【已复现】Ingress NGINX Controller 远程代码执行漏洞
【已复现】Ingress NGINX Controller 远程代码执行漏洞 长亭安全应急响应中心 2025-03-26 20:18 Ingress NGINX Controller 是 Kubernetes 生态系统中广泛使用的入口控制器,基于 NGINX 反向代理,用于管理外部流量并将其路由到 Kubernetes 服务。2025年3月,Wiz Research 团队发现并披露了一组未经身份验
继续阅读标签: RCE
【处置手册】Next.js中间件权限绕过漏洞(CVE-2025-29927)
【处置手册】Next.js中间件权限绕过漏洞(CVE-2025-29927) 原创 NS-CERT 绿盟科技CERT 2025-03-26 18:47 通告编号:NS-2025-0015-1 2025-03-26 TAG: Next.js、权限绕过、CVE-2025-29927 漏洞危害: 攻击者利用此漏洞,可实现权限绕过。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Next.j
继续阅读博通:注意 Vmware Windows Tools 中的认证绕过漏洞
博通:注意 Vmware Windows Tools 中的认证绕过漏洞 Sergiu Gatlan 代码卫士 2025-03-26 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 博通发布安全更新,修复了位于Windows版 Vmware Tools中的一个高危认证绕过漏洞CVE-2025-22230。 Vmware Tools 包括一系列驱动和工具,旨在提升在 Vmware 虚
继续阅读谷歌紧急修复已遭利用的0day
谷歌紧急修复已遭利用的0day Ravie Lakshmanan 代码卫士 2025-03-26 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布带外修复方案,修复了位于Windows 版本 Chrome 浏览器中已遭利用的高危漏洞。该漏洞被用于攻击俄罗斯的组织机构。 该漏洞的编号是CVE-2025-2783,是“对Windows 上 Mojo 中未明确情境中提供的错误句
继续阅读中消协提示:谨防“免密支付”盗刷漏洞;Kubernetes“噩梦”:Ingress NGINX控制器漏洞威胁6500个集群|牛览
中消协提示:谨防“免密支付”盗刷漏洞;Kubernetes“噩梦”:Ingress NGINX控制器漏洞威胁6500个集群|牛览 安全牛 2025-03-26 18:14 新闻速览 •中消协提示:谨防“免密支付”盗刷漏洞 •一机构查询系统存在重大泄露风险被查处 •NIST最新报告:AI安全防护面临重大挑战与局限 •银行恶意软件+社会工程学,受害移动用户激增3.6倍至近25万 •马来西亚机场遭遇网络
继续阅读DataCon24漏洞赛道冠军分享:vuln_wp——大模型赋能的漏洞自动化分析全解析
DataCon24漏洞赛道冠军分享:vuln_wp——大模型赋能的漏洞自动化分析全解析 0817IOTG团队 DataCon大数据安全分析竞赛 2025-03-26 18:00 该资源是来自武汉大学0817IOTG团队,DataCon2024漏洞分析赛道冠军的开源和解题分享,其开源提供了漏洞情报提取与漏洞挖掘两大核心模块的解决框架,并打包成一个可执行 Docker 镜像压缩包,方便安全研究者和开发
继续阅读漏洞预警 | Next.js 中间件鉴权绕过漏洞 (CVE-2025-29927)
漏洞预警 | Next.js 中间件鉴权绕过漏洞 (CVE-2025-29927) 原创 烽火台实验室 Beacon Tower Lab 2025-03-26 08:59 1 漏洞概述 漏洞类型 鉴权绕过 漏洞等级 高 漏洞编号 CVE-2025-29927 漏洞评分 9.1 利用复杂度 低 影响版本 Next.js 14.2.25 和 15.2.3 之前的版本 利用方式 远程 POC/EXP 已
继续阅读Mitel企业协作平台存在任意文件读取漏洞 附POC
Mitel企业协作平台存在任意文件读取漏洞 附POC 2025-3-25更新 南风漏洞复现文库 2025-03-25 23:23 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Mitel企业协作平台简介 微信公众号搜索:南风漏洞复现文
继续阅读【漏洞挖掘案例】RCE
【漏洞挖掘案例】RCE 迪哥讲事 2025-03-25 20:30 01 前言 团队的师傅突然发来一句,”要RCE北大了”,还配上了一个截图,是执行了ls / 的全回显结果,卧槽,我直呼牛逼,当时就兴奋了,于是我那天晚上忙(耍)完也去对北大做了信息收集,想去找找看这位师傅所说的可以RCE的站点,后面确实被”RCE”了,觉得有点意思,于是有了这篇文章。
继续阅读CVE-2025-0927:Linux 内核 hfsplus slab 越界写入分析(EXP)
CVE-2025-0927:Linux 内核 hfsplus slab 越界写入分析(EXP) Ots安全 2025-03-25 20:24 概括 此公告描述了 Linux 内核中的一个越界写入漏洞,该漏洞可在 Ubuntu 22.04 上针对活跃用户会话实现本地权限提升。 信用 与 SSD Secure Disclosure 合作的独立安全研究员。 供应商回应 Ubuntu 发布了以下公告和修复
继续阅读Jeecg漏洞总结及tscan poc分享
Jeecg漏洞总结及tscan poc分享 蚁景网络安全 2025-03-25 20:04 前言jeecgboot是一款基于代码生成器的低代码开发平台,集成完善的工作流、表单、报表、大屏的平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,成熟的微服务解决方案。 最近的攻防演练中经常遇到部署
继续阅读Next.js 严重漏洞:攻击者可绕过中间件授权检查
Next.js 严重漏洞:攻击者可绕过中间件授权检查 FreeBuf 2025-03-25 19:23 Next.js React 框架近日披露了一个严重的安全漏洞,攻击者可利用该漏洞绕过授权检查,未经授权访问仅限管理员或其他高权限用户访问的敏感网页。该漏洞被标记为 CVE-2025-29927,其 CVSS 评分为 9.1(满分 10.0)。 Next.js 框架及漏洞详情 Next.js 是一
继续阅读Next.js 框架惊现致命漏洞,黑客可轻松绕过授权
Next.js 框架惊现致命漏洞,黑客可轻松绕过授权 看雪学苑 看雪学苑 2025-03-25 18:00 最近,一个名为 CVE-2025-29927 的重大漏洞在 Next.js 开源框架中被发现,这一消息瞬间在开发界和安全领域引发了轩然大波。 Next.js 作为一款广受欢迎的 React 框架,拥有每周超 900 万次的 npm 下载量,是众多企业构建全栈 Web 应用的首选。从 TikT
继续阅读Ingress NGINX 控制器中存在严重漏洞可导致RCE
Ingress NGINX 控制器中存在严重漏洞可导致RCE Ravie Lakshmanan 代码卫士 2025-03-25 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ingress NGINX Controller (Kubernetes) 中存在五个严重漏洞,无需认证即可导致远程代码执行,可将超过6500个集群暴露在公开互联网中。 这些漏洞(CVE-2025-2451
继续阅读9.4分漏洞!Next.js Middleware鉴权绕过漏洞安全风险通告
9.4分漏洞!Next.js Middleware鉴权绕过漏洞安全风险通告 应急响应中心 亚信安全 2025-03-25 17:32 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Next.js 存在一个授权绕过漏洞,编号为 CVE-2025-29927。攻击者可能通过发送精心构造的 x-middleware-subrequest 请求头绕过中间件安全控制,从而在未授权的情况下访问受保
继续阅读Kubernetes惊现“入口噩梦”:Ingress NGINX高危漏洞可致集群全面沦陷
Kubernetes惊现“入口噩梦”:Ingress NGINX高危漏洞可致集群全面沦陷 原创 网空闲话 网空闲话plus 2025-03-25 17:23 2025年3月24日Wiz博客披露,Kubernetes的Ingress NGINX Controller被发现存在一系列名为“IngressNightmare”的远程代码执行(RCE)漏洞,具体包括 CVE-2025-1097、CVE-20
继续阅读【漏洞挖掘案例】不是哥们,北大被”RCE”了?
【漏洞挖掘案例】不是哥们,北大被”RCE”了? 原创 X1ly?S The One安全 2025-03-24 21:11 01 前言 团队的师傅突然发来一句,”要RCE北大了”,还配上了一个截图,是执行了ls / 的全回显结果,卧槽,我直呼牛逼,当时就兴奋了,于是我那天晚上忙(耍)完也去对北大做了信息收集,想去找找看这位师傅所说的可以RCE的站点,后
继续阅读速修复Next.js中严重的授权绕过漏洞
速修复Next.js中严重的授权绕过漏洞 do son 代码卫士 2025-03-24 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门的 React 框架 Next.js 能帮助开发人员更快更有效地构建全栈 web 应用,广泛用于大量企业,其中不乏一些全球最大的企业,因其“可通过扩展 React 的最新特性并集成强大的基于 Rust 的 JavaScript 工具以最快进行
继续阅读【漏洞通告】Next.js中间件权限绕过漏洞(CVE-2025-29927)
【漏洞通告】Next.js中间件权限绕过漏洞(CVE-2025-29927) 原创 NS-CERT 绿盟科技CERT 2025-03-24 18:17 通告编号:NS-2025-0015 2025-03-24 TAG: Next.js、权限绕过、CVE-2025-29927 漏洞危害: 攻击者利用此漏洞,可实现权限绕过。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Next.js发
继续阅读CVE-2023-2598 内核提权详细分析
CVE-2023-2598 内核提权详细分析 默文 看雪学苑 2025-03-24 18:00 01 漏洞简介 漏洞编号: CVE-2023-2598 影响版本:6.3 <= Linux Kernel < v6.3.2 漏洞产品: linux kernel – io_uring & io_sqe_buffer_register io_uring & foli
继续阅读Next.js Middleware 认证绕过漏洞(CVE-2025-29927)
Next.js Middleware 认证绕过漏洞(CVE-2025-29927) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-24 17:06 漏洞名称: Next.js Middleware 认证绕过漏洞(CVE-2025-29927) 组件名称: Next.js 影响范围: 11.1.4 < Next.js ≤ 13.5.614.0 < Next.js < 1
继续阅读漏洞通告 | Next.js middleware 权限绕过漏洞
漏洞通告 | Next.js middleware 权限绕过漏洞 原创 微步情报局 微步在线研究响应中心 2025-03-24 11:56 漏洞概况 Next.js 是一个用于构建全栈 Web 应用程序的 React 框架。 微步情报局获取到 next.js middleware 权限绕过漏洞情报 CVE-2025-29927 (https://x.threatbook.com/v5/vul/XV
继续阅读【已复现】影响部分热门 AI 应用,Next.js 中间件绕过漏洞(CVE-2025-29927)
【已复现】影响部分热门 AI 应用,Next.js 中间件绕过漏洞(CVE-2025-29927) 长亭安全应急响应中心 2025-03-24 11:49 Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server-side Rendering (SSR) 和静态站点生成(SSG)项目。Next.js 支持传统的 No
继续阅读【已复现】Next.js Middleware鉴权绕过漏洞(CVE-2025-29927)安全风险通告
【已复现】Next.js Middleware鉴权绕过漏洞(CVE-2025-29927)安全风险通告 奇安信 CERT 2025-03-24 11:42 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Next.js Middleware鉴权绕过漏洞 漏洞编号 QVD-2025-11773,CVE-2025-29927 公开时间 2025-03-21 影响量级 百万级 奇安信
继续阅读ThinkPHP 多语言本地文件包含漏洞(lang-rce)复现
ThinkPHP 多语言本地文件包含漏洞(lang-rce)复现 原创 炽汐安全屋 炽汐安全屋 2025-03-23 21:06 描述 Think PHP是一个再中国使用比较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当多语言特性被开启时,攻击者可以使用lang参数来包含任意php文件。 虽然只能包含本地PHP文件,但在开启了register_argc_argv且安装了p
继续阅读【安全圈】俄罗斯零日漏洞卖家开价 400 万美元出售全链 Telegram 漏洞经过 古鲁巴兰- 2025 年 3 月 21 日
【安全圈】俄罗斯零日漏洞卖家开价 400 万美元出售全链 Telegram 漏洞经过 古鲁巴兰- 2025 年 3 月 21 日 安全圈 2025-03-23 19:00 关键词 零日漏洞 俄罗斯漏洞经纪公司 Operation Zero 已公开宣布为 Telegram 零日漏洞提供高达 400 万美元的赏金,这表明俄罗斯政府对入侵这款流行消息应用程序的兴趣日益浓厚。 该公司专门为俄罗斯政府和当地
继续阅读Apache Tomcat 高危RCE漏洞CVE-2024-50379:复现分析与防御策略
Apache Tomcat 高危RCE漏洞CVE-2024-50379:复现分析与防御策略 HSCERT 山石网科安全技术研究院 2025-03-23 09:00 您的Web服务器可能正暴露在远程攻击的风险中!立即了解Apache Tomcat的最新漏洞及其修复方法。 在网络安全领域,Apache Tomcat 作为广泛使用的开源Web服务器和Servlet容器,其安全性一直受到开发者和管理员的高
继续阅读【RCE】Dedecms V5.7.115 存在命令执行漏洞
【RCE】Dedecms V5.7.115 存在命令执行漏洞 WK安全 2025-03-22 20:12 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 织梦 内容管理系统( DedeCms ) 以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用 用户 最多的PHP类 CMS系统 ,在经历多年的发展,版本无论在功能,还是在易用性方面,都有了长足的发展和进步 Fof
继续阅读0Day|Telegram Mac客户端RCE漏洞
0Day|Telegram Mac客户端RCE漏洞 原创 校长 不懂安全的校董 2025-03-22 19:21 0x01 前言 说来搞笑,这个漏洞我是如何发现的呢?最近所谓的AI Agent智能体很热门,其中“Manus”最为出名。于是乎我去通过朋友的渠道搞了一个邀请码开始尝试使用。一开始觉得让它写东西很方便,不过他既然它能够执行操作,于是乎我开始让它自己学习 并且我还给它投喂了几篇公开的Mac
继续阅读