SonicWall防火墙漏洞PoC发布后遭利用
SonicWall防火墙漏洞PoC发布后遭利用 何威风 祺印说信安 2025-02-15 05:58 网络安全公司 Arctic Wolf 报告称,本周,针对 SonicWall 防火墙漏洞的概念验证 (PoC) 代码发布后不久,威胁行为者就开始利用该漏洞。 该漏洞的编号为 CVE-2024-53704,是由于 SonicOS 的 SSLVPN 身份验证机制问题导致的高严重性身份验证绕过漏洞。 S
继续阅读标签: vx
2025 最佳漏洞赏金书籍和网站
2025 最佳漏洞赏金书籍和网站 原创 破天KK KK安全说 2025-02-15 05:14 为知识付费,如果您对漏洞赏金狩猎非常推崇,那么投资购买合适的书籍可以加快您的学习进度,提高您的技能,并帮助您获得高额赏金。这些书籍和网站不仅仅是指南;它们是由行业专家精心设计的路线图,充满了现实世界的黑客场景、分步方法和高级技术,可将您的网络安全游戏提升到一个新的水平。 一、书籍篇: 无论您是刚刚起步,
继续阅读FreeBuf周报 | 全球VPN设备遭遇大规模暴力破解攻击;OpenSSL 软件库曝高危漏洞
FreeBuf周报 | 全球VPN设备遭遇大规模暴力破解攻击;OpenSSL 软件库曝高危漏洞 Zicheng FreeBuf 2025-02-15 02:05 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 热点资讯 1. 全球VPN设备遭遇大规模暴力破解攻击,280万IP地址参与其中 一场大规模的暴力破解密
继续阅读超大规模物联网漏洞事件曝光:27亿条数据泄露,含WiFi密码
超大规模物联网漏洞事件曝光:27亿条数据泄露,含WiFi密码 AI小蜜蜂 FreeBuf 2025-02-15 02:05 近日,一场规模巨大的物联网(IoT)安全漏洞事件曝光了27亿条包含敏感用户数据的信息,其中包括Wi-Fi网络名称、密码、IP地址和设备标识符。 此次事件与一家植物生长灯制造商Mars Hydro以及加州注册公司LG-LED SOLUTIONS LIMITED有关。 网络安全研
继续阅读DeepSeek 大火下的本地部署问题:Ollama + 暴露端口 = 安全漏洞?
DeepSeek 大火下的本地部署问题:Ollama + 暴露端口 = 安全漏洞? 实战安全研究 2025-02-15 02:00 全民热议的 AI 新星:DeepSeek 的火爆现象 春节前夕,DeepSeek 在科技界与大众生活中掀起了一股热潮。其影响力广泛覆盖各个群体,从致力于科技创新的科技工作者,到处于知识启蒙阶段的小学生,上至专注于学术研究的科研人员,下至日常忙于生活琐事的普通百姓,De
继续阅读基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件
基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件 黑白之道 2025-02-15 01:26 工具介绍 Auto-SSRF是一款基于BurpSuite MontoyaApi的自动SSRF漏洞探测插件, 捕获BurpSuite 流经Passive Audit、Proxy、Repeater的流量进行SSRF漏洞探测分析。 运行原理 捕获参数中存在URL链接特征的请求
继续阅读以色列威胁情报公司ClearSky发现 APT 组织利用 Windows 新0day漏洞
以色列威胁情报公司ClearSky发现 APT 组织利用 Windows 新0day漏洞 会杀毒的单反狗 军哥网络安全读报 2025-02-15 01:00 导读 以色列威胁情报公司 ClearSky Cyber Security 周四透露,它发现一个 APT 组织正在利用新 Windows 漏洞。 ClearSky 承诺将在即将发布的博客文章中分享更多细节,但 X 上的发贴表明 Windows
继续阅读2025年全新网络安全大师班培训(Web安全、攻防渗透、代码审计、云安全等)
2025年全新网络安全大师班培训(Web安全、攻防渗透、代码审计、云安全等) 点击关注👉 马哥网络安全 2025-02-15 00:00 前言 —————————— 2025年网络安全大师班是今年更新的系统培训课程,欢迎大家咨询参加! 本培训旨在为对安全感兴趣的师傅们提供系统的安全学习路线,在短时间内习得网络安全领域的关键技能,涵盖8个主要方向: – web安全 攻防渗透 云安全 安全
继续阅读漏洞预警 | Ivanti CSA管理控制台命令注入漏洞
漏洞预警 | Ivanti CSA管理控制台命令注入漏洞 浅安 浅安安全 2025-02-15 00:00 0x00 漏洞编号 – # CVE-2024-47908 0x01 危险等级 – 高危 0x02 漏洞概述 Ivanti CSA是一款云安全自动化解决方案,旨在帮助企业实现对云基础设施的安全监控和自动化管理。 0x03 漏洞详情 CVE-2024-47908 漏洞类型
继续阅读漏洞预警 | Palo Alto Networks PAN-OS管理界面身份认证绕过漏洞
漏洞预警 | Palo Alto Networks PAN-OS管理界面身份认证绕过漏洞 浅安 浅安安全 2025-02-15 00:00 0x00 漏洞编号 – CVE-2025-0108 0x01 危险等级 – 高危 0x02 漏洞概述 Palo Alto Networks PAN-OS 是一款由Palo Alto Networks开发的下一代防火墙操作系统,提供全面的
继续阅读漏洞预警 | 思迅商旗商业管理系统任意文件上传漏洞
漏洞预警 | 思迅商旗商业管理系统任意文件上传漏洞 浅安 浅安安全 2025-02-15 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 思迅商旗商业管理系统10是一款面向连锁超市、百货、便利店等零售业态的管理系统,集进销存、收银、会员、促销、供应链 等功能于一体,帮助企业提升经营效率和管理水平。 0x03 漏洞详情 漏洞类型
继续阅读从路径遍历到RCE:解锁$40,000赏金的黑客进阶之路
从路径遍历到RCE:解锁$40,000赏金的黑客进阶之路 安全小白团译文 安全小白团 2025-02-14 22:01 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 背景 安全小白团 在这篇文章中,我将详细介绍我和 Orwa Atyat如何成功将一个受限的路径遍历漏洞升级为 RCE,并因此赢得40,000 美元的赏金的故
继续阅读【吃瓜】疑似国内某 oa系统存在 0day rce
【吃瓜】疑似国内某 oa系统存在 0day rce 独眼情报 2025-02-14 18:12 往上冲浪,看到某大 V爆料:国内某 oa系统存在影响范围很大的 rce 0day 漏洞,国外机构出价 25 万美金。能有这么大范围的影响力的 oa 系统,也就那几家了,希望在影响范围内的系统能尽快排查吧。只能帮到这了,不然影响太大了,宁可信其有。由于大 V 的某些发言政治不正确,部分打码。
继续阅读美国政府效率部网站 doge 存在漏洞,任何人都能推送内容到网站上
美国政府效率部网站 doge 存在漏洞,任何人都能推送内容到网站上 独眼情报 2025-02-14 18:12 据两名发现该漏洞并与 404 Media 分享该漏洞的人士称,为追踪伊隆·马斯克削减联邦政府开支而建立的 doge.gov 网站并不安全,它提取的数据来自一个任何人都可以编辑的数据库。一名程序员添加了至少两个在实时网站上可见的数据库条目,并说“这是一个可笑的 .gov 网站”和“这些‘专
继续阅读jeecgBoot漏洞利用工具
jeecgBoot漏洞利用工具 CH1N CH1N安全 2025-02-14 17:11 免责声明 请勿利用文章内的相关技术从事非法测试,此文章只用于学习记录,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。 01 工具介绍 支持queryFieldBySql Freemarker模板注入
继续阅读WinZip高危漏洞曝光:远程攻击者可任意执行代码
WinZip高危漏洞曝光:远程攻击者可任意执行代码 船山信安 2025-02-14 17:02 近日,WinZip曝出一个编号为CVE-2025-1240的高危漏洞,远程攻击者可通过利用畸形的7Z压缩包文件,在受影响的系统上执行任意代码。该漏洞的CVSS评分为7.8,影响WinZip 28.0(版本号16022)及更早版本,用户需升级至WinZip 29.0以规避风险。 漏洞成因与利用条件 该漏洞
继续阅读PostgreSQL 漏洞与 BeyondTrust 零日漏洞一起被利用进行针对性攻击
PostgreSQL 漏洞与 BeyondTrust 零日漏洞一起被利用进行针对性攻击 Rhinoer 犀牛安全 2025-02-14 16:00 根据 Rapid7 的调查结果,2024 年 12 月利用 BeyondTrust 特权远程访问 (PRA) 和远程支持 (RS) 产品中零日漏洞的攻击者可能也利用了 PostgreSQL 中以前未知的 SQL 注入漏洞。 该漏洞编号为CVE-2025
继续阅读Microsoft Windows Storage 需授权 解析缺陷漏洞
Microsoft Windows Storage 需授权 解析缺陷漏洞 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Microsoft Windows Storage 需授权 解析缺陷漏洞 【 漏洞编号 】 CVE-2025-21391 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到微软发布2月安全公告,修复了多个安全漏洞,其中包含一个Microsof
继续阅读Microsoft Windows 缓冲区溢出漏洞 可导致权限提升
Microsoft Windows 缓冲区溢出漏洞 可导致权限提升 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Microsoft Windows 缓冲区溢出漏洞 可导致权限提升 【 漏洞编号 】 CVE-2025-21418 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到微软发布2月安全公告,修复了多个安全漏洞,其中包含一个Microsoft Win
继续阅读Trimble Cityworks 需授权 反序列化漏洞
Trimble Cityworks 需授权 反序列化漏洞 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Trimble Cityworks 需授权 反序列化漏洞 【 漏洞编号 】 CVE-2025-0994 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到Trimble发布关于Cityworks相关安全公告,披露了Trimble Cityworks 23.1
继续阅读用友网络 GRP-U8Cloud 逻辑缺陷漏洞 可导致敏感信息泄露
用友网络 GRP-U8Cloud 逻辑缺陷漏洞 可导致敏感信息泄露 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 用友网络 GRP-U8Cloud 逻辑缺陷漏洞 可导致敏感信息泄露 【 漏洞编号 】 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到用友安全中心发布安全公告,其中公开了一个GRP-U8Cloud内控管理软件(taskcenter)的逻辑缺陷漏洞
继续阅读Apache James 未授权 输入验证不当漏洞 可导致拒绝服务
Apache James 未授权 输入验证不当漏洞 可导致拒绝服务 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Apache James 未授权 输入验证不当漏洞 可导致拒绝服务 【 漏洞编号 】 CVE-2024-37358 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到Apache James发布安全公告,其中公开了一个输入验证不当漏洞,该漏洞与CV
继续阅读Apple iOS等 安全缺陷漏洞 可导致功能失控
Apple iOS等 安全缺陷漏洞 可导致功能失控 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Apple iOS等 安全缺陷漏洞 可导致功能失控 【 漏洞编号 】 CVE-2025-24200 【 情报等级 】 中危 【 漏洞描述 】 360漏洞云监测到苹果发布 iOS 和 iPadOS 紧急安全更新,修复了一个安全缺陷漏洞,该漏洞漏洞允许攻击者在锁定设备上禁用 U
继续阅读Google Goland 代码注入漏洞
Google Goland 代码注入漏洞 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Google Goland 代码注入漏洞 【 漏洞编号 】 CVE-2025-22867 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到Goland官方发布安全公告,其中公开了一个代码注入漏洞,在Darwin平台上,构建一个包含CGO的Go模块,当使用Apple版本的
继续阅读Microsoft Excel 资源控制不当漏洞 可导致远程代码执行
Microsoft Excel 资源控制不当漏洞 可导致远程代码执行 上汽集团网络安全应急响应中心 2025-02-14 15:55 漏洞情报 Microsoft Excel 资源控制不当漏洞 可导致远程代码执行 【 漏洞编号 】 CVE-2025-21381 【 情报等级 】 高危 【 漏洞描述 】 360漏洞云监测到微软发布2月安全公告,修复了多个安全漏洞,其中包含一个Microsoft Ex
继续阅读Gen AI 如何将漏洞分析效率提升 9.3 倍
Gen AI 如何将漏洞分析效率提升 9.3 倍 原创 tonghuaroot RedTeam 2025-02-14 15:05 摘要 NVIDIA 的 Agent Morpheus 通过 Gen AI 与事件驱动型 RAG 框架,将企业级 CVE 分析从人工主导的耗时流程转变为自动化、智能化的高效系统,显著提升漏洞管理效率与准确性。 要点总结 传统 CVE 分析的痛点 :人工分析效率低,漏洞修复
继续阅读IDocView在线文档预览qJvqhFt.json任意文件读取漏洞
IDocView在线文档预览qJvqhFt.json任意文件读取漏洞 原创 骇客安全 骇客安全 2025-02-14 14:09 漏洞描述I Doc View 在线文档预览 qJvqhFt.json 任意文件读取漏洞,攻击者可利用此漏洞收集敏感信息,从而为下一步攻击做准备。漏洞复现1、fofatitle==”在线文档预览 – I Doc View”2、部分界面如
继续阅读一款基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件
一款基于 BurpSuite 新版 MontoyaAPI 的 SSRF 漏洞自动探测插件 banchengkemeng 无影安全实验室 2025-02-14 13:16 免责声明: 本篇文章仅用于技术交流, 请勿利用文章内的相关技术从事非法测试 , 由于传播、利用本公众号无影安全 实验室所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号无影安全实验室及作者不为此承担任何责
继续阅读漏洞扫描工具:AWVS
漏洞扫描工具:AWVS 泷羽SEC-ohh 2025-02-14 11:46 由于传播、利用本公众号所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并且致歉。谢谢! 一、AWVS简介 AWVS(Acunetix Web Vulnerability Scanner)是一款专业的Web漏洞扫描工
继续阅读CNNVD | 关于Palo Alto Networks PAN-OS安全漏洞的通报
CNNVD | 关于Palo Alto Networks PAN-OS安全漏洞的通报 中国信息安全 2025-02-14 11:34 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况** 近日,国家信息安全漏洞库(CNNVD)收到关于Palo Alto Networks PAN-OS 安全漏洞(CNNVD-202502-1359、CVE-2025-010
继续阅读