【漏洞预警】Google Chrome 访问控制不当漏洞(CVE-2025-4664)
【漏洞预警】Google Chrome 访问控制不当漏洞(CVE-2025-4664) 原创 聚焦网络安全情报 安全聚 2025-05-15 10:00 中 危 公 告 近日,安全聚实验室监测到 Google Chrome 存在访问控制不当漏洞 ,编号为:CVE-2025-4664,CVSS:4.3 攻击者可构造恶意网站诱导用户访问,导致泄露跨域数据。 01 漏洞描述 VULNERABILITY
继续阅读标签: SQL注入
【漏洞预警】Node.js 异步加密错误处理不当漏洞(CVE-2025-23166)
【漏洞预警】Node.js 异步加密错误处理不当漏洞(CVE-2025-23166) 原创 聚焦网络安全情报 安全聚 2025-05-15 10:00 中 危 公 告 近日,安全聚实验室监测到 Node.js 存在异步加密错误处理不当漏洞 ,编号为:CVE-2025-23166,CVSS:5.3 攻击者可以通过构造特定的异常输入,导致 Node.js 进程崩溃。 01 漏洞描述 VULNERAB
继续阅读从XSS到”RCE”的PC端利用链构建
从XSS到”RCE”的PC端利用链构建 原创 X1ly?S 蚁景网络安全 2025-05-15 09:41 前言 先铺垫一下。笔者有一个习惯,懒得记各种命令和payload,手工渗透测试时,遇到比较长的payload的情况下,不想一个一个地去手敲命令,于是我之前就在github上想寻找一个类似于记事本的软件,但是最好和我的记录命令的需求适配,于是就找到了一位师傅写的开源项目
继续阅读创宇安全智脑 | 灵当 CRM Playforrecord.php 任意文件读取等107个漏洞可检测
创宇安全智脑 | 灵当 CRM Playforrecord.php 任意文件读取等107个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-05-15 08:57 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出
继续阅读微软2025年5月补丁日重点漏洞安全预警
微软2025年5月补丁日重点漏洞安全预警 原创 NEURON 山石网科安全技术研究院 2025-05-15 08:31 微软官方发布5月安全更新 请及时安装补丁修复 补丁概述 2025年5月13日,微软官方发布了5月安全更新,针对78个Microsoft CVE和5个non-Microsoft CVE进行修复。Microsoft CVE中,包含11个严重漏洞(Critical)、66个重要漏洞
继续阅读F5 BIG-IP rce漏洞 CVE-2025-31644
F5 BIG-IP rce漏洞 CVE-2025-31644 原创 棉花糖糖糖 棉花糖网安情报站 2025-05-15 08:22 F5 BIG-IP 系统漏洞 CVE-2025-31644 CVE-2025-31644 原理示意图 受影响版本 F5 BIG-IP v16.1.4.1 漏洞验证过程 漏洞详情 漏洞特征 编号 : CVE-2025-31644 类型 : 设备模式下的命令注入漏洞 风险
继续阅读OttoKit插件CVSS 9.8“幽灵连接”提权漏洞(CVE-2025-27007)遭闪电利用,深度技术剖析与防御指南
OttoKit插件CVSS 9.8“幽灵连接”提权漏洞(CVE-2025-27007)遭闪电利用,深度技术剖析与防御指南 原创 Hankzheng 技术修道场 2025-05-15 03:30 一款拥有超过10万活跃安装量的知名WordPress自动化插件——OttoKit (前身为SureTriggers)——正面临一场严峻的安全风暴。该插件被曝出包括一个CVSS评分为9.8(严重级别)的权限提
继续阅读用友U8 CRM最新SQL注入漏洞及解决方法(CNVD-2025-09018)
用友U8 CRM最新SQL注入漏洞及解决方法(CNVD-2025-09018) 原创 护卫神 护卫神说安全 2025-05-15 02:28 用友U8 CRM是用友网络针对成长型企业推出的客户关系管理系统,聚焦客户全生命周期管理。其核心功能涵盖客户信息整合、销售机会跟进、市场活动管理及售后服务处理,支持从线索挖掘到订单成交的全流程自动化。系统内置销售漏斗分析工具,可实时监控商机推进阶段,科学预测销
继续阅读CVE-2025-4076 BL-Link远程代码执行漏洞挖掘
CVE-2025-4076 BL-Link远程代码执行漏洞挖掘 原创 Gray ChaMd5安全团队 2025-05-15 00:01 招新小广告CTF组诚招re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱 [email protected](带上简历和想加入的小组) 漏洞描述 漏洞复现设备:BL-AC3600 漏洞原理
继续阅读工具推荐 | 最新开源若依Vue漏洞检测工具
工具推荐 | 最新开源若依Vue漏洞检测工具 kk12-30 星落安全团队 2025-05-14 16:01 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 Ruoyi-Vue-Tools 由开发者 kk12-30 基于 Python 开发的若依 Vue 框架漏洞检测工具 关键特性 技术栈 开发
继续阅读漏洞挖掘小工具 – SeeMore
漏洞挖掘小工具 – SeeMore Bbdolt 网络安全者 2025-05-14 16:00 暗月渗透测试13 社工篇7课合集下载 链接:https://pan.quark.cn/s/1823fbf3e490 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后
继续阅读【漏洞预警】F5 BIG-IP IControl REST需授权命令注入漏洞
【漏洞预警】F5 BIG-IP IControl REST需授权命令注入漏洞 cexlife 飓风网络安全 2025-05-14 14:59 漏洞描述: F5 BIG-IP官方发布安全公告,披露了一处命令注入漏洞,经过身份验证的攻击者可以利用此漏洞实现远程命令注入,官方已发布安全版本修复此漏洞,建议受影响用户及时升级到安全版本。 影响版本: 17.1.0<=F5 公司 F5 Networks
继续阅读【CTFer成长之路】命令执行RCE
【CTFer成长之路】命令执行RCE 原创 儒道易行 儒道易行 2025-05-14 12:01 命令执行RCE 「死亡ping命令」 「题目描述:」 路由器管理台经常存在的网络ping测试,开发者常常会禁用大量的恶意字符串,试试看如何绕过呢? 「docker-compose.yml」 version: "3.2" services: converter: imag
继续阅读JNDI注入漏洞分析
JNDI注入漏洞分析 原创 锐鉴安全 锐鉴安全 2025-05-14 12:01 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标,不定期有宠粉福利 引言 近年来,JNDI注入漏洞因其高危害性(如Log4j的Log4Shell漏洞)成为安全领域的焦点。攻击者可通过此类
继续阅读英特尔CPU曝新型漏洞,特权内存敏感数据面临泄露风险
英特尔CPU曝新型漏洞,特权内存敏感数据面临泄露风险 FreeBuf 2025-05-14 11:01 现代英特尔CPU普遍存在的新型”分支特权注入”漏洞(Branch Privilege Injection),可使攻击者从操作系统内核等特权软件分配的内存区域窃取敏感数据。这些内存区域通常存储着密码、加密密钥、其他进程内存及内核数据结构等关键信息,其防护至关重要。 苏黎世联
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第19期,总第37期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第19期,总第37期] 原创 安钥 方桥安全漏洞防治中心 2025-05-14 10:04 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读英特尔CPU新型漏洞可泄露特权内存敏感数据
英特尔CPU新型漏洞可泄露特权内存敏感数据 邑安科技 邑安全 2025-05-14 09:31 更多全球网络安全资讯尽在邑安全 漏洞原理分析 现代英特尔CPU普遍存在的新型”分支特权注入”漏洞(Branch Privilege Injection),可使攻击者从操作系统内核等特权软件分配的内存区域窃取敏感数据。这些内存区域通常存储着密码、加密密钥、其他进程内存及内核数据结构
继续阅读迪奥确认中国客户信息遭泄露;欧洲漏洞数据库正式启动,CVE动荡中的新选择 | 牛览
迪奥确认中国客户信息遭泄露;欧洲漏洞数据库正式启动,CVE动荡中的新选择 | 牛览 安全牛 2025-05-14 09:07 新闻速览 •CISA调整网络安全警报发布策略引发担忧 •欧洲漏洞数据库正式启动,CVE动荡中的新选择 •迪奥确认中国客户信息遭泄露 •四名黑客因利用老旧路由器构建恶意代理网络被指控 •英国零售巨头遭网络攻击重创,玛莎百货市值已蒸发超过10亿英镑 •每日9000次攻击尝试,黑
继续阅读3个月测一站!漏洞挖掘纯享版
3个月测一站!漏洞挖掘纯享版 蚁景网安 2025-05-14 08:30 好久前偶遇一个站点,前前后后大概挖了三个月才基本测试完毕,出了好多漏洞,也有不少高危,现在对部分高危漏洞进行总结分析。 nday进后台: 开局一个登录框: 通过熊猫头插件提取接口,并结合js分析,跑遍了提取到的路径也没有结果。尝试弱口令登录,但是由于连用户名提示都没有,也以失败告终。最后根据页面title关键字搜索找到该平台
继续阅读昂捷CRM cwsapprove.asmx SQL注入漏洞
昂捷CRM cwsapprove.asmx SQL注入漏洞 Superhero Nday Poc 2025-05-14 03:02 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 昂捷CRM cwsappro
继续阅读上周关注度较高的产品安全漏洞(20250428-20250511)
上周关注度较高的产品安全漏洞(20250428-20250511) 金瀚信安 2025-05-14 02:41 一、境外厂商产品漏洞 1、Esri ArcGIS Enterprise信息泄露漏洞 Esri ArcGIS Enterprise是美国环境系统研究所(Esri)公司的一套GIS(地理信息系统 )的基础软件。Esri ArcGIS Enterprise存在信息泄露漏洞,该漏洞源于程序对敏感
继续阅读漏洞预警 | 致远OA代码注入漏洞
漏洞预警 | 致远OA代码注入漏洞 浅安 浅安安全 2025-05-14 00:00 0x00 漏洞编号 – # CVE-2025-4531 0x01 危险等级 – 高危 0x02 漏洞概述 致远OA是一款由用友成员企业致远软件开发的办公自动化软件,采用J2EE技术开发,功能完善,流程管理、文档管理等功能较为成熟,在产品化领域优势较为明显。 0x03 漏洞详情 CVE-20
继续阅读漏洞预警 | 上海华测监测预警系统SQL注入漏洞
漏洞预警 | 上海华测监测预警系统SQL注入漏洞 浅安 浅安安全 2025-05-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 上海华测监测预警系统是一套科学完善的地质灾害监测预警平台,实现了地质灾害防治管理的科学化、信息化、标准化和可视化。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 上
继续阅读英特尔处理器“幽灵”漏洞防御机制再遭突破:分支预测竞争条件引发新型攻击
英特尔处理器“幽灵”漏洞防御机制再遭突破:分支预测竞争条件引发新型攻击 原创 网空闲话 网空闲话plus 2025-05-13 22:50 Theregister网站5月13日报道称,苏黎世联邦理工学院的研究团队在2025年5月披露了一项重大安全发现,揭示了英特尔处理器针对Spectre v2漏洞的硬件防御机制存在根本性缺陷。这项研究通过论文《Branch Privilege Injection:
继续阅读GNU Screen 多漏洞曝光,本地提权与终端劫持风险浮现
GNU Screen 多漏洞曝光,本地提权与终端劫持风险浮现 FreeBuf 2025-05-13 10:16 SUSE安全团队全面审计发现,广泛使用的终端复用工具GNU Screen存在一系列严重漏洞,包括可导致本地提权至root权限的缺陷。这些问题同时影响最新的Screen 5.0.0版本和更普遍部署的Screen 4.9.x版本,具体影响范围取决于发行版配置。 尽管GNU Screen是类U
继续阅读【勒索防护】Mallox新变种再度来袭,正利用产品漏洞对国内企业实施攻击
【勒索防护】Mallox新变种再度来袭,正利用产品漏洞对国内企业实施攻击 深盾终端实验室 深信服千里目安全技术中心 2025-05-13 10:15 恶意文件名称: Mallox 威胁类型: 勒索病毒 简单描述: Mallox勒索病毒首次出现于2021年10月,采用RaaS(勒索软件即服务)模式运营,将企业作为其攻击目标,利用产品漏洞阶段性实施大范围攻击。此次新变种于2024年10月底开始出现,其
继续阅读客户端漏洞在红蓝对抗中的挖掘与利用
客户端漏洞在红蓝对抗中的挖掘与利用 原创 白鵺实验室 京东安全应急响应中心 2025-05-13 10:08 客户端风险 背景概述 客户端软件是指在用户的设备上运行的程序,通常用于访问和与服务器进行交互。它们可以提供各种功能,包括数据处理、用户界面和网络连接。常见的客户端软件有办公软件(Office、WPS等),浏览器(Google Chrome, Safari等),邮箱(Microsoft Ou
继续阅读PoC 发布:CVE-2025-31644 漏洞利用通过设备模式命令注入授予 F5 BIG-IP 的 Root 访问权限
PoC 发布:CVE-2025-31644 漏洞利用通过设备模式命令注入授予 F5 BIG-IP 的 Root 访问权限 Ots安全 2025-05-13 09:41 F5 的 BIG-IP 系统在 Appliance 模式下运行,发现了一个高危漏洞,编号为 CVE-2025-31644。该漏洞可能允许经过身份验证的管理用户执行任意 bash 命令并获得 root 级访问权限。该漏洞由德勤的 Ma
继续阅读【漏洞复现】F5 BIG-IP IControl REST和TMSH 命令执行漏洞(CVE-2025-31644)
【漏洞复现】F5 BIG-IP IControl REST和TMSH 命令执行漏洞(CVE-2025-31644) 原创 安全探索者 安全探索者 2025-05-13 06:29 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。 app=”f5-BIGIP”
继续阅读高危漏洞预警:Apache Tomcat远程代码执行漏洞曝光!
高危漏洞预警:Apache Tomcat远程代码执行漏洞曝光! 原创 mag1c7 山石网科安全技术研究院 2025-05-13 05:45 Apache Tomcat曝出严重远程代码执行漏洞,攻击者可轻易控制服务器,你的系统安全吗? 在数字化时代,服务器的安全性是保障企业运营和用户数据安全的关键防线。然而,最近山石网科应急响应中心监测到一个严重的安全漏洞,Apache Tomcat的反序列化漏洞
继续阅读