Java XXE 防护实战:常见漏洞场景与防御代码全收录
Java XXE 防护实战:常见漏洞场景与防御代码全收录 原创 火力猫 季升安全 2025-04-18 13:50 🛡️ Java XXE 防护示例与详解 本文件涵盖常见 Java XML 解析器的 XXE 安全配置方法,适用学习和辅助判断审计目标是否存在XXE问题: – 💥 默认行为 ⚠️ 潜在风险 ✅ 防护方式 👨💻 防护代码 📘 1. DocumentBuilderFactor
继续阅读标签: RCE
Erlang/OTP SSH 高危漏洞 CVE-2025-32433:无需认证即可远程执行代码
Erlang/OTP SSH 高危漏洞 CVE-2025-32433:无需认证即可远程执行代码 信息安全大事件 2025-04-18 10:02 在 Erlang/Open Telecom Platform(OTP)的 SSH 实现中存在一个严重漏洞,该漏洞允许攻击者在无需进行身份验证的情况下执行任意代码。 这个被追踪编号为 CVE-2025-32433 的漏洞,已被赋予通用漏洞评分系统(CVS
继续阅读Atlassian 和思科修复多个高危漏洞
Atlassian 和思科修复多个高危漏洞 Ionut Arghire 代码卫士 2025-04-18 09:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周,Atlassian 和思科宣布修复多个高危漏洞,其中一些可导致远程代码执行后果。 Atlassian 发布了7份更新,修复了影响 Bamboo、Confluence和 Jira 中第三方依赖的四个高危漏洞,其中一些漏洞早在近
继续阅读速修复!Erlang/OTP SSH 中存在严重的预认证 RCE
速修复!Erlang/OTP SSH 中存在严重的预认证 RCE Lawrence Abrams 代码卫士 2025-04-18 09:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Erlang/OTP SSH 中存在一个严重漏洞CVE-2025-32433,可导致在未认证的远程代码执行 (RCE) 后果。 该漏洞由德国波鸿鲁尔大学的研究人员发现,CVSS评分为满分10分。所有运行
继续阅读CVE-2025-21204:通过 Windows 更新堆栈中的不当链接跟踪进行权限提升
CVE-2025-21204:通过 Windows 更新堆栈中的不当链接跟踪进行权限提升 Ots安全 2025-04-18 09:32 网址 – https://cyberdom.blog/abusing-the-windows-update-stack-to-gain-system-access-cve-2025-21204/ 目标 使用 2025 年 4 月更新之前的更新堆栈的 W
继续阅读微软产品的漏洞:哪些已得到改进,哪些仍面临风险
微软产品的漏洞:哪些已得到改进,哪些仍面临风险 原创 D1net编译 信息安全D1net 2025-04-18 08:03 点击上方“蓝色字体 ”,选择 “设为星标 ” 关键讯息,D1时间送达! 微软2024年漏洞总数突破历史峰值达1360个,但严重高危漏洞锐减至78个创十年最低。权限提升漏洞以40%占比成攻击者”黄金钥匙”,Edge浏览器漏洞暴增292%、Office套件
继续阅读CVE-2025-21204: Windows Update Stack 中的不当链接跟随导致的权限提升
CVE-2025-21204: Windows Update Stack 中的不当链接跟随导致的权限提升 pwndorei securitainment 2025-04-18 06:37 【翻译】CVE-2025-21204 Windows Update Stack의 Improper Link Following Privilege Escalation URL https://cyberdom
继续阅读【代码审计】记某次项目前台反序列化RCE漏洞研究
【代码审计】记某次项目前台反序列化RCE漏洞研究 原创 Mstir 星悦安全 2025-04-18 06:08 点击上方 蓝字 关注我们 并设为 星标 0x01 过程 一套涉Zha的系统,名字就不给出了,貌似用的人还挺多. 该项目框架:ThinkPHP 5.0.24 Debug:True 翻遍了所有代码,上传点都限制的比较死,只能传白名单里的后缀,SQL注入也基本没有,只能去找找别的地方. 这时候
继续阅读【全网最全】Struts2终极漏洞合集靶机发布!一次通关,掌握所有高危漏洞利用!
【全网最全】Struts2终极漏洞合集靶机发布!一次通关,掌握所有高危漏洞利用! cslab 红队蓝军 2025-04-18 03:40 从S2-001到S2-061,全网最全Struts2漏洞实战沙盘! 🚨 为什么Struts2漏洞必须死磕? 企业Web渗透的“万用钥匙”! ✅ 全版本覆盖:15年漏洞史,20+经典CVE复现(含已修复/未公开漏洞) ✅ 真实场景还原:Ognl注入、RCE、文件上
继续阅读Erlang/OTP SSH远程代码执行漏洞的概念验证(PoC)利用代码已公开
Erlang/OTP SSH远程代码执行漏洞的概念验证(PoC)利用代码已公开 邑安科技 邑安全 2025-04-18 03:24 更多全球网络安全资讯尽在邑安全 在研究人员确认开发了概念验证漏洞后,Erlang/OTP 的 SSH 实施中存在一个关键的远程代码执行漏洞,安全团队争先恐后地修补受影响的系统。 该漏洞被跟踪为 CVE-2025-32433,并被分配了最高可能的 CVSS 分数 10.
继续阅读MCP安全检查清单:AI⼯具⽣态系统安全指南 | Windows 11高危漏洞:300毫秒即可提权至管理员
MCP安全检查清单:AI⼯具⽣态系统安全指南 | Windows 11高危漏洞:300毫秒即可提权至管理员 e安在线 e安在线 2025-04-18 03:09 MCP安全检查清单:AI⼯具⽣态系统安全指南 本清单涵盖多个领域安全要点,旨在帮助开发者识别潜在风险并加以防范。 背景 本安全检查清单由 @SlowMist_Team 编写并维护。 – 慢雾科技作为全球领先的区块链生态威胁情报
继续阅读Windows 11高危漏洞:300毫秒即可提权至管理员;|快递公司负责人导出公民个人信息129000多条 非法获利获刑
Windows 11高危漏洞:300毫秒即可提权至管理员;|快递公司负责人导出公民个人信息129000多条 非法获利获刑 黑白之道 2025-04-18 01:59 重要!!!2025HW招募,加V:Hacker-ED 详情请点击: 重要!2025HW招募! Windows 11高危漏洞:300毫秒即可提权至管理员 Windows 11 存在一个严重漏洞,攻击者可在短短 300 毫秒内从低权限用户
继续阅读再发一次Erlang/OTP SSH 中被发现 CVSS 10.0 严重性 RCE 漏洞
再发一次Erlang/OTP SSH 中被发现 CVSS 10.0 严重性 RCE 漏洞 独眼情报 2025-04-18 01:15 安全研究人员报告了 CVE-2025-32433,这是 Erlang/OTP SSH 中的一个 CVSS 10.0 RCE 漏洞,允许在暴露的系统上执行未经身份验证的代码。 Erlang/OTP SSH 实现中新披露的漏洞可能允许攻击者在未登录的情况下在受影响的系统
继续阅读Erlang/OTP SSH 中的满分RCE漏洞广泛影响电信设备、工控系统
Erlang/OTP SSH 中的满分RCE漏洞广泛影响电信设备、工控系统 会杀毒的单反狗 军哥网络安全读报 2025-04-18 01:00 导读 安全研究人员报告了 CVE-2025-32433,这是 Erlang/OTP SSH 中的一个严重 RCE 漏洞,允许在暴露的系统上执行未经身份验证的代码。 漏洞编号为CVE-2025-32433,由波鸿鲁尔大学的研究人员报告,CVSS评分为最高的1
继续阅读【高危漏洞】Windows 11:300毫秒即可提权至管理员
【高危漏洞】Windows 11:300毫秒即可提权至管理员 安小圈 2025-04-18 00:45 安小圈 第648期 Windows11 · 高危漏洞 Windows 11 存在一个严重漏洞,攻击者可在短短 300 毫秒内从低权限用户提升至系统管理员权限。 该漏洞编号为 CVE-2025-24076,通过精密的 DLL 劫持技术利用 Windows 11“移动设备”功能的缺陷。安全研究人员于
继续阅读Oracle 安全更新 – 针对 378 漏洞(包括远程漏洞利用)的补丁
Oracle 安全更新 – 针对 378 漏洞(包括远程漏洞利用)的补丁 网安百色 2025-04-17 11:30 Oracle 发布了 2025 年 4 月的重要补丁更新 (CPU),解决了其广泛产品组合中的 378 个新安全漏洞。 周三宣布的季度安全更新包含针对许多高风险缺陷的补丁,其中许多漏洞可能允许在未经身份验证的情况下进行远程利用。 漏洞统计 度量 计数 漏洞总数 378 可远程利用
继续阅读Windows 11高危漏洞:300毫秒即可提权至管理员
Windows 11高危漏洞:300毫秒即可提权至管理员 FreeBuf 2025-04-17 10:02 Windows 11 存在一个严重漏洞,攻击者可在短短 300 毫秒内从低权限用户提升至系统管理员权限。 该漏洞编号为 CVE-2025-24076,通过精密的 DLL 劫持技术利用 Windows 11“移动设备”功能的缺陷。安全研究人员于 2024 年 9 月发现此漏洞,并于 2025
继续阅读【漏洞预警】Erlang/OTP 严重 SSH 漏洞允许未认证的远程代码执行(CVE-2025-32433)
【漏洞预警】Erlang/OTP 严重 SSH 漏洞允许未认证的远程代码执行(CVE-2025-32433) 原创 安全探索者 安全探索者 2025-04-17 08:46 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Erlang 它是一款强大的编程语言和 运行时系统 ,旨在构建高度可扩展、容错和软实时的系统。 OTP 是一套 Erlang 库,包含 Erlang 运行时系统和
继续阅读300 毫秒获取管理员权限:掌握 DLL 劫持和 Hook 技术(CVE-2025-24076/CVE-2025-24994)
300 毫秒获取管理员权限:掌握 DLL 劫持和 Hook 技术(CVE-2025-24076/CVE-2025-24994) JOHN OSTROWSKI securitainment 2025-04-17 08:20 300 Milliseconds to Admin Mastering DLL Hijacking and Hooking to Win the Race (CVE-2025-2
继续阅读Java命令执行审计怎么查?关键词清单来了!(附类型汇总)
Java命令执行审计怎么查?关键词清单来了!(附类型汇总) 原创 火力猫 季升安全 2025-04-17 06:09 🔥Java 命令执行类型汇总 序号 执行方式 关键类/方法 说明 1 Runtime.exec() java.lang.Runtime 最经典方式,直接执行命令 2 ProcessBuilder.start() java.lang.ProcessBuilder 更灵活的命令构造方式
继续阅读【云安全】云原生- K8S IngressNightmare CVE-2025-1974(漏洞复现完整教程)
【云安全】云原生- K8S IngressNightmare CVE-2025-1974(漏洞复现完整教程) 原创 仇辉攻防 仇辉攻防 2025-04-17 03:45 漏洞原理 https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities 我理解后,总结成两方面: a、配置注入过程 1. 构造一个恶意的Ingress资源,其中注
继续阅读Erlang/OTP CVE-2025-32433 (CVSS 10):严重 SSH 漏洞导致未经身份验证的 RCE
Erlang/OTP CVE-2025-32433 (CVSS 10):严重 SSH 漏洞导致未经身份验证的 RCE 独眼情报 2025-04-17 03:38 Erlang/OTP 的 SSH 服务器组件中发现了一个严重漏洞,该技术广泛应用于电信、分布式系统和实时平台。该漏洞编号为 CVE-2025-32433,CVSS 评分为 10,这是最高严重等级,因为它易于利用且影响巨大。 对于不熟悉
继续阅读渗透测试|柳暗花明(记一次有趣的高危漏洞以及思考修复方案)
渗透测试|柳暗花明(记一次有趣的高危漏洞以及思考修复方案) 原创 爱州 州弟学安全 2025-04-17 02:57 本篇文章共 2600字,完全阅读全篇约 3 分钟 州弟学安全,只学有用的知识 前言 前段时间做渗透,客户对项目要求很严,一般情况下连XSS/注释泄露信息也不行的这种,所以挖洞这种就比较难挖了 为什么?因为在这之前,会进入等保流程->基线核查->N次主机漏扫和WEB漏扫,
继续阅读一文看懂 Java 命令执行的源码审计与防御
一文看懂 Java 命令执行的源码审计与防御 原创 火力猫 季升安全 2025-04-17 00:30 ☠️ Java 命令执行全景式源码审计指南 本文围绕 Java 程序中可能存在的命令执行方式进行深入挖掘与分析,不局限于常规 Runtime.getRuntime() 与 ProcessBuilder ,剖析更多隐蔽的命令执行点,助你在审计与渗透中快速识别可控点。 🎯 为什么不仅仅是 Runt
继续阅读CVE编号在招手!23个JS漏洞挖掘技巧!
CVE编号在招手!23个JS漏洞挖掘技巧! 原创 牛叫瘦 HACK之道 2025-04-17 00:03 随着Web应用与Node.js的爆发式增长,JavaScript已成为现代数字生态的核心语言,其安全边界直接关系着数十亿用户的数据安全。XSS跨站脚本、原型链污染、SSRF服务端请求伪造等漏洞的持续涌现,不断暴露着动态语言特性与复杂依赖带来的安全隐患。攻击者利用JS弱类型、原型继承等特性构造的
继续阅读Nashorn:潜伏在Java中的JavaScript命令执行后门
Nashorn:潜伏在Java中的JavaScript命令执行后门 原创 火力猫 季升安全 2025-04-16 16:17 ☢️ Java 类对象的 JavaScript 引擎 —— Nashorn 🧠 什么是 Nashorn? Nashorn 是 Oracle 在 Java 8 引入的 JavaScript 引擎,用于在 Java 应用中嵌入执行 JavaScript 代码。它支持调用 Ja
继续阅读【成功复现】Ingress NGINX Controller远程代码执行漏洞(CVE-2025-1974)
【成功复现】Ingress NGINX Controller远程代码执行漏洞(CVE-2025-1974) 原创 弥天安全实验室 弥天安全实验室 2025-04-16 14:04 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Kubernetes ingress-nginx是云原生计算基金会(Cloud N
继续阅读【Python代码审计】佰阅发卡存在前台RCE漏洞
【Python代码审计】佰阅发卡存在前台RCE漏洞 原创 ReversingByte 星悦安全 2025-04-16 13:09 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 █ 该文章来自零日防线社区版主 Reversing_Byte 投稿 █ 适用于各种电商、优惠卷、论坛邀请码、充值卡、激活码、注册码、腾讯爱奇艺积分CDK等,支持手工和全自动发货,分层批发模式。 :lollip
继续阅读Gladinet漏洞CVE-2025-30406遭在野利用
Gladinet漏洞CVE-2025-30406遭在野利用 鹏鹏同学 黑猫安全 2025-04-16 11:21 紧急安全通告 网络安全公司Huntress发出警告,Gladinet旗下CentreStack和Triofox软件中存在的关键反序列化漏洞(CVE-2025-30406,CVSS 9.0分)正被黑客组织大规模利用。该漏洞源于系统使用硬编码的machineKey值,攻击者可借此实现远程代
继续阅读