常见的信息泄露漏洞挖掘(第二部分)
常见的信息泄露漏洞挖掘(第二部分) 原创 LA安全 LA安全实验室 2025-05-09 01:02 哈喽,各位大佬们! 上次的信息泄露漏洞文章被各位点赞,我感动得差点把键盘敲出火星子🔥!为了报答大家的厚爱,我写出了第二弹——这次可是干货满满(其实漏洞很好挖掘),包教包会,学不会算我输! PS: 文末送小工具,手快有,手慢无哦~ 报错页面信息泄漏 这个就是咱们在正常测试的时候,通过输入一些特殊的字
继续阅读标签: SQL注入
漏洞预警 | Unibox路由器命令注入漏洞
漏洞预警 | Unibox路由器命令注入漏洞 浅安 浅安安全 2025-05-09 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 Unibox路由器是一款由Wifisoft公司推出的,专为小型场所如咖啡馆、餐厅、小型酒店、培训机构、小办公室和公共Wi-Fi热点等设计的智能接入控制器,它集成了全面的计费和带宽管理功能,可帮助网
继续阅读AI的攻与防:基于大模型漏洞基因库的威胁狩猎与企业级纵深防御
AI的攻与防:基于大模型漏洞基因库的威胁狩猎与企业级纵深防御 船山信安 2025-05-08 18:02 前言 在数字化时代,人工智能(AI)技术的飞速发展无疑为各行各业带来了革命性的变化。然而,随着AI技术的广泛应用,网络安全风险也随之增加,成为我们必须直面的严峻挑战。本文将深入探讨AI发展带来的网络安全风险,以及我们如何应对这些挑战。 AI技术的发展与网络安全风险: AI技术的训练和应用需要大
继续阅读安全漏洞防治工作的挑战与解决方案:从CVE停更到可信计算环境构建
安全漏洞防治工作的挑战与解决方案:从CVE停更到可信计算环境构建 sec0nd安全 2025-05-08 16:29 01 CVE停更对安全漏洞防治工作的影响 1.1 “事实标准”会消失吗? CVE(Common Vulnerabilities and Exposures)作为全球漏洞管理的“事实标准”,自1999年运行以来,已成为漏洞识别、分类与共享的核心工具。其编号系统被广泛用于安全产品、威胁
继续阅读【安全圈】SonicWall SMA 100系列发现多个漏洞紧急安全更新
【安全圈】SonicWall SMA 100系列发现多个漏洞紧急安全更新 安全圈 2025-05-08 11:01 关键词 安全漏洞 SonicWall发布了安全公告,详细说明了影响其安全移动访问(SMA)100系列产品的多个漏洞。该咨询强调了三个重要的身份验证后漏洞,这些漏洞可能允许攻击者破坏受影响的系统。 vulnerabilities该咨询概述了以下关键漏洞: CVE-2025-32819:
继续阅读漏洞复现 || XWiki Platform系统远程代码执行
漏洞复现 || XWiki Platform系统远程代码执行 韩文庚 我爱林 2025-05-08 10:18 免责声明 我爱林攻防研究院的技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
继续阅读原力金智SRC上线漏洞盒子 | 「企业SRC」新住客
原力金智SRC上线漏洞盒子 | 「企业SRC」新住客 漏洞盒子 2025-05-08 10:03 oi!—— 节后上班摸鱼的你,别划了! 本蛙要给大家介绍一位新朋友 在本蛙的度假旅程中 从扫码买单到人脸验证 这位朋友始终一路随行 提供24小时在线的满满安全感 原力金智安全应急响应中心 入驻漏洞盒子啦! 让我们一起挖漏洞、补短板 共同守护金融智能的安全底线 01 / 漏洞提交地址 yljz.vulb
继续阅读信息安全漏洞周报(2025年第18期)
信息安全漏洞周报(2025年第18期) 原创 CNNVD CNNVD安全动态 2025-05-08 09:30 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年4月28日至2025年5月4日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞897个。 接报漏洞情况 本周CNNVD接报漏洞3303个,其中信息技术产品漏洞(通用型漏洞)192个,网络
继续阅读信息安全漏洞月报(2025年4月)
信息安全漏洞月报(2025年4月) 原创 CNNVD CNNVD安全动态 2025-05-08 09:30 点击蓝字 关注我们 漏洞态势 根据国家信息安全漏洞库(CNNVD)统计,2025年4月采集安全漏洞共4030个。 本月接报漏洞1598个,其中信息技术产品漏洞(通用型漏洞)1410个,网络信息系统漏洞(事件型漏洞)188个。漏洞平台推送漏洞69680个。 重大漏洞通报 Langflow 安全
继续阅读play勒索软件利用Windows零日漏洞入侵美国企业,系统权限遭全面窃取!
play勒索软件利用Windows零日漏洞入侵美国企业,系统权限遭全面窃取! 原创 道玄安全 道玄网安驿站 2025-05-08 04:00 “ 0day。” PS:有内网web自动化需求可以私信 01 — 导语 近期,安全研究机构Symantec披露,与Play勒索软件(又名PlayCrypt)关联的黑客组织Balloonfly,利用Windows系统高危零日漏洞 CVE-2025-29824
继续阅读【高危漏洞预警】Elastic Kibana需授权代码注入漏洞 (CVE-2025-25014)
【高危漏洞预警】Elastic Kibana需授权代码注入漏洞 (CVE-2025-25014) cexlife 飓风网络安全 2025-05-08 03:34 漏洞描述: Elastic发布安全公告,披露了可视化平台Kibana中的一个代码注入漏洞,该漏洞源于Kibana允许攻击者操控底层JavaScript 对象原型,攻击者通过注入恶意属性,进而覆盖应用逻辑,最终导致远程代码执行,官方已发布新
继续阅读【高危漏洞预警】Microsoft Azure AI Bot Service权限提升漏洞CVE-2025-30392
【高危漏洞预警】Microsoft Azure AI Bot Service权限提升漏洞CVE-2025-30392 cexlife 飓风网络安全 2025-05-08 03:34 漏洞描述: Azure Bot Framework SDK中的不当授权允许未经授权的攻击者通过网络提升权限,SDK无法对某些管理终端节点实施基于角色的检查,精心设计的API 调用允许低权限帐户继承更高范围的权限,从而实
继续阅读phpIPAM跨站脚本漏洞及解决方法(CNVD-2025-06929、CVE-2024-55093)
phpIPAM跨站脚本漏洞及解决方法(CNVD-2025-06929、CVE-2024-55093) 原创 护卫神 护卫神说安全 2025-05-08 00:44 phpIPAM 是一款开源的 Web 型 IP 地址管理(IPAM)工具,旨在简化 IP 地址、子网及 DNS 记录的管理。它支持 IPv4 和 IPv6,提供直观的用户界面,可轻松创建、编辑和分配 IP 地址,支持子网划分、掩码计算及
继续阅读漏洞预警 | 汉王e脸通智慧园区管理平台SQL注入漏洞
漏洞预警 | 汉王e脸通智慧园区管理平台SQL注入漏洞 浅安 浅安安全 2025-05-08 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 汉王e脸通综合管理平台是一个集生物识别、大数据、NFC射频、计算机网络、自动控制等技术于一体,通过“人脸卡”及关联信息实现多种功能智能管理,打造从云端到终端一体化应用,广泛应用于智慧园区
继续阅读【工具推荐】利用Burp Suite 插件进行文件上传Fuzz
【工具推荐】利用Burp Suite 插件进行文件上传Fuzz 小白爱学习Sec 2025-05-08 00:00 免责声明 本文旨在提供有关特定漏洞工具或安全风险的详细信息,以帮助安全研究人员、系统管理员和开发人员更好地理解和修复潜在的安全威胁,协助提高网络安全意识并推动技术进步,而非出于任何恶意目的。利用本文提到的漏洞信息或进行相关测试可能会违反法律法规或服务协议。 作者不对读者基于本文内容而
继续阅读紧急!SysAid On-Premise曝高危漏洞,未授权攻击可接管服务器!速修复!
紧急!SysAid On-Premise曝高危漏洞,未授权攻击可接管服务器!速修复! 原创 道玄安全 道玄网安驿站 2025-05-07 23:00 “ RCE又来了。” PS:有内网web自动化需求可以私信 01 — 导语 近日,IT服务管理平台SysAid On-Premise(本地部署版)被曝存在 4个高危漏洞 ,攻击者无需身份验证即可远程执行任意代码(RCE),直接控制目标服务器。安全团
继续阅读漏洞扫描工具 — ThinkPHPKiller(5月6日更新)
漏洞扫描工具 — ThinkPHPKiller(5月6日更新) enh123 Web安全工具库 2025-05-07 16:02 暗月渗透测试09漏洞学习与挖掘18课合集下载 链接:https://pan.quark.cn/s/b2a61afdacff =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此
继续阅读工具推荐 | MSSQL多功能集合命令执行利用工具
工具推荐 | MSSQL多功能集合命令执行利用工具 Mayter 星落安全团队 2025-05-07 16:00 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 一款针对Microsoft SQL Server的多功能安全测试工具,集成多种命令执行技术,支持: 1. 传统命令执行方式 1. xp
继续阅读SysAid 本地预授权 RCE 链(CVE-2025-2775 及其相关漏洞)- watchTowr 实验室
SysAid 本地预授权 RCE 链(CVE-2025-2775 及其相关漏洞)- watchTowr 实验室 Ots安全 2025-05-07 14:16 又过了一周,又出现了一个显然对勒索软件团伙有经验但在电子邮件方面却举步维艰的供应商。 在我们所看到的其他人所说的“watchTowr 处理”中,我们再次(令人惊讶地)披露了漏洞研究,该研究使我们能够针对另一个针对企业的产品获得预先认证的远程命
继续阅读CVE-2025-2905(CVSS 9.1):WSO2 API 管理器中发现严重 XXE 漏洞
CVE-2025-2905(CVSS 9.1):WSO2 API 管理器中发现严重 XXE 漏洞 柠檬赏金猎人 2025-05-07 13:26 📌 漏洞摘要 **** 漏洞编号 CVE-2025-2905 CVSS评分 9.1 (高危) 影响版本 WSO2 API Manager ≤2.0.0 漏洞类型 XML外部实体注入(XXE) 攻击复杂度 低 所需权限 无需认证 ### 🔍 漏洞成因 –
继续阅读【漏洞预警】Kibana 原型污染导致执行任意代码漏洞(CVE-2025-25014)
【漏洞预警】Kibana 原型污染导致执行任意代码漏洞(CVE-2025-25014) sec0nd安全 2025-05-07 13:00 严 重 公 告 近日,安全聚实验室监测到 Kibana 存在原型污染导致执行任意代码漏洞 ,编号为:CVE-2025-25014,CVSS:9.1 攻击者通过精心构造的HTTP请求对机器学习和报告接口实施任意代码执行。 01 漏洞描述 VULNERABILI
继续阅读【论文速读】| 漏洞放大:针对基于LLM的多智能体辩论的结构化越狱攻击
【论文速读】| 漏洞放大:针对基于LLM的多智能体辩论的结构化越狱攻击 sec0nd安全 2025-05-07 13:00 基本信息 原文标题:Amplified Vulnerabilities: Structured Jailbreak Attacks on LLM-based Multi-Agent Debate 原文作者:Senmao Qi, Yifei Zou, Peng Li, Ziyi
继续阅读Kibana原型污染漏洞可导致远程代码执行
Kibana原型污染漏洞可导致远程代码执行 FreeBuf 2025-05-07 10:27 Elastic公司针对Kibana发布了一项重大安全公告,警告用户注意编号为CVE-2025-25014的漏洞。该漏洞CVSS评分为9.1分,属于原型污染(Prototype Pollution)类型漏洞,攻击者可通过向Kibana的机器学习(Machine Learning)和报告(Reporting)
继续阅读超越漏洞修复的安全观
超越漏洞修复的安全观 原创 tonghuaroot RedTeam 2025-05-07 10:08 前言 前两天休假看到了spaceraccoon的一篇关于网络安全反模式的文章,讲的是无效忙碌陷阱这个概念,说实话挺有意思的。作为一个经常和漏洞打交道的安全工程师,很多内容说到了我的心坎里,花点时间整理一下笔记。 那些年,把我们淹没的告警海洋 老实说,这篇文章里描述的John Doe的故事在我见过的
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第18期,总第36期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第18期,总第36期] 原创 安钥 方桥安全漏洞防治中心 2025-05-07 10:01 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读WordPress depicter插件SQL注入漏洞(CVE-2025-2011)
WordPress depicter插件SQL注入漏洞(CVE-2025-2011) 清晨 摸鱼划水 2025-05-07 08:49 FOFA "wp-content/plugins/depicter/" 影响版本 depicter <= 3.6.1 POC http://127.0.0.1/wp-admin/admin-ajax.php?s=test%25’%20AN
继续阅读【漏洞预警】Elastic Kibana 原型污染致任意代码执行漏洞(CVE-2025-25014)
【漏洞预警】Elastic Kibana 原型污染致任意代码执行漏洞(CVE-2025-25014) 原创 安全探索者 安全探索者 2025-05-07 08:35 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 Kibana 是一款开源的数据可视化和分析平台,主要用于与 Elasticsearch 集成,帮助用户通过直观的界面和丰富的 可视化工具 快速分析和探索数据,广泛应用于日志分
继续阅读Apache Parquet Java 漏洞 CVE-2025-46762 使系统暴露于远程代码执行攻击
Apache Parquet Java 漏洞 CVE-2025-46762 使系统暴露于远程代码执行攻击 独眼情报 2025-05-07 05:28 CVE-2025-46762 Apache Parquet Java 中发现了一个漏洞,可能导致系统暴露于远程代码执行 (RCE) 攻击。Apache Parquet 贡献者 Gang Wuhttps://github.com/wgtmac 发现了
继续阅读雷神众测漏洞周报2025.4.28-2025.5.5
雷神众测漏洞周报2025.4.28-2025.5.5 原创 雷神众测 雷神众测 2025-05-07 03:10 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读审计分析 | 某次.NET源码的前台漏洞审计流程
审计分析 | 某次.NET源码的前台漏洞审计流程 WK安全 2025-05-07 01:17 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 之前的一个项目了,客户要求审计出来前台漏洞,这里分析一下,得到的dll文件也不是全部的文件,比较分散,好在成功找到一个前台SQL注入。
继续阅读