【漏洞预警】Argo Events权限管理不当漏洞
【漏洞预警】Argo Events权限管理不当漏洞 cexlife 飓风网络安全 2025-04-16 10:22 漏洞描述: Kubernetes的事件驱动工作流自动化框架Argo Events中存在一个权限管理不当漏洞,该漏洞源于Argo Events对EventSource和Sensor自定义资源的处理方式不正确,攻击者可通过创建或修改某些资源获得对主机系统和集群的特权访问,并通过定制spe
继续阅读标签: RCE
WordPress前台管理员账户创建漏洞(CVE-2025-3102)POC及一键部署环境
WordPress前台管理员账户创建漏洞(CVE-2025-3102)POC及一键部署环境 原创 a1batr0ss 天翁安全 2025-04-16 10:15 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书
继续阅读【漏洞处置SOP】FasterXML jackson-databind 信息泄露漏洞(CVE-2019-14439)
【漏洞处置SOP】FasterXML jackson-databind 信息泄露漏洞(CVE-2019-14439) 原创 Eason 方桥安全漏洞防治中心 2025-04-16 10:01 01 SOP基本信息 SOP名称: CVE-2019-14439|FasterXML jackson-databind 信息泄露漏洞处置标准作业程序(SOP) 版本: 1.0 发布日期: 2024-08-22
继续阅读Apache Roller CVSS 满分漏洞可用于获取持久性访问权限
Apache Roller CVSS 满分漏洞可用于获取持久性访问权限 Ravie Lakshmanan 代码卫士 2025-04-16 09:37 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 基于 Java 的开源博客服务器软件 Apache Roller 中存在一个严重漏洞(CVE-2025-24859),可导致恶意人员即使在密码更改后也可保留越权访问权限。 该漏洞的CVSS 评分为
继续阅读攻击者正通过 sourceforge 平台传播一款挖矿程序和 ClipBanker 木马病毒
攻击者正通过 sourceforge 平台传播一款挖矿程序和 ClipBanker 木马病毒 原创 kaspersky 卡巴斯基威胁情报 2025-04-16 09:21 最近,我们注意到一种相当独特的恶意软件分发方案,该方案利用了SourceForge网站,这是一家提供软件托管、比较和分发服务的热门网站。该网站托管着众多软件项目,任何人都可以上传自己的项目。在主网站sourceforge.net
继续阅读Windows 11曝权限提升漏洞,攻击者300毫秒内可获取管理员权限
Windows 11曝权限提升漏洞,攻击者300毫秒内可获取管理员权限 邑安全 2025-04-16 08:45 更多全球网络安全资讯尽在邑安全 Windows 11 中的一个严重漏洞允许攻击者在短短 300 毫秒内从低权限用户升级到完全系统管理员权限。 该漏洞被跟踪为 CVE-2025-24076,通过复杂的 DLL 劫持技术利用了 Windows 11“移动设备”功能的弱点。 该安全漏洞于 2
继续阅读Chrome曝高危漏洞,攻击者可窃取数据并越权访问
Chrome曝高危漏洞,攻击者可窃取数据并越权访问 邑安科技 邑安全 2025-04-16 08:45 更多全球网络安全资讯尽在邑安全 谷歌在发现两个高危漏洞后,已紧急为其Chrome浏览器推出安全更新。这些漏洞可能允许攻击者窃取敏感数据并越权访问用户系统。 编号为CVE-2025-3619和CVE-2025-3620的漏洞影响以下版本: – Windows/Mac :低于135.0.
继续阅读腾讯云安全中心推出2025年3月必修安全漏洞清单
腾讯云安全中心推出2025年3月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-04-16 08:03 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读一文吃透文件上传漏洞!路径遍历、后缀绕过、ZIP炸弹全解析
一文吃透文件上传漏洞!路径遍历、后缀绕过、ZIP炸弹全解析 原创 火力猫 季升安全 2025-04-16 06:45 🔍 文件上传漏洞Java源码审计详解(附代码分析) 文件上传是 Web 应用中极其常见的功能,但一旦实现不当,极易造成严重漏洞 ,如:上传 WebShell、任意文件写入、远程命令执行等。本篇将从源码审计角度,深入剖析文件上传中关键风险点,包含路径处理、文件大小限制、后缀校验、绕过
继续阅读某天OA-workFlowService-多处SQL注入漏洞分析
某天OA-workFlowService-多处SQL注入漏洞分析 原创 chobits02 C4安全团队 2025-04-16 05:52 扫码加内部知识圈 获取漏洞资料 本文章由团队成员[ chobits02]授权转载并发布 我们是C4安全团队 ,师傅们别忘了 关注和 点赞,团队的成长离不开你们★~ 漏洞描述 01 某天OA系统是一个以技术领先著称的协同软件产品,具有极为突出的实用性、易用性和高
继续阅读360漏洞情报月报2025年03期 | 漏洞总量持续高位运行,核心系统威胁加剧
360漏洞情报月报2025年03期 | 漏洞总量持续高位运行,核心系统威胁加剧 360漏洞云 2025-04-15 10:09 近日,360漏洞云情报平台发布2025年3月漏洞情报月报,综合分析当月全网漏洞安全态势,人工深度研判分析重点预警漏洞,并披露多起具有战略价值的网络安全事件。本文特摘录核心内容,为政企机构提供防御参考。 月报数据显示, 2025年3月全网捕获漏洞4279例,较2024年同期
继续阅读某代理商管理系统存在RCE漏洞
某代理商管理系统存在RCE漏洞 原创 狐狸 狐狸说安全 2025-04-15 01:01 免责声明 由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 狐狸说安全 及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢! 0x01 概述 由于此代理商管理系统使用Struts2开发框架组件,均存在历史
继续阅读一次就学会网络钓鱼“骚”姿势
一次就学会网络钓鱼“骚”姿势 obse**** 菜鸟学信安 2025-04-15 00:30 作者: obse**** 转载于先知社区:https://xz.aliyun.com/news/12128 一、什么是网络钓鱼 网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。 二、网络
继续阅读漏洞分析 | Apache Skywalking的log4shell分析
漏洞分析 | Apache Skywalking的log4shell分析 原创 杂七 杂七杂八聊安全 2025-04-15 00:02 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把 杂七杂八聊安全“ 设为星标”, 否则可能就看不到了啦~ 0x01触发点位置 graphql.GraphQL#parseAndValidate 调用堆栈: parseAndValidate:504, Gr
继续阅读安全人员如何对漏洞进行定级?
安全人员如何对漏洞进行定级? 进击的HACK 2025-04-14 23:50 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢 ! 文章有疑问的,可以公众号发消息问我,或者留言。我每天都会看的。 你是否奇怪过,漏洞的高危中危低危是基于什么给出的? 为什么同样是RCE,有的
继续阅读【工具分享】供应链漏洞探测工具
【工具分享】供应链漏洞探测工具 信安魔方 锐鉴安全 2025-04-14 23:00 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标,不定期有宠粉福利 工具介绍 dddd是一款使用简单的批量信息收集,供应链漏洞探测工具,旨在优化红队工作流,减少伤肝的机械性操作。支持
继续阅读如何发现AI chatbot 中的RCE
如何发现AI chatbot 中的RCE 原创 漏洞集萃 漏洞集萃 2025-04-14 22:59 引言 近年来,AI聊天机器人凭借其高效的客户服务、增强的用户互动以及简化的业务运营,迅速在各行各业中流行起来。这些智能系统依托复杂的算法和自然语言处理技术,与用户实现无缝交互。然而,与所有软件一样,它们也无法完全免疫安全漏洞的威胁。 背景故事:发现的起点 目标平台是一个功能强大的业务管理平台,集成
继续阅读【漏洞预警】OpenSourceMatters Joomla 未授权SQL注入漏洞
【漏洞预警】OpenSourceMatters Joomla 未授权SQL注入漏洞 cexlife 飓风网络安全 2025-04-14 13:43 漏洞描述: Joomla!开源的一个自由、开放源代码的内容管理系统,Joomla!官方发布安全公告,其中公开披露了一个SQL注入漏洞,该漏洞源于数据库包的quoteNameStr方法处理标识符不当,导致SQL注入漏洞。 修复建议: 正式防护方案: 厂商
继续阅读BSSRC四周年活动联合礼包结果公示
BSSRC四周年活动联合礼包结果公示 BOSS直聘安全应急响应中心 2025-04-14 10:02
继续阅读网络安全动态 – 2025.04.14
网络安全动态 – 2025.04.14 Sugar Delta Insights 2025-04-14 09:30 网络安全动态 — Cyber Daily 2025.04.14 Tycoon2FA钓鱼工具再进化,利用SVG文件及Unicode绕过防护 关键词:钓鱼工具 检测绕过 2025年04月12日报道。 知名Phishing-as-a-Service平台Tycoon2FA近
继续阅读安全热点周报:PipeMagic 木马利用 Windows 零日漏洞部署勒索软件
安全热点周报:PipeMagic 木马利用 Windows 零日漏洞部署勒索软件 奇安信 CERT 2025-04-14 09:15 安全资讯导视 • 《数据安全技术 政务数据处理安全要求》等6项网络安全国家标准发布 • 摩洛哥国家社保基金遭网络攻击,近200万民众敏感数据或泄露 • 美国工业传感器上市公司森萨塔遭勒索攻击,生产运营被迫中断 PART01 漏洞情报 1.Foxmail for W
继续阅读记一次某EDU站点实战从任意文件读取漏洞到RCE
记一次某EDU站点实战从任意文件读取漏洞到RCE 原创 Mstir 星悦安全 2025-04-14 06:36 点击上方 蓝字 关注我们 并设为 星标 0x01 过程 前年的事情,漏洞已提交并修复,这里着重讲思路及漏 洞 利用 最大化. 一开始是模糊测试扫描到一个接口,发现这个接口可以去读取任意文件,并且返回Base64编码后的内容. 这里是需要看读取权限 的大小,若权限足够大,才可以读取到roo
继续阅读SpEL表达式漏洞注入内存马
SpEL表达式漏洞注入内存马 原创 暗月大徒弟 moonsec 2025-04-14 04:22 1.实验环境 jdk8 202 springboot 1.3.0.RELEASE 2.漏洞代码 package code.landgrey.controller; import org.springframework.expression.Expression; import org.springf
继续阅读从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486
从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486 船山信安 2025-04-13 16:04 最近有花了一些时间看vite任意文件读取相关的一系列漏洞,下面打算以漏洞发现者的视角,讲讲这些漏洞的一些要点 CVE-2025-30208 CVE-2025-30208这个漏洞其实是历史漏洞 CVE-2024-45811 的绕过,在CVE-2024-45811核
继续阅读浅谈AI部署场景下的web漏洞
浅谈AI部署场景下的web漏洞 黑白之道 2025-04-13 05:44 文章首发在:奇安信攻防社区 https://forum.butian.net/share/4259 总结了一些部署过程中出现可能的漏洞点位,并且分析了对应的攻防思路 要想知道对应的大模型在本地部署过程中可能存在的漏洞,就要先了解大模型是如何进行本地部署的。这里笔者给出了两个轻量化的解决方案,让大家了解一下一般开发者对大模型
继续阅读从CVE-2025-30208看任意文件读取利用
从CVE-2025-30208看任意文件读取利用 骨哥说事 2025-04-13 05:38 微信公众号:渊龙Sec安全团队 为国之安全而奋斗,为信息安全而发声! 如有问题或建议,请在公众号后台留言 如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们 0# 概述 师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞 刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-2025-
继续阅读3月成绩出炉,这届白帽子太卷了!地图大师新手SRC漏洞课程3月学员成绩报喜!!
3月成绩出炉,这届白帽子太卷了!地图大师新手SRC漏洞课程3月学员成绩报喜!! 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2025-04-13 03:38 01**** 成绩报喜 三月过去了,又有一些认真学习、默默钻研的同学,在这个月悄悄收获了成果。 有人第一次独立提交漏洞,有人拿到了期盼已久的SRC奖励,也有人继续在原有基础上稳步提升。对我来说,每一个“出洞”,都是大家在挤时间、啃思路、熬夜
继续阅读【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927
【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927 原创 仇辉攻防 仇辉攻防 2025-04-12 11:03 什么是Next.js? Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server-side Rendering (SSR) 和静态站点生成(SSG)项目。Next.js 支持传统的
继续阅读CrushFTP新安全漏洞:未授权访问和CVE-2025-31161
CrushFTP新安全漏洞:未授权访问和CVE-2025-31161 知机安全 知机安全 2025-04-12 10:24 Agentic AI在SOC中的应用:提升效率与价值 本文探讨了Agentic AI(有时称为Agentic Security)在安全运营中心(SOC)中的作用,对比了它与传统辅助型AI(Copilots)的区别。Agentic AI具备自主性,能独立感知、规划、调查和结论,
继续阅读