GitHub 上的虚假 LDAPNightmware 漏洞传播信息窃取恶意软件
GitHub 上的虚假 LDAPNightmware 漏洞传播信息窃取恶意软件 Rhinoer 犀牛安全 2025-02-11 16:00 GitHub 上针对 CVE-2024-49113(又名“LDAPNightmare”)的欺骗性概念验证 (PoC) 漏洞利用信息窃取恶意软件感染用户,该恶意软件会将敏感数据泄露到外部 FTP 服务器。 这种策略并不新颖,因为在 GitHub 上已经有多起以
继续阅读标签: vx
【漏洞预警】Apache James未授权输入验证不当漏洞可导致拒绝服务
【漏洞预警】Apache James未授权输入验证不当漏洞可导致拒绝服务 cexlife 飓风网络安全 2025-02-11 14:43 James是属于Apache的一个开源项目,是Apache组织构建的一个可移植的、100%纯Java实现的企业级邮件服务器。 漏洞详情: Apache James发布安全公告,其中公开了一个输入验证不当漏洞,该漏洞与CVE-2024-34055类似,Apache
继续阅读【漏洞预警】Trimble Cityworks需授权反序列化漏洞 (CVE-2025-0994)
【漏洞预警】Trimble Cityworks需授权反序列化漏洞 (CVE-2025-0994) cexlife 飓风网络安全 2025-02-11 14:43 Trimble Cityworks是一款以地理信息系统(GIS)为中心的资产管理和工单管理软件,主要面向地方政府、公用事业和公共工程组织。该软件通过集成Esri的ArcGIS,帮助用户管理基础设施资产、跟踪工单并简化运营流程。 漏洞详
继续阅读锐捷网络-EWEB系统auth接口存在远程命令执行漏洞 附POC
锐捷网络-EWEB系统auth接口存在远程命令执行漏洞 附POC 2025-2-11更新 南风漏洞复现文库 2025-02-11 14:42 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 锐捷网络-EWEB系统简介 微信公众号搜索:南
继续阅读【oscp】JOY,ProFTPd拷贝漏洞提权
【oscp】JOY,ProFTPd拷贝漏洞提权 泷羽Sec-Norsea 2025-02-11 14:06 背对山河,踏清风明月 下载地址:https://www.vulnhub.com/entry/digitalworldlocal-joy,298/ 主机发现&端口扫描 image-20250205105254981 直接访问,泄露版本信息 image-20250204210945548
继续阅读一个参数就能控制全站:IDOR漏洞深度剖析
一个参数就能控制全站:IDOR漏洞深度剖析 原创 VlangCN HW安全之路 2025-02-11 12:46 在网络安全领域,IDOR(不安全的直接对象引用)是一种常见但极具危害的漏洞。它的存在可能导致未经授权的数据访问 、权限提升 ,甚至可能彻底破坏应用程序的安全。对于漏洞赏金猎人和安全测试人员来说,掌握 IDOR 漏洞的检测和利用方法,既是提升技能的重要途径,也是发现高价值漏洞的利器。 今
继续阅读一次渗透过程中的CVE-2022-45460撞洞RCE
一次渗透过程中的CVE-2022-45460撞洞RCE 原创 Ti TIPFactory情报工厂 2025-02-11 12:14 在一次渗透中我们遇到了雄迈(XiongMai)的uc-httpd,这是一款被全球无数网络摄像机使用的轻量级Web服务器。根据Shodan的数据,大约有7万个该软件的实例在互联网上公开暴露。尽管这款软件存在严重的历史漏洞,但似乎没有现成的漏洞利用代码能够RCE,于是我决
继续阅读【安全圈】苹果修复了在“极其复杂”的攻击中被利用的零日漏洞
【安全圈】苹果修复了在“极其复杂”的攻击中被利用的零日漏洞 安全圈 2025-02-11 11:00 关键词 安全漏洞 苹果公司发布了紧急安全更新来修补一个零日漏洞,该公司称该漏洞已被用于有针对性的“极其复杂”的攻击。 该公司在针对 iPhone 和 iPad 用户的建议中 透露:“物理攻击可能会禁用锁定设备上的 USB 限制模式” 。 “苹果公司了解到有报告称,该问题可能已被利用来针对特定个人进
继续阅读苹果0-Day漏洞被用于“极其复杂”的特性攻击中
苹果0-Day漏洞被用于“极其复杂”的特性攻击中 老布 FreeBuf 2025-02-11 10:59 近日,苹果公司发布了紧急安全更新,以修补一个0-Day漏洞,编号CVE – 2025 – 24200,由公民实验室 安全研究人员比尔·马尔扎克报告。该漏洞在有针对性的且“极其复杂”的攻击中被利用,“在设备锁定时禁用USB限制模式”。 USB限制模式是苹果设备的一项安全功
继续阅读微软扩展Copilot AI漏洞奖励计划范围,提高赏金
微软扩展Copilot AI漏洞奖励计划范围,提高赏金 Sergiu Gatlan 代码卫士 2025-02-11 10:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周末,微软宣布扩大Copilot (AI) 漏洞奖励计划并提高对中危漏洞的赏金。 为了进一步保护 Copilot 消费者产品免受攻击,微软将更多的 Copilot 消费者产品和服务纳入计划范围,包括 Copilot
继续阅读苹果紧急修复被用于“极其复杂”攻击中的0day漏洞
苹果紧急修复被用于“极其复杂”攻击中的0day漏洞 Sergiu Gatlan 代码卫士 2025-02-11 10:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果公司推出紧急安全更新,修复了已被用于针对性的“极其复杂的”攻击活动中的一个0day漏洞。 苹果公司在一份安全公告中提到,“一场物理攻击可能禁用被锁定(iPhone 和 iPad)设备上的 USB 受限模式。苹果了解到该
继续阅读AI驱动的安全漏洞发现正在重塑网络安全新模式
AI驱动的安全漏洞发现正在重塑网络安全新模式 原创 洞察网络安全的 安全牛 2025-02-11 09:54 网络安全是安全数字时代最大的挑战之一。随着网络攻击日益复杂和不断演进,传统的安全措施已经无法完全保护我们的系统和数据。 人工智能为网络安全领域带来了全新的希望和机遇。AI 驱动的漏洞研究和安全解决方案正在彻底改变游戏规则,为我们提供了前所未有的主动防御能力。 由此,AI 已成为网络安全专业
继续阅读Mysql LOAD DATA 读取客户端任意文件
Mysql LOAD DATA 读取客户端任意文件 twe1v3 蚁景网络安全 2025-02-11 09:30 复现 Mysql LOAD DATA INFILE 读取客户端任意文件漏洞 前言 MySQL 客户端和服务端通信过程中是通过对话的形式来实现的,客户端发送一个操作请求,然后服务端根据客户端发送的请求来响应客户端,在这个过程中客户端如果一个操作需要两步才能完成,那么当它发送完第一个请求过
继续阅读iOS 18.3.1 紧急更新发布:两大安全漏洞修复,iPhone 用户必升!
iOS 18.3.1 紧急更新发布:两大安全漏洞修复,iPhone 用户必升! 原创 visionsec 安全视安 2025-02-11 09:17 在 2 月 11 日凌晨,苹果发布了 iOS 18.3.1 (22D72) 紧急更新,此次更新虽未经过 Beta 测试就直接推出,但其重要性不容忽视。此次更新重点修复了两个重大安全漏洞,苹果强烈建议所有 iPhone 用户尽快进行升级,以保障设备的安
继续阅读Nftables整型溢出分析(CVE-2023-0179)
Nftables整型溢出分析(CVE-2023-0179) 蚁景网安 2025-02-11 08:30 前言 Netfilter是一个用于Linux操作系统的网络数据包过滤框架,它提供了一种灵活的方式来管理网络数据包的流动。Netfilter允许系统管理员和开发人员控制数据包在Linux内核中的处理方式,以实现网络安全、网络地址转换(Network Address Translation,NAT)
继续阅读【burpsuite靶场-服务端】XXE注入漏洞
【burpsuite靶场-服务端】XXE注入漏洞 原创 underatted 泷羽Sec-underatted安全 2025-02-11 07:42 XML外部实体(XXE)注入 在本节中,我们将解释什么是 XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种 XXE 注入,并总结如何防止 XXE 注入攻击。 1. 什么是XML外部实体注入? XML外部实体注入(也称为XXE)是一个 W
继续阅读国内瓜吃腻了?来吃洋瓜:老外也整F12漏洞交src的骚操作
国内瓜吃腻了?来吃洋瓜:老外也整F12漏洞交src的骚操作 棉花糖糖糖 阿乐你好 2025-02-11 07:30 洋瓜: 前置知识:hackone是国外src平台,可以理解为国内的补天,有许多企业托管自己src业务在上面。 昨天某老外在推特发了这样一段推文: image-20250208112047931 其中hackerone的报告已公开,提交的内容是这样的: image-2025020811
继续阅读泄露近600万客户敏感数据,这家金融机构被罚超1.4亿元
泄露近600万客户敏感数据,这家金融机构被罚超1.4亿元 能信安资讯 2025-02-11 07:10 网络安全预警通报 安全新闻 2025年2月11日 01 泄露近600万客户敏感数据,这家金融机构被罚超1.4亿元 美国湾景资产管理公司(Bayview Asset Management)因数据泄露事件及涉嫌未能充分配合事后监管调查,被罚款2000万美元(约合人民币1.46亿元)。 湾景总部
继续阅读「深蓝洞察」2024年度最狂躁不安的漏洞
「深蓝洞察」2024年度最狂躁不安的漏洞 原创 深蓝洞察 DARKNAVY 2025-02-11 06:48 在安全研究人员的共同努力下,越发严格的安全缓解措施,已经把大部分内存漏洞扼杀在了摇篮之中。 是时候宣布内存漏洞成为过去式了? 2024年7月,一枚来自Windows阵营的“核弹”打破了安全的幻象。我们不禁发问:面对来自内存的威胁,眼前的城墙究竟能抵挡些什么? 以下为本期《深蓝洞察 | 20
继续阅读【漏洞通告】OpenCart CoinRemitter SQL注入(CVE-2025-1117)
【漏洞通告】OpenCart CoinRemitter SQL注入(CVE-2025-1117) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况 在OpenCart的CoinRemitter 0.0.1/0.0.2中发现了一个关键漏洞。操纵参数coin会导致SQL注入。攻击可以远程发起。该漏洞已被公开披露并可能被利用。升级到版本0.0.3可以解决此问题。建议升级受
继续阅读【漏洞通告】RT-Thread信息泄露(CVE-2025-1115)
【漏洞通告】RT-Thread信息泄露(CVE-2025-1115) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况在RT-Thread的5.1.0版本之前,发现了一个分类为问题的漏洞。该漏洞影响了位于rt-thread/components/lwp/lwp_syscall.c文件中的sys_thread_create函数。对参数arg[0]的操作导致了信息泄露。02 漏洞
继续阅读【漏洞通告】newbee-mall 代码注入漏洞(CVE-2025-1114)
【漏洞通告】newbee-mall 代码注入漏洞(CVE-2025-1114) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况newbee-mall是newbee开源的一套电子商务系统。newbee-mall 1.0版本存在代码注入漏洞,该漏洞源于组件Add Category Page的文件/admin/categories/save中函数save的参数categoryNa
继续阅读【漏洞通告】页面插件中的WordPress RSS 存储的跨站点脚本(XSS)漏洞(CVE-2025-25096)
【漏洞通告】页面插件中的WordPress RSS 存储的跨站点脚本(XSS)漏洞(CVE-2025-25096) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况 页面中的titusbicknell RSS在网页生成期间输入的不正确中和(“交叉脚本”)漏洞允许存储XSS。此问题影响页面中的RSS:从n/a到2.9.1。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称页
继续阅读【漏洞通告】Bharti Airtel Xstream Fiber WiFi 密码弱凭证(CVE-2025-1081)
【漏洞通告】Bharti Airtel Xstream Fiber WiFi 密码弱凭证(CVE-2025-1081) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况该漏洞存在于WiFi密码处理器组件的某些未知处理过程中,允许攻击者在本地网络范围内进行操纵并使用弱凭据。攻击难度较高,但已知存在可利用的漏洞,建议更改配置设置以降低风险。02 漏洞处置综合处置优先级:高漏洞信息
继续阅读【漏洞通告】IBM EntireX 拒绝服务(CVE-2025-0158)
【漏洞通告】IBM EntireX 拒绝服务(CVE-2025-0158) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况IBM EntireX 11.1版本可能存在一个漏洞,本地用户可能会利用未处理的错误和故障隔离功能导致拒绝服务攻击。02 漏洞处置综合处置优先级:高漏洞信息漏洞名称IBM EntireX 拒绝服务漏洞编号CVE编号CVE-2025-0158漏洞评估披露
继续阅读【漏洞通告】IBM Jazz for Service Management 跨站点脚本 (CVE-2024-52892)
【漏洞通告】IBM Jazz for Service Management 跨站点脚本 (CVE-2024-52892) 安迈信科应急响应中心 2025-02-11 06:19 01 漏洞概况 IBM Jazz for Service Management 1.1.3至1.1.3.23版本存在跨站脚本漏洞。该漏洞允许未经身份验证的攻击者在Web UI中嵌入任意JavaScript代码,从
继续阅读Enhanced BurpGPT | AI分析安全漏洞,支持DeepSeek、OpenAI、Google、Anthropic等等
Enhanced BurpGPT | AI分析安全漏洞,支持DeepSeek、OpenAI、Google、Anthropic等等 原创 尘佑不尘 泷羽Sec-尘宇安全 2025-02-11 06:16 前言 Enhanced BurpGPT 是一个 Burp Suite 插件,它能帮助你使用 AI(人工智能)来分析 Web 应用的安全问题。简单来说,当你测试网站时,你可以在指定的请求响应对,点击s
继续阅读新型 Aquabotv3 勒索软件利用 Mitel 命令注入漏洞发起攻击
新型 Aquabotv3 勒索软件利用 Mitel 命令注入漏洞发起攻击 胡金鱼 嘶吼专业版 2025-02-11 06:00 一种基于“Mirai”的僵尸网络恶意软件“Aquabot”的新变种已被发现正在积极利用 Mitel SIP 电话中的命令注入漏洞 CVE-2024-41710。 这项活动是由Akamai的安全情报和响应小组(SIRT)发现的,报告说这是属于其雷达的Aquabot的第三种变
继续阅读【漏洞通告】IBM Security Verify Directory命令执行漏洞(CVE-2024-51450)
【漏洞通告】IBM Security Verify Directory命令执行漏洞(CVE-2024-51450) 启明星辰安全简讯 2025-02-11 05:55 一、漏洞概述 漏洞名称 IBM Security Verify Directory命令执行漏洞 CVE ID CVE-2024-51450 漏洞类型 命令执行 发现时间 2025-02-11 漏洞评分 9.1 漏洞等级 严重 攻
继续阅读【漏洞通告】Trimble Cityworks反序列化漏洞(CVE-2025-0994)
【漏洞通告】Trimble Cityworks反序列化漏洞(CVE-2025-0994) 启明星辰安全简讯 2025-02-11 05:55 一、漏洞概述 漏洞名称 Trimble Cityworks反序列化漏洞 CVE ID CVE-2025-0994 漏洞类型 反序列化 发现时间 2025-02-11 漏洞评分 8.6 漏洞等级 高危 攻击向量 网络 所需权限 高 利用难度 低 用户交互
继续阅读