【最新情报】新 Telegram 漏洞
【最新情报】新 Telegram 漏洞 原创 visionsec 安全视安 2025-03-08 17:59 声明 :该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 发现新的 Telegram 漏洞 EvilLoader。这使得攻击者可以将恶意 APK 伪装成视频。它仍未打补丁,可在 Android 11
继续阅读标签: vx
金盘移动图书馆系统download.jsp存在任意文件读取漏洞
金盘移动图书馆系统download.jsp存在任意文件读取漏洞 Superhero Nday Poc 2025-03-08 17:19 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读记录一次JAVA前台漏洞审计
记录一次JAVA前台漏洞审计 知名小朋友 进击安全 2025-03-08 16:37 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 好久没有进行自己更新相关的文章了,今天来更新一篇对学员的一个JAVA源码的审计过程,并且成功审计出来漏洞的一个案例。 二、事情过程 某天晚上,
继续阅读Elber-Wayber模拟数字音频密码重置漏洞
Elber-Wayber模拟数字音频密码重置漏洞 Superhero Nday Poc 2025-03-08 16:35 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉。谢谢
继续阅读警惕!Ollama 未授权访问漏洞来袭
警惕!Ollama 未授权访问漏洞来袭 原创 骇客安全 骇客安全 2025-03-08 16:29 亲爱的读者朋友们,在当下人工智能飞速发展的时代,Ollama 作为一款颇受欢迎的开源大语言模型服务工具,为众多开发者和使用者提供了便捷的服务。然而,近期它却被曝出存在严重的未授权访问漏洞 ,这一消息犹如一颗重磅炸弹,在相关领域引起了轩然大波。 漏洞的危害 📅 昨天与 AI 讨论的职场机密 🏥 医疗模
继续阅读【2025最新】6款漏洞扫描工具!收藏这一篇就够了(附下载链接)
【2025最新】6款漏洞扫描工具!收藏这一篇就够了(附下载链接) 编程技术栈 2025-03-08 15:55 前言 渗透测试收集信息完成后,就要根据所收集的信息,扫描目标站点可能存在的漏洞了,包括我们之前提到过的如: SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,通过这些已知的漏洞,来寻找目标站点的突破口,在这之前我们可能就已经接触过许多漏洞靶场,练习过各种漏洞的攻击
继续阅读【0day】某礼品卡电子券收卡系统存在前台任意文件删除漏洞
【0day】某礼品卡电子券收卡系统存在前台任意文件删除漏洞 原创 Mstir 星悦安全 2025-03-08 13:26 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 一个先进、稳定、功能完善的回收交易平台, 通过技术对接,全面实现线上回收各类虚拟卡。销卡速度快,到账稳定。 解决浪费:直接面对用户回收 出户即可提交卡号卡密完成回收交易 解决每年上十亿礼品卡闲置的问题。 资金回流:让企业闲
继续阅读Microsoft Windows KDC 代理中的 RCE
Microsoft Windows KDC 代理中的 RCE Ots安全 2025-03-08 12:54 在趋势科技漏洞研究服务漏洞报告的摘录中, 趋势科技研究团队的 Simon Humbert 和 Guy Lederfein 详细介绍了 Microsoft Windows 密钥分发中心 (KDC) 代理中最近修补的代码执行漏洞。该漏洞最初由 Cyber KunLun 的昆仑实验室的 k0shl
继续阅读JavaSecLab 综合Java漏洞平台搭建
JavaSecLab 综合Java漏洞平台搭建 原创 moonsec moonsec 2025-03-08 12:32 一、介绍 JavaSecLab是一款综合型Java漏洞平台,提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范,覆盖多种漏洞场景,友好用户交互UI…… 支持漏洞模块 跨站脚本攻击、跨站请求伪造、CORS、JSONP、URL重定向、XFF伪造、拒绝服务、XPAT
继续阅读苹果设备的“锁屏漏洞”:CVE-2025-24200如何被攻击者利用?
苹果设备的“锁屏漏洞”:CVE-2025-24200如何被攻击者利用? HSCERT 山石网科安全技术研究院 2025-03-08 09:01 苹果设备的USB限制模式被绕过,你的隐私还安全吗? 在当今数字化时代,智能手机的安全性已经成为我们生活中不可或缺的一部分。苹果公司一直以其严格的安全机制著称,但最近一个名为CVE-2025-24200的漏洞却引发了广泛关注。接下来以一篇深度文章[1],带你
继续阅读VMware ESXi 报告新漏洞,波兰航天局遭受网络攻击 | 一周特辑
VMware ESXi 报告新漏洞,波兰航天局遭受网络攻击 | 一周特辑 威努特安全网络 2025-03-08 07:59 VMware ESXi 漏洞 增加勒索攻击的风险 前段时间,VMware 所有者 Broadcom 通知 ESXi、Workstation 和 Fusion 客户,他们已为目前可被利用的三个0day漏洞提供了补丁。 这些漏洞被跟踪为 CVE-2025-22224、CVE-20
继续阅读虚拟机逃逸!VMware高危漏洞正被积极利用,国内公网暴露面最大
虚拟机逃逸!VMware高危漏洞正被积极利用,国内公网暴露面最大 安全内参 商密君 2025-03-07 23:56 VMware虚拟机逃逸漏洞正被积极利用,据统计全球近4万台服务器存风险,其中中国、法国、美国的受影响服务器数量位列前三,中国约4400台服务器存在风险。 3月7日消息,超过3.7万台暴露在互联网上的VMware ESXi实例易受CVE-2025-22224漏洞的影响。该漏洞是一个
继续阅读美国众议院通过法案:强制政府供应商设立漏洞披露计划
美国众议院通过法案:强制政府供应商设立漏洞披露计划 网络安全与人工智能研究中心 2025-03-07 22:02 美国众议院通过《联邦承包商网络安全漏洞消减法案》,要求联邦承包商必须制定漏洞披露计划。 安全内参3月7日消息,美国众议院近日通过了一项法案,要求联邦承包商强制实施漏洞披露政策(VDP),并遵循与联邦机构一致的漏洞披露要求,以加快漏洞消减目标的实现。 《2025年联邦承包商网络安全漏洞消
继续阅读CVE-2025-0087 安卓本地权限提升POC
CVE-2025-0087 安卓本地权限提升POC 原创 Secu的矛与盾 Secu的矛与盾 2025-03-07 21:48 简述 CVE-2025-0087 是 Android Framework Base 包中的本地权限提升漏洞,其核心问题出现在 UninstallerActivity.java 文件中。由于代码中缺乏充分的检查机制,攻击者可以在无需用户交互的情况下,借助该漏洞卸载其他用户的
继续阅读Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload
Burp Suite插件专为文件上传漏洞检测设计,提供自动化Fuzz测试,共300+条payload T3nk0 无影安全实验室 2025-03-07 20:56 免责声明: 本篇文章仅用于技术交流, 请勿利用文章内的相关技术从事非法测试 , 由于传播、利用本公众号无影安全 实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责任,一
继续阅读全球近5W个访问管理系统存在严重安全漏洞
全球近5W个访问管理系统存在严重安全漏洞 FreeBuf 2025-03-07 19:53 荷兰IT安全咨询公司Modat发现,全球范围内部署的约49,000个访问管理系统(AMS)存在严重的安全漏洞。这些系统本应通过密码、生物识别和多因素认证等身份验证方法控制建筑物访问,然而却因关键配置错误导致敏感数据暴露,使设施面临未经授权进入的风险。 此次发现暴露了一个跨越多个领域的重大全球性安全威胁,涉及
继续阅读打印机变间谍?揭秘施乐设备中的致命漏洞!
打印机变间谍?揭秘施乐设备中的致命漏洞! HSCERT 山石网科安全技术研究院 2025-03-07 19:30 您的办公室打印机可能正成为黑客入侵的后门! 在数字化办公日益普及的今天,打印机作为企业办公的必备设备,其安全性却往往被忽视。然而,最新披露的施乐打印机漏洞(CVE-2024-12510和CVE-2024-12511)却给企业信息安全敲响了警钟。接下来,让我们通过一篇文章,来一探究竟吧!
继续阅读当风云卫拥抱DeepSeek发生了哪些? –从漏洞验证到自动修复的优化之路
当风云卫拥抱DeepSeek发生了哪些? –从漏洞验证到自动修复的优化之路 原创 创新研究院 绿盟科技研究通讯 2025-03-07 19:28 一. 前言 近期,Deepseek-R1[1]凭借在多项核心评测基准中的优异表现,尤其是在代码层面,展现出了强大的推理能力和高效的性能,能够有效支持开发者完成复杂的编程任务。那么,Deepseek-R1是否会给代码审计带来智能化变革呢? 本
继续阅读vulnhub靶场渗透之Stapler 8000字详解,多种方式任你挑选,sql注入、隧道建立、hadry爆破、内核漏洞利用。
vulnhub靶场渗透之Stapler 8000字详解,多种方式任你挑选,sql注入、隧道建立、hadry爆破、内核漏洞利用。 原创 泷羽Sec-zhao’y 泷羽Sec-朝阳 2025-03-07 19:10 vulnhub靶场渗透之Stapler 8000字详解,多种方式任你挑选,sql注入、隧道建立、hadry爆破、内核漏洞利用。 一、信息收集 1、首先拿到靶场先扫一下ip ar
继续阅读Jenkins 修复CSRF和开放重定向等多个漏洞
Jenkins 修复CSRF和开放重定向等多个漏洞 do son 代码卫士 2025-03-07 18:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 热门开源自动化服务器Jenkins 发布安全公告修复多个漏洞,其中包括加密机密泄露和跨站请求伪造 (CSRF) 漏洞。 该安全公告在2025年3月5日发布,它详述了影响 Jenkins 2.499及之前版本和 LTS 2.492.1及之
继续阅读速修复Kibana 中严重的RCE漏洞
速修复Kibana 中严重的RCE漏洞 Ravie Lakshmanan 代码卫士 2025-03-07 18:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Elastic 公司发布安全更新,修复影响用于Elasticsearch 的Kibana 数据可视化仪表盘软件中的一个严重的原型污染漏洞,它可导致任意代码执行后果,编号是CVE-2025-25012,CVSS评分为9.9。 El
继续阅读实力认证!360入选国家工业信息安全漏洞库技术组成员单位
实力认证!360入选国家工业信息安全漏洞库技术组成员单位 360漏洞云 2025-03-07 17:49 近日,国家工业信息安全漏洞库(简称:CICSVD)公布了技术组成员单位名单。360数字安全集团凭借其在工业信息领域的杰出贡献和卓越实力,成功入选CICSVD技术组成员单位。 CICSVD是在工信部指导下成立的专注于工业控制产品领域安全漏洞管理的国家级专业库,旨在面向关键信息基础设施等重要行业打
继续阅读专题·漏洞人才培养 | 知攻善防,内外兼修,网络安全实战人才培养的实践之道
专题·漏洞人才培养 | 知攻善防,内外兼修,网络安全实战人才培养的实践之道 原创 杨坤 余慧英 袁胜 中国信息安全 2025-03-07 17:39 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 北京长亭科技有限公司 杨坤 余慧英 袁胜 习近平总书记指出,“网络空间的竞争,归根结底是人才竞争”。面对当前日益严峻的网络空间安全态势,高水平高质量的专业网络
继续阅读公安部网安局提醒:警惕5种个税汇算骗局;新型勒索团伙SecP0出新招:威胁公开未披露软件漏洞 | 牛览
公安部网安局提醒:警惕5种个税汇算骗局;新型勒索团伙SecP0出新招:威胁公开未披露软件漏洞 | 牛览 安全牛 2025-03-07 15:48 点击蓝字·关注我们 / aqniu 新闻速览 •公安部网安局提醒:警惕5种个税汇算骗局 •工信部CSTIS提醒:防范针对DeepSeek本地化部署实施网络攻击的风险 •NIST发布《评估差分隐私保证指南》 •5欧元二手硬盘藏15GB敏感医疗记录,数据
继续阅读漏洞预警 | Elastic Kibana 存在任意代码执行漏洞(CVE-2025-25012)
漏洞预警 | Elastic Kibana 存在任意代码执行漏洞(CVE-2025-25012) 原创 烽火台实验室 Beacon Tower Lab 2025-03-07 09:46 一 漏洞概述 漏洞类型 任意代码执行 漏洞等级 高危 漏洞编号 CVE-2025-25012 漏洞评分 9.9 利用复杂度 低 影响版本 versions >= 8.15.0 and < 8.17.3
继续阅读利用 3000 条大字典 MachineKeys 爆破 ViewState 反序列化漏洞
利用 3000 条大字典 MachineKeys 爆破 ViewState 反序列化漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-03-07 08:39 MachineKeys 负责加密和解密敏感数据,确保服务器端的安全性。然而,一旦这些密钥被泄露,攻击者便可解密受保护的数据,并可能用 ViewState 反序列化漏洞执行恶意代码。Sharp4DotNetBurst 正是这
继续阅读专题·漏洞人才培养 | 以CTF学科竞赛为抓手的漏洞人才培养探索与实践
专题·漏洞人才培养 | 以CTF学科竞赛为抓手的漏洞人才培养探索与实践 CNNVD安全动态 2025-03-06 21:33 文 | 武汉大学国家网络安全学院 赵磊 鄢炜 文贝西 在我国深入推进网络强国战略的进程中,网络安全人才的短缺已成为制约网络安全产业发展的主要问题之一,尤其是实战型人才的匮乏。据统计,高达92%的企业信息部门和安全部门负责人认为其团队“缺乏攻防实战能力”。漏洞的挖掘、分析、利
继续阅读专题·漏洞人才培养 | 实战化漏洞安全人才培养 为新质生产力保驾护航
专题·漏洞人才培养 | 实战化漏洞安全人才培养 为新质生产力保驾护航 CNNVD安全动态 2025-03-06 21:33 文 | 中国移动网络与信息安全管理部 徐一 随着数字化进程的持续推进,各类信息系统和数字资产的大规模建设与广泛应用,带来了日益增多的漏洞安全风险。当前,网络安全形势日趋严峻,外部环境的不确定性进一步加剧,对各类系统应用的安全构成了持续威胁。漏洞作为攻击入侵的重要突破口,同时也
继续阅读金和OA-C6系统接口IncentivePlanFulfillAppprove.aspx存在SQL注入漏洞
金和OA-C6系统接口IncentivePlanFulfillAppprove.aspx存在SQL注入漏洞 Superhero Nday Poc 2025-03-06 21:13 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担
继续阅读【安全圈】CISA 警告 VMware 漏洞正被积极利用,并敦促立即修补
【安全圈】CISA 警告 VMware 漏洞正被积极利用,并敦促立即修补 安全圈 2025-03-06 19:00 关键词 安全漏洞 美国网络安全和基础设施安全局 (CISA) 于 2025 年 3 月 4 日发布紧急警报,在确认存在野外利用后,将三个严重的 VMware 漏洞添加到其已知利用漏洞 (KEV) 目录中。 漏洞CVE-2025-22224、CVE-2025-22225 和 CVE-2
继续阅读