GitHub MCP服务器漏洞使攻击者可访问私有代码库
GitHub MCP服务器漏洞使攻击者可访问私有代码库 网络安全与人工智能研究中心 2025-05-30 12:36 Part01 漏洞概述 GitHub广泛使用的模型上下文协议(Model Context Protocol,MCP)服务器被发现存在严重安全漏洞,攻击者可通过恶意提示注入(prompt injection)手段获取私有代码库数据。该漏洞影响所有使用GitHub MCP集成的代理系统
继续阅读标签: SQL注入
【攻防实战】ThinkPHP-RCE集锦
【攻防实战】ThinkPHP-RCE集锦 原创 儒道易行 儒道易行 2025-05-30 12:00 善恶终有报,天道好轮回;不信抬头看,苍天饶过谁 ThinkPHP 2.x RCE漏洞 0、漏洞描述 ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由: $res = preg_replace(‘@(\w+)’.$depr.'([^’.$depr.’\/]+)@e’,
继续阅读GitHub MCP 漏洞:通过 MCP 访问私有仓库
GitHub MCP 漏洞:通过 MCP 访问私有仓库 Ots安全 2025-05-30 10:06 我们展示了 GitHub 官方 MCP 服务器的一个严重漏洞,该漏洞允许攻击者访问私有存储库数据。该漏洞是 Invariant 用于检测恶意代理流的安全分析器首次发现的漏洞之一。 Invariant 发现了一个影响广泛使用的GitHub MCP 集成(GitHub 上 1.4 万颗星)的严重漏洞。
继续阅读荐读丨连锁反应:海上网络的安全漏洞
荐读丨连锁反应:海上网络的安全漏洞 工业安全产业联盟平台 2025-05-30 10:02 2023年5月,微软在关岛基地(美国太平洋行动的关键节点)检测到恶意软件攻击美国关键基础设施。该攻击手法简单,若未被发现,黑客可能成功篡改工具和命令。2024年初,美国对伊朗(据称)间谍船“贝沙德号”成功实施网络攻击。尽管公开信息有限,但攻击目的明确:阻止其与胡塞武装的情报共享。消息人士还透露,近期对某主要
继续阅读信息安全漏洞周报【第024期】
信息安全漏洞周报【第024期】 零零捌信安观察 银天信息 2025-05-30 07:40 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读金华迪加 现场大屏互动系统 ajax_act_set_bgmusic.php SQL注入漏洞
金华迪加 现场大屏互动系统 ajax_act_set_bgmusic.php SQL注入漏洞 Superhero Nday Poc 2025-05-30 03:37 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞
继续阅读用友NC expertschedule SQL注入漏洞
用友NC expertschedule SQL注入漏洞 Superhero Nday Poc 2025-05-30 02:38 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 用友NC expertsched
继续阅读AyySSHush:利用华硕已修复漏洞组建僵尸网络的间谍技术
AyySSHush:利用华硕已修复漏洞组建僵尸网络的间谍技术 会杀毒的单反狗 军哥网络安全读报 2025-05-30 01:01 导读 威胁情报公司 GreyNoise 周三揭露了一项隐形恶意软件活动,该活动自3 月中旬以来将数千个面向互联网的华硕家庭和小型办公室路由器转变为后门节点。 总部位于华盛顿的 GreyNoise 公司在与政府和行业合作伙伴协调的一份咨询报告中表示,身份不明的攻击者正在结
继续阅读Ivanti漏洞被利用进行链式攻击,英国NHS医疗数据面临风险
Ivanti漏洞被利用进行链式攻击,英国NHS医疗数据面临风险 汇能云安全 2025-05-30 01:00 5月30日,星期五,您好!中科汇能与您分享信息安全快讯: 01 威胁行为者冒充知名电子签名平台发起钓鱼攻击,窃取企业数据 网络犯罪分子正越来越多地利用电子签名平台DocuSign发起复杂的钓鱼活动,旨在窃取企业凭证和敏感数据。DocuSign拥有全球1.6亿客户,包括95%的财富500强企
继续阅读漏洞预警 | 银达汇智智慧综合管理平台SQL注入漏洞
漏洞预警 | 银达汇智智慧综合管理平台SQL注入漏洞 浅安 浅安安全 2025-05-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 银达汇智智慧综合管理平台是福建银达汇智信息科技股份有限公司推出的,融合先进信息技术,面向多行业打造的综合性管理系统,能整合门禁、考勤、消费、停车场等多场景应用,以 “一卡、一库、一网”实现
继续阅读漏洞预警 | 万户ezOFFICE SQL注入漏洞
漏洞预警 | 万户ezOFFICE SQL注入漏洞 浅安 浅安安全 2025-05-30 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 万户ezOFFICE协同管理平台是一个综合信息基础应用平台分为企业版和政务版。解决方案由五大应用、两个支撑平台组成,分别为知识管理、工作流程、沟通交流、辅助办公、集成解决方案及应用支撑平台、
继续阅读Sirius 一款开源通用漏洞扫描器(Docker版)|漏洞探测
Sirius 一款开源通用漏洞扫描器(Docker版)|漏洞探测 makoto56 渗透安全HackTwo 2025-05-29 16:01 0x01 工具介绍 天狼星(Sirius)是一款高效的开源漏洞扫描工具,支持Docker快速部署,提供Web界面、API接口和自动化扫描功能。适用于企业安全团队、渗透测试人员及开发者,帮助发现并修复系统漏洞,快速检测SQL注入、XSS、弱口令等常见漏洞。5分
继续阅读一处价值 $2500 的 DOM XSS 漏洞
一处价值 $2500 的 DOM XSS 漏洞 原创 骨哥说事 骨哥说事 2025-05-29 16:01 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4389 **不想错过任何消息?设置星标↓ ↓ ↓ 概
继续阅读Panalog大数据日志审计系统sprog_upstatus.php存在SQL注入漏洞
Panalog大数据日志审计系统sprog_upstatus.php存在SQL注入漏洞 HK安全小屋 2025-05-29 14:56 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: panalog为一款流量分析,日志分析管理的一
继续阅读恶意软件藏身AI模型,专门针对阿里巴巴AI实验室用户;OneDrive文件选择器漏洞让应用获取用户云存储完整访问权限 | 牛览
恶意软件藏身AI模型,专门针对阿里巴巴AI实验室用户;OneDrive文件选择器漏洞让应用获取用户云存储完整访问权限 | 牛览 安全牛 2025-05-29 10:26 新闻速览 •工信部等三部门印发《电子信息制造业数字化转型实施方案》 •恶意软件藏身AI模型,专门针对阿里巴巴AI实验室用户 •数据经纪巨头LexisNexis遭遇数据泄露,超36.4万用户敏感信息泄露 •威胁行为者冒充知名电子签名
继续阅读java代码执行(eval)
java代码执行(eval) 原创 珂字辈 珂技知识分享 2025-05-29 10:02 一、 EL String payload1 = "Runtime.getRuntime().exec(‘calc’)"; ELProcessor eLProcessor = new javax.el.ELProcessor(); eLProcessor.eval(payload1);
继续阅读代码审计Sign加密到前台SQL注入漏洞
代码审计Sign加密到前台SQL注入漏洞 小趴菜网安学习路 2025-05-29 09:18 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 这个项目之前自己已经审计过了,拿到了前台rce也成功给学员交差了,但是今天自己重新进行分析的时候发现了一个新的前台注入点,写出来分享分
继续阅读不同视角学习Java代码审计之文件读取漏洞
不同视角学习Java代码审计之文件读取漏洞 闪石星曜CyberSecurity 2025-05-29 08:58 声明:文章涉及网络安全技术仅作为学习,从事非法活动与作者无关! 本篇为代码审计系列任意文件读取基础理论篇第三篇,看完本篇你将掌握关于文件读取漏洞的代码视角原理剖析、基础挖掘漏洞核心能力,看完如有技术错误欢迎评论区指正。 – 漏洞原理 业务视角DEMO代码 漏洞校验DEMO代
继续阅读SSRF漏洞详细讲解:攻击者是怎么“骗”服务器发起请求的
SSRF漏洞详细讲解:攻击者是怎么“骗”服务器发起请求的 AegisGuard AegisGuard 2025-05-29 05:58 免责声明 合法使用原则:文中提及的技术、工具或案例,仅用于授权范围内的安全测试、防御研究或合规技术分享,未经授权的网络攻击、数据窃取等行为均属违法,需承担法律责任。 风险自担与责任豁免:文章内容基于公开信息整理,不保证技术的准确性、完整性或适用性。读者需自行评估技
继续阅读北京警方通报:境外黑客组织利用ComfyUI漏洞对我实施攻击 | GitHub MCP服务器漏洞使攻击者可访问私有代码库
北京警方通报:境外黑客组织利用ComfyUI漏洞对我实施攻击 | GitHub MCP服务器漏洞使攻击者可访问私有代码库 e安在线 e安在线 2025-05-29 01:15 北京警方通报:境外黑客组织利用ComfyUI漏洞对我实施攻击 目前已有境外黑客组织利用ComfyUI漏洞对我网络资产实施网络攻击,伺机窃取重要敏感数据。 ComfyUI是一款AI绘图工具,专为图像生成任务设计,通过将深度学习
继续阅读《AI黑客时代:用DeepSeek构建智能渗透机器人,让漏洞验证自动化飞驰》
《AI黑客时代:用DeepSeek构建智能渗透机器人,让漏洞验证自动化飞驰》 原创 RCS-TEAM安全团队 小白嘿课 2025-05-29 01:13 引言 传统渗透测试中,80%时间耗费在信息收集和漏洞验证环节。本文将揭秘如何通过DeepSeek智能决策引擎 驱动Nmap和Metasploit,构建自动化攻击链,实现从网络发现到漏洞利用的全程无人化作战。**** PART.02 技术架构解析
继续阅读白盒Sign加密到前台SQL注入漏洞
白盒Sign加密到前台SQL注入漏洞 阿乐你好 2025-05-29 00:30 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 这个项目之前自己已经审计过了,拿到了前台rce也成功给学员交差了,但是今天自己重新进行分析的时候发现了一个新的前台注入点,写出来分享分享,里面还包
继续阅读漏洞预警 | 上讯信息运维管理审计系统注入漏洞
漏洞预警 | 上讯信息运维管理审计系统注入漏洞 浅安 浅安安全 2025-05-29 00:01 0x00 漏洞编号 – # CNVD-2025-07703 0x01 危险等级 – 高危 0x02 漏洞概述 上讯信息技术股份有限公司的InforCube运维管理审计系统是以 ITSM2.0为基准,融合DevSecOps、AIOps等新兴技术与信息安全理念,包含用户统一身份管理
继续阅读紧急警报!Mimo黑客利用Craft CMS高危漏洞发动双重攻击:挖矿劫持+流量窃取
紧急警报!Mimo黑客利用Craft CMS高危漏洞发动双重攻击:挖矿劫持+流量窃取 原创 道玄安全 道玄网安驿站 2025-05-28 23:00 “ 挖矿。” PS:有内网web自动化需求可以私信 01 — 导语 一场针对全球网站管理员的隐秘攻击正在上演 。知名黑客组织”Mimo”近期利用Craft CMS中的高危漏洞(CVE-2025-32432),向数千台服务器同
继续阅读【AI高危漏洞预警】LLama-Index CLI命令执行漏洞(CVE-2025-1753)
【AI高危漏洞预警】LLama-Index CLI命令执行漏洞(CVE-2025-1753) cexlife 飓风网络安全 2025-05-28 14:34 漏洞描述: LLаmа-Indех CLI版本v0.12.20包含一个OS命令注入漏洞,该漏洞源于对–filеѕ参数的不当处理,该参数直接传递给оѕ.ѕуѕtеm如果攻击者控制了此参数的内容,可以注入并执行任意ѕhеll命令,如果
继续阅读GitHub MCP Server漏洞:通过MCP访问私有仓库
GitHub MCP Server漏洞:通过MCP访问私有仓库 玄月调查小组 2025-05-28 11:10 TL;DR Invariant近日发现了https://github.com/github/github-mcp-server的一个注入漏洞。攻击者可以通过创建恶意Issue劫持agent,从而泄露私有仓库数据。 攻击场景 用户拥有两个权限不同的仓库: – /public-r
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第21期,总第39期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第21期,总第39期] 原创 安钥 方桥安全漏洞防治中心 2025-05-28 10:36 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读NASA开源软件被曝存在多个安全漏洞;提示注入威胁:GitHub MCP服务器漏洞允许攻击者访问私有代码库 | 牛览
NASA开源软件被曝存在多个安全漏洞;提示注入威胁:GitHub MCP服务器漏洞允许攻击者访问私有代码库 | 牛览 安全牛 2025-05-28 09:43 新闻速览 •《喜马拉雅》《好大夫在线》等63款APP因违法违规收集使用个人信息被通报 •美国政府启动NIST国家漏洞数据库审计,解决积压问题 •伊朗黑客认罪参与RobbinHood勒索软件攻击,面临30年刑期 •GitHub成为欧洲恶意软件
继续阅读Mimo 回归:CVE-2025-32432 被用于加密货币挖矿和代理软件活动
Mimo 回归:CVE-2025-32432 被用于加密货币挖矿和代理软件活动 Ots安全 2025-05-28 06:35 Sekoia 最新的威胁情报报告揭露了一起针对 CVE-2025-32432 的攻击活动。CVE-2025-32432 是一个影响 Craft CMS 平台的严重未经身份验证的远程代码执行 (RCE) 漏洞。此次攻击的幕后黑手是 Mimo 或 Hezb,他们部署了一套由 W
继续阅读网络安全漏洞扫描:别再迷信工具,先搞懂这些事儿!
网络安全漏洞扫描:别再迷信工具,先搞懂这些事儿! 龙哥网络安全 龙哥网络安全 2025-05-28 03:53 壹:漏洞扫描?别当成万能药! 漏洞扫描,听起来像是网络安全的“一键体检”,用各种工具对着你的系统一顿扫,然后告诉你哪儿有问题,该吃什么药。但如果真这么简单,还要安全工程师干嘛?说白了,漏洞扫描就是基于已知的CVE、CNVD、CNNVD这些“病历本”,用工具去“对症下药”,看看你的网络设备
继续阅读