DataCon24漏洞赛道冠军分享:vuln_wp——大模型赋能的漏洞自动化分析全解析
DataCon24漏洞赛道冠军分享:vuln_wp——大模型赋能的漏洞自动化分析全解析 0817IOTG团队 DataCon大数据安全分析竞赛 2025-03-26 18:00 该资源是来自武汉大学0817IOTG团队,DataCon2024漏洞分析赛道冠军的开源和解题分享,其开源提供了漏洞情报提取与漏洞挖掘两大核心模块的解决框架,并打包成一个可执行 Docker 镜像压缩包,方便安全研究者和开发
继续阅读标签: vx
Vite开发服务器漏洞预警!启动即裸奔,低门槛攻击可致系统数据泄露
Vite开发服务器漏洞预警!启动即裸奔,低门槛攻击可致系统数据泄露 原创 Gobybot GobySec 2025-03-26 18:00 近日,Vite 官方披露了一个中高风险安全漏洞,分配编号为CVE-2025-30208,攻击者可利用该漏洞绕过开发服务器的保护机制,非法访问项目根目录外的敏感文件。Vite团队反应迅速,立即在2025年3月24日发布补丁,Goby安全团队收到该情报后立即响应测
继续阅读Google Chrome 沙箱逃逸漏洞(CVE-2025-2783)
Google Chrome 沙箱逃逸漏洞(CVE-2025-2783) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-26 16:02 漏洞名称: Google Chrome 沙箱逃逸漏洞(CVE-2025-2783) 组件名称: 谷歌-Chrome 影响范围: Chrome (windows) < 134.0.6998.177 漏洞类型: 代码执行 利用条件: 1、用户认证:不
继续阅读NSA的零日漏洞使用策略
NSA的零日漏洞使用策略 原创 天御 天御攻防实验室 2025-03-26 15:56 零日漏洞的“过度崇拜” 我们今天要聊的是“零日漏洞”,以及为什么人们总是对它过度关注——甚至可以说是一种“崇拜”。零日漏洞的关注度远远超出了它的实际价值。 先简单解释一下,零日漏洞是指那些已经被某些人发现,但软件厂商还不知道的漏洞。由于没有补丁或缓解措施,攻击者可以利用它入侵系统、窃取数据,甚至搞破坏。 零日漏
继续阅读在野!谷歌Chrome沙箱逃逸漏洞, 被APT高度武器化
在野!谷歌Chrome沙箱逃逸漏洞, 被APT高度武器化 原创 微步情报局 微步在线研究响应中心 2025-03-26 13:03 漏洞概况 Google Chrome 是由 Google 开发的免费网页浏览器,凭借其简洁的设计和先进的功能,已迅速成为全球最受欢迎的网页浏览器之一。 微步情报局获取到 Google Chrome 修复了一处高危漏洞(CVE-2025-2783),该漏洞允许攻击者绕过
继续阅读【已发现在野利用】Google Chrome沙箱逃逸漏洞(CVE-2025-2783)安全风险通告
【已发现在野利用】Google Chrome沙箱逃逸漏洞(CVE-2025-2783)安全风险通告 奇安信 CERT 2025-03-26 10:17 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Google Chrome沙箱逃逸漏洞 漏洞编号 QVD-2025-12183,CVE-2025-2783 公开时间 2025-03-25 影响量级 千万级 奇安信评级 高危 CV
继续阅读漏洞预警 | Next.js 中间件鉴权绕过漏洞 (CVE-2025-29927)
漏洞预警 | Next.js 中间件鉴权绕过漏洞 (CVE-2025-29927) 原创 烽火台实验室 Beacon Tower Lab 2025-03-26 08:59 1 漏洞概述 漏洞类型 鉴权绕过 漏洞等级 高 漏洞编号 CVE-2025-29927 漏洞评分 9.1 利用复杂度 低 影响版本 Next.js 14.2.25 和 15.2.3 之前的版本 利用方式 远程 POC/EXP 已
继续阅读Mitel企业协作平台存在任意文件读取漏洞 附POC
Mitel企业协作平台存在任意文件读取漏洞 附POC 2025-3-25更新 南风漏洞复现文库 2025-03-25 23:23 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Mitel企业协作平台简介 微信公众号搜索:南风漏洞复现文
继续阅读next.js再出严重安全漏洞
next.js再出严重安全漏洞 原创 pippybear 安全无界 2025-03-25 23:12 受影响资产 依赖next.js进行身份验证或安全检查的应用程序。 漏洞利用方式 该漏洞可通过添加 x-middleware-subrequest: middleware 标头来绕过 Next.js 的 身份验证检查。 漏洞编号 CVE-2025-29927 漏洞原理 这里稍稍引用大佬的原文内容。
继续阅读【漏洞挖掘案例】RCE
【漏洞挖掘案例】RCE 迪哥讲事 2025-03-25 20:30 01 前言 团队的师傅突然发来一句,”要RCE北大了”,还配上了一个截图,是执行了ls / 的全回显结果,卧槽,我直呼牛逼,当时就兴奋了,于是我那天晚上忙(耍)完也去对北大做了信息收集,想去找找看这位师傅所说的可以RCE的站点,后面确实被”RCE”了,觉得有点意思,于是有了这篇文章。
继续阅读CVE-2025-0927:Linux 内核 hfsplus slab 越界写入分析(EXP)
CVE-2025-0927:Linux 内核 hfsplus slab 越界写入分析(EXP) Ots安全 2025-03-25 20:24 概括 此公告描述了 Linux 内核中的一个越界写入漏洞,该漏洞可在 Ubuntu 22.04 上针对活跃用户会话实现本地权限提升。 信用 与 SSD Secure Disclosure 合作的独立安全研究员。 供应商回应 Ubuntu 发布了以下公告和修复
继续阅读百易云资产管理运营系统 admin.ticket.close.php SQL注入漏洞(CVE-2025-1535)
百易云资产管理运营系统 admin.ticket.close.php SQL注入漏洞(CVE-2025-1535) Superhero Nday Poc 2025-03-25 20:23 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请
继续阅读【漏洞预警】Spring Security授权绕过漏洞(CVE-2025-22223)
【漏洞预警】Spring Security授权绕过漏洞(CVE-2025-22223) cexlife 飓风网络安全 2025-03-25 20:11 漏洞描述: Sрrinɡ Sесuritу可能无法正确定位参数化类型或方法上的方法安全注释,这可能会导致授权绕过。 影响产品: 6.4.0<=Spring Security<=6.4.3 攻击场景: 攻击者可能通过参数化的超类、接口或
继续阅读【漏洞预警】Yii2反序列化漏洞(CVE-2025-2689|2690)
【漏洞预警】Yii2反序列化漏洞(CVE-2025-2689|2690) cexlife 飓风网络安全 2025-03-25 20:11 CVE-2025-2689 漏洞描述: 在уiiѕоft Yii2版本至2.0.45中发现了一个被分类为严重的漏洞,这个问题影响到了文件ѕуmfоnу\findеr\Itеrаtоr\SоrtаblеItеrаtоr.рhр中的ɡеtItеrаtоr函数,通过操
继续阅读Jeecg漏洞总结及tscan poc分享
Jeecg漏洞总结及tscan poc分享 蚁景网络安全 2025-03-25 20:04 前言jeecgboot是一款基于代码生成器的低代码开发平台,集成完善的工作流、表单、报表、大屏的平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,成熟的微服务解决方案。 最近的攻防演练中经常遇到部署
继续阅读1小时思维蜕变!手把手教你挖出别人看不见的宝藏漏洞
1小时思维蜕变!手把手教你挖出别人看不见的宝藏漏洞 FreeBuf培训 FreeBuf 2025-03-25 19:23 回顾这些年在漏洞挖掘领域的探索,有一个极为关键的发现:许多漏洞其实近在咫尺,甚至无需开启抓包工具就能发现。每一次这样的测试都令人震撼,原以为到了 2025 年,如此简单的漏洞早已销声匿迹,但现实却无情地打脸。不经意的一次点击,可能就引发信息泄露;在正常使用功能时,换个逆向思维思
继续阅读Next.js 严重漏洞:攻击者可绕过中间件授权检查
Next.js 严重漏洞:攻击者可绕过中间件授权检查 FreeBuf 2025-03-25 19:23 Next.js React 框架近日披露了一个严重的安全漏洞,攻击者可利用该漏洞绕过授权检查,未经授权访问仅限管理员或其他高权限用户访问的敏感网页。该漏洞被标记为 CVE-2025-29927,其 CVSS 评分为 9.1(满分 10.0)。 Next.js 框架及漏洞详情 Next.js 是一
继续阅读管好IT资产,高效防治漏洞(1)
管好IT资产,高效防治漏洞(1) 原创 Richard 方桥安全漏洞防治中心 2025-03-25 19:19 很难想象IT资产管理做得不好,而安全漏洞防治工作做得很好。 那么,安全漏洞防治需要什么样的IT资产管理? 我们先看看 NIST SPECIAL PUBLICATION 1800-5 IT Asset Management(IT资产管理)里面的这张图。 图1. Asset Lifecycl
继续阅读研究显示:超300万财富500强员工账户凭证近三年内遭泄露;严重漏洞威胁Next.js应用,攻击者可绕过授权访问管理面板 |牛览
研究显示:超300万财富500强员工账户凭证近三年内遭泄露;严重漏洞威胁Next.js应用,攻击者可绕过授权访问管理面板 |牛览 安全牛 2025-03-25 18:29 新闻速览 • 研究显示: 超300万财富500强员工账户凭证在近三年内遭泄露 •欧盟严重有组织犯罪威胁评估:混合威胁与AI重塑犯罪格局 • 一公司因OA系统数据安全保障不力被罚 •前密歇根大学橄榄球教练因未授权访问和身份盗窃被起
继续阅读「1day」D-Link DIR 823G路由器存在未授权访问漏洞(CVE-2025-2360)
「1day」D-Link DIR 823G路由器存在未授权访问漏洞(CVE-2025-2360) 原创 zangcc Eureka安全 2025-03-25 18:23 在2025年3月25日,在Eureka威胁情报平台监测到了一处新的漏洞预警。在发现这一预警后, 我们的安全研究人员立即展开深入研究,力求全面了解该漏洞的性质、影响范围以及潜在的利用方 式。 需要明确的是,此次研究和分享基于技术研究
继续阅读Next.js 框架惊现致命漏洞,黑客可轻松绕过授权
Next.js 框架惊现致命漏洞,黑客可轻松绕过授权 看雪学苑 看雪学苑 2025-03-25 18:00 最近,一个名为 CVE-2025-29927 的重大漏洞在 Next.js 开源框架中被发现,这一消息瞬间在开发界和安全领域引发了轩然大波。 Next.js 作为一款广受欢迎的 React 框架,拥有每周超 900 万次的 npm 下载量,是众多企业构建全栈 Web 应用的首选。从 TikT
继续阅读Ingress NGINX 控制器中存在严重漏洞可导致RCE
Ingress NGINX 控制器中存在严重漏洞可导致RCE Ravie Lakshmanan 代码卫士 2025-03-25 17:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ingress NGINX Controller (Kubernetes) 中存在五个严重漏洞,无需认证即可导致远程代码执行,可将超过6500个集群暴露在公开互联网中。 这些漏洞(CVE-2025-2451
继续阅读HackerOne审核漏洞的隐藏规则:为什么你的报告总被拒?
HackerOne审核漏洞的隐藏规则:为什么你的报告总被拒? 原创 道玄安全 道玄网安驿站 2025-03-25 17:55 “ 和审核斗智斗勇。” 看到了,关注一下 不吃亏啊,点个赞转发一下啦,WP看不下去的,可以B站搜:标松君 ,UP主录的打靶视频,欢迎关注。顺便宣传一下星球:重生者安全, 里面每天会不定期更新OSCP 知识点,车联网 ,渗透红队 以及漏洞挖掘工具 等信息分享,欢迎加入;以
继续阅读1小时思维蜕变,手把手教你挖出别人看不见的宝藏漏洞!
1小时思维蜕变,手把手教你挖出别人看不见的宝藏漏洞! FreeBuf知识大陆APP 2025-03-25 17:45 回顾这些年在漏洞挖掘领域的探索,有一个极为关键的发现:许多漏洞其实近在咫尺,甚至无需开启抓包工具就能发现。每一次这样的测试都令人震撼,原以为到了 2025 年,如此简单的漏洞早已销声匿迹,但现实却无情地打脸。不经意的一次点击,可能就引发信息泄露;在正常使用功能时,换个逆向思维思考,
继续阅读9.4分漏洞!Next.js Middleware鉴权绕过漏洞安全风险通告
9.4分漏洞!Next.js Middleware鉴权绕过漏洞安全风险通告 应急响应中心 亚信安全 2025-03-25 17:32 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Next.js 存在一个授权绕过漏洞,编号为 CVE-2025-29927。攻击者可能通过发送精心构造的 x-middleware-subrequest 请求头绕过中间件安全控制,从而在未授权的情况下访问受保
继续阅读Kubernetes惊现“入口噩梦”:Ingress NGINX高危漏洞可致集群全面沦陷
Kubernetes惊现“入口噩梦”:Ingress NGINX高危漏洞可致集群全面沦陷 原创 网空闲话 网空闲话plus 2025-03-25 17:23 2025年3月24日Wiz博客披露,Kubernetes的Ingress NGINX Controller被发现存在一系列名为“IngressNightmare”的远程代码执行(RCE)漏洞,具体包括 CVE-2025-1097、CVE-20
继续阅读【高危漏洞】Tenda AC15命令注入漏洞
【高危漏洞】Tenda AC15命令注入漏洞 原创 moon 皓月当空w 2025-03-24 21:27 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称 : Tenda AC15命令注入漏洞 漏洞出现时间 :2025年3月14日 影响等级 :高危 漏洞说明: Tenda AC15 15.03.05.19版本存在命令注入漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。
继续阅读流行的 Python 日志库存在远程代码执行漏洞 (CVE-2025-27607)
流行的 Python 日志库存在远程代码执行漏洞 (CVE-2025-27607) TtTeam 2025-03-24 21:27 用于生成 JSON 日志的流行 Python 库“python-json-logger”中发现了一个严重漏洞。此漏洞可能允许攻击者在安装该库的系统上执行任意代码。 该漏洞被标记为 CVE-2025-27607,CVSS 评分为 8.8,源于缺少名为“msgspec-p
继续阅读抖音刷出来的天降漏洞
抖音刷出来的天降漏洞 Z2O安全攻防 2025-03-24 21:22 No.0 前言 刷着抖音,突然发现奇怪的抖音号,学生公寓招层长怎么被我刷着了,这号是不是废了,我刷到的都是美女啊,突然发现学生公寓楼层长,进入主页看看吧 No.1 事情的经过是这样的 进入首页一看,这学工系统,初始密码都出来了 主要是看美女多看了两眼才能发现 从他给的url进去看看 抖音说要DB认证 那现在登录点和密码都有了,
继续阅读