CVE-2025-24813 – Apache Tomcat 路径等效漏洞
CVE-2025-24813 – Apache Tomcat 路径等效漏洞 Ots安全 2025-04-06 19:15 描述 路径等价:’file.Name’(内部点)导致远程代码执行和/或信息泄露和/或通过 Apache Tomcat 中启用写入的默认 Servlet 添加到上传的文件中。 此问题影响 Apache Tomcat:从 11.0.0-M1 到
继续阅读标签: POC
Miaoo朋友圈程序存在前台SQL注入漏洞
Miaoo朋友圈程序存在前台SQL注入漏洞 C4安全团队 2025-04-05 20:14 0x00 前言 █ 该文章来自零日防线社区用户投稿 █ 前台一键发布图文,视频,音乐。发布内容支持定位或自定义位置信息。支持将发布内容设为广告模式消息站内通知或邮件通知。支持其他用户注册,支持其他用户发布文章,管理自己的文章。 Fofa语句:”./assets/img/thumbnail.s
继续阅读CISA将Apache Tomcat路径等效漏洞列入已知被利用漏洞目录
CISA将Apache Tomcat路径等效漏洞列入已知被利用漏洞目录 FreeBuf 2025-04-05 18:03 美国网络安全和基础设施安全局(CISA)已将Apache Tomcat路径等效漏洞(编号CVE-2025-24813)列入其已知被利用漏洞(KEV)目录。该漏洞在公开概念验证(PoC)代码发布仅30小时后即遭活跃利用。 技术细节 该漏洞属于Apache Tomcat路径等效缺陷
继续阅读AllForOne nuclei漏洞模版自动收集下载
AllForOne nuclei漏洞模版自动收集下载 原创 qife 网络安全技术点滴分享 2025-04-05 09:28 AllForOne通过读取配置中收集到的nuclei漏洞模版后,git clone到本地保存。这样当收集到新增的nuclei模版资源,只需将链接添加到配置文件后,再次运行程序,即可自动收集到本地。 一、下载、安装、运行AllForOne git clone https://
继续阅读【漏洞复现】Vite 任意文件读取漏洞
【漏洞复现】Vite 任意文件读取漏洞 PokerSec PokerSec 2025-04-05 09:00 先关注,不迷路. 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞介绍 Vite是一个现代前端构建工具,为Web项目提供更快、更
继续阅读用大模型探寻补丁代码的秘密 – 从漏洞挖掘到POC构建之旅
用大模型探寻补丁代码的秘密 – 从漏洞挖掘到POC构建之旅 原创 做安全的小明同学 大山子雪人 2025-04-04 21:38 引言 补丁分析的挑战 详细的漏洞利用步骤 潜在利用方式 具体攻击场景 pm 命令的入口 关键调用链(以 pm install 为例) 调用路径如下: 如何通过 pm 直接触发? 方法 1:安装一个声明了 的 APK 方法 2:手动修改 packages.xm
继续阅读【漏洞复现】用友 GRP-U8-obr_zdybxd_check等四个SQL注入漏洞
【漏洞复现】用友 GRP-U8-obr_zdybxd_check等四个SQL注入漏洞 原创 文峰SEC 文峰SEC 2025-04-04 21:12 漏洞简介 用友GRP-U8R10产品官方在售及提供服务的版本为U8Manager,产品分B、C、G三个产品系列,以上受到本次通报漏洞的影响。用友GRP-U8存在obr_zdybxd_check等四个SQL注入漏洞。 – 漏洞复现 Quak
继续阅读致远AnalyticsCloud 分析云任意文件读取漏洞
致远AnalyticsCloud 分析云任意文件读取漏洞 HK安全小屋 2025-04-04 20:42 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 FOFA: title="AnalyticsCloud 分析云" P
继续阅读CrushFTP 漏洞概念验证代码公开后遭攻击者利用
CrushFTP 漏洞概念验证代码公开后遭攻击者利用 FreeBuf 2025-04-04 18:07 安全研究人员证实,在概念验证(PoC)利用代码公开后,针对CrushFTP关键身份验证绕过漏洞(CVE-2025-2825)的攻击尝试已经开始活跃。 根据Shadowserver基金会最新监测数据,截至2025年3月30日,全球仍有约1512个未打补丁的实例处于暴露状态,其中北美地区占比最高(8
继续阅读ipTIME 未授权访问漏洞(CVE-2024-54764)
ipTIME 未授权访问漏洞(CVE-2024-54764) Superhero Nday Poc 2025-04-04 17:07 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 ipTIME A2004的
继续阅读ipTIME 未授权访问漏洞(CVE-2024-54763)
ipTIME 未授权访问漏洞(CVE-2024-54763) Superhero Nday Poc 2025-04-04 16:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 ipTIME A2004的
继续阅读漏扫设备误报漏洞处理;数据安全事件中的 “开盒” 防护| FB甲方群话题讨论
漏扫设备误报漏洞处理;数据安全事件中的 “开盒” 防护| FB甲方群话题讨论 FreeBuf 2025-04-03 19:24 各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第252期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 话题抢先看 1、漏扫设备会将一些的特殊漏洞也写到报告之中
继续阅读【漏洞预警】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)
【漏洞预警】Zabbix groupBy SQL注入漏洞(CVE-2024-36465) 原创 安全探索者 安全探索者 2025-04-03 18:57 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Z abbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 fofa: app=”ZABBIX-监控系统” 0x02 漏洞描述
继续阅读【价值2500美元的漏洞】基于 Facebook 短信的双因素身份验证绕过(文末福利)
【价值2500美元的漏洞】基于 Facebook 短信的双因素身份验证绕过(文末福利) Moaz Adel 安全视安 2025-04-03 18:53 声明 :该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 原文链接: https://moaz219.blogspot.com/2024/08/facebo
继续阅读【已复现】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)安全风险通告
【已复现】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)安全风险通告 奇安信 CERT 2025-04-03 18:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Zabbix groupBy SQL注入漏洞 漏洞编号 CVE-2024-36465,QVD-2025-13797 公开时间 2025-04-02 影响量级 十万级 奇安信评级 高
继续阅读【处置手册】Vite任意文件读取漏洞(CVE-2025-31125)
【处置手册】Vite任意文件读取漏洞(CVE-2025-31125) 原创 NS-CERT 绿盟科技CERT 2025-04-03 17:00 通告编号:NS-2025-0020-1 2025-04-03 TAG: Vite、任意文件读取、CVE-2025-31125 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.1 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全公告
继续阅读安美酒店管理系统 /list_qry.php接口 sql注入漏洞
安美酒店管理系统 /list_qry.php接口 sql注入漏洞 Superhero Nday Poc 2025-04-02 20:42 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 安美酒店管理系统 /
继续阅读审计分析:验证缺陷导致文件上传漏洞的产生!
审计分析:验证缺陷导致文件上传漏洞的产生! 进击安全 2025-04-01 22:28 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! 0x01 前言 承接上文,继续从源码角度分析该系统漏洞,此系统功能点居多,代码量也非常大,也蛮好
继续阅读漏洞盒子×阶跃星辰SRC | 漏洞盒子「企业SRC」新住客
漏洞盒子×阶跃星辰SRC | 漏洞盒子「企业SRC」新住客 漏洞盒子 2025-04-01 19:17 清明小长假倒计时! 挖蛙的踏青计划表已经写满 追春风、放纸鸢、啃青团…… 但总感觉少了点什么? 哦对!差点忘了带上蛙的新伙伴 TA不仅会写诗、画图、剪视频 还能用AI一眼看穿代码里的“小心思” 没错—— 阶跃星辰安全应急响应中心 正式入驻漏洞盒子啦! 即日起 阶跃星辰SRC欢迎广大白帽积极反馈安
继续阅读【支持排查与检测】Vite任意文件读取漏洞(CVE-2025-31125)
【支持排查与检测】Vite任意文件读取漏洞(CVE-2025-31125) 原创 NS-CERT 绿盟科技CERT 2025-04-01 18:20 通告编号:NS-2025-0020 2025-04-01 TAG: Vite、任意文件读取、CVE-2025-31125 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全公
继续阅读高危 PHP 漏洞可绕过验证加载恶意内容
高危 PHP 漏洞可绕过验证加载恶意内容 信息安全大事件 2025-04-01 18:00 PHP的libxml流组件中发现一个高危漏洞,可能影响依赖DOM或SimpleXML扩展处理HTTP请求的Web应用程序。该漏洞编号为CVE-2025-1219,源于处理重定向资源时对content-type标头的错误处理,可能导致文档解析错误和验证绕过等安全风险。 受影响PHP版本包括: –
继续阅读关键 PHP 漏洞允许黑客绕过验证以加载恶意内容
关键 PHP 漏洞允许黑客绕过验证以加载恶意内容 邑安科技 邑安全 2025-04-01 17:23 更多全球网络安全资讯尽在邑安全 已在 PHP 的 libxml 流中发现了一个严重漏洞,该漏洞可能会影响依赖 DOM 或 SimpleXML 扩展进行 HTTP 请求的 Web 应用程序。 该漏洞被跟踪为 CVE-2025-1219,涉及在请求重定向资源时错误地处理标头,从而导致文档误读和验证绕
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-31125)安全风险通告
【已复现】Vite 任意文件读取漏洞(CVE-2025-31125)安全风险通告 奇安信 CERT 2025-04-01 15:11 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-13137,CVE-2025-31125 公开时间 2025-03-31 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读【原创0day】Vite 任意文件读取漏洞(CVE-2025-31125)
【原创0day】Vite 任意文件读取漏洞(CVE-2025-31125) 长亭安全应急响应中心 2025-04-01 15:02 Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。2025 年 3 月,长亭安全研究员发现一个 Vite 任意文件读取漏洞,并第一时间向监管单位报送了漏洞
继续阅读漏洞预警 | Kubernetes Ingress-NGINX Controller 存在未授权远程代码执行漏洞
漏洞预警 | Kubernetes Ingress-NGINX Controller 存在未授权远程代码执行漏洞 原创 烽火台实验室 Beacon Tower Lab 2025-04-01 13:10 1 漏洞概述 漏洞类型 远程代码执行 漏洞等级 高 漏洞编号 CVE-2025-1974 漏洞评分 9.8 利用复杂度 低 影响版本 Ingress-Nginx 在 v1.11.5、v1.12.1
继续阅读deepseek本地部署工具—ollama任意文件读取漏洞复现
deepseek本地部署工具—ollama任意文件读取漏洞复现 原创 a1batr0ss 天翁安全 2025-03-31 18:26 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权,严禁将公
继续阅读WIFISKY-7层流控路由器SQL注入漏洞
WIFISKY-7层流控路由器SQL注入漏洞 HK安全小屋 2025-03-31 17:56 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 FOFA: app="WIFISKY-7层流控路由器" POC: GET /no
继续阅读【漏洞通告】CrushFTP身份验证绕过漏洞(CVE-2025-2825)
【漏洞通告】CrushFTP身份验证绕过漏洞(CVE-2025-2825) 原创 NS-CERT 绿盟科技CERT 2025-03-31 17:11 通告编号:NS-2025-0019 2025-03-31 TAG: CrushFTP、身份验证绕过、CVE-2025-2825 漏洞危害: 攻击者利用此漏洞,可实现身份验证绕过。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Crush
继续阅读【处置手册】Kubernetes Ingress-nginx远程代码执行漏洞(CVE-2025-1974)
【处置手册】Kubernetes Ingress-nginx远程代码执行漏洞(CVE-2025-1974) 原创 NS-CERT 绿盟科技CERT 2025-03-31 17:11 通告编号:NS-2025-0016-1 2025-03-31 TAG: Ingress-nginx、远程代码执行、CVE-2025-1974 漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。 版本: 1.1 1 漏
继续阅读