信息安全漏洞周报(2025年第1期 )
信息安全漏洞周报(2025年第1期 ) 原创 CNNVD CNNVD安全动态 2025-01-10 02:08 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年12月30日至2025年1月5日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞519个。 接报漏洞情况 本周CNNVD接报漏洞40389个,其中信息技术产品漏洞(通用型漏洞)239个,
继续阅读标签: vx
2025最新挖漏洞给报酬的网站汇总,零基础入门到精通,收藏这篇就够了
2025最新挖漏洞给报酬的网站汇总,零基础入门到精通,收藏这篇就够了 白帽黑客k哥 2025-01-10 01:48 一、众测平台(国内) 名称 网址 漏洞盒子 https://www.vulbox.com/ 火线安全平台 https://www.huoxian.cn/ 漏洞银行 https://www.bugbank.cn/ 360漏洞众包响应平台 https://src.360.net/ 补天
继续阅读Ivanti Connect Secure VPN 成为新0day攻击的目标
Ivanti Connect Secure VPN 成为新0day攻击的目标 会杀毒的单反狗 军哥网络安全读报 2025-01-10 01:00 导读 Google 旗下的 Mandiant 将新修补的 Ivanti VPN 0day 漏洞的利用与网络间谍联系起来。 Ivanti 周三向客户发出警报,其 Connect Secure (ICS) VPN 设备中已修复两个漏洞,分别为 CVE-20
继续阅读漏洞预警 | 亿赛通电子文档安全管理系统SQL注入漏洞
漏洞预警 | 亿赛通电子文档安全管理系统SQL注入漏洞 浅安 浅安安全 2025-01-10 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 亿赛通电子文档安全管理系统以数据资产防泄密为核心,涵盖文档安全、终端安全、防勒索、安全态势、集团管控五大板块,实现对用户电脑终端、移动办公、各类应用系统上的数据从生产、存储、流程、外发到
继续阅读Gayfemboy 僵尸网络瞄准 Four-Faith 路由器漏洞
Gayfemboy 僵尸网络瞄准 Four-Faith 路由器漏洞 鹏鹏同学 黑猫安全 2025-01-09 23:02 Gayfemboy 僵尸网络最早在2024年2月被发现,它借鉴了基本的Mirai变种代码,并且现在集成了N-day和0-day漏洞利用。到2024年11月,Gayfemboy利用了Four-Faith工业路由器和Neterbit路由器以及Vimar智能家居设备中的0-day漏洞
继续阅读SonicWall 警告存在可利用的 SonicOS 漏洞
SonicWall 警告存在可利用的 SonicOS 漏洞 鹏鹏同学 黑猫安全 2025-01-09 23:02 SonicWall 敦促客户升级其防火墙的 SonicOS 固件,以修补一个被追踪为 CVE-2024-53704(CVSS 评分为 8.2)的认证绕过漏洞。该漏洞存在于 SSL VPN 和 SSH 管理中,据供应商称,该漏洞“容易被实际利用”。 “我们已经识别出一个高风险(CVE 评
继续阅读GFI KerioControl 中的严重 RCE 缺陷允许通过 CRLF 注入远程执行代码
GFI KerioControl 中的严重 RCE 缺陷允许通过 CRLF 注入远程执行代码 信息安全大事件 2025-01-09 20:20 威胁行为者正试图利用最近披露的威胁 GFI KerioControl 防火墙的安全漏洞,如果成功利用该漏洞,可能会允许恶意行为者实现远程代码执行 (RCE)。 有问题的漏洞 CVE-2024-52875 是指回车换行 (CRLF) 注入攻击,为 HTTP
继续阅读渗透案例:巧用JS挖掘“宝藏”
渗透案例:巧用JS挖掘“宝藏” 原创 XavierRoot X的碎碎念 2025-01-09 16:53 声明:本文纯属虚构,如有雷同纯属巧合。 背景 一个寻常的工作日,小X 收到任务对 A 集团某系统进行渗透测试,但是不能用自己电脑,需要远控客户电脑进行测试。(因此,以下内容配图都不是原图, 尽量还原, 都是虚构的) 连上客户电脑,简单看了下环境,还好,是有Burpsuite的,不算天崩开局。B
继续阅读2025年首个Android更新修复严重代码执行漏洞
2025年首个Android更新修复严重代码执行漏洞 原创 铸盾安全 河南等级保护测评 2025-01-09 16:03 今年第一批 Android 每月安全更新解决了 36 个漏洞,其中包括严重的远程代码执行漏洞。 谷歌周一宣布了 2025 年首批 Android 安全更新,其中包括针对 36 个漏洞的补丁,其中包括系统组件中的五个严重漏洞。 与往常一样,更新分为两部分,第一部分以2025-01
继续阅读一款漏洞及指纹库图形化工具-强大的漏洞库及指纹库|漏洞探测
一款漏洞及指纹库图形化工具-强大的漏洞库及指纹库|漏洞探测 漏洞挖掘 渗透安全HackTwo 2025-01-09 16:01 0x01 工具介绍 James_synthesis_tooL 研发目的:旨在帮助技术人员在日常渗透测试或攻防演练中对于漏洞及指纹的积累,形成自己强大的漏洞库及指纹库。相比于nuclei脚本可能会相对无脑简化!且采用GUI设置,使用起来也更加方便! 下载地址在末尾 0x0
继续阅读2024年零日漏洞攻击的七大演变趋势
2024年零日漏洞攻击的七大演变趋势 sec0nd安全 2025-01-09 15:35 本文阅读大约需要10分钟; 未修复的漏洞一直是攻陷企业系统的关键手段。然而,围绕某些零日漏洞的攻击活动所呈现的趋势,更值得网络安全团队警惕。2024年,零日漏洞的数量再次大幅增长。由于没有可用的补丁,零日漏洞让攻击者在网络安全防御团队面前占据了先机,成为攻击企业系统的强大武器。虽然所有零日漏洞都值得首席信息安
继续阅读蓝凌OA WebService sysSynchroGetOrgWebService 任意文件读取漏洞
蓝凌OA WebService sysSynchroGetOrgWebService 任意文件读取漏洞 Superhero nday POC 2025-01-09 13:56 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如
继续阅读成都:一座黑客之城 “真正的黑客埋头苦干,寻找网络漏洞,编写杀手级程序,靠社保生活。”
成都:一座黑客之城 “真正的黑客埋头苦干,寻找网络漏洞,编写杀手级程序,靠社保生活。” 教父 教父爱分享 2025-01-09 13:53 TS符就不直接在公众号上说太多了,师傅直发,可以去朋友圈看效果,属蛇、虎、猴、猪的兄弟,可以整一个,大事化小,小事化了 买手作产品,送精品安全学习资源,有需要联系教父微信, 购买后拉群, 国外资源部 分目录 更新palo防火墙使用手册,安服进阶必备,中大型企业
继续阅读蓝凌OA WebService sysNotifyTodoWebServiceEkpj 任意文件读取漏洞
蓝凌OA WebService sysNotifyTodoWebServiceEkpj 任意文件读取漏洞 Superhero nday POC 2025-01-09 13:19 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!
继续阅读蓝凌OA WebService wechatWebserviceService 任意文件读取漏洞
蓝凌OA WebService wechatWebserviceService 任意文件读取漏洞 Superhero nday POC 2025-01-09 12:47 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有
继续阅读src|拿下高危漏洞的秘诀?
src|拿下高危漏洞的秘诀? 原创 simple学安全 simple学安全 2025-01-09 12:34 免责声明:本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所
继续阅读【漏洞工具】某路由器任意文件读取漏洞railgun利用工具
【漏洞工具】某路由器任意文件读取漏洞railgun利用工具 原创 儒道易行 儒道易行 2025-01-09 12:00 在这个没有英雄的年代,如果我们每个人都只想做一个普通人,那么这个世界就不会有出路 免责声明 该文章内容仅用于学习交流自查使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息、技术或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不
继续阅读Ivanti VPN 零日漏洞正在被黑客利用
Ivanti VPN 零日漏洞正在被黑客利用 跳舞的花栗鼠 FreeBuf 2025-01-09 11:04 Ivanti 公开披露了影响 Connect Secure (ICS) VPN 设备的两个关键漏洞:CVE-2025-0282 和 CVE-2025-0283。 网络安全公司 Mandiant 的报告称,CVE-2025-0282 零日漏洞利用活动开始于 2024 年 12 月中旬。这一漏
继续阅读戴尔系统更新包框架现严重漏洞,可提升攻击者权限
戴尔系统更新包框架现严重漏洞,可提升攻击者权限 Zicheng FreeBuf 2025-01-09 11:04 据Cyber Security News消息,戴尔(Dell)电脑的系统更新包 (DUP) 框架被发现一个严重安全漏洞,可能会使系统面临来自攻击者的权限提升和拒绝服务攻击。 该漏洞被跟踪为 CVE-2025-22395,CVSS评分8.2,影响 22.01.02 之前的 DUP 框架版
继续阅读《2024年度漏洞态势分析报告》重磅出炉!文末扫码下载
《2024年度漏洞态势分析报告》重磅出炉!文末扫码下载 安恒研究院 安恒信息CERT 2025-01-09 11:00 随着网络空间应用的普及,网络安全面临的挑战也日益复杂且严峻。安恒研究院基于对2024年度漏洞数据的全面统计与深入分析,倾力推出《2024年度漏洞态势分析报告》(以下简称“报告”)。 该漏洞报告全面回顾全年漏洞数据的关键特征,全方位解析网络漏洞的发展趋势以及潜在风险点。 2024年
继续阅读【安全圈】Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险
【安全圈】Redis服务器曝2个严重的RCE漏洞,数百万系统面临风险 安全圈 2025-01-09 11:00 关键词 安全漏洞 在广泛使用的内存数据库Redis里,发现了两个严重漏洞,这可能使数百万系统面临拒绝服务(DoS)攻击和远程代码执行(RCE)的风险。这些漏洞被标记为CVE – 2024 – 51741和CVE – 2024 – 46981
继续阅读【安全圈】戴尔更新包框架漏洞可让攻击者提升权限
【安全圈】戴尔更新包框架漏洞可让攻击者提升权限 安全圈 2025-01-09 11:00 关键词 安全漏洞 戴尔更新包 (DUP) 框架中被发现存在一个严重的安全漏洞,可能导致系统遭受权限提升和拒绝服务攻击。 该漏洞编号为CVE-2025-22395,影响 22.01.02 之前的 DUP 框架版本,CVSS 评分为 8.2,归类为“高严重性”。 漏洞详细信息 该漏洞允许具有较低权限的本地攻击者利
继续阅读【风险通告】Ivanti多产品存在缓冲区溢出漏洞(CVE-2025-0282)
【风险通告】Ivanti多产品存在缓冲区溢出漏洞(CVE-2025-0282) 安恒研究院 安恒信息CERT 2025-01-09 11:00 漏洞概述 漏洞名称 Ivanti多产品存在缓冲区溢出漏洞(CVE-2025-0282) 安恒CERT评级 1级 CVSS3.1评分 9.0 CVE编号 CVE-2024-0282 CNVD编号 未分配 CNNVD编号 未分配 安恒CERT编号 DM-20
继续阅读安全常用的Linux命令总结
安全常用的Linux命令总结 泷羽Sec-后半生 泷羽Sec-后半生 2025-01-09 10:10 前言 网络安全常用命令,两万多字Linux常用命令总结,附详细图文 往期推荐 轻松学习shell编程 OSCP+你值得拥有的证书 oscp备考–办理护照详细流程 KFC全家桶–都没有nuclei全家桶香 openssl openssl是一个开源的加密工具包,提供了各种加密
继续阅读Ivanti提醒注意 Connect Secure 产品中的新0day
Ivanti提醒注意 Connect Secure 产品中的新0day Ryan Naraine 代码卫士 2025-01-09 10:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周三,Ivanti 公司提醒注意面向企业的产品中的远程可利用漏洞,并表示其中一个漏洞已遭在野利用。 这两个高危漏洞为CVE-2025-0282和CVE-2025-0283,可导致未认证的远程攻击者发动代
继续阅读SonicWall:立即修复已遭利用的SSLVPN漏洞!
SonicWall:立即修复已遭利用的SSLVPN漏洞! Bill Toulas 代码卫士 2025-01-09 10:04 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SonicWall 公司向客户发送邮件,督促他们升级防火墙的 SonicOS 固件,修复位于SSL VPN和SSH 管理中的一个“疑似遭真实利用的”认证绕过漏洞。 SonicWall 公司向客户发送邮件称,补丁已在当地时
继续阅读创宇安全智脑 | 四信通信工业路由器 apply.cgi 远程命令执行(CVE-2024-12856)等90个漏洞可检测
创宇安全智脑 | 四信通信工业路由器 apply.cgi 远程命令执行(CVE-2024-12856)等90个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-01-09 09:53 创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃
继续阅读【已发现在野利用】Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)安全风险通告
【已发现在野利用】Ivanti 多款产品缓冲区溢出漏洞(CVE-2025-0282)安全风险通告 奇安信CERT 奇安信集团 2025-01-09 09:31 漏洞概述 漏洞名称 Ivanti 多款产品缓冲区溢出漏洞 漏洞编号 QVD-2025-1974,CVE-2025-0282 公开时间 2025-01-08 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 9.0 威胁类型 代码执行
继续阅读ksmbd 漏洞研究
ksmbd 漏洞研究 Norbert Szetei securitainment 2025-01-09 09:17 ksmbd vulnerability research 引言 在 Doyensec,我们决定对 Linux 内核的一个组件——SMB3 内核服务器 (ksmbd) 进行漏洞研究。最初,它作为一个实验性功能被启用,但在内核版本 6.6 中,实验性标志被 移除 ,并保持稳定。 Ksmb
继续阅读年度包揽!长亭科技荣获2024年度(第二期)CNNVD漏洞奖励评选一级贡献奖
年度包揽!长亭科技荣获2024年度(第二期)CNNVD漏洞奖励评选一级贡献奖 长亭安全观察 2025-01-09 09:11 近日,国家信息安全漏洞库(CNNVD)公布了2024年度(第二期)漏洞奖励评选结果,长亭科技凭借其在漏洞预警方面的卓越表现,再次荣获一级贡献奖! 这是自CNNVD开展漏洞奖励评选以来,长亭科技第三次获得CNNVD的漏洞奖励,2024年的两次评选更是全部入选,充分彰显了长亭科
继续阅读