2025上半年最需要关注的80+高危漏洞!
2025上半年最需要关注的80+高危漏洞! 原创 微步情报局 微步在线研究响应中心 2025-03-07 08:29 当2025的阳光爬上机房的玻璃窗,攻击者的漏洞同样追着光登场。 微步情报局从 漏洞活跃程度、利用难易度、影响面、实网攻击行为情况 等多个维度,梳理出2025年 80+最需要各位师傅关注的高危漏洞 ,涵盖 应用系统、中间件、数据库、操作系统,大模型、安全产品 等关键对象,99%都是R
继续阅读标签: SQL注入
金和OA-C6系统接口IncentivePlanFulfillAppprove.aspx存在SQL注入漏洞
金和OA-C6系统接口IncentivePlanFulfillAppprove.aspx存在SQL注入漏洞 Superhero Nday Poc 2025-03-06 21:13 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担
继续阅读车载Android系统破解工具和漏洞挖掘浅析
车载Android系统破解工具和漏洞挖掘浅析 sec0nd安全 2025-03-05 22:19 鸿蒙APP逆向分析工具和方法 Root检测绕过(文件系统虚拟化) DeepSeek辅助研究魔改LSPosed Hook框架 车载Android系统破解工具和漏洞挖掘方法 针对车载Android系统破解工具及漏洞挖掘方法的系统性总结,结合当前主流技术实践与安全研究,分工具分类、漏洞挖掘方法及风险注意事项
继续阅读第22周更新: 反序列化漏洞(三)ThinkPHP反序列链分析 | CTF训练营-Web篇
第22周更新: 反序列化漏洞(三)ThinkPHP反序列链分析 | CTF训练营-Web篇 看雪课程 看雪学苑 2025-03-05 18:00 第二十二周: 反序列化漏洞(三)ThinkPHP反序列链分析 本周我们将对ThinkPHP框架中的反序列化链做一个分析讲解。经过本周的学习,同学们将掌握基础的框架反序列化链的挖掘。 今日更新: 第一章 ThinkPHP 框架的反序列化漏洞分析与挖掘思路
继续阅读【安全圈】苹果 macOS 虚拟机应用 Parallels Desktop 曝漏洞未修补完全
【安全圈】苹果 macOS 虚拟机应用 Parallels Desktop 曝漏洞未修补完全 安全圈 2025-03-04 19:01 关键词 漏洞 安全研究员 Mykola Grymalyuk 去年曝光苹果 macOS 平台广受好评的 Parallels Desktop 虚拟机软件存在一项编号为 CVE-2024-34331 的提权漏洞。 尽管 Parallels 在当年 4 月便已着手处理,并
继续阅读CISA漏洞目录竟成勒索攻击“灵感”?28%漏洞被利用;新型网络钓鱼活动滥用微软SharePoint部署Havoc后门 | 牛览
CISA漏洞目录竟成勒索攻击“灵感”?28%漏洞被利用;新型网络钓鱼活动滥用微软SharePoint部署Havoc后门 | 牛览 安全牛 2025-03-04 18:07 点击蓝字·关注我们 / aqniu 新闻速览 •TikTok和Reddit等社交平台在英国受调查,涉嫌侵犯儿童隐私 •CISA漏洞目录竟成勒索攻击“灵感”?28%漏洞被利用 •CISA警告:思科小型企业路由器漏洞遭在野利用
继续阅读CISA 提醒注意已遭利用的 Windows 和思科漏洞
CISA 提醒注意已遭利用的 Windows 和思科漏洞 Sergiu Gatlan 代码卫士 2025-03-04 17:31 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA 提醒美国联邦机构保护系统免受利用思科和Windows 系统漏洞的攻击。 CISA 已将这些漏洞标记为已遭在野利用,不过尚未提供关于该恶意活动及其幕后黑手的具体详情。 第一个漏洞 (CVE-2023-2011
继续阅读雷神众测漏洞周报2025.2.24-2024.3.2
雷神众测漏洞周报2025.2.24-2024.3.2 原创 雷神众测 雷神众测 2025-03-04 16:45 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读行业内又一款知名的 .NET 分析工具爆出反序列化漏洞
行业内又一款知名的 .NET 分析工具爆出反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-04 08:20 在 .NET 中提供了丰富的状态管理机制,其中 ViewState 是最常见的一种。允许 Web 应用程序在页面回传时保持控件状态,无需依赖服务器端存储。然而,ViewState 的便利性也带来了潜在的安全风险——如果未正确配置,攻击者可能利用其反序列化漏洞,
继续阅读【漏洞预警】Git 终端提示信息注入+信息泄露漏洞
【漏洞预警】Git 终端提示信息注入+信息泄露漏洞 cexlife 飓风网络安全 2025-03-03 22:32 Git终端提示信息注入漏洞 漏洞描述: Git是一款快速、可扩展的分布式版本控制系统,拥有丰富的命令集,既能提供高级操作,也能让用户完全访问内部机制。当Git通过终端提示(即不使用任何凭证助手)请求凭证时,会打印出用户需要提供用户名和/或密码的主机名。此时,任何已解码的URL编码部分
继续阅读Ollama 漏洞检测工具及使用手册
Ollama 漏洞检测工具及使用手册 网络安全等保与关保 2025-03-03 22:27 Ollama 漏洞检测工具使用手册 简介 Ollama 漏洞检测工具是一个用于检测本地 Ollama 服务是否存在已知安全漏洞的 Python 脚本。该工具可以检测路径遍历漏洞、未授权访问、模型注入攻击和本地文件包含等安全问题。 作者 : 牛仔帽(niuzaimao) 系统要求 • Python 3.6 或
继续阅读上周关注度较高的产品安全漏洞(20250224-20250302)
上周关注度较高的产品安全漏洞(20250224-20250302) 原创 CNVD CNVD漏洞平台 2025-03-03 18:17 一、境外厂商产品漏洞 1、Google Android信息泄露漏洞(CNVD-2025-03652) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在信息泄露漏洞,该漏洞源于Sens
继续阅读ViewState再现漏洞:行业内又一款知名的 .NET 分析工具爆出反序列化漏洞
ViewState再现漏洞:行业内又一款知名的 .NET 分析工具爆出反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-03 08:20 在 .NET 中提供了丰富的状态管理机制,其中 ViewState 是最常见的一种。允许 Web 应用程序在页面回传时保持控件状态,无需依赖服务器端存储。然而,ViewState 的便利性也带来了潜在的安全风险——如果未正确配置,攻
继续阅读vulnhub靶场之【digitalworld.local系列】的bravery靶机
vulnhub靶场之【digitalworld.local系列】的bravery靶机 原创 whitehe 泷羽sec-何生安全 2025-03-03 00:30 前言 靶机:digitalworld.local-bravery ,IP地址为192.168.10.8 攻击:kali ,IP地址为192.168.10.6 kali 采用VMware 虚拟机,靶机采用virtualbox 虚拟机,网卡
继续阅读漏洞预警 | SeaCMS海洋影视管理系统SQL注入漏洞
漏洞预警 | SeaCMS海洋影视管理系统SQL注入漏洞 浅安 浅安安全 2025-03-03 00:01 0x00 漏洞编号 – # CVE-2025-25514 CVE-2025-25516 0x01 危险等级 – 高危 0x02 漏洞概述 海洋CMS是为解决站长核心需求而设计的内容管理系统,一套程序自适应电脑、手机、平板、APP多个终端入口,无任何加密代码、安全有保障
继续阅读VxWorks设备分析与漏洞挖掘
VxWorks设备分析与漏洞挖掘 船山信安 2025-03-02 18:00 笔者最近研究作为实时操作系统Vxworks,Vxworks不仅搭载在一些工控系统上,也搭载在路由器上的,所以就以路由器的挖掘描述Vxworks在怎么样去分析挖掘,本文以TPLink。 2.固件获取 通过TPlink官网获取固件 https://resource.tp-link.com.cn/ 以TL-WDR7660路由器
继续阅读PingAM Java存在未经授权的访问权限漏洞CVE-2025-20059
PingAM Java存在未经授权的访问权限漏洞CVE-2025-20059 网安百色 2025-03-02 11:31 点击上方 蓝字 关注我们吧~ Ping Identity 针对其 PingAM Java 代理发布了紧急安全公告,揭示了一个严重性为极高的漏洞 (CVE-2025-20059),该漏洞使攻击者能够绕过策略实施机制并未经授权访问受保护的资源。 该漏洞被归类为相对路径遍历弱点 (C
继续阅读应用安全不仅仅是漏洞
应用安全不仅仅是漏洞 原创 tonghuaroot RedTeam 2025-03-02 10:36 应用安全不仅仅是漏洞,漏洞是驱动应用安全建设的有效抓手。 代码天生易错 核心理念:以系统可靠性为核心目标,兼顾控制验证与安全保障、安全漏洞治理的双重诉求。 应用开发天生具有复杂性。没有不存在漏洞的应用 。这些漏洞可能源自需求分析、设计阶段,也可能出现在实现及后续维护过程中,不同阶段的安全漏洞会引发
继续阅读利用 AIxCC Nginx 漏洞:第一部分
利用 AIxCC Nginx 漏洞:第一部分 Ots安全 2025-03-02 07:23 这篇博文将分析Nginx AIxCC 中时间安全漏洞的可利用性。 AIxCC是 DARPA 的一项竞赛,旨在使用 AI 查找代码库中的漏洞。参赛者不是在寻找 0day 漏洞,而是故意在现有代码库中添加漏洞。其中之一就是半决赛中的Nginx,该比赛已经结束。 在这篇博文中,我将从不同的角度关注这些增加的漏洞是
继续阅读记一次某大学的漏洞挖掘
记一次某大学的漏洞挖掘 原创 zkaq-徐来. 掌控安全EDU 2025-03-02 04:01 扫码领资料 获网安教程 本文由掌控安全学院 – 徐来. 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 宇宙免责声明!!! 本文涉及的相关漏洞均已修复、本文中技术和方法仅用于教育目的;文中讨论的所有案例和技术均旨在帮助读者更好地理解
继续阅读实战一次完整的博彩渗透测试
实战一次完整的博彩渗透测试 WK安全 2025-03-02 01:02 技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!! 一、信息收集 1.锁定网站:xx.
继续阅读漏洞挖掘小工具 — SeeMore(3月1日更新)
漏洞挖掘小工具 — SeeMore(3月1日更新) Bbdolt Web安全工具库 2025-03-01 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系
继续阅读黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告
黑客正在利用数百个网站的“Krpano”VR库中的反射型XSS漏洞,注入恶意脚本来劫持谷歌的搜索索引并大规模分发垃圾广告 Ots安全 2025-03-01 11:20 我是如何意外发现互联网上最常被利用的 XSS 漏洞之一的 我的故事开头可能和许多技术博客的读者一样熟悉——又是一个独自坐在电脑前,平淡无奇的夜晚。出于纯粹的学习目的,我打开了一个 Chrome 隐身窗口,进入 Google,输入了“
继续阅读CVE-2025-25065|Zimbra存在SSRF漏洞
CVE-2025-25065|Zimbra存在SSRF漏洞 alicy 信安百科 2025-03-01 10:01 0x00 前言 Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。 Zimbra的核心产品是Zimbra协作套件(Zimbr
继续阅读CVE-2025-26794|Exim存在SQL注入漏洞
CVE-2025-26794|Exim存在SQL注入漏洞 alicy 信安百科 2025-03-01 10:01 0x00 前言 Exim是基于GPL协议的开源软件,由英国剑桥大学的Philip Hazel开发。Exim 是一个MTA(邮件传输代理) ,负责邮件的路由,转发和投递。Exim可运行于绝大多数的类 UNIX 系统上,包括了 Solaris、AIX、Linux 等。 0x01 漏洞描述
继续阅读【安全预警】Hisense-智能公交企业管理系统 AdjustWorkHours.aspx 存在SQL注入漏洞
【安全预警】Hisense-智能公交企业管理系统 AdjustWorkHours.aspx 存在SQL注入漏洞 hyuya 安全卫士小帮手 2025-03-01 05:32 来源:https://www.ddpoc.com/DVB-2024-8494.html 产商已修复,未更新补丁的请及时更新补丁,验证脚本和方式星球内自取
继续阅读审计分析 | 一套”组合拳”造成文件上传漏洞
审计分析 | 一套”组合拳”造成文件上传漏洞 实战安全研究 2025-03-01 02:00 免责声明 由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负 责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除 并致歉。谢谢! 本文是记录一次利用”组合拳”拿下OA系统文
继续阅读工具集:Java Chains【 Java 漏洞利用综合生成平台】
工具集:Java Chains【 Java 漏洞利用综合生成平台】 wolven 风铃Sec 2025-03-01 01:20 工具介绍 Java-Chains 是一个 Java Payload 生成与漏洞利用 Web 平台,便于广大安全研究员快速生成 Java Payload,以及对 JNDI 注入、MySQL JDBC 反序列化、JRMP 反序列化等漏洞进行方便快速测试,能够在一定程度上提高
继续阅读【漏洞复现】可以白嫖别人的AI模型了?你的被白嫖了吗(Ollama)
【漏洞复现】可以白嫖别人的AI模型了?你的被白嫖了吗(Ollama) 小C学安全 小C学安全 2025-03-01 00:06 免责申明 本公众号的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本
继续阅读漏洞预警 | 金和OA SQL注入漏洞
漏洞预警 | 金和OA SQL注入漏洞 浅安 浅安安全 2025-03-01 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 金和网络是专业信息化服务商,为城市监管部门提供了互联网+监管解决方案,为企事业单位提供组织协同OA系统开发平台,电子政务一体化平台,智慧电商平台等服务。 0x03 漏洞详情 漏洞类型: SQL注入 影
继续阅读