“欧洲版CVE”上线,EUVD释放漏洞治理新信号
“欧洲版CVE”上线,EUVD释放漏洞治理新信号 安全客 2025-05-14 08:23 Abstract 在CVE项目因资金危机陷入不确定之际,欧盟推出独立漏洞数据库EUVD ,旨在强化数字主权,提升网络安全生态韧性。 01 EUVD上线:NIS2指令落地的重要一环 为落实《网络与信息安全指令2》(NIS2),欧洲网络与信息安全局(ENISA)正式推出“欧洲漏洞数据库(EUVD)” ,作为欧盟
继续阅读标签: vx
2025年度(第一期)CNNVD漏洞奖励评选结果公告
2025年度(第一期)CNNVD漏洞奖励评选结果公告 CNNVD CNNVD安全动态 2025-05-14 08:02 点击蓝字 关注我们 近期,CNNVD开展了2025年度(第一期)接报漏洞奖励评选工作,其中22个漏洞在我国网络安全漏洞预警及风险消控工作中发挥了积极作用,获奖名单如下。 特此公告 国家信息安全漏洞库(CNNVD) 2025年5月14日
继续阅读信息安全漏洞周报(2025年第19期)
信息安全漏洞周报(2025年第19期) 原创 CNNVD CNNVD安全动态 2025-05-14 08:02 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年5月5日至2025年5月11日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞921个。 接报漏洞情况 本周CNNVD接报漏洞6920个,其中信息技术产品漏洞(通用型漏洞)226个,网络
继续阅读swagger-api未授权访问漏洞及防治方法
swagger-api未授权访问漏洞及防治方法 原创 EBCloud EBCloud 2025-05-14 08:00 Swagger是一款开源软件框架,专门用于设计、构建、文档化以及使用RESTful风格的Web服务。它通过提供交互式文档页面,极大地便利了开发者查看和测试API接口。然而,Swagger的这种便捷性也可能带来安全隐患,未经授权的访问可能会导致安全漏洞。本文将详细介绍如何解决Swa
继续阅读Ivanti Endpoint Manager Mobile 多个漏洞安全风险通告
Ivanti Endpoint Manager Mobile 多个漏洞安全风险通告 奇安信 CERT 2025-05-14 07:45 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Endpoint Manager Mobile 多个漏洞 漏洞编号 CVE-2025-4427、CVE-2025-4428 公开时间 2025-05-13 影响量级 万级 奇安信评级
继续阅读2025年5月微软补丁日多个高危漏洞安全风险通告
2025年5月微软补丁日多个高危漏洞安全风险通告 嘉诚安全 2025-05-14 07:39 漏洞背景 近日,嘉诚安全监测到Microsoft官方发布了5月安全更新,本次更新修复了78个漏洞,涵盖权限提升、远程代码执行、安全功能绕过等多种漏洞类型。 鉴于漏洞危害较大,嘉诚安全提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。 漏洞详情 经研判以下漏洞影响较大 1、CV
继续阅读【漏洞通告】微软5月多个安全漏洞
【漏洞通告】微软5月多个安全漏洞 启明星辰安全简讯 2025-05-14 06:48 一、漏洞概述 2025年 5 月 14 日,启明星辰集团VSRC监测到微软发布了 5 月安全更新,本次更新修复了 78 个漏洞,涵盖权限提升、远程代码执行、安全功能绕过等多种漏洞类型。漏洞级别分布如下: 11 个严重级别漏洞, 66 个重要级别漏洞, 1 个 低危 级别漏洞( 漏洞 级别依据微软官方数据)。 其中
继续阅读漏洞挖掘—利用查询功能获取敏感信息
漏洞挖掘—利用查询功能获取敏感信息 原创 haosha 网安日记本 2025-05-14 06:01 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 前言 上次更新之后说要做到周更, 原本这次是想更新一次通杀思路的,但确实漏洞都还没有审核完成
继续阅读趁乱上位,欧洲漏洞数据库上线
趁乱上位,欧洲漏洞数据库上线 GoUpSec 2025-05-14 03:53 在美国的NVD漏洞数据库因预算削减和漏洞披露机制混乱而备受质疑之际,欧洲趁势推出了自己的“欧洲漏洞数据库”(EUVD)。这不仅填补了全球漏洞管理生态中日益扩大的空白,也释放出欧盟在网络安全主权上的强烈信号。 欧盟网络与信息安全局(ENISA)于本周二正式宣布EUVD全面上线运行,标志着欧洲在漏洞披露和风险缓解体系上进入
继续阅读小迪VPC1红队内网渗透靶场-PHPRCE-永恒之蓝-防火墙上线-密码喷射-DC域控提权-weblogic
小迪VPC1红队内网渗透靶场-PHPRCE-永恒之蓝-防火墙上线-密码喷射-DC域控提权-weblogic Pass_security 亿人安全 2025-05-14 03:37 原文链接:https://www.freebuf.com/articles/web/430751.html 引言 近期利用闲暇时间,我对小迪老师提供的靶场环境进行了全面的渗透测试实战演练。本次记录旨在详细还原整个渗透过程
继续阅读昂捷CRM cwsapprove.asmx SQL注入漏洞
昂捷CRM cwsapprove.asmx SQL注入漏洞 Superhero Nday Poc 2025-05-14 03:02 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 昂捷CRM cwsappro
继续阅读上周关注度较高的产品安全漏洞(20250428-20250511)
上周关注度较高的产品安全漏洞(20250428-20250511) 金瀚信安 2025-05-14 02:41 一、境外厂商产品漏洞 1、Esri ArcGIS Enterprise信息泄露漏洞 Esri ArcGIS Enterprise是美国环境系统研究所(Esri)公司的一套GIS(地理信息系统 )的基础软件。Esri ArcGIS Enterprise存在信息泄露漏洞,该漏洞源于程序对敏感
继续阅读微软5月补丁日多个产品安全漏洞风险通告:5个在野利用、11个紧急漏洞
微软5月补丁日多个产品安全漏洞风险通告:5个在野利用、11个紧急漏洞 奇安信 CERT 2025-05-14 01:10 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年5月补丁日多个产品安全漏洞 影响产品 Windows 通用日志文件系统驱动程序、Windows 脚本引擎、Microsoft SharePoint Server等。 公开时间 2025-05-14
继续阅读【0day漏洞复现】某华智慧园区综合管理平台文件上传漏洞(CNVD2024-35311)
【0day漏洞复现】某华智慧园区综合管理平台文件上传漏洞(CNVD2024-35311) 如棠安全 如棠安全 2025-05-14 00:10 ❝ 「此公众号所分享的网络安全知识、信息及工具仅供学习和研究使用,不得用于非法活动。此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供
继续阅读漏洞预警 | 灵当CRM任意文件读取漏洞
漏洞预警 | 灵当CRM任意文件读取漏洞 浅安 浅安安全 2025-05-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 灵当CRM是一款专为中小企业打造的智能客户关系管理工具。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取 敏感信息 简述: 灵当CRM的 /crm/modules/Accounts/Pla
继续阅读漏洞预警 | 致远OA代码注入漏洞
漏洞预警 | 致远OA代码注入漏洞 浅安 浅安安全 2025-05-14 00:00 0x00 漏洞编号 – # CVE-2025-4531 0x01 危险等级 – 高危 0x02 漏洞概述 致远OA是一款由用友成员企业致远软件开发的办公自动化软件,采用J2EE技术开发,功能完善,流程管理、文档管理等功能较为成熟,在产品化领域优势较为明显。 0x03 漏洞详情 CVE-20
继续阅读漏洞预警 | 上海华测监测预警系统SQL注入漏洞
漏洞预警 | 上海华测监测预警系统SQL注入漏洞 浅安 浅安安全 2025-05-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 上海华测监测预警系统是一套科学完善的地质灾害监测预警平台,实现了地质灾害防治管理的科学化、信息化、标准化和可视化。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 上
继续阅读100页PPT Web漏洞挖掘
100页PPT Web漏洞挖掘 计算机与网络安全 2025-05-13 23:57 扫码加入知识星球: 网络安全攻防(HVV) 下载本篇和全套资料 | –
继续阅读【1day】⼤华智慧园区综合管理平台⽂件上传(CNVD2024-34322)
【1day】⼤华智慧园区综合管理平台⽂件上传(CNVD2024-34322) 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-05-13 23:00 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 系统介绍 大华智慧园区综
继续阅读苹果发布安全更新以修复iOS和macOS中的多个漏洞
苹果发布安全更新以修复iOS和macOS中的多个漏洞 鹏鹏同学 黑猫安全 2025-05-13 23:00 苹果紧急发布iOS和macOS安全更新,修复可能让攻击者仅通过打开特制图片/视频/网站就能执行恶意代码的关键漏洞: • AppleJPEG漏洞(CVE-2025-31251)——处理恶意制作的媒体文件可能导致应用意外终止或进程内存损坏 • CoreMedia漏洞(CVE-2025-31233
继续阅读英特尔处理器“幽灵”漏洞防御机制再遭突破:分支预测竞争条件引发新型攻击
英特尔处理器“幽灵”漏洞防御机制再遭突破:分支预测竞争条件引发新型攻击 原创 网空闲话 网空闲话plus 2025-05-13 22:50 Theregister网站5月13日报道称,苏黎世联邦理工学院的研究团队在2025年5月披露了一项重大安全发现,揭示了英特尔处理器针对Spectre v2漏洞的硬件防御机制存在根本性缺陷。这项研究通过论文《Branch Privilege Injection:
继续阅读HotSwappableTargetSource+XString利用分析
HotSwappableTargetSource+XString利用分析 船山信安 2025-05-13 16:01 HotSwappableTargetSource+XString利用分析 前言:为什么 XString 需要配合 HotSwappableTargetSource 进行利用而不能直接单独使用由 equals 调用到 tostring 方法。 XString 构造 这里先尝试只用 X
继续阅读安卓逆向 — 分析某库登录逻辑以及协议复现
安卓逆向 — 分析某库登录逻辑以及协议复现 yyyyyyzh 逆向有你 2025-05-13 16:00 工具准备:Pixel XL // 该软件不支持模拟器 雷电APP(脱壳用,不会脱壳,哭) frIDA 本贴仅作技术交流,如有侵权请在联系我立即删帖 符合360加固的特征,用雷电脱个壳,扔jadx编译一下
继续阅读漏洞研究(7):XXL-JOB执行器未授权访问漏洞(RESTful API)
漏洞研究(7):XXL-JOB执行器未授权访问漏洞(RESTful API) 原创 罗锦海 OneMoreThink 2025-05-13 16:00 组件介绍 原理与危害 影响版本 利用方式 加固措施 开启身份认证 限制端口访问 升级至安全版本 1. 组件介绍 XXL-JOB是一个分布式任务调度 平台,分为调度中心和执行器两部分。 在调度中心添加执行器后,调度中心可以对执行器进行命令执行,属于集
继续阅读顺景ERP UploadInvtSpFile接口存在任意文件上传漏洞 附POC
顺景ERP UploadInvtSpFile接口存在任意文件上传漏洞 附POC 2025-5-13更新 南风漏洞复现文库 2025-05-13 15:18 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 顺景ERP简介 微信公众号搜索:
继续阅读CNVD-2024-22977 金和C6协同管理平台文件上传漏洞
CNVD-2024-22977 金和C6协同管理平台文件上传漏洞 原创 chobits02 C4安全团队 2025-05-13 13:48 WELCOME 网络安全·诚邀合作 我们 C4安全团队是一支专业 、高效 、 富有经验 、 团结的信息安全服务团队,由一群经验丰富、技术精湛的安全专家组成,他们在网络安全领域都有各自发光发亮的地方和大量的实战经验。在红蓝攻防、日常渗透测试、CTF比赛中
继续阅读【海外SRC实战】一个支付逻辑漏洞,怒赚 $9000 赏金
【海外SRC实战】一个支付逻辑漏洞,怒赚 $9000 赏金 原创 Milad Safdari Z2O安全攻防 2025-05-13 13:33 前言 去年,我读了一些关于企业急于采用最新技术时发生的不安全实施的文章。众所周知,正确实施安全性总是昂贵且耗时的。这里的要点是,大多数开发人员在集成新技术时并没有完全阅读整个文档。有时,一个段落甚至一个句子都会使整个系统变得脆弱。 通过关注这些被忽视的细节
继续阅读【成功复现】Elestio Memos服务器端请求伪造漏洞(CVE-2025-22952)【SSRF】
【成功复现】Elestio Memos服务器端请求伪造漏洞(CVE-2025-22952)【SSRF】 弥天安全实验室 弥天安全实验室 2025-05-13 12:13 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Memos是Memos开源的一个具有知识管理和社交功能的开源自托管备忘录中心。Memos 0
继续阅读VMware Tools 存在允许攻击者篡改文件以触发恶意作漏洞
VMware Tools 存在允许攻击者篡改文件以触发恶意作漏洞 网安百色 2025-05-13 11:36 VMware Tools 中存在一个中等严重性漏洞,该漏洞可能允许具有有限权限的攻击者在虚拟机中纵文件并触发不安全的作。 该漏洞被跟踪为 CVE-2025-22247,影响 VMware Tools 11.x.x 和 12.x.x 的 Windows 和 Linux 版本,其中 macOS
继续阅读【1day】⼤华智慧园区综合管理平台⽂件上传(CNVD2024-35311)
【1day】⼤华智慧园区综合管理平台⽂件上传(CNVD2024-35311) 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-05-13 11:34 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 系统介绍 大华智慧园区综
继续阅读