漏洞预警 | UNA CMS PHP对象注入漏洞
漏洞预警 | UNA CMS PHP对象注入漏洞 浅安 浅安安全 2025-04-17 00:00 0x00 漏洞编号 – # CVE-2025-32101 0x01 危险等级 – 高危 0x02 漏洞概述 UNA CMS是一款基于PHP和MySQL的开源内容管理系统。 0x03 漏洞详情 CVE-2025-32101 漏洞类型: 对象注入 影响: 任意文件访问或修改、信息
继续阅读标签: SQL注入
Apache Roller 未经授权的访问漏洞
Apache Roller 未经授权的访问漏洞 网安百色 2025-04-16 11:37 点击上方 蓝字 关注我们吧~ 在 Apache Roller 中发现了一个严重的安全漏洞,允许攻击者在更改密码后保持对博客系统的未经授权的访问。 漏洞 CVE-2025-24859 已获得 CVSS v4 的最高评分 10,表明受影响的系统面临严重风险。 该安全漏洞源于 Apache Roller 版本 1
继续阅读【漏洞预警】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)
【漏洞预警】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727) 原创 聚焦网络安全情报 安全聚 2025-04-16 11:01 严 重 公 告 近日,安全聚实验室监测到 Oracle E-Business Suite 存在远程代码执行漏洞 ,编号为:CVE-2025-30727,CVSS:9.8 未经身份验证的攻击者通过 该漏洞执行任意代码,成功攻击
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第15期,总第33期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第15期,总第33期] 原创 安钥 方桥安全漏洞防治中心 2025-04-16 10:01 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第三十一期
入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第三十一期 原创 安钥 方桥安全漏洞防治中心 2025-04-16 10:01 2025年4月2日发布的安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第13期,总第31期] 活动现已结束。经过初评和复审,本次共有 3 篇 SOP 入选 。 入选SOP作品 结构清晰、 内容翔实、实用性强,有较高的借鉴意义,体现了作者在漏
继续阅读更新第四章:漏洞分析与利用 | 系统0day安全-IOT设备漏洞挖掘(第6期)
更新第四章:漏洞分析与利用 | 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-04-16 09:59 更新: 第四章 漏洞分析与利用 课时1:常见loT漏洞类型及原理 https://www.kanxue.com/book-7-5322.htm 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着
继续阅读记一次前端js加解密泄露引发的漏洞
记一次前端js加解密泄露引发的漏洞 C4安全团队运营 不秃头的安全 2025-04-16 09:54 记一次前端js加解密泄露引发的漏洞 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。还在学怎么挖通用漏洞和src吗?知识星球在最下方,续费也有优惠私聊~~考安全证书请联系vx咨询。 前端js中往往存有前后端交互时候的加密方法,
继续阅读Apache Roller CVSS 满分漏洞可用于获取持久性访问权限
Apache Roller CVSS 满分漏洞可用于获取持久性访问权限 Ravie Lakshmanan 代码卫士 2025-04-16 09:37 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 基于 Java 的开源博客服务器软件 Apache Roller 中存在一个严重漏洞(CVE-2025-24859),可导致恶意人员即使在密码更改后也可保留越权访问权限。 该漏洞的CVSS 评分为
继续阅读攻击者正通过 sourceforge 平台传播一款挖矿程序和 ClipBanker 木马病毒
攻击者正通过 sourceforge 平台传播一款挖矿程序和 ClipBanker 木马病毒 原创 kaspersky 卡巴斯基威胁情报 2025-04-16 09:21 最近,我们注意到一种相当独特的恶意软件分发方案,该方案利用了SourceForge网站,这是一家提供软件托管、比较和分发服务的热门网站。该网站托管着众多软件项目,任何人都可以上传自己的项目。在主网站sourceforge.net
继续阅读Apache Roller 漏洞让攻击者获得未经授权的访问
Apache Roller 漏洞让攻击者获得未经授权的访问 邑安科技 邑安全 2025-04-16 08:45 更多全球网络安全资讯尽在邑安全 在 Apache Roller 中发现了一个严重的安全漏洞,允许攻击者在更改密码后保持对博客系统的未经授权的访问。 漏洞 CVE-2025-24859 已获得 CVSS v4 的最高评分 10,表明受影响的系统面临严重风险。 该安全漏洞源于 Apache
继续阅读腾讯云安全中心推出2025年3月必修安全漏洞清单
腾讯云安全中心推出2025年3月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-04-16 08:03 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读信息安全漏洞周报(2025年第15期)
信息安全漏洞周报(2025年第15期) 原创 CNNVD CNNVD安全动态 2025-04-16 07:45 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年4月7日至2025年4月13日)安全漏洞情况如下: 公开漏洞情况本周CNNVD采集安全漏洞976个。接报漏洞情况本周CNNVD接报漏洞9194个,其中信息技术产品漏洞(通用型漏洞)381个,网络信息系
继续阅读一文吃透文件上传漏洞!路径遍历、后缀绕过、ZIP炸弹全解析
一文吃透文件上传漏洞!路径遍历、后缀绕过、ZIP炸弹全解析 原创 火力猫 季升安全 2025-04-16 06:45 🔍 文件上传漏洞Java源码审计详解(附代码分析) 文件上传是 Web 应用中极其常见的功能,但一旦实现不当,极易造成严重漏洞 ,如:上传 WebShell、任意文件写入、远程命令执行等。本篇将从源码审计角度,深入剖析文件上传中关键风险点,包含路径处理、文件大小限制、后缀校验、绕过
继续阅读某天OA-workFlowService-多处SQL注入漏洞分析
某天OA-workFlowService-多处SQL注入漏洞分析 原创 chobits02 C4安全团队 2025-04-16 05:52 扫码加内部知识圈 获取漏洞资料 本文章由团队成员[ chobits02]授权转载并发布 我们是C4安全团队 ,师傅们别忘了 关注和 点赞,团队的成长离不开你们★~ 漏洞描述 01 某天OA系统是一个以技术领先著称的协同软件产品,具有极为突出的实用性、易用性和高
继续阅读小白黑客成长日记:漏洞勋章与道德电流
小白黑客成长日记:漏洞勋章与道德电流 原创 冰雪封城 雾都的猫 2025-04-16 05:50 根据《医疗器械监督管理条例》第四十七条,非法篡改医疗设备参数最高可处货值金额30倍罚款。剧中所有医疗系统均为虚拟靶场设备,现实中的白帽子请严格遵循《网络安全漏洞管理规定》第十条,在获得书面授权后开展测试。本章出现的心电数据已通过生成对抗网络(GAN)合成,不存在真实患者信息。 林小白的瞳孔在应急灯下收
继续阅读安美酒店管理系统/get_user_enrollment.php接口 sql注入漏洞
安美酒店管理系统/get_user_enrollment.php接口 sql注入漏洞 Superhero Nday Poc 2025-04-16 01:59 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 安
继续阅读.NET 高级代码审计:一种绕过 GZip 叠加 BinaryFormatter 实现反序列化漏洞的技术
.NET 高级代码审计:一种绕过 GZip 叠加 BinaryFormatter 实现反序列化漏洞的技术 原创 专攻.NET安全的 dotNet安全矩阵 2025-04-16 00:33 在.NET反序列化漏洞审计与利用过程中,攻击者通过 BinaryFormatter 类型进行 payload 加载与执行。本文将从 GZip 技术基础出发,逐步分析如何结合 BinaryFormatter 触发
继续阅读MCP漏洞利用实例:窃取WhatsAPP历史消息
MCP漏洞利用实例:窃取WhatsAPP历史消息 原创 孙志敏 AI与安全 2025-04-15 20:18 前边我们讲了MCP的工具投毒攻击(TPA)(MCP协议漏洞:工具投毒攻击(TPA)),本篇是一个具体的例子,展示了不受信任的 MCP 服务器如何攻击并窃取与受信任的 WhatsApp MCP 实例相连的代理系统的数据,从而绕过 WhatsApp 的加密和安全措施。 攻击设置 对于本文,我们
继续阅读更新第五章:ASAN原理解析 | 系统0day安全-二进制漏洞攻防(第4期)
更新第五章:ASAN原理解析 | 系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-04-15 18:01 更新:第五章:ASAN原理解析 5.1 开源asanhttps://www.kanxue.com/book-193-5339.htm 二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的底层代码中,一旦被利用,可能导致数据泄露、系统崩溃,甚至更严重的安全事
继续阅读360漏洞情报月报2025年03期 | 漏洞总量持续高位运行,核心系统威胁加剧
360漏洞情报月报2025年03期 | 漏洞总量持续高位运行,核心系统威胁加剧 360漏洞云 2025-04-15 10:09 近日,360漏洞云情报平台发布2025年3月漏洞情报月报,综合分析当月全网漏洞安全态势,人工深度研判分析重点预警漏洞,并披露多起具有战略价值的网络安全事件。本文特摘录核心内容,为政企机构提供防御参考。 月报数据显示, 2025年3月全网捕获漏洞4279例,较2024年同期
继续阅读一次就学会网络钓鱼“骚”姿势
一次就学会网络钓鱼“骚”姿势 obse**** 菜鸟学信安 2025-04-15 00:30 作者: obse**** 转载于先知社区:https://xz.aliyun.com/news/12128 一、什么是网络钓鱼 网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。 二、网络
继续阅读漏洞分析 | Apache Skywalking的log4shell分析
漏洞分析 | Apache Skywalking的log4shell分析 原创 杂七 杂七杂八聊安全 2025-04-15 00:02 朋友们,现在只对常读和星标的公众号才展示大图推送,建议大家把 杂七杂八聊安全“ 设为星标”, 否则可能就看不到了啦~ 0x01触发点位置 graphql.GraphQL#parseAndValidate 调用堆栈: parseAndValidate:504, Gr
继续阅读漏洞预警 | NetMizer日志管理系统远程命令执行和SQL注入漏洞
漏洞预警 | NetMizer日志管理系统远程命令执行和SQL注入漏洞 浅安 浅安安全 2025-04-15 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 NetMizer日志管理系统是一款可以记录流经设备的所有会话日志并将其传送到外部的管理中心上的系统。 0x03 漏洞详情 漏洞类型: 远程 命令 执行 影响: 执行任意代
继续阅读300页 Android 应用安全:缓解黑客攻击和安全漏洞
300页 Android 应用安全:缓解黑客攻击和安全漏洞 原创 计算机与网络安全 计算机与网络安全 2025-04-14 23:57 扫码加入知识星球: 网络安全攻防(HVV) 下载全套资料 《Android应用安全:缓解黑客攻击与安全漏洞(第二版)》一书深入探讨了保护Android应用免受恶意攻击的实用策略与技术。书中强调,Android应用面临的主要威胁包括数据泄露、逆向工程、权限滥用以及不
继续阅读【漏洞预警】OpenSourceMatters Joomla 未授权SQL注入漏洞
【漏洞预警】OpenSourceMatters Joomla 未授权SQL注入漏洞 cexlife 飓风网络安全 2025-04-14 13:43 漏洞描述: Joomla!开源的一个自由、开放源代码的内容管理系统,Joomla!官方发布安全公告,其中公开披露了一个SQL注入漏洞,该漏洞源于数据库包的quoteNameStr方法处理标识符不当,导致SQL注入漏洞。 修复建议: 正式防护方案: 厂商
继续阅读【漏洞预警】泛微E-Cology9前台SQL注入漏洞
【漏洞预警】泛微E-Cology9前台SQL注入漏洞 cexlife 飓风网络安全 2025-04-14 13:43 产品介绍: 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。 漏洞描述: 该漏洞是由于泛微e-cology未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现 SQL 注入漏洞。 漏洞影响: 攻击者
继续阅读JeeWMS cgAutoListController.do SQL注入漏洞
JeeWMS cgAutoListController.do SQL注入漏洞 Superhero Nday Poc 2025-04-14 12:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 JeeWM
继续阅读上周关注度较高的产品安全漏洞(20250407-20250413)
上周关注度较高的产品安全漏洞(20250407-20250413) 原创 CNVD CNVD漏洞平台 2025-04-14 10:10 一、境外厂商产品漏洞 1、IBM Sterling File Gateway信息泄漏漏洞(CNVD-2025-06655) IBM Sterling File Gateway是美国国际商业机器(IBM)公司的一套文件传输软件。该软件可整合不同的文件传输活动中心,并
继续阅读【已复现】泛微e-cology 前台SQL注入漏洞
【已复现】泛微e-cology 前台SQL注入漏洞 长亭安全应急响应中心 2025-04-14 10:02 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。2025年4月,泛微官方发布了新补丁,修复了一处 SQL 注入漏洞。经分析,攻击者无需认证即可利用该漏洞,建议受影响的客户尽快修复漏洞。 漏洞描述 Description 01 漏洞成
继续阅读系统0day安全-IOT设备漏洞挖掘
系统0day安全-IOT设备漏洞挖掘 Ms08067实验室 Ms08067安全实验室 2025-04-14 10:02 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureN
继续阅读