雷神众测漏洞周报2025.2.24-2024.3.2
雷神众测漏洞周报2025.2.24-2024.3.2 原创 雷神众测 雷神众测 2025-03-04 16:45 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读标签: vx
CNCERT:关于Ollama存在未授权访问漏洞的安全公告
CNCERT:关于Ollama存在未授权访问漏洞的安全公告 安全内参 2025-03-04 16:04 安全公告编号 :CNTA-2025-0003 近日,国家信息安全漏洞共享平台(CNVD)收录了Ollama未授权访问漏洞(CNVD-2025-04094)。未经授权的攻击者可以远程访问Ollama服务接口执行敏感资产获取、虚假信息投喂、拒绝服务等恶意操作。CNVD建议受影响的单位和用户立即采取措
继续阅读【漏洞预警】Git 终端提示信息注入+信息泄露漏洞
【漏洞预警】Git 终端提示信息注入+信息泄露漏洞 cexlife 飓风网络安全 2025-03-03 22:32 Git终端提示信息注入漏洞 漏洞描述: Git是一款快速、可扩展的分布式版本控制系统,拥有丰富的命令集,既能提供高级操作,也能让用户完全访问内部机制。当Git通过终端提示(即不使用任何凭证助手)请求凭证时,会打印出用户需要提供用户名和/或密码的主机名。此时,任何已解码的URL编码部分
继续阅读【漏洞预警】HTTP/2拒绝服务漏洞
【漏洞预警】HTTP/2拒绝服务漏洞 cexlife 飓风网络安全 2025-03-03 22:32 漏洞描述: 攻击者可能会通过发送过量的CONTINUATION帧来导致HTTP/2端点读取任意数量的标头数据.维护HPACK状态需要解析和处理连接上的所有HEADERS和CONTINUATION帧.当请求的标头超过 MахHеаdеrBуtеѕ时,不会分配内存来存储多余的标头,但仍会解析它们。这允
继续阅读Ollama 漏洞检测工具及使用手册
Ollama 漏洞检测工具及使用手册 网络安全等保与关保 2025-03-03 22:27 Ollama 漏洞检测工具使用手册 简介 Ollama 漏洞检测工具是一个用于检测本地 Ollama 服务是否存在已知安全漏洞的 Python 脚本。该工具可以检测路径遍历漏洞、未授权访问、模型注入攻击和本地文件包含等安全问题。 作者 : 牛仔帽(niuzaimao) 系统要求 • Python 3.6 或
继续阅读地图大师SRC漏洞挖掘课程学员突破800人!感恩回馈,免费再加一套DLC课程,助你挖洞无忧!
地图大师SRC漏洞挖掘课程学员突破800人!感恩回馈,免费再加一套DLC课程,助你挖洞无忧! 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2025-03-03 22:13 01**** 突破 时间飞逝,转眼间我们已经有800位师傅一起共同进步。当初说过,学会了大师的技术就要把大师拍在沙滩上,如今许多人已经做到了,这让我无比骄傲。感谢大家的信任与支持,作为回馈,我决定免费追加一门DLC课程,继续陪
继续阅读Ollama未授权访问漏洞【实现AI自由】
Ollama未授权访问漏洞【实现AI自由】 sec0nd安全 2025-03-03 21:41 0.1 漏洞成因 Ollama 默认部署时监听于 127.0.0.1,仅允许本地访问,从而在初始配置下保证了较高的安全性。然而部分用户为了方便从公网访问,会将监听地址修改为 0.0.0.0。在这种修改之后,如果未额外配置身份认证或访问控制机制,Ollama 的管理接口就会暴露于公网,导致攻击者只需访问服
继续阅读《DOM型XSS漏洞之AngularJS表达式触发》
《DOM型XSS漏洞之AngularJS表达式触发》 sec0nd安全 2025-03-03 21:41
继续阅读CNNVD | 关于Ollama安全漏洞的通报
CNNVD | 关于Ollama安全漏洞的通报 中国信息安全 2025-03-03 18:17 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况** 近日,国家信息安全漏洞库(CNNVD)收到关于Ollama安全漏洞(CNNVD-202503-081)情况的报送。未经授权的攻击者可在远程条件下调用Ollama服务接口,执行包括但不限于敏感模型资产窃取、虚
继续阅读上周关注度较高的产品安全漏洞(20250224-20250302)
上周关注度较高的产品安全漏洞(20250224-20250302) 原创 CNVD CNVD漏洞平台 2025-03-03 18:17 一、境外厂商产品漏洞 1、Google Android信息泄露漏洞(CNVD-2025-03652) Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在信息泄露漏洞,该漏洞源于Sens
继续阅读攻击链揭露:间谍软件利用零日漏洞攻破安卓手机锁屏
攻击链揭露:间谍软件利用零日漏洞攻破安卓手机锁屏 安全客 2025-03-03 15:46 近日,国际特赦组织与谷歌的威胁分析小组联合揭露了一个复杂的网络间谍事件,塞尔维亚当局利用由以色列数字情报公司Cellebrite提供的零日漏洞攻击安卓设备。该事件涉及通过物理接触目标设备,绕过锁屏保护并提取敏感数据,揭示了数字取证工具在政府监控中的滥用,以及安卓系统在防范物理访问攻击方面的严重漏洞。 01
继续阅读双倍奖金!X 春日漏洞悬赏计划启动!
双倍奖金!X 春日漏洞悬赏计划启动! X 微步在线研究响应中心 2025-03-03 11:50 奖励计划 活动时间 2025/2/26-2025/3/18 奖励计划 活动亮点 🎯 超高奖励 :重点系统漏洞奖金翻2倍 ,提供本地环境再加20% ⚡ 极速审核 :重点系统当天提交当天审 ,常规系统3~5个工作日内完成审核 💰 快速结算 : 审核通过即可获得50%奖励,重点系统 0day 30天内全额结
继续阅读(0day)漏洞预警 | 资产管理运营系统任意文件上传漏洞
(0day)漏洞预警 | 资产管理运营系统任意文件上传漏洞 原创 深潜sec安全团队 深潜sec安全团队 2025-03-03 00:32 0x01 漏洞编号 • 暂无 0x02 危险等级 • 高危 0x03 漏洞概述 百易云资产管理运营系统,是专门针对企业不动产资产管理和运营需求而设计的一套综合解决方案。该系统能够覆盖资产的全生命周期管理,包括资产的登记、盘点、评估、处置等多个环节,同时提供强大
继续阅读vulnhub靶场之【digitalworld.local系列】的bravery靶机
vulnhub靶场之【digitalworld.local系列】的bravery靶机 原创 whitehe 泷羽sec-何生安全 2025-03-03 00:30 前言 靶机:digitalworld.local-bravery ,IP地址为192.168.10.8 攻击:kali ,IP地址为192.168.10.6 kali 采用VMware 虚拟机,靶机采用virtualbox 虚拟机,网卡
继续阅读工具集:F-vuln【集合了信息收集、漏洞扫描、暴力破解等功能的自动化工具】
工具集:F-vuln【集合了信息收集、漏洞扫描、暴力破解等功能的自动化工具】 风铃Sec 2025-03-03 00:28 🚨工具介绍 F-vuln(全 称:Find-Vulnerability)主要适用于日常安全服务、渗透测试人员和RedTeam红队人员,它集合的功能包括:存活IP探测、开放端口探测、web服务探测、web漏洞扫描、smb爆破、ssh爆破、 ftp爆破、mssql爆破等其他数据库
继续阅读漏洞预警 | DocsGPT远程代码执行漏洞
漏洞预警 | DocsGPT远程代码执行漏洞 浅安 浅安安全 2025-03-03 00:01 0x00 漏洞编号 – # CVE-2025-0868 0x01 危险等级 – 高危 0x02 漏洞概述 DocsGPT是一个AI驱动的文档助手,基于GPT技术,用于智能搜索和解析技术文档,帮助开发者快速获取API说明、代码示例和问题解答。 0x03 漏洞详情 CVE-2025-
继续阅读漏洞预警 | SeaCMS海洋影视管理系统SQL注入漏洞
漏洞预警 | SeaCMS海洋影视管理系统SQL注入漏洞 浅安 浅安安全 2025-03-03 00:01 0x00 漏洞编号 – # CVE-2025-25514 CVE-2025-25516 0x01 危险等级 – 高危 0x02 漏洞概述 海洋CMS是为解决站长核心需求而设计的内容管理系统,一套程序自适应电脑、手机、平板、APP多个终端入口,无任何加密代码、安全有保障
继续阅读漏洞预警 | 竞优商业租赁管理系统信息泄露漏洞
漏洞预警 | 竞优商业租赁管理系统信息泄露漏洞 浅安 浅安安全 2025-03-03 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 竞优商业租赁管理系统是一款面向商业地产、购物中心、写字楼、市场摊位、工业园区等行业的租赁管理软件,集成了合同管理、租金计算、财务结算、商户管理、资产管理等功能,帮助企业提升租赁管理效率,优化租金
继续阅读【漏洞复现】 Ollama未授权访问漏洞
【漏洞复现】 Ollama未授权访问漏洞 g3m 无尽藏攻防实验室 2025-03-03 00:00 网络安全为人民 师傅们好👋:本公众号现在已开启对常读和星标的公众号展示大图推送,为了不错过我们的网络安全干货,请星标🌟我们。这样,您就能快速掌握最新动态,与我们共同守护网络空间!感谢您的关注和支持!💖 Ollma Ollama 是一个开源的大语言模型(LLM)运行环境和工具集,旨在帮助开发者轻松部
继续阅读【漏洞挖掘技巧】新手师傅从0到1如何挖洞
【漏洞挖掘技巧】新手师傅从0到1如何挖洞 迪哥讲事 2025-03-02 21:30 前言 edusrc 不像企业 src,大部分账号就是学号+身份证号或者默认的弱密码,因此弱口令的网站量要多得多,并且学校数量众多,所以 edusrc 弱密码无疑是挖掘 src 的最好入手点。 01 资产搜集 先确定自己要挖什么目标,一般刚开始的话说实话就是全凭感觉,不一定是学校越小越好挖,因为资产太少了也不容易找
继续阅读VxWorks设备分析与漏洞挖掘
VxWorks设备分析与漏洞挖掘 船山信安 2025-03-02 18:00 笔者最近研究作为实时操作系统Vxworks,Vxworks不仅搭载在一些工控系统上,也搭载在路由器上的,所以就以路由器的挖掘描述Vxworks在怎么样去分析挖掘,本文以TPLink。 2.固件获取 通过TPlink官网获取固件 https://resource.tp-link.com.cn/ 以TL-WDR7660路由器
继续阅读EatPoc – 简单的POC捕获工具
EatPoc – 简单的POC捕获工具 LemonSec 2025-03-02 16:00 又到每年大小考的时候了,很多非开源扫描器会集中再这段时间疯狂推送新的POC。大秀肌肉。 有时候不想启用mitmproxy去精细化抓取流量,只想批量保存POC。所以做了这么一个脚本去完成需求。 该工具保存下载的流量(request),可以再用大模型修改格式,比如改成Nuclei支持的格式。 项目地
继续阅读PingAM Java存在未经授权的访问权限漏洞CVE-2025-20059
PingAM Java存在未经授权的访问权限漏洞CVE-2025-20059 网安百色 2025-03-02 11:31 点击上方 蓝字 关注我们吧~ Ping Identity 针对其 PingAM Java 代理发布了紧急安全公告,揭示了一个严重性为极高的漏洞 (CVE-2025-20059),该漏洞使攻击者能够绕过策略实施机制并未经授权访问受保护的资源。 该漏洞被归类为相对路径遍历弱点 (C
继续阅读关于Ollama存在未授权访问漏洞的安全公告
关于Ollama存在未授权访问漏洞的安全公告 网安百色 2025-03-02 11:31 安全公告编号 :CNTA-2025-0003 近日,国家信息安全漏洞共享平台(CNVD)收录了Ollama未授权访问漏洞(CNVD-2025-04094)。未经授权的攻击者可以远程访问Ollama服务接口执行敏感资产获取、虚假信息投喂、拒绝服务等恶意操作。CNVD建议受影响的单位和用户立即采取措施防范漏洞攻击
继续阅读应用安全不仅仅是漏洞
应用安全不仅仅是漏洞 原创 tonghuaroot RedTeam 2025-03-02 10:36 应用安全不仅仅是漏洞,漏洞是驱动应用安全建设的有效抓手。 代码天生易错 核心理念:以系统可靠性为核心目标,兼顾控制验证与安全保障、安全漏洞治理的双重诉求。 应用开发天生具有复杂性。没有不存在漏洞的应用 。这些漏洞可能源自需求分析、设计阶段,也可能出现在实现及后续维护过程中,不同阶段的安全漏洞会引发
继续阅读Ollama未授权漏洞简单复现
Ollama未授权漏洞简单复现 原创 ss shadowsec 2025-03-02 10:25 前言:本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 最近Deepseek爆火,很多企业之类的都开始部署ai。而Ollama是运行 AI 模型的最受欢迎的开源项目之一,在Github上有13w以上star。在以后,或许AI也会成为一条新的可以渗透的路线,所以在看到ollama出
继续阅读DeepSeek 出现严重漏洞!一个问题直接导致无限循环!
DeepSeek 出现严重漏洞!一个问题直接导致无限循环! 量子位 乌雲安全 2025-03-02 10:01 转载于公众号:量子位。 只要一句话,就能让DeepSeek陷入无限思考 ,根本停不下来? 北大团队发现,输入一段看上去人畜无害的文字,R1就无法输出中止推理标记,然后一直输出不停。 强行打断后观察已有的思考过程,还会发现R1在不断重复相同的话。 而且这种现象 还能随着蒸馏被传递 ,在用R
继续阅读Apache MINA CVE-2024-52046漏洞复现分析
Apache MINA CVE-2024-52046漏洞复现分析 原创 HSCERT 山石网科安全技术研究院 2025-03-02 10:00 网络安全警报!Apache MINA 漏洞来袭。 互联网时代,网络安全问题层出不穷,稍有不慎就可能陷入巨大风险之中。 近日,一则关于Apache MINA的重大漏洞预警引发广泛关注,它究竟有何危害? 又该如何防范? 本文将为您详细解析 。 一、漏洞背景 美
继续阅读利用 AIxCC Nginx 漏洞:第一部分
利用 AIxCC Nginx 漏洞:第一部分 Ots安全 2025-03-02 07:23 这篇博文将分析Nginx AIxCC 中时间安全漏洞的可利用性。 AIxCC是 DARPA 的一项竞赛,旨在使用 AI 查找代码库中的漏洞。参赛者不是在寻找 0day 漏洞,而是故意在现有代码库中添加漏洞。其中之一就是半决赛中的Nginx,该比赛已经结束。 在这篇博文中,我将从不同的角度关注这些增加的漏洞是
继续阅读别让更新变麻烦:Python脚本助你一键获取修复操作系统漏洞补丁包!
别让更新变麻烦:Python脚本助你一键获取修复操作系统漏洞补丁包! 原创 didiplus 攻城狮成长日记 2025-03-02 07:18 字数 1430,阅读大约需 8 分钟 在日常工作中,服务器安全是企业运营的关键。我们专业的安全团队会用工具对所有服务器进行扫描,找出潜在的安全问题,并生成详细的报告,里面不仅有漏洞信息,还有修复建议。如下图所示,这样不仅能及时解决问题,还能帮助企业建立更安
继续阅读