【处置手册】Vite任意文件读取漏洞(CVE-2025-30208)
【处置手册】Vite任意文件读取漏洞(CVE-2025-30208) 原创 NS-CERT 绿盟科技CERT 2025-03-31 17:11 通告编号:NS-2025-0017-1 2025-03-31 TAG: Vite、任意文件读取、CVE-2025-30208 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.1 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全公
继续阅读标签: POC
【已复现】CrushFTP 身份验证绕过漏洞(CVE-2025-2825)安全风险通告
【已复现】CrushFTP 身份验证绕过漏洞(CVE-2025-2825)安全风险通告 奇安信 CERT 2025-03-31 11:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 CrushFTP 身份验证绕过漏洞 漏洞编号 QVD-2025-12327,CVE-2025-2825 公开时间 2025-03-26 影响量级 万级 奇安信评级 高危 CVSS 3.1分数
继续阅读蓝凌EIS平台UniformEntry.aspx sql注入漏洞
蓝凌EIS平台UniformEntry.aspx sql注入漏洞 HK安全小屋 2025-03-30 18:03 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 FOFA: app="Landray-EIS智慧协同平台"
继续阅读CVE-2025-24071|Windows 文件资源管理器欺骗漏洞(POC)
CVE-2025-24071|Windows 文件资源管理器欺骗漏洞(POC) alicy 信安百科 2025-03-30 18:00 0x00 前言 Windows 文件资源管理器(File Explorer)是Windows操作系统的核心组件,主要用于浏览、管理和操作本地及网络文件、文件夹、驱动器等资源。它提供直观的图形化界面,支持文件创建、复制、移动、删除、重命名等基础操作,同时集成网络共享
继续阅读CVE-2023-24205|Clash for Windows远程代码执行漏洞(POC)
CVE-2023-24205|Clash for Windows远程代码执行漏洞(POC) alicy 信安百科 2025-03-30 18:00 0x00 前言 Clash是一个使用 Go 语言编写,基于规则的跨平台程序, 可以帮助用户实现网络流量的转发和过滤。 Clash支持从多种来源获取代理规则,包括本地配置,自定义配置和订阅规则。 0x01 漏洞描述 Windows上的Clash在0.20
继续阅读竞优软件 商业租赁管理系统 信息泄露漏洞(CNVD-2025-03578)
竞优软件 商业租赁管理系统 信息泄露漏洞(CNVD-2025-03578) Superhero Nday Poc 2025-03-30 16:17 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 竞优
继续阅读用友U8CRM biztype.php sql注入漏洞
用友U8CRM biztype.php sql注入漏洞 Superhero Nday Poc 2025-03-30 15:32 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 用友U8CRM是用友软件
继续阅读Solr服务器上的“花式”远程代码执行(RCE)
Solr服务器上的“花式”远程代码执行(RCE) adbc 山石网科安全技术研究院 2025-03-30 09:00 从盲SSRF到RCE:如何在Solr服务器上实现数据篡改和代码执行! 在网络安全的世界里,漏洞的发现和利用往往充满了曲折和惊喜。今天,我们要分享的是一次极具挑战性的漏洞挖掘经历——如何在一个看似普通的Solr服务器上,通过一系列复杂的操作,最终实现远程代码执行(RCE)。 这个漏洞
继续阅读CVE-2024-40711&CVE-2025-23120 Veeam Backup .NET 二次反序列化触发及绕过分析
CVE-2024-40711&CVE-2025-23120 Veeam Backup .NET 二次反序列化触发及绕过分析 原创 KCyber 自在安全 2025-03-30 08:00 漏洞概述 Veeam Backup & Replication 通报的 CVE-2025-23120 是 CVE-2024-40711 的延续,两者均为 .NET 反序列化漏洞,都包括两次反
继续阅读NetMizer dologin.php sql注入漏洞(XVE-2024-37672)
NetMizer dologin.php sql注入漏洞(XVE-2024-37672) Superhero Nday Poc 2025-03-29 21:23 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00****
继续阅读Vite 任意文件读取 CVE-2025-30208
Vite 任意文件读取 CVE-2025-30208 YuanQiu安全 2025-03-29 21:16 免责声明 由于传播、 本公众号 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任! 一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即删除并致歉,谢谢! 一、前言 1. 漏洞简介 Vite 是一个现代化的前端构建工具,旨在提供快速的开
继续阅读OLLAMA 未授权访问(CNVD-2025-04094)
OLLAMA 未授权访问(CNVD-2025-04094) Superhero Nday Poc 2025-03-29 20:29 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 Ollama是一个本
继续阅读OpenResty/lua-nginx-module HEAD 请求中的 HTTP 请求走私 – CVE-2024-33452
OpenResty/lua-nginx-module HEAD 请求中的 HTTP 请求走私 – CVE-2024-33452 Ots安全 2025-03-29 19:42 发现与动机 我第一次遇到这个 HTTP 请求走私漏洞是在为工作中的客户进行内部渗透测试时。意识到它的潜在影响后,我决定深入挖掘其根本原因,并发现它源于 OpenResty 中的 lua-nginx-module 实
继续阅读CVE-2025-24813|Apache Tomcat远程代码执行漏洞(POC)
CVE-2025-24813|Apache Tomcat远程代码执行漏洞(POC) alicy 信安百科 2025-03-29 18:01 0x00 前言 Tomcat 是 Apache 软件基金会( Apache Software Foundation )的 Jakarta 项目中的一个核心项目,由 Apache 、 Sun 和其他一些公司及个人共同开发而成。 Tomcat 服务器是一个免费的
继续阅读CVE-2025-30208|Vite任意文件读取漏洞(POC)
CVE-2025-30208|Vite任意文件读取漏洞(POC) alicy 信安百科 2025-03-29 18:01 0x00 前言 Vite 是一个现代化的前端构建工具,旨在通过利用现代浏览器的原生 ES 模块支持,提供快速的开发体验。 广泛应用于Vue.js等项目的开发中。在其开发服务器模式下,Vite提供了@fs 机制,用于访问服务允许范围内的文件。 Vite 由两部分组成: 1、开发服
继续阅读上古神器Pwnkit提权检测:如何排除它的踪迹,守护系统安全(CVE-2021-4034)
上古神器Pwnkit提权检测:如何排除它的踪迹,守护系统安全(CVE-2021-4034) 原创 爱坤 爱坤sec 2025-03-29 16:24 什么是 pkexec ? Linux 中有个工具叫 pkexec ,它的作用是允许普通用户以管理员(root)身份运行命令。这就像是你找到了一个有管理员权限的钥匙,能打开很多权限受 限的大门。 不过,pkexec 需要一个前提:你必须通过验证,像
继续阅读CVE-2025-30208,资产巨多(中国域名资产:12635+),附POC+批量检测脚本
CVE-2025-30208,资产巨多(中国域名资产:12635+),附POC+批量检测脚本 原创 尘佑不尘 泷羽Sec-尘宇安全 2025-03-29 13:32 前言 这个CVE-2025-30208资产真的巨多,而且出货量也高。 几天前的晚上,我就全部跑了一遍了,导出了12635条中国域名资产,总共大概跑了9000多条,出了大概快3000了,出货量很高,详情请看下文 往期推荐 oscp+:简
继续阅读CVE-2025-30208-Vite任意文件读取漏洞服批量漏洞扫描
CVE-2025-30208-Vite任意文件读取漏洞服批量漏洞扫描 原创 泷羽Sec-track 泷羽Sec-track 2025-03-29 10:37 声明!本公众号及团队所做的文章及工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!! 漏洞信息 CVE-2025-30208是Vite开发服务器 中存在的一个高危逻辑漏洞,允许攻击者通过构造特
继续阅读某云盘系统 API 端点无限制上传漏洞解析
某云盘系统 API 端点无限制上传漏洞解析 黑白之道 2025-03-29 10:09 background 在某次赚钱的时候,发现出现了这个系统的低版本 搜索了很久相关只找到了一个 简短的一句话 但没有其他漏洞细节 于是本地搭建挖一下 0x01 漏洞限制条件 首先是需要一个账号来调用后台的插件 但是本套系统默认两个账号 guest:guest demo:demo 还有一个就是要知道web的路径
继续阅读CVE-2025-24016漏洞对Wazuh平台的潜在威胁
CVE-2025-24016漏洞对Wazuh平台的潜在威胁 原创 メ念灬蜘蛛 山石网科安全技术研究院 2025-03-29 09:00 立即行动!保护您的Wazuh服务器免受远程代码执行攻击! 近日,Wazuh平台曝出一个严重安全漏洞(CVE-2025-24016),评分高达9.9,可能允许攻击者远程执行代码,控制您的服务器。这一漏洞影响Wazuh Manager4.4.0至4.9.0版本,威胁级
继续阅读Nokia-G-120W-F-路由器存储型XSS(CVE-2021-30003)
Nokia-G-120W-F-路由器存储型XSS(CVE-2021-30003) 原创 骇客安全 骇客安全 2025-03-28 21:56 在诺基亚 G-120W-F 3FE46606AGAB91设备上发现了一个存储型XSS。 详情分析: https://research.0xdutra.com/posts/router-g120w-f/ poc: curl ‘http://192.168.23
继续阅读Panabit-智能应用网关-后台命令执行漏洞
Panabit-智能应用网关-后台命令执行漏洞 原创 骇客安全 骇客安全 2025-03-28 21:56 Panabit 智能应用网关 后台命令执行漏洞 Panabit 智能应用网关 ajax_top 后台存在命令执行漏洞,攻击者可以以root权限运行部分危险命令. fofa:cert=”panabit.com” && body=”/login
继续阅读SAP_EEM_CVE-2020-6207-PoC
SAP_EEM_CVE-2020-6207-PoC 骇客安全 骇客安全 2025-03-28 21:56 SAP_EEM_CVE-2020-6207 PoC SAP Solution Manager是德国思爱普(SAP)公司的一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。该平台可以帮助客户建立SAP解决方案的生命周期管理,并提供系统监控、远程支持服务和SAP
继续阅读【成功复现】Vite任意文件读取漏洞(CVE-2025-30208)
【成功复现】Vite任意文件读取漏洞(CVE-2025-30208) 原创 弥天安全实验室 弥天安全实验室 2025-03-28 20:58 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Vite是Vite开源的一种新型的前端构建工具。Vite存在访问控制错误漏洞,该漏洞源于URL中的?raw??或?imp
继续阅读漏洞复现篇 | Vite任意文件读取漏洞:CVE-2025-30208,最新!
漏洞复现篇 | Vite任意文件读取漏洞:CVE-2025-30208,最新! 原创 零日安全实验室 零日安全实验室 2025-03-28 18:26 免责声明! 本 公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。 0x01 漏洞描述 Vite 是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力
继续阅读本周最新的、复现超简单的Vite任意文件读取漏洞(CVE-2025-30208)
本周最新的、复现超简单的Vite任意文件读取漏洞(CVE-2025-30208) 原创 a1batr0ss 天翁安全 2025-03-28 18:16 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权,严
继续阅读CVE-2023-4427 复现
CVE-2023-4427 复现 flyyyy 看雪学苑 2025-03-28 18:00 环境搭建 编译debug版本,is_debug=true git checkout 12.2.149 gclient sync -D git apply diff.patch gn gen out/debug –args="symbol_level=2 blink_symbol_level=2
继续阅读Vite 任意文件读取漏洞(CVE-2025-30208)全网测绘分析
Vite 任意文件读取漏洞(CVE-2025-30208)全网测绘分析 360Quake空间测绘 360Quake空间测绘 2025-03-28 16:43 一、漏洞概述 CVE-2025-30208 是 Vite 开发服务器中存在的高危任意文件读取漏洞,攻击者可通过构造特定 URL 参数绕过文件访问控制机制,读取服务器上的敏感文件(如 /etc/passwd 、C:\windows\win.in
继续阅读Sitecore几年前的洞CVE-2019-9874:反序列化实现的未经认证的 RCE(CVSS 9.8)
Sitecore几年前的洞CVE-2019-9874:反序列化实现的未经认证的 RCE(CVSS 9.8) 柠檬赏金猎人 2025-03-27 22:30 概述 Sitecore 的CSRF 模块中的两个严重漏洞再次成为活跃威胁,最近CISA将其加入已知被利用漏洞清单 (Known Exploited Vulnerabilities Catalog)。 CVE-2019-9874 是一个影响 Si
继续阅读CVE-2025-24813:Apache Tomcat远程代码执行漏洞
CVE-2025-24813:Apache Tomcat远程代码执行漏洞 白帽子 2025-03-27 22:08 关注我们❤️,添加星标🌟,一起学安全! 作者:Howell@Timeline Sec 本文字数:3141 阅读时长:2~4mins 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负 0x01 简介 Apache Tomcat 是一个开源的、轻量级的 Java Servl
继续阅读