java XMLDecode反序列化POC变形 原创 酒零 NOVASEC 2025-04-09 22:01 △△△点击上方“蓝字”关注我们了解更多精彩 0x00 前言 免责声明:继续阅读文章视为您已同意[NOVASEC免责声明]. 记录一些 简单的 Java XMLDecode反序列化POC变形 1 0x01 ProcessBuilder执行 <?xml version="1.0
继续阅读微软4月补丁日多个产品安全漏洞风险通告:1个在野利用、11个紧急漏洞
微软4月补丁日多个产品安全漏洞风险通告:1个在野利用、11个紧急漏洞 奇安信 CERT 2025-04-09 09:21 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年4月补丁日多个产品安全漏洞 影响产品 Windows 通用日志文件系统驱动程序、Windows 远程桌面服务、Windows 轻量级目录访问协议服务等。 公开时间 2025-04-09 影响对象数
继续阅读用友crm客户关系管理borrowout/ajaxgetborrowdata.php接口存在SQL注入漏洞 附POC
用友crm客户关系管理borrowout/ajaxgetborrowdata.php接口存在SQL注入漏洞 附POC 2025-4-8更新 南风漏洞复现文库 2025-04-08 23:07 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1
继续阅读Emlog index.php接口的存在SQL注入漏洞 附POC
Emlog index.php接口的存在SQL注入漏洞 附POC 2025-4-7更新 南风漏洞复现文库 2025-04-07 23:44 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Emlog 简介 微信公众号搜索:南风漏洞复现文
继续阅读Crushftp存在未授权访问漏洞CVE-2025-2825 附POC
Crushftp存在未授权访问漏洞CVE-2025-2825 附POC 2025-4-7更新 南风漏洞复现文库 2025-04-07 22:03 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Crushftp简介 微信公众号搜索:南风
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-31486) 附POC
【已复现】Vite 任意文件读取漏洞(CVE-2025-31486) 附POC 原创 聚焦网络安全情报 安全聚 2025-04-07 20:52 中 危 预 警 近日,安全聚实验室监测到 Vite 存在任意文件读取漏洞 ,编号为:CVE-2025-31486,CVSS:5.3 由于没有对请求的路径进行严格的安全检查和限制,攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。 01 漏洞描述
继续阅读Crushftp 认证绕过漏洞(CVE-2025-2825)
Crushftp 认证绕过漏洞(CVE-2025-2825) Superhero Nday Poc 2025-04-07 20:34 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 攻击者构造一个伪造的 Cr
继续阅读金蝶云星空K3Cloud反序列化漏洞(老洞新遇)
金蝶云星空K3Cloud反序列化漏洞(老洞新遇) Yiz 破晓信安 2025-04-07 19:58 金蝶K3 Cloud系统, 聚焦多组织、多利润中心的大中型企业,全面支持多组织财务管理、业务协同、精细管控,借助平台实现全网资源聚合,通过云平台实现敏捷协同 测试遇到金蝶,试了一下网上搜的漏洞,测试成功,记录下。 FOFA app="金蝶云星空-管理中心" POC POST /
继续阅读【原创漏洞】Vite任意文件读取漏洞(CVE-2025-31486)
【原创漏洞】Vite任意文件读取漏洞(CVE-2025-31486) 原创 NS-CERT 绿盟科技CERT 2025-04-07 18:32 通告编号:NS-2025-0021 2025-04-07 TAG: Vite、任意文件读取、CVE-2025-31486 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全公告,修
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-31486)安全风险通告
【已复现】Vite 任意文件读取漏洞(CVE-2025-31486)安全风险通告 奇安信 CERT 2025-04-07 17:44 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-14036,CVE-2025-31486 公开时间 2025-04-03 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读安全热点周报:Apache Tomcat RCE 漏洞遭两步利用
安全热点周报:Apache Tomcat RCE 漏洞遭两步利用 奇安信 CERT 2025-04-07 17:44 安全资讯导视 • 《关键信息基础设施安全测评要求》公安行业标准发布 • 哈尔滨亚冬会赛事信息系统遭境外网络攻击超27万次,攻击源大部来自美国 • 俄乌黑客展开铁路大战,运营系统瘫痪殃及百万民众 PART01 漏洞情报 1.Zabbix groupBy SQL注入漏洞安全风险通告
继续阅读Sante PACS 服务器漏洞可使远程攻击者下载任意文件
Sante PACS 服务器漏洞可使远程攻击者下载任意文件 山卡拉 嘶吼专业版 2025-04-07 13:52 最近,在 Sante PACS Server 4.1.0 版本中发现了几个严重漏洞,这使得该版本极易遭受严重的安全威胁。 这些漏洞(CVE – 2025 – 2263、CVE – 2025 – 2264、CVE – 2025
继续阅读CVE-2025-29927:Next.js中间件绕过漏洞POC
CVE-2025-29927:Next.js中间件绕过漏洞POC 原创 z1 Z1sec 2025-04-06 22:50 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 漏洞介绍: Next.js使用内部标头x-middlewa
继续阅读