CVE-2025-27817 Apache Kafka 客户端:任意文件读取和 SSRF 漏洞 Ots安全 2025-06-13 06:05 Apache Kafka 客户端中发现了一个潜在的任意文件读取和 SSRF 漏洞。 Apache Kafka 客户端接受用于设置与代理服务器的 SASL/OAUTHBEARER 连接的配置数据,包括“sasl.oauthbearer.token.endpoi
继续阅读【漏洞预警】Apache Kafka Connect高危漏洞(CVE-2025-27817)可致任意文件读取,影响核心数据安全! HK安全小屋 2025-06-12 15:27 6月9日,Apache Kafka官方披露了多个安全漏洞: CVE-2025-27819: 通过 SASL JAAS JndiLoginModule 配置发起 RCE/拒绝服务攻击(利用此漏洞需要 集群资源的 AlterC
继续阅读【已复现】GeoServer SSRF和XXE漏洞 长亭安全应急响应中心 2025-06-12 11:58 GeoServer是一个开源服务器,用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准,使用户能够通过网络访问和操作地理信息系统(GIS)数据。 2025年6月,互联网上披露GeoServer SSRF漏洞(CVE-2024-29198)漏洞和GeoServer XXE漏洞(CVE-
继续阅读漏洞通告|GeoServer SSRF和XXE漏洞 原创 微步情报局 微步在线研究响应中心 2025-06-12 09:55 漏洞概况 GeoServer 是一款用 Java 编写的开源软件服务器,允许用户共享和编辑地理空间数据。 微步情报局获取到GeoServer SSRF漏洞(CVE-2024-29198)漏洞和GeoServer XXE漏洞情报(CVE-2025-30220) 。漏洞成因:
继续阅读创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-06-12 09:02 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高
继续阅读漏洞预警 |Kafka Connect存在任意文件读取漏洞(CVE-2025-27817) 原创 烽火台实验室 Beacon Tower Lab 2025-06-12 02:13 一、漏洞概述 漏洞类型 任意文件读取 漏洞等级 高 漏洞编号 CVE-2025-27817 漏洞评分 7.5 利用复杂度 低 影响版本 3.1.0 – 3.9.0 利用方式 远程 POC/EXP 未公开 近日
继续阅读漏洞预警 | Apache Kafka任意文件读取和远程代码执行漏洞 浅安 浅安安全 2025-06-12 00:01 0x00 漏洞编号 – # CVE-2025-27817 CVE-2025-27818 CVE-2025-27819 0x01 危险等级 – 高危 0x02 漏洞概述 Apache Kafka是一个开源分布式事件流平台,通常用于高性能数据管道、流分析、数据
继续阅读一个$1,337的漏洞 迪哥讲事 2025-06-11 12:30 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4434 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 几个月前,国外白帽小哥在浏览器上禁用
继续阅读某次攻防演练中通过一个弱口令干穿内网 点击关注👉 马哥网络安全 2025-06-11 09:01 0x1 前言 因为单位过于敏感,所以本文图片将会严格打码以及重要部分仅用文字叙述,避免出现隐私泄露的情况 0x2 外网突破 在裁判下发的资产名单中发现了事业单位的名字,通过鹰图、quake、fofa等空间搜索引擎去搜索资产,结果自然是成功搜索到无数资产一点没有,都是假的 根本找不到对应单位的资产,我都
继续阅读【漏洞通告】Apache Kafka多个高危漏洞安全风险通告 嘉诚安全 2025-06-11 08:34 漏洞背景 近日,嘉诚安全 监测到 Apache Kafka多个高危漏洞,漏洞编号为: CVE-2025-27817、CVE-2025-27818、CVE-2025-27819 。 Apache Kafka是一款开源的分布式事件流平台,广泛用于高性能数据管道、流式分析和数据集成。它支持高吞吐量的
继续阅读【已复现】Apache Kafka 多个高危漏洞安全风险通告第二次更新 奇安信 CERT 2025-06-11 08:06 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Kafka 多个高危漏洞 漏洞编号 CVE-2025-27817、CVE-2025-27818、CVE-2025-27819 公开时间 2025-06-09 影响量级 十万级 奇安信评级 高危
继续阅读【代码审计&漏洞复现】Eclipse JGit XXE漏洞 CVE-2025-4949 闪石星曜CyberSecurity 2025-06-11 03:49 👉 本人是一名想当黑客的安全工程师,欢迎您的阅读,期待您的关注。 💡 本公众号记录方向:渗透测试|代码审计|SDLC建设。 文章导读 本文记录 Eclipse JGit XXE 漏洞的发现和利用过程。 JGit 是一个 Java 实现
继续阅读【已复现】Kafka Connect 任意文件读取漏洞(CVE-2025-27817) 长亭安全应急响应中心 2025-06-10 13:43 Apache Kafka Connect 是 Apache Kafka 生态系统的核心组件之一,用于实现 Kafka 与外部数据系统之间的可靠、可扩展的数据集成。 2025年6月10日,Apache发布安全通告,修复了 Kafka Connect 组件中的
继续阅读【复现】Kafka Connect任意文件读取漏洞(CVE-2025-27817)风险通告 赛博昆仑CERT 2025-06-10 12:05 赛博昆仑漏洞 安全风险通告 Kafka Connect任意文件读取漏洞(CVE-2025-27817)风险通告 漏洞描述 Kafka Connect 是一种用于在 Apache Kafka 和其他系统之间可扩展且可靠地流式传输数据的工具。 它使快速定义将大
继续阅读【漏洞通告】Apache Kafka Broker JNDI远程代码执行漏洞(CVE-2025-27819) 启明星辰安全简讯 2025-06-10 10:17 一、漏洞概述 漏洞名称 Apache Kafka Broker JNDI远程代码执行漏洞 CVE ID CVE-2025-27819 漏洞类型 RCE 发现时间 2025-06-10 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权
继续阅读【漏洞通告】Apache Kafka任意文件读取与SSRF漏洞(CVE-2025-27817) 原创 NS-CERT 绿盟科技CERT 2025-06-10 09:40 通告编号:NS-2025-0032 2025-06-10 TAG: Apache Kafka、任意文件读取、CVE-2025-27817 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟
继续阅读【高危漏洞预警】Apache Kafka Client 任意文件读取与SSRF漏洞CVE-2025-27817 cexlife 飓风网络安全 2025-06-10 07:52 漏洞描述: 该漏洞产生的原因是Aрасhе Kаfkа客户端在处理SASL/OAUTHBEARER连接配置时,允许通过配置项ѕаѕl.оаuthbеаrеr.tоkеn.еndроint.url和 ѕаѕl.оаuthbеа
继续阅读【漏洞预警】Apache Kafka Connect任意文件读取漏洞风险通告 原创 masterC 企业安全实践 2025-06-10 07:13 一、漏洞描述 Kafka是由Apache软件基金会开发的一个开源流处理平台,由Scala和Java编写。Apache Kafka Connect是Apache Kafka生态系统中的一个组件,它提供了一种可靠且可扩展的方式来连接Kafka与其他系统。
继续阅读Apache Kafka 多个高危漏洞安全风险通告 奇安信 CERT 2025-06-10 06:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Kafka 多个高危漏洞 漏洞编号 CVE-2025-27817、CVE-2025-27818、CVE-2025-27819 公开时间 2025-06-09 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数
继续阅读Alibaba Sentinel SSRF漏洞代码审计 小瑟斯 实战安全研究 2025-06-09 02:00 一、Sentinel介绍 引用自官方介绍 随着微服务的流行,服务和服务之间的稳定性变得越来越重要,Sentinel 是面向分布式、多语言异构化服务架构的流量治理组件,主要以流量为切入点,从流量路由、流量控制、流量整形、熔断降级、系统自适应过载保护、热点流量防护等多个维度来帮助开发者保障微
继续阅读突破常规!文件上传漏洞的6大隐蔽攻击面(多个高危场景剖析)|挖洞技巧 黑白之道 2025-06-09 01:54 0x01 前言 本文系统梳理文件上传相关漏洞挖掘思路,从下载、读取、上传到导出,覆盖各类攻击场景,帮助安全研究者快速定位并利用这些漏洞,包括任意文件读取、路径穿越、XXE等高危场景,并提供实用的测试方法和绕过技巧。 参考文章: https://xz.aliyun.com/news/18
继续阅读文件上传操作漏洞场景挖掘思路 富贵安全 2025-06-09 00:00 下载读取 文件可疑ID遍历/注入 下载接口出现铭感信息的(自己独有的东西)有用户的汇集的地方就很可能存在漏洞 出现数字 ID 遍历,越权下载其他人文件, GET“POST 皆切换尝试,利用 IDOR 越权,但是有鉴权字段就无效了 userId=19230239023923232 NickName =2321932
继续阅读警惕!你的 API 正在 “裸奔”?Swagger 安全漏洞攻防实战全解析! 原创 蒸梅狸猫 东方隐侠安全团队 2025-06-06 07:59 网安知识分享 DFYX’s KNOWLEDGE & NEWS 科普知识 一起成长 东方隐侠·集智堂 引言 在前后端分离开发盛行的今天,Swagger 作为 API 文档神器,帮助开发者高效调试接口、生成文档。但你知道吗
继续阅读创宇安全智脑 | Cisco IOS XE 任意文件上传(CVE-2025-20188)等81个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-06-05 07:51 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实
继续阅读CVE-2025–4123 | Grafana SSRF和账户接管漏洞分析 白帽子左一 白帽子左一 2025-06-05 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 摘要 开放重定向是指当一个网页应用程序接收一个URL参数并将用户重定向到该指定URL时,未对其进行验证的情况。 /redirect?url=ht
继续阅读第125篇:蓝队溯源之burpsuite、zap、AWVS、xray扫描器反制方法与复现 猫鼠信安 2025-06-04 06:08 注:仅供安全研究与学习之用,若将工具做其他用途,由使用者承担全部法律及连带责任,作者及发布者不承担任何法律及连带责任。 声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。
继续阅读从 Rebuild 企业级系统代码审计 SSRF 漏洞。 闪石星曜CyberSecurity 2025-06-04 04:07 本篇为代码审计系列SSRF漏洞理论篇第五篇,看完本篇你将掌握关于SSRF漏洞的代码视角原理剖析、基础挖掘漏洞核心能力,看完如有技术错误欢迎评论区指正。 – 漏洞原理 业务视角DEMO代码 漏洞校验DEMO代码 实战审计案例 SSRF漏洞 一 漏洞原理 1.1业
继续阅读搭建靶场、Windows/Linux系统安全、sql注入、XSS、代码审计/RCE、木马免杀、暴力破解、SSRF、提权 计算机与网络安全 2025-06-03 04:57 渗透测试工程师(高级) 5天直播课 (6月29号,7月5、6、12、13号) 线上考试,2周左右下证 终身有效,无需维持 扫码报名咨询 618抽奖 抽奖礼品为iPhone16、618元现金红包 第一波:5月31 日中午 12:0
继续阅读这12个API漏洞赏金技巧,你一定要在目标上试试! 原创 千里 东方隐侠安全团队 2025-06-01 15:01 网安知识分享 DFYX’s KNOWLEDGE & NEWS 科普知识 一起成长 东方隐侠·悟剑堂 引言 数字化时代, API(应用程序编程接口)已成为企业数据交互的核心枢纽。 然而, API暴露的攻击面正日益成为黑客攻击的主要目标。漏洞赏金计划(Bug Bounty P
继续阅读