【高危漏洞预警】Craft CMS generate-transform反序列化代码执行漏洞(CVE-2025-32432) cexlife 飓风网络安全 2025-04-27 03:57 漏洞描述: Craft CMS是一个灵活、用户友好的内容管理系统,用于创建自定义的数字网络体验和其他体验,攻击者可构造恶意请求利用generate-transform端点触发反序列化,执行任意代码控制服务器,未
继续阅读【代码审计】Emlog存在SQL注入+XSS漏洞 实战安全研究 2025-04-27 02:00 声明:本文提供的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 1.源码简介 EMLOG 是一款轻量级开源博客和CMS建站系统,速度快、省资源、易上手,适合各种
继续阅读宏景人力资源管理系统 searchCreatPlanList.do SQL注入漏洞(CNVD-2025-6953) 云梦DC 云梦安全 2025-04-27 01:10 一:产品介绍 宏景人力资源管理系统是一款专业、高效的一体化HR管理平台,涵盖组织架构、招聘管理、员工档案、考勤薪资、绩效培训等核心模块,通过智能化流程与数据分析助力企业实现人力资源数字化转型升级。系统支持云端/本地部署,提供灵活配
继续阅读WordPress未授权任意文件读取_CVE-2025-2294 云梦DC 云梦安全 2025-04-27 01:10 一、漏洞暗藏杀机 攻击者只需发送特制URL: http://xxxx/?__kubio参数=../../../etc/passwd 即可实现: 🔴 服务器敏感文件裸奔(数据库配置/用户凭证) 🔴 PHP代码植入(篡改支付页面/盗取用户数据) 🔴 供应链投毒(针对使用该插件的开发公
继续阅读护网行动2024漏洞复盘:这些”0day漏洞”为何让企业一夜崩盘? 是傲 安小圈 2025-04-27 00:45 声明:无恶意引导,漏洞信息以及poc网上均已公开,此文章进行漏洞资源整合复盘,仅供师傅们参考。 【前言】 小伙伴们一年一度的护网攻防即将开始,你们的实力提升如何了?是不是又在幻想要打穿哪家企业了?那就让蓝方工程师尝尝你们新的“绝招”吧。 在2024年护网攻防演
继续阅读浅谈常见edu漏洞,逻辑漏洞-越权-接管-getshell,小白如何快速找准漏洞 薛定谔不喜欢猫 李白你好 2025-04-27 00:02 免责声明: 由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 文章作者:奇安信攻防社区( 薛定谔
继续阅读170页 漏洞挖掘总结 计算机与网络安全 2025-04-26 23:57 扫码加入知识星球: 网络安全攻防(HVV) 下载全套资料 漏洞挖掘是信息安全领域的重要技术手段,旨在发现软件、系统或网络中的潜在安全缺陷。其核心在于通过主动测试与逆向分析,定位可能被攻击者利用的薄弱环节。典型流程通常从信息收集开始,包括目标系统的版本信息、开放端口、服务框架等基础数据,例如使用Nmap扫描工具获取网络拓扑结
继续阅读e0e1-wx 2.0版本更新以及关于POC项目和开源的一些想法 sec0nd安全 2025-04-26 13:52 介绍 e0e1-wx项目 主要就是关于e0e1-wx的更新,闲了1年也是良心发现给他更新更新了,直接跳到2.0阶段主要是将所有都进行本地化了算是一个新的开始了,一开始主要是也为了分享一个思路,但是没想到这么多人喜欢用。 POC项目 然后就是eeeeeeeeee-code/POC这个
继续阅读第120篇:蓝队溯源之蚁剑、sqlmap、Goby反制方法的复现与分析 原创 abc123info 希潭实验室 2025-04-26 13:30 Part1 前言 大家好,我是 ABC_123。最近在更新蓝队分析研判工具箱中的溯源反制功能时,我阅读了大量相关的技术文章。很多资料提到了早期版本的蚁剑、sqlmap、goby等工具的反制思路,其中的一些方法非常有参考价值。不过,ABC_123在复现过程
继续阅读拿来即用SQL注入POC,亲测好用 原创 锐鉴安全 锐鉴安全 2025-04-26 03:38 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标, 不定期有宠粉福利 Part-01 背景 根据测试过程中发现sql注入漏洞,总结并分享一份针对不同数据库的poc清单。 P
继续阅读若依系统 | SQL注入漏洞+druid框架漏洞 原创 神农Sec 神农Sec 2025-04-26 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 若依系统渗透测试 漏洞一:SQL注入漏洞 都
继续阅读若依Vue漏洞检测工具更新!V5 黑白之道 2025-04-26 00:36 往期若依工具 若依 Vue框架漏洞检测工具,包括 Swagger、Druid、文件下载漏洞、SQL 注入、定时任务漏洞和任意密码修改漏洞等 若依 最新定时任务SQL注入可导致RCE漏洞的一键利用工具 若依工具 若依 Vue 框架应用程序中的常见漏洞。该工具提供了多种漏洞检测模块,包括 Swagger 检测、 Druid
继续阅读漏洞预警 | 泛微E-Office SQL注入漏洞 浅安 浅安安全 2025-04-26 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 泛微e-office是泛微旗下的一款标准协同移动办公平台。主要面向中小企业,平台全方位覆盖日常办公场景,可以有效提升组织管理与协同效率。 0x03 漏洞详情 漏洞类型: SQL注入 影响:
继续阅读【成功复现】Langflow框架远程命令执行漏洞(CVE-2025-3248) 原创 弥天安全实验室 弥天安全实验室 2025-04-25 13:39 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Langflow是Langflow开源的一个用于构建多代理和 RAG 应用程序的可视化框架。是一个面向开发者
继续阅读NVIDIA NeMo 框架存在允许攻击者执行远程代码漏洞 网安百色 2025-04-25 11:31 NVIDIA NeMo 框架中存在三个严重性较高的漏洞,可能允许攻击者执行远程代码,从而可能危及 AI 系统并导致数据篡改。 这些安全漏洞被确定为 CVE-2025-23249、CVE-2025-23250 和 CVE-2025-23251,CVSS 基本评分均为 7.6,表明流行的生成式 AI
继续阅读基于静态分析的路由器固件二进制漏洞挖掘经验分享 xubeining 看雪学苑 2025-04-25 09:59 迄今为止,在IOT方面的攻击一般分为云,管,端三个方向,云主要是关注物联网云平台的安全,管主要是通信协议的安全,而本篇文章所讨论的是在端这个方向,也就是终端设备上路由器固件的二进制漏洞挖掘经验,其中又包括堆和栈两个方面。 在利用上堆比栈难了很多个数量级,但是如果仅仅只是想打出拒绝服务去c
继续阅读Top 10 漏洞不懂?这还不手拿把掐吗? 点击关注👉 马哥网络安全 2025-04-25 09:01 1. SQL注入(SQL Injection) 段子 : HR:你叫什么名字? 程序员:’; DROP TABLE 员工表; — HR:你被录用了!(然后公司数据库消失了) 技术原理 : – 攻击者通过输入恶意SQL代码,欺骗数据库执行非法操作(比如删库、窃取
继续阅读高达30000美元!微软大幅提升AI漏洞奖金,强化企业级AI安全防线 安全客 2025-04-25 08:21 近期,微软宣布将Dynamics 365和Power Platform服务和产品中发现的AI漏洞的奖金最高增加到30000美元。其中,Power Platform包括旨在帮助公司分析数据和自动化流程的应用程序,而Dynamics 365是一组连接客户、产品、人员和运营的业务应用程序。 该
继续阅读【漏洞预警】泛微 E-cology 远程代码执行漏洞 原创 大荒Sec 太乙Sec实验室 2025-04-25 07:12 免责声明: 本公众号 太乙Sec实验室 所提供的实验环境均是本地搭建,仅限于网络安全研究与学习 。旨在为安全爱好者提供技术交流。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作,所导致的直接或间接后果及损失,均由使用者本人负责。太乙Sec实验室 及作者对此不承担任何
继续阅读【工具分享】JavaSecLab综合且全面的Java漏洞平台 秀龙叔 黑客之道HackerWay 2025-04-25 07:00 简介: JavaSecLab是一款最全面的Java漏洞平台,提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范、漏洞流量分析,涵盖多种漏洞场景,人性化的交互UI…… 支持漏洞模块: 跨站脚本攻击、跨站请求伪造、CORS、JS
继续阅读时空智友 企业流程化管控系统 indexService.notice SQL注入漏洞 Superhero Nday Poc 2025-04-25 06:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 时
继续阅读上周关注度较高的产品安全漏洞(20250414-20250420) 金瀚信安 2025-04-25 06:36 一、境外厂商产品漏洞 1、F5 BIG-IP拒绝服务漏洞(CNVD-2025-07325) F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP存在安全漏洞,该漏洞源于当禁用了SNMP v1或v2c时,攻击者可利用该
继续阅读同步漏洞行动:“ Lazarus 高级持续性威胁组织”再次故技重施 原创 Kaspersky 卡巴斯基威胁情报 2025-04-25 06:00 自去年 11 月以来,我们一直在跟踪 Lazarus 组织的最新攻击活动,因为它以韩国的组织为目标,将水坑策略与韩国软件中的漏洞利用巧妙结合。这项被称为“SyncHole 行动”的活动已经影响了韩国软件、IT、金融、半导体制造和电信行业的至少六个组织,我
继续阅读IoT智能设备产品「发售前」安全检验:关乎品牌声誉的漏洞之战 斗象科技 2025-04-25 05:59 在智能设备安全事件频发的今天,欧盟2024年新规规定所有联网设备必须提供5年的免费安全更新,我国《物联网基础安全 物联网平台安全分级分类管理评估方法》(YD/T 6039-2024)在今年2月正式实施,合规与网络安全性已经成为智能产品的重要指标之一。 2024年12月,距某全球500强综合性智
继续阅读【红队】JNDIExploit 改进版 pap1rman 贝雷帽SEC 2025-04-25 05:24 免责声明 本公众号所提供的文字和信息仅供学习和研究使用, 请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任 。 工具来自网络,安全性自测,如有侵权请联系删除。 工具介绍 对原版JNDIExploit进行修改增加内存马模块和本地序列
继续阅读某GPS定位系统存在前台SQL注入漏洞 原创 星悦 星悦安全 2025-04-25 04:26 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 手机端强制打开GPS,每3分钟(可调)获取一次所在经纬度,如果位置变化距离超过100米(可调), 则提交给后台的PHP。然后后台把得到的数据保存到数据库,再通过前面的百度地图API绘制出轨迹和显示驻留时间。 安卓端安装好后,设置开机自启并打开相应的
继续阅读漏洞预警 | 信呼OA SQL注入漏洞 浅安 浅安安全 2025-04-25 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 信呼OA是一款免费开源的办公OA系统,包括APP,pc上客户端,REIM即时通信,服务端等。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 信呼OA的/xhoa/api.ph
继续阅读GitLab安全通告 | 修复了XSS 和帐户接管漏洞 夜组OSINT 2025-04-25 00:01 GitLab 发布了一份安全公告,敦促用户立即升级其自主管理的 GitLab 安装。公告重点介绍了 GitLab 社区版 (CE) 和企业版 (EE) 的 17.11.1、17.10.5 和 17.9.7 版本,以解决“重要的错误和安全修复” 。 XSS和帐户接管风险 该公告详细说明了多个漏洞
继续阅读《存量线上系统安全漏洞管理:从渗透测试到全面收敛》|总第286周 原创 群秘 君哥的体历 2025-04-24 23:01 在当前信息化背景下,企业面临的网络安全威胁日益严峻,尤其是存量线上系统中的高危漏洞问题。尽管每年邀请外部安全厂商进行渗透测试,但仍然能发现新的高危漏洞。 讨论中提出了多种解决方案,包括建立标准化渗透测试流程、采用多层测试方法(白盒、灰盒、黑盒)、引入众测机制以及利用大模型增强
继续阅读