CLFS cve-2022-37969
CLFS cve-2022-37969 原创 12138 我吃你家米了 2025-06-10 12:04 阅读原文
继续阅读标签: vx
【漏洞通告】Apache Kafka Connect 任意文件读取漏洞(CVE-2025-27817)
【漏洞通告】Apache Kafka Connect 任意文件读取漏洞(CVE-2025-27817) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-06-10 12:04 漏洞名称: Apache Kafka Connect 任意文件读取漏洞(CVE-2025-27817) 组件名称: Apache-Kafka 影响范围: 3.1.0 ≤ Apache Kafka < 3.9.1 漏
继续阅读Redis未授权漏洞复现汇总
Redis未授权漏洞复现汇总 网安探索员 网安探索员 2025-06-10 12:00 原文链接: https://www.freebuf.com/articles/web/433079.html Redis介绍 Redis是现在最受欢迎的NoSQL数据库之一,Redis是一个使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数据库,其具备如下特性: 基于内存
继续阅读【成功复现】Roundcube Webmail代码执行漏洞(CVE-2025-49113)
【成功复现】Roundcube Webmail代码执行漏洞(CVE-2025-49113) 弥天安全实验室 弥天安全实验室 2025-06-10 11:10 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 Roundcube Webmail是一款流行的开源Web邮件客户端,旨在提供用户友好的界面和强大的功能
继续阅读【漏洞通告】Apache Kafka Broker JNDI远程代码执行漏洞(CVE-2025-27819)
【漏洞通告】Apache Kafka Broker JNDI远程代码执行漏洞(CVE-2025-27819) 启明星辰安全简讯 2025-06-10 10:17 一、漏洞概述 漏洞名称 Apache Kafka Broker JNDI远程代码执行漏洞 CVE ID CVE-2025-27819 漏洞类型 RCE 发现时间 2025-06-10 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权
继续阅读【漏洞通告】Apache Kafka Connect LDAP远程代码执行漏洞(CVE-2025-27818)
【漏洞通告】Apache Kafka Connect LDAP远程代码执行漏洞(CVE-2025-27818) 启明星辰安全简讯 2025-06-10 10:17 一、漏洞概述 漏洞名称 Apache Kafka Connect LDAP远程代码执行漏洞 CVE ID CVE-2025-27818 漏洞类型 RCE 发现时间 2025-06-10 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所
继续阅读【论文速读】| VADER:漏洞评估、检测、解释和修复的人工评估基准
【论文速读】| VADER:漏洞评估、检测、解释和修复的人工评估基准 原创 知识分享者 安全极客 2025-06-10 10:08 基本信息 原文标题: VADER:AHuman-EvaluatedBenchmarkforVulnerabilityAssessment,Detection,Explanation,andRemediation 原文作者: EthanTS.Liu,AustinWang
继续阅读漏洞管理玩法已变,四大常见错误亟待摒弃
漏洞管理玩法已变,四大常见错误亟待摒弃 安全牛 2025-06-10 10:04 N 漏洞管理已经彻底转型,它不再是简单地完成清单上的任务,而是构建一个融合实时可见性、智能风险排序和前瞻性自动化的完整防御体系。 可以说,今天的漏洞管理与五年前相比已经发生了质的变化。如果你仍然固守于定期扫描模式,仅仅”建议”而非强制实施更新,或过度依赖CVSS分数作为唯一决策依据,那么,你实
继续阅读APT组织“图书管理员食尸鬼”再度活跃,将合法工具武器化
APT组织“图书管理员食尸鬼”再度活跃,将合法工具武器化 FreeBuf 2025-06-10 10:03 卡巴斯基实验室最新报告披露,一个被称为”图书管理员食尸鬼”(Librarian Ghouls,别称”稀有狼人”和”Rezet”)的高级持续性威胁(APT)组织近期再度活跃,正在俄罗斯和独联体国家开展大规模网络间谍与加密货
继续阅读Fuzz挖掘sudo提权漏洞:一次堆溢出如何逆向分析出提权思路
Fuzz挖掘sudo提权漏洞:一次堆溢出如何逆向分析出提权思路 Brinmon 看雪学苑 2025-06-10 09:59 1 文章概述 堆漏洞在二进制中是非常常见的,之前一直觉得CTF-Pwn的堆题没有任何实战价值,之后开始实战漏洞挖掘后发现大部分挖出来的奔溃样本都是堆内存相关的,这就引发了思考,堆内存触发的奔溃大部分都只能触发溢出到底该如何利用呢?但是我觉得这个应该是我自己的知识范围不够,之后
继续阅读【漏洞通告】Apache Kafka任意文件读取与SSRF漏洞(CVE-2025-27817)
【漏洞通告】Apache Kafka任意文件读取与SSRF漏洞(CVE-2025-27817) 原创 NS-CERT 绿盟科技CERT 2025-06-10 09:40 通告编号:NS-2025-0032 2025-06-10 TAG: Apache Kafka、任意文件读取、CVE-2025-27817 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟
继续阅读玩转网络漏洞挖掘,实战能力弯道超车
玩转网络漏洞挖掘,实战能力弯道超车 蚁景网络安全 2025-06-10 09:35
继续阅读数据安全技术:安全运营的新质势能
数据安全技术:安全运营的新质势能 原创 数据安全官 网安培训 2025-06-10 09:31 在数字化转型浪潮中,数据已成为组织的核心资产,且组织的运营高度依赖数据的流畅流转与精准应用。然而,数据泄露、篡改、恶意攻击等安全威胁如影随形,时刻威胁着组织的生存与发展根基。 数据安全技术无疑是组织构建稳固安全运营体系的核心。 01 数据安全在安全运营中的应用 加密技术:数据的隐形护盾 加密技术作为数据
继续阅读2024年度Linux内核漏洞类型及趋势分析
2024年度Linux内核漏洞类型及趋势分析 原创 unr4v31 山石网科安全技术研究院 2025-06-10 09:06 Linux内核漏洞频发,2024年竟高达3119个! Linux内核作为操作系统的核心,其安全性直接影响系统的稳定性与可靠性。通过对CVE数据的统计与分析,可以更好地理解内核漏洞的分布。 本文统计了2024年Linux内核的CVE数据,共计3119个漏洞,数据来源于NVD。
继续阅读2024年度Linux内核漏洞类型及趋势分析
2024年度Linux内核漏洞类型及趋势分析 原创 unr4v31 山石网科安全技术研究院 2025-06-10 09:06 Linux内核漏洞频发,2024年竟高达3119个! Linux内核作为操作系统的核心,其安全性直接影响系统的稳定性与可靠性。通过对CVE数据的统计与分析,可以更好地理解内核漏洞的分布。 本文统计了2024年Linux内核的CVE数据,共计3119个漏洞,数据来源于NVD。
继续阅读干货 | 内网入侵溯源实战案例
干货 | 内网入侵溯源实战案例 点击关注👉 马哥网络安全 2025-06-10 09:01 1.1、入侵告警 1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着 2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功 3、测试目标网站存在shiro反序列化漏洞 1.2、上机排查 1、上机将CS木马下载下来,丢到云沙箱中运行,发现外联IP 2、根据态感的告警时间
继续阅读实战讲解 Java代码审计之 FreeMarker模版注入漏洞
实战讲解 Java代码审计之 FreeMarker模版注入漏洞 闪石星曜CyberSecurity 2025-06-10 08:38 本篇为代码审计系列SSTI服务器端模板注入漏洞理论篇-FreeMarker第八篇,看完本篇你将掌握关于FreeMarker模版注入漏洞的代码视角原理剖析、基础挖掘漏洞核心能力,看完如有技术错误欢迎评论区指正。 文章引用了FreeMarker官方介绍:http://f
继续阅读漏洞挖掘实战之弯道超车
漏洞挖掘实战之弯道超车 蚁景网安 2025-06-10 08:30
继续阅读【紧急警示】一次成功阻断Weaxor勒索病毒家族加密之路
【紧急警示】一次成功阻断Weaxor勒索病毒家族加密之路 原创 solarsec solar应急响应团队 2025-06-10 08:17 在我们对5月份处理的各类勒索病毒入侵事件统计中,Weaxor勒索家族 依然位列入侵频率最高的家族之一。本月观测到的新变种已出现扩展名变化,后缀包括.weax 和.wxx ,与4月活跃的变种有所不同,显示该家族在持续进行更新与变种迭代。 本次分享的案例源于我们在
继续阅读【高危漏洞预警】Apache Kafka Client 任意文件读取与SSRF漏洞CVE-2025-27817
【高危漏洞预警】Apache Kafka Client 任意文件读取与SSRF漏洞CVE-2025-27817 cexlife 飓风网络安全 2025-06-10 07:52 漏洞描述: 该漏洞产生的原因是Aрасhе Kаfkа客户端在处理SASL/OAUTHBEARER连接配置时,允许通过配置项ѕаѕl.оаuthbеаrеr.tоkеn.еndроint.url和 ѕаѕl.оаuthbеа
继续阅读【高危漏洞预警】Apache Kafka Client配置造成远程代码执行漏洞CVE-2025-27818
【高危漏洞预警】Apache Kafka Client配置造成远程代码执行漏洞CVE-2025-27818 cexlife 飓风网络安全 2025-06-10 07:52 漏洞描述: 该漏洞产生的原因是Aрасhе Kаfkа在处理Kаfkа Cоnnесt的SASL JAAS配置时,允许通过ѕаѕl.јааѕ.соnfiɡ属性配置соm.ѕun.ѕесuritу.аuth.mоdulе.Ldар
继续阅读【漏洞预警】Apache Kafka Connect 任意文件读取和服务端请求伪造漏洞(CVE-2025-27817)
【漏洞预警】Apache Kafka Connect 任意文件读取和服务端请求伪造漏洞(CVE-2025-27817) 原创 聚焦网络安全情报 安全聚 2025-06-10 07:21 高 危 公 告 近日,安全聚实验室监测到 Apache Kafka Connect 存在任意文件读取和服务端请求伪造漏洞,编号为:CVE-2025-27817,CVSS:7.5 Kafka 客户端在配置 SASL
继续阅读【漏洞预警】Apache Kafka Connect任意文件读取漏洞风险通告
【漏洞预警】Apache Kafka Connect任意文件读取漏洞风险通告 原创 masterC 企业安全实践 2025-06-10 07:13 一、漏洞描述 Kafka是由Apache软件基金会开发的一个开源流处理平台,由Scala和Java编写。Apache Kafka Connect是Apache Kafka生态系统中的一个组件,它提供了一种可靠且可扩展的方式来连接Kafka与其他系统。
继续阅读图书管理员食尸鬼APT组织:将合法工具武器化的网络犯罪集团
图书管理员食尸鬼APT组织:将合法工具武器化的网络犯罪集团 邑安科技 邑安全 2025-06-10 07:12 更多全球网络安全资讯尽在邑安全 卡巴斯基实验室最新报告披露,一个被称为”图书管理员食尸鬼”(Librarian Ghouls,别称”稀有狼人”和”Rezet”)的高级持续性威胁(APT)组织近期再度活跃,正在俄罗斯和
继续阅读谷歌账户恢复漏洞致攻击者可获取任意用户手机号
谷歌账户恢复漏洞致攻击者可获取任意用户手机号 邑安科技 邑安全 2025-06-10 07:12 更多全球网络安全资讯尽在邑安全 根据BruteCat安全研究人员本周披露的报告,谷歌账户恢复系统中存在一个高危漏洞,攻击者可通过精心设计的暴力破解攻击获取任意谷歌用户的手机号码。该漏洞现已被修复,其利用谷歌的无JavaScript(No-JS)用户名恢复表单绕过安全防护机制,窃取敏感个人信息。 漏洞原
继续阅读CVE-2025-49113 漏洞分析与利用方式
CVE-2025-49113 漏洞分析与利用方式 原创 4uuu Nya 奇安信天工实验室 2025-06-10 07:06 目 录 一、前 言 二、版本diff 三、复现环境 四、漏洞分析 五、总 结 一 前 言 2025年6月2日公开了一个RoundCube邮件系统中的一个RCE漏洞,信息如下: 影响版 本<1.5.10 <1.6.11 , 虽 然 是一个认证后才可以触发的漏
继续阅读利用Reverge自动化工具:提升漏洞赏金 hunting 的速度与效率
利用Reverge自动化工具:提升漏洞赏金 hunting 的速度与效率 Ots安全 2025-06-10 06:26 本文深入探讨了如何通过利用自动化工具“reverge”显著提升漏洞赏金(bug bounty) hunting的效率与成功率,特别针对当前网络安全领域日益增长的需求和挑战。文章以作者的亲身实践为基础,详细讲解了从漏洞的证明概念(PoC,例如近期在Fortinet产品中被利用的CV
继续阅读Apache Kafka 多个高危漏洞安全风险通告
Apache Kafka 多个高危漏洞安全风险通告 奇安信 CERT 2025-06-10 06:20 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache Kafka 多个高危漏洞 漏洞编号 CVE-2025-27817、CVE-2025-27818、CVE-2025-27819 公开时间 2025-06-09 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数
继续阅读KAFKA CLIENT 3.9.0 及以下版本存在服务器端请求伪造漏洞
KAFKA CLIENT 3.9.0 及以下版本存在服务器端请求伪造漏洞 独眼情报 2025-06-10 05:06 在 Apache Kafka Client 3.9.0 及更早版本中发现了一个被评为关键的漏洞。这影响了一些未知的处理过程。对未知输入的操控会导致服务器端请求伪造漏洞。CWE 将此问题归类为 CWE-918。Web 服务器从上游组件接收 URL 或类似请求并检索该 URL 的内容,
继续阅读110页 SOC中的网络威胁情报应用
110页 SOC中的网络威胁情报应用 原创 计算机与网络安全 计算机与网络安全 2025-06-10 04:57 作者凭借15年信息安全从业经验,持有CISSP、ECSA等28项专业认证,现任NetSentries Technologies首席技术官。本书的独特价值在于将军事领域的”杀伤链”理论(Cyber Kill Chain)与商业安全实践相结合,填补了威胁情报操作化实
继续阅读