【漏洞通告】PostgreSQL SQL注入漏洞(CVE-2025-1094)
【漏洞通告】PostgreSQL SQL注入漏洞(CVE-2025-1094) 原创 NS-CERT 绿盟科技CERT 2025-02-20 10:27 通告编号:NS-2025-0009 2025-02-20 TAG: PostgreSQL、SQL注入、CVE-2025-1094 漏洞危害: 攻击者利用此漏洞,可实现SQL注入。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Post
继续阅读标签: SQL注入
Apache Ignite 严重漏洞可导致RCE
Apache Ignite 严重漏洞可导致RCE do son 代码卫士 2025-02-20 10:05 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 用于高性能计算的热门开源分布式数据库 Apache Ignite 中存在一个高危漏洞 (CVE-2024-52577),CVSS评分为9.5,可导致远程攻击者在易受攻击的 Ignite 服务器上执行任意代码。 该漏洞影响 Apache I
继续阅读Mongoose 搜索注入漏洞 CVE-2024-53900 到 CVE-2025-23061
Mongoose 搜索注入漏洞 CVE-2024-53900 到 CVE-2025-23061 原创 标准云 蚁景网络安全 2025-02-20 09:40 漏洞简介 CVE-2024-53900 Mongoose 8.8.3、7.8.3 和 6.13.5 之前的版本容易受到 $where 运算符不当使用的影响。此漏洞源于 $where 子句能够在 MongoDB 查询中执行任意 JavaScri
继续阅读创宇安全智脑 | 科立讯指挥调度管理平台 set_extension_status.php SQL注入等88个漏洞可检测
创宇安全智脑 | 科立讯指挥调度管理平台 set_extension_status.php SQL注入等88个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-02-20 09:20 创宇安全智脑是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃
继续阅读用友NC FormulaViewAction SQL注入漏洞
用友NC FormulaViewAction SQL注入漏洞 Superhero nday POC 2025-02-20 08:00 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章
继续阅读.NET 通过代码审计发现某 OA 系统全局性权限访问绕过漏洞
.NET 通过代码审计发现某 OA 系统全局性权限访问绕过漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-20 00:28 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项全局绕过漏洞的发现引起了广泛关注。该漏洞源自 两个组件的协同作用,攻击者只需构造一个特定的URL请求,便能实现对任意接口的未授权访问。 01. OA系统漏洞背景 某和OA协同办
继续阅读停车场后台管理系统 LaneMonitor/GetVideo SQL注入漏洞
停车场后台管理系统 LaneMonitor/GetVideo SQL注入漏洞 Superhero Nday Poc 2025-02-19 10:10 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我
继续阅读OpenSSH 新漏洞使SSH服务器易受中间人和DoS 攻击
OpenSSH 新漏洞使SSH服务器易受中间人和DoS 攻击 Bill Toulas 代码卫士 2025-02-19 10:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 OpenSSH 发布安全更新,修复了一个中间人攻击和一个拒绝服务 (DoS) 漏洞,其中一个在十几年前就被引入。 这两个漏洞由 Qualys 公司发现,该公司还向OpenSSH的维护人员演示了其可利用性。OpenSS
继续阅读信息安全漏洞周报(2025年第7期)
信息安全漏洞周报(2025年第7期) 原创 CNNVD CNNVD安全动态 2025-02-19 06:26 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年2月10日至2025年2月16日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞945个。 接报漏洞情况 本周CNNVD接报漏洞7117个,其中信息技术产品漏洞(通用型漏洞)381个,
继续阅读【红队】geoserver图形化漏洞利用工具
【红队】geoserver图形化漏洞利用工具 netuser 贝雷帽SEC 2025-02-19 01:52 免责声明 本公众号所提供的文字和信息仅供学习和研究使用, 请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任 。 工具来自网络,安全性自测,如有侵权请联系删除。 工具介绍 CVE-2024-36401漏洞图形化利用工具,功能包含
继续阅读PowerShell 漏洞 — 现代 APT 及其恶意脚本策略
PowerShell 漏洞 — 现代 APT 及其恶意脚本策略 hai dragon 安全狗的自我修养 2025-02-18 23:19 介绍图片 (我非常不擅长编辑图片 ^_^ ) 你好在本博客中,我们将从 PowerShell 简介开始,解释为什么它是 Red Teamer 最喜欢的工具。从那里,我们将探索它的内存加载功能并详细研究 AMSI(反恶意软件扫描接口),包括它如何深入运行。然后,我
继续阅读漏洞预警 用友 UFIDA NC portal/pt/office/checkekey 接口存在 SQL 注入漏洞
漏洞预警 用友 UFIDA NC portal/pt/office/checkekey 接口存在 SQL 注入漏洞 2025-2-18更新 南风漏洞复现文库 2025-02-18 22:12 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1
继续阅读【漏洞预警】ChurchCRM系统中通过EditEventTypes.php文件的newCountName参数进行SQL注入漏洞
【漏洞预警】ChurchCRM系统中通过EditEventTypes.php文件的newCountName参数进行SQL注入漏洞 cexlife 飓风网络安全 2025-02-18 13:05 漏洞描述: 在ChurсhCRM5.13.0及之前的版本中存在一个漏洞,允许攻击者通过利用EditEvеntTуреѕ功能中基于时间的盲SQL注入漏洞来执行任意SQL查询,nеԝCоuntNаmе参数未经适
继续阅读常见WEB漏洞—SQL 注入
常见WEB漏洞—SQL 注入 网安探索员 网安探索员 2025-02-18 12:02 SQL 注入(SQL Injection)是一种常见的 Web 应用程序安全漏洞,黑客通过在输入字段中插入恶意 SQL 代码,操纵数据库查询,从而窃取、篡改或删除数据,甚至控制整个数据库系统。以下是 SQL 注入漏洞的总结: 1. 原理 漏洞根源 :应用程序未对用户输入进行严格的验证和过滤,直接将输入拼接到 S
继续阅读ChatGPT Operator 遭提示注入攻击,泄露用户隐私数据
ChatGPT Operator 遭提示注入攻击,泄露用户隐私数据 AI小蜜蜂 FreeBuf 2025-02-18 11:10 OpenAI 为 ChatGPT Pro 用户打造的前沿研究预览工具 ChatGPT Operator,近来因一个严重漏洞引发关注。该漏洞可通过提示注入攻击,致使敏感个人数据面临泄露风险。 ChatGPT Operator 是一款功能强大的先进 AI 代理,具备网页浏览
继续阅读VeraCore 两个0day漏洞被用于实施供应链攻击
VeraCore 两个0day漏洞被用于实施供应链攻击 Rob Wright 代码卫士 2025-02-18 10:12 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员在仓库管理软件平台 VeraCore 中发现了两个遭活跃利用的0day漏洞。Intezer 和 Solis Security 公司的安全研究员发现网络犯罪团伙 XE Group 利用这两个漏洞,早在2020年就攻陷制
继续阅读【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?
【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些? 原创 醉墨离 泷羽Sec-醉陌离 2025-02-18 09:29 🌟【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?🔐 刚入门网络安全?别慌!用点外卖都能看懂的比喻,带你轻松掌握高危漏洞原理!(文末送新手工具包) 🍔 Top1 注入攻击:像篡改外卖订单的”加料黑客”
继续阅读雷神众测漏洞周报2024.2.10-2024.2.16
雷神众测漏洞周报2024.2.10-2024.2.16 原创 雷神众测 雷神众测 2025-02-18 09:15 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读【漏洞与预防】远程代码执行漏洞预防
【漏洞与预防】远程代码执行漏洞预防 原创 solarsec solar应急响应团队 2025-02-18 07:00 1.典型案例 本次案例参考去年6月期间TellYouThePass勒索病毒家族常用的攻击手法,具体详情可参考【紧急警示】Locked勒索病毒利用最新PHP远程代码执行漏洞大规模批量勒索!文末附详细加固方案 2.场景还原 2.1场景设置 攻击者利用CVE-2024-4577远程代码执
继续阅读不要只卷Web安全,硬件安全值得推荐
不要只卷Web安全,硬件安全值得推荐 WIN哥学安全 2025-02-18 06:53 关注我们丨文末赠书 近年来,国家出台了一系列政策、安全标准和规范来支持网络安全产业发展,强调加强网络安全体系保障与能力建设, 要求企业加强硬件设备的安全防护措施,确保设备的安全性和可靠性。同时,数字化转型持续加速,国产化信息技术创新软硬件产品逐渐普及,各行业企业不断扩大硬件安全领域投入。2024年中国网络安全硬
继续阅读用友NC checkekey SQL 注入漏洞(XVE-2024-37013)
用友NC checkekey SQL 注入漏洞(XVE-2024-37013) Superhero nday POC 2025-02-18 03:15 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读蓝凌EIS智慧协同平台 fi_message_receiver.aspx SQL注入漏洞(CVE-2025-22214)
蓝凌EIS智慧协同平台 fi_message_receiver.aspx SQL注入漏洞(CVE-2025-22214) Superhero nday POC 2025-02-18 02:04 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成
继续阅读实战 | EDU 某些985/211证书站 (漏洞挖掘)
实战 | EDU 某些985/211证书站 (漏洞挖掘) 湘安无事 2025-02-17 23:04 声明 漏洞已上报至相关漏洞平台并已经修复,文中敏感信息均已做打码处理,请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本公众号及本人无关 前言 平时偶然挖一下edu,也有些许收获,索性抽空时间写下这篇文章,分享一下思路,希望此篇文章能给各位师傅一些技术提升的帮助, 文中若有疏漏或不当之处
继续阅读Aboutxxl-job最新漏洞利用工具(2月14日更新)
Aboutxxl-job最新漏洞利用工具(2月14日更新) charonlight Web安全工具库 2025-02-17 16:00 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权
继续阅读Go语言ssti漏洞
Go语言ssti漏洞 船山信安 2025-02-17 16:00 简介 SSTI 漏洞是一种通过不安全地处理模板引擎输入而导致的漏洞。攻击者利用 SSTI 漏洞,可以注入恶意代码或表达式到模板引擎中,从而在服务器上执行任意代码,或获取敏感数据。Go中常用的模板引擎如 html/template 和 text/template ,如果使用不当,可能会导致 SSTI 漏洞。 Go中的模板引擎 Go语
继续阅读上周关注度较高的产品安全漏洞(20250210-20250216)
上周关注度较高的产品安全漏洞(20250210-20250216) 原创 CNVD CNVD漏洞平台 2025-02-17 10:16 一、境外厂商产品漏洞 1、Hitachi Energy RTU500 series CMU Firmware跨站脚本漏洞**** RTU500是日本日立制作所(Hitachi)公司的一系列工控组件,主要用于工业控制系统。Hitachi Energy RTU500
继续阅读每周网安资讯 (2.11-2.17)|Jsish存在跨界内存写漏洞
每周网安资讯 (2.11-2.17)|Jsish存在跨界内存写漏洞 交大捷普 2025-02-17 10:14 2024[ 每周网安资讯 ]2.11-2.17 网安资讯 1、市场监管总局公开征求《标准数字化标准体系建设指南 (征求意见稿)》意见 为深入贯彻落实党中央、国务院关于推动标准化工作向数字化、网络化、智能化转型的决策部署,实施《国家标准化发展纲要》和《质量强国建设纲要》,充分发挥标准的基础
继续阅读04 漏洞从哪里来?——认知局限
04 漏洞从哪里来?——认知局限 原创 Richard 方桥安全漏洞防治中心 2025-02-17 09:01 软件安全漏洞的根源不仅是技术缺陷,更是人类认知局限的后果 。 复杂的多层架构(如Log4j2漏洞)和滞后的技术认知(如HTTP明文传输)进一步扩大了攻击面。 开发人员 缺乏安全编码训练(如输入验证不足)、 管理者 业务优先级偏差(如安全投入不足)以及 认知盲区的叠加, 正是 安全漏洞 的
继续阅读原创 Paper | Zyxel Telnet 漏洞分析(CVE-2025-0890、CVE‑2024‑40891)
原创 Paper | Zyxel Telnet 漏洞分析(CVE-2025-0890、CVE‑2024‑40891) 原创 404实验室 知道创宇404实验室 2025-02-17 07:25 作者:fan@知道创宇404实验室 时间:2025年2月14日 1.前言 参考资料 这是2025年开年分析的第一个洞。2月4日 Zyxel 发布安全公告,旗下部分旧款 DSL 客户终端设备(CPE)存在严重
继续阅读