新发现的Ubuntu安全绕过漏洞使攻击者可利用内核漏洞
新发现的Ubuntu安全绕过漏洞使攻击者可利用内核漏洞 邑安科技 邑安全 2025-04-01 17:23 更多全球网络安全资讯尽在邑安全 Ubuntu Linux权限限制遭突破:攻击者可利用三组漏洞绕过命名空间防护并提权 安全研究人员发现Ubuntu Linux系统中存在三组关键安全绕过漏洞,允许本地攻击者突破非特权用户命名空间限制,实现权限提升并利用内核漏洞。这些漏洞主要影响以下系统: • U
继续阅读标签: SQL注入
雷神众测漏洞周报2025.3.17-2024.3.31
雷神众测漏洞周报2025.3.17-2024.3.31 雷神众测 雷神众测 2025-04-01 16:25 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或
继续阅读【安全圈】威胁通告:黑客组织利用WordPress MU插件目录隐匿恶意软件实现远程代码执行
【安全圈】威胁通告:黑客组织利用WordPress MU插件目录隐匿恶意软件实现远程代码执行 安全圈 2025-03-31 19:00 关键词 恶意软件 最近的发现揭示了一个令人担忧的趋势,威胁行为者正在策略性地将恶意代码隐藏在 WordPress 网站的 mu-plugins 目录中。 该目录对于攻击者来说特别有价值,因为它会随 WordPress 自动加载,从而使得检测和删除更具挑战性。 所发
继续阅读WIFISKY-7层流控路由器SQL注入漏洞
WIFISKY-7层流控路由器SQL注入漏洞 HK安全小屋 2025-03-31 17:56 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 FOFA: app="WIFISKY-7层流控路由器" POC: GET /no
继续阅读【处置手册】Kubernetes Ingress-nginx远程代码执行漏洞(CVE-2025-1974)
【处置手册】Kubernetes Ingress-nginx远程代码执行漏洞(CVE-2025-1974) 原创 NS-CERT 绿盟科技CERT 2025-03-31 17:11 通告编号:NS-2025-0016-1 2025-03-31 TAG: Ingress-nginx、远程代码执行、CVE-2025-1974 漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。 版本: 1.1 1 漏
继续阅读Android Zygote 注入漏洞曝光:攻击者可借此执行代码获提权
Android Zygote 注入漏洞曝光:攻击者可借此执行代码获提权 山卡拉 嘶吼专业版 2025-03-31 14:00 在 Android 操作系统中,研究人员发现了一个编号为 CVE-2024-31317 的严重漏洞。该漏洞允许攻击者借助 Zygote 进程,在整个系统范围内执行代码并提升权限。此缺陷影响运行 Android 11 或更早版本的设备,在 Android 生态系统中暴露出一个
继续阅读蓝凌EIS平台UniformEntry.aspx sql注入漏洞
蓝凌EIS平台UniformEntry.aspx sql注入漏洞 HK安全小屋 2025-03-30 18:03 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 FOFA: app="Landray-EIS智慧协同平台"
继续阅读CVE-2025-24071|Windows 文件资源管理器欺骗漏洞(POC)
CVE-2025-24071|Windows 文件资源管理器欺骗漏洞(POC) alicy 信安百科 2025-03-30 18:00 0x00 前言 Windows 文件资源管理器(File Explorer)是Windows操作系统的核心组件,主要用于浏览、管理和操作本地及网络文件、文件夹、驱动器等资源。它提供直观的图形化界面,支持文件创建、复制、移动、删除、重命名等基础操作,同时集成网络共享
继续阅读用友U8CRM biztype.php sql注入漏洞
用友U8CRM biztype.php sql注入漏洞 Superhero Nday Poc 2025-03-30 15:32 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 用友U8CRM是用友软件
继续阅读NetMizer dologin.php sql注入漏洞(XVE-2024-37672)
NetMizer dologin.php sql注入漏洞(XVE-2024-37672) Superhero Nday Poc 2025-03-29 21:23 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00****
继续阅读CVE-2025-30208|Vite任意文件读取漏洞(POC)
CVE-2025-30208|Vite任意文件读取漏洞(POC) alicy 信安百科 2025-03-29 18:01 0x00 前言 Vite 是一个现代化的前端构建工具,旨在通过利用现代浏览器的原生 ES 模块支持,提供快速的开发体验。 广泛应用于Vue.js等项目的开发中。在其开发服务器模式下,Vite提供了@fs 机制,用于访问服务允许范围内的文件。 Vite 由两部分组成: 1、开发服
继续阅读VulnHub靶场之DC-3超详细Joomla漏洞命令提权和系统内核漏洞提权
VulnHub靶场之DC-3超详细Joomla漏洞命令提权和系统内核漏洞提权 原创 Cauchy Cauchy网安 2025-03-29 16:05 靶场的搭建 设备:vm虚拟机,靶场的镜像,kali 靶场的镜像我已经放在下面的迅雷网盘里,因为文件比较大,用迅雷下载快一点,解压后直接用vm打开就好,但是会出现一些问题需要配置一些信息: 分享文件:DC-3-2.zip 链接:https://pan.
继续阅读我发现了HTTP请求走私并获得了巨大的漏洞赏金!
我发现了HTTP请求走私并获得了巨大的漏洞赏金! 安全狗的自我修养 2025-03-29 13:30 🚀 我是如何发现高薪请求走私漏洞的在我最近的一次漏洞赏金活动中,我发现了一个主要 Web 应用程序中的严重 HTTP 请求走私 (HRS) 漏洞。这个错误对自动扫描程序完全不可见,并导致会话劫持、凭据盗窃,甚至完全帐户接管!💥在本指南中,我将向您展示我是如何找到它、利用它并获得巨额漏洞赏金奖励的!
继续阅读CVE-2025-24016漏洞对Wazuh平台的潜在威胁
CVE-2025-24016漏洞对Wazuh平台的潜在威胁 原创 メ念灬蜘蛛 山石网科安全技术研究院 2025-03-29 09:00 立即行动!保护您的Wazuh服务器免受远程代码执行攻击! 近日,Wazuh平台曝出一个严重安全漏洞(CVE-2025-24016),评分高达9.9,可能允许攻击者远程执行代码,控制您的服务器。这一漏洞影响Wazuh Manager4.4.0至4.9.0版本,威胁级
继续阅读逆变器僵尸网络?全球三大光伏逆变器产品曝出数十个严重漏洞
逆变器僵尸网络?全球三大光伏逆变器产品曝出数十个严重漏洞 网络安全与人工智能研究中心 2025-03-28 19:30 近日,网络安全公司Forescout旗下研究机构Vedere Labs发布了一份重磅报告,披露了全球三大领先太阳能逆变器制造商——尚德(Sungrow)、固德威(Growatt)和SMA的产品中存在多达46个安全漏洞。 这些漏洞可能被攻击者利用,远程控制设备或在厂商的云平台上执行
继续阅读重大工控漏洞曝光,工业网络安全如何保障?
重大工控漏洞曝光,工业网络安全如何保障? 原创 自主研发技术驱动 珞安科技 2025-03-28 18:04 1 重大工控漏洞危及企业生产安全 近日,据国内网络安全权威媒体报道,瑞士安全公司PRODAFT公开了两项影响mySCADA myPRO系统的高危漏洞,即CVE-2025-20014和CVE-2025-20061的详细信息,并向工业企业提供了实用的防护建议。 报道显示,CVE-2025-20
继续阅读安全内参|面向漏洞编程:如何让AI编程助手生成带后门的代码
安全内参|面向漏洞编程:如何让AI编程助手生成带后门的代码 安全内参编译 上汽集团网络安全应急响应中心 2025-03-28 18:01 文章来 源 : 安全内参 研究人员发现,通过在AI编程助手的规则文件中植入不良内容,来诱导Cursor或GitHub Copilot生成不安全的代码,攻击者可以通过在论坛或GitHub分享包含规则文件的代码库来实施软件供应链攻击。 前情回顾·大模型安全动态 &#
继续阅读【霄享·安全】XML外部实体注入(XXE)漏洞简介(总第50期月刊)
【霄享·安全】XML外部实体注入(XXE)漏洞简介(总第50期月刊) 原创 刘宇凡 上汽集团网络安全应急响应中心 2025-03-28 18:01 漏洞描述 XML外部实体注入(XML External Entity Injection,XXE)漏洞是指攻击者通过构造恶意XML数据,利用应用程序未正确配置XML解析器的安全策略,诱导系统执行非授权操作(如文件读取、网络请求、服务端请求伪造等)。 1
继续阅读从环境构建到漏洞利用:如何用Metarget和Coogo复现K8s IngressNightmare攻击链
从环境构建到漏洞利用:如何用Metarget和Coogo复现K8s IngressNightmare攻击链 原创 星云实验室 绿盟科技研究通讯 2025-03-28 17:05 一. 概述 Ingress Controller作为K8s集群管理外部访问的核心组件,承担着集群入口网关的关键角色,其通过智能路由机制将外部HTTP/HTTPS流量定向到集群内部相应的Service和Pod,是集群流量管
继续阅读OpenAI 漏洞赏金计划将最高奖励提高至 10 万美元
OpenAI 漏洞赏金计划将最高奖励提高至 10 万美元 数世咨询 2025-03-28 16:00 OpenAI 正在通过大幅增加漏洞赏金计划和新的 AI 安全研究补助金来优先考虑安全性。了解他们如何与研究人员和专家合作,以保护他们的 AI 平台免受新兴威胁。 01 洞赏金计划改革,大幅提升奖金 OpenAI在其最 新博客文章 中公布了一系列新的网络安全举措,标志着其大胆推进通用人工智能 (AG
继续阅读OpenAI 严重漏洞最高赏金提高至10万美元
OpenAI 严重漏洞最高赏金提高至10万美元 Ryan Naraine 代码卫士 2025-03-27 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 人工智能技术巨头OpenAI 将最高漏洞赏金从2万美元提高至10万美元,而这是该公司设立发现基础设施和产品中严重和高危漏洞外包计划的一部分。 该漏洞奖励计划是OpenAI 公司设立的多项安全计划之一,这些安全计划包括资助安全研究
继续阅读小红书被曝高频获取用户信息,官方回应;Google Chrome零日漏洞已被在野利用,无需用户交互即可绕过沙盒保护 | 牛览
小红书被曝高频获取用户信息,官方回应;Google Chrome零日漏洞已被在野利用,无需用户交互即可绕过沙盒保护 | 牛览 安全牛 2025-03-27 18:08 新闻速览 •小红书被曝高频获取用户信息,官方回应 •冒充客服窃取2.43亿美元,加密货币盗窃案主犯Wiz落网 •夸大网络安全评分,美国国防承包商付出460万美元代价 •黑客利用电子犯罪工具Atlantis AIO对140多个平台进行
继续阅读【漏洞通告】Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974)
【漏洞通告】Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-27 17:28 漏洞名称: Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974) 组件名称: Nginx Ingress Controller 影响范围: Ingress NGINX C
继续阅读【漏洞预警】Ingress NGINX Controller远程代码执行漏洞(CVE-2025-1974)
【漏洞预警】Ingress NGINX Controller远程代码执行漏洞(CVE-2025-1974) cexlife 飓风网络安全 2025-03-26 22:22 漏洞描述: 该漏洞源于Inɡrеѕѕ NGINX Cоntrоllеr没有充分验证inɡrеѕѕ配置,攻击者可伪造AdmiѕѕiоnRеviеԝ请求加载恶意共享库执行任意代码,访问Kubеrnеtеѕ集群敏感信息等。 该漏洞可
继续阅读Linux提权漏洞CVE-2025-27591
Linux提权漏洞CVE-2025-27591 原创 柠檬赏金猎人 柠檬赏金猎人 2025-03-26 21:59 CVE-2025-27591 是一个已知的权限提升漏洞,存在于 Below 服务(版本 < v0.9.0)。该漏洞源于 /var/log/below 目录被设置为全局可写(world-writable),允许本地非特权用户通过符号链接攻击修改敏感文件(如 /etc/shadow
继续阅读泛微e-office sms_page.php sql注入漏洞
泛微e-office sms_page.php sql注入漏洞 Superhero Nday Poc 2025-03-26 20:56 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 泛微E-offi
继续阅读在ChatGPT中挖掘XSS漏洞实现任意账户接管
在ChatGPT中挖掘XSS漏洞实现任意账户接管 Z2O安全攻防 2025-03-26 20:38 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 背景介绍 在本篇文章中,国外安全研究人员Ron将介绍他在ChatGPT中发现的两处XSS漏洞以及其它一些漏洞,如果将它们组合在一起的话,甚至
继续阅读【已复现】Ingress NGINX Controller 远程代码执行漏洞
【已复现】Ingress NGINX Controller 远程代码执行漏洞 长亭安全应急响应中心 2025-03-26 20:18 Ingress NGINX Controller 是 Kubernetes 生态系统中广泛使用的入口控制器,基于 NGINX 反向代理,用于管理外部流量并将其路由到 Kubernetes 服务。2025年3月,Wiz Research 团队发现并披露了一组未经身份验
继续阅读中消协提示:谨防“免密支付”盗刷漏洞;Kubernetes“噩梦”:Ingress NGINX控制器漏洞威胁6500个集群|牛览
中消协提示:谨防“免密支付”盗刷漏洞;Kubernetes“噩梦”:Ingress NGINX控制器漏洞威胁6500个集群|牛览 安全牛 2025-03-26 18:14 新闻速览 •中消协提示:谨防“免密支付”盗刷漏洞 •一机构查询系统存在重大泄露风险被查处 •NIST最新报告:AI安全防护面临重大挑战与局限 •银行恶意软件+社会工程学,受害移动用户激增3.6倍至近25万 •马来西亚机场遭遇网络
继续阅读