【漏洞通告】Kibana原型污染导致任意代码执行漏洞安全风险通告
【漏洞通告】Kibana原型污染导致任意代码执行漏洞安全风险通告 嘉诚安全 2025-05-08 00:44 漏洞背景 近日,嘉诚安全 监测到 Kibana原型污染导致任意代码执行漏洞,漏洞编号为: CVE-2025-25014 。 ElasticKibana是一个开源数据可视化和分析平台,专为与Elasticsearch配合使用而设计。它允许用户通过图形界面直观地展示和探索数据,支持实时数据分析
继续阅读标签: vx
Milkyway【具备效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能的全方位扫描工具】
Milkyway【具备效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能的全方位扫描工具】 原创 白帽学子 白帽学子 2025-05-08 00:11 昨天用Milkyway给某政务云做全端口扫描,这工具的乱序模式直接把效率拉满,咱俩唠唠它怎么在实战里真香。 上周红队演练,甲方要求48小时内摸清某金融城的暴露面。用FOFA语句拉取目标的时候,这货直接支持环境变量自动填充,省了我手动填密钥的
继续阅读【工具推荐】利用Burp Suite 插件进行文件上传Fuzz
【工具推荐】利用Burp Suite 插件进行文件上传Fuzz 小白爱学习Sec 2025-05-08 00:00 免责声明 本文旨在提供有关特定漏洞工具或安全风险的详细信息,以帮助安全研究人员、系统管理员和开发人员更好地理解和修复潜在的安全威胁,协助提高网络安全意识并推动技术进步,而非出于任何恶意目的。利用本文提到的漏洞信息或进行相关测试可能会违反法律法规或服务协议。 作者不对读者基于本文内容而
继续阅读漏洞预警 | 汉王e脸通智慧园区管理平台SQL注入漏洞
漏洞预警 | 汉王e脸通智慧园区管理平台SQL注入漏洞 浅安 浅安安全 2025-05-08 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 汉王e脸通综合管理平台是一个集生物识别、大数据、NFC射频、计算机网络、自动控制等技术于一体,通过“人脸卡”及关联信息实现多种功能智能管理,打造从云端到终端一体化应用,广泛应用于智慧园区
继续阅读漏洞预警 | 通达OA远程代码执行漏洞
漏洞预警 | 通达OA远程代码执行漏洞 浅安 浅安安全 2025-05-08 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 通达OA是一款协同办公自动化软件,由北京通达信科科技有限公司自主研发,为各行业不同规模的众多用户提供信息化管理能力。 0x03 漏洞详情 漏洞类型: 远程代码执行 影响: 执行任意代码 简述: 通达OA
继续阅读漏洞预警 | 锐捷EWEB远程代码执行漏洞
漏洞预警 | 锐捷EWEB远程代码执行漏洞 浅安 浅安安全 2025-05-08 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 锐捷睿易是锐捷网络针对商业市场的子品牌。拥有易网络、交换机、路由器、无线、安全、云服务六大产品线,解决方案涵盖商贸零售、酒店、KTV、网吧、监控安防、物流仓储、制造业、中小教育、中小医疗、中小政府等
继续阅读《跨机房漏洞扫描挑战、设备使用人管理优化及审计账号权限分配策略解析》|总第288周
《跨机房漏洞扫描挑战、设备使用人管理优化及审计账号权限分配策略解析》|总第288周 原创 群秘 君哥的体历 2025-05-07 23:02 0x1本周话题 话题一:请教下,大家跨机房的漏扫都是怎么做的?我们之前尝试过在IDC和阿里云互相做漏扫,IDC的扫描流量会时不时的招来网安的询问,阿里云的漏扫也会触发平台的机制被封禁,尝试找阿里云加白也不行,感觉做个漏扫好难啊… A1: 那你们网安做得真不错
继续阅读紧急!SysAid On-Premise曝高危漏洞,未授权攻击可接管服务器!速修复!
紧急!SysAid On-Premise曝高危漏洞,未授权攻击可接管服务器!速修复! 原创 道玄安全 道玄网安驿站 2025-05-07 23:00 “ RCE又来了。” PS:有内网web自动化需求可以私信 01 — 导语 近日,IT服务管理平台SysAid On-Premise(本地部署版)被曝存在 4个高危漏洞 ,攻击者无需身份验证即可远程执行任意代码(RCE),直接控制目标服务器。安全团
继续阅读漏洞扫描工具 — ThinkPHPKiller(5月6日更新)
漏洞扫描工具 — ThinkPHPKiller(5月6日更新) enh123 Web安全工具库 2025-05-07 16:02 暗月渗透测试09漏洞学习与挖掘18课合集下载 链接:https://pan.quark.cn/s/b2a61afdacff =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此
继续阅读工具推荐 | MSSQL多功能集合命令执行利用工具
工具推荐 | MSSQL多功能集合命令执行利用工具 Mayter 星落安全团队 2025-05-07 16:00 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 一款针对Microsoft SQL Server的多功能安全测试工具,集成多种命令执行技术,支持: 1. 传统命令执行方式 1. xp
继续阅读znlinux linux全架构全漏洞提权程序
znlinux linux全架构全漏洞提权程序 进击的HACK 2025-05-07 14:28 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权烦请告知,我会立即删除并致歉。谢谢 ! 文章有疑问的,可以公众号发消息问我,或者留言。我每天都会看的。 项目地址:https://github.com/twowb/
继续阅读SysAid 本地预授权 RCE 链(CVE-2025-2775 及其相关漏洞)- watchTowr 实验室
SysAid 本地预授权 RCE 链(CVE-2025-2775 及其相关漏洞)- watchTowr 实验室 Ots安全 2025-05-07 14:16 又过了一周,又出现了一个显然对勒索软件团伙有经验但在电子邮件方面却举步维艰的供应商。 在我们所看到的其他人所说的“watchTowr 处理”中,我们再次(令人惊讶地)披露了漏洞研究,该研究使我们能够针对另一个针对企业的产品获得预先认证的远程命
继续阅读一次某info开源系统漏洞挖掘
一次某info开源系统漏洞挖掘 进击安全 2025-05-07 13:35 审计过程:**** 在入口文件admin/index.php中: 用户可以通过m,c,a等参数控制加载的文件和方法,在app/system/entrance.php中存在重点代码: 当 M_TYPE == ‘system’ 并且 M_MODULE == ‘include’ 时
继续阅读CVE-2025-2905(CVSS 9.1):WSO2 API 管理器中发现严重 XXE 漏洞
CVE-2025-2905(CVSS 9.1):WSO2 API 管理器中发现严重 XXE 漏洞 柠檬赏金猎人 2025-05-07 13:26 📌 漏洞摘要 **** 漏洞编号 CVE-2025-2905 CVSS评分 9.1 (高危) 影响版本 WSO2 API Manager ≤2.0.0 漏洞类型 XML外部实体注入(XXE) 攻击复杂度 低 所需权限 无需认证 ### 🔍 漏洞成因 –
继续阅读【漏洞预警】Kibana 原型污染导致执行任意代码漏洞(CVE-2025-25014)
【漏洞预警】Kibana 原型污染导致执行任意代码漏洞(CVE-2025-25014) sec0nd安全 2025-05-07 13:00 严 重 公 告 近日,安全聚实验室监测到 Kibana 存在原型污染导致执行任意代码漏洞 ,编号为:CVE-2025-25014,CVSS:9.1 攻击者通过精心构造的HTTP请求对机器学习和报告接口实施任意代码执行。 01 漏洞描述 VULNERABILI
继续阅读【论文速读】| 漏洞放大:针对基于LLM的多智能体辩论的结构化越狱攻击
【论文速读】| 漏洞放大:针对基于LLM的多智能体辩论的结构化越狱攻击 sec0nd安全 2025-05-07 13:00 基本信息 原文标题:Amplified Vulnerabilities: Structured Jailbreak Attacks on LLM-based Multi-Agent Debate 原文作者:Senmao Qi, Yifei Zou, Peng Li, Ziyi
继续阅读Dify 组合漏洞获取LLM KEY
Dify 组合漏洞获取LLM KEY 蓝云Sec 2025-05-07 12:28 项目地址:https://github.com/langgenius/dify 1、前言: 目前该漏洞大部分已经修复了,该文只用于学习,请勿用于非法。 以下测试均为本地环境试验。 最近正巧使用Nas+dify完成部分工作,dify搭建好发现了@e0mlja师傅刚发的文章 2、漏洞利用 dify的配置文件中其实有许多
继续阅读星图实验室协助vLLM项目修复多个高危漏洞
星图实验室协助vLLM项目修复多个高危漏洞 星图实验室 奇安信技术研究院 2025-05-07 11:44 01 背景 vLLM 是一个高吞吐量、低内存占用的开源 Python 库,专为大型语言模型的推理和服务设计。它通过优化的内核和高效的资源管理,支持 AI 开发者在各种硬件平台上部署和运行大型语言模型,目前达到了46.4K的star数量。vLLM 的广泛应用使其成为 AI 社区的重要工具,但也
继续阅读【安全圈】未经身份验证的 DoS 漏洞导致 Windows 部署服务崩溃,目前尚无补丁
【安全圈】未经身份验证的 DoS 漏洞导致 Windows 部署服务崩溃,目前尚无补丁 安全圈 2025-05-07 11:00 关键词 安全漏洞 根据安全研究员 Peng的详细技术分析,Windows 部署服务 (WDS) 中新披露的一个拒绝服务 (DoS) 漏洞可能引发远程、未经身份验证的崩溃,威胁企业网络安全。该漏洞于 2025 年初被发现,并已向微软负责任地披露。攻击者可以利用该漏洞利用伪
继续阅读Kibana原型污染漏洞可导致远程代码执行
Kibana原型污染漏洞可导致远程代码执行 FreeBuf 2025-05-07 10:27 Elastic公司针对Kibana发布了一项重大安全公告,警告用户注意编号为CVE-2025-25014的漏洞。该漏洞CVSS评分为9.1分,属于原型污染(Prototype Pollution)类型漏洞,攻击者可通过向Kibana的机器学习(Machine Learning)和报告(Reporting)
继续阅读Chrome浏览器高危漏洞已被黑客利用,奇安信可信浏览器为企业撑起“安全伞”
Chrome浏览器高危漏洞已被黑客利用,奇安信可信浏览器为企业撑起“安全伞” 奇安信集团 2025-05-07 10:26 近日,Chrome浏览器存在高危漏洞(漏洞编号:NVDB-CNVDB-2025153622/CVE-2025-2783)持续引发了广大客户的密切关注。据了解,该漏洞在2025年3月底公开披露时就已被黑客组织大规模利用,受害客户包括各国政府机构、军工单位、科研院所等关键领域。但
继续阅读【漏洞通告】Kibana 原型污染导致任意代码执行漏洞 (CVE-2025-25014)
【漏洞通告】Kibana 原型污染导致任意代码执行漏洞 (CVE-2025-25014) 启明星辰安全简讯 2025-05-07 10:09 一、漏洞概述 漏洞名称 Kibana 原型污染导致任意代码执行漏洞 CVE ID CVE-2025-25014 漏洞类型 原型污染 发现时间 2025-05-07 漏洞评分 9.1 漏洞等级 严重 攻击向量 网络 所需权限 高 利用难度 低 用户交互 不需要
继续阅读超越漏洞修复的安全观
超越漏洞修复的安全观 原创 tonghuaroot RedTeam 2025-05-07 10:08 前言 前两天休假看到了spaceraccoon的一篇关于网络安全反模式的文章,讲的是无效忙碌陷阱这个概念,说实话挺有意思的。作为一个经常和漏洞打交道的安全工程师,很多内容说到了我的心坎里,花点时间整理一下笔记。 那些年,把我们淹没的告警海洋 老实说,这篇文章里描述的John Doe的故事在我见过的
继续阅读严重的Langflow RCE 漏洞被用于攻击AI app 服务器
严重的Langflow RCE 漏洞被用于攻击AI app 服务器 Bill Toulas 代码卫士 2025-05-07 10:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施安全局 (CISA) 将Langflow RCE漏洞标记为已遭利用,督促组织机构尽快应用安全更新和缓解措施。 该漏洞的编号是CVE-2025-3248,是一个严重的未认证RCE漏洞,可导致
继续阅读谷歌修复安卓遭活跃利用的 FreeType 0day漏洞
谷歌修复安卓遭活跃利用的 FreeType 0day漏洞 Bill Toulas 代码卫士 2025-05-07 10:07 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布安卓2025年5月的安全更新,共修复45个漏洞,其中一个是已遭活跃利用的零点击 FreeType 2代码执行漏洞 CVE-2025-27363。 FreeType 是一款热门的开源字体渲染库,能够显示并以编程的方
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第18期,总第36期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第18期,总第36期] 原创 安钥 方桥安全漏洞防治中心 2025-05-07 10:01 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读使用区间分析识别智能合约中的漏洞
使用区间分析识别智能合约中的漏洞 pureGavin【译】 看雪学苑 2025-05-07 09:59 本文作为我们研究的进展报告,重点在于利用区间分析这一已有的静态分析方法来检测智能合约中的漏洞。我们展示了一些具有代表性的易受攻击的智能合约示例,并分享了我们使用多个现有检测工具进行实验的结果。我们的发现表明,这些工具未能检测出我们示例中的漏洞。为了提高检测能力,我们在现有检测工具 Slither
继续阅读【风险通告】Elastic Kibana存在原型污染致任意代码执行漏洞(CVE-2025-25014)
【风险通告】Elastic Kibana存在原型污染致任意代码执行漏洞(CVE-2025-25014) 安恒研究院 安恒信息CERT 2025-05-07 09:45 漏洞概述 漏洞名称 Elastic Kibana存在原型污染致任意代码执行漏洞(CVE-2025-25014) 安恒CERT评级 1级 CVSS3.1评分 9.1 CVE编号 CVE-2025-25014 CNVD编号 未分配 CN
继续阅读WordPress depicter插件SQL注入漏洞(CVE-2025-2011)
WordPress depicter插件SQL注入漏洞(CVE-2025-2011) 清晨 摸鱼划水 2025-05-07 08:49 FOFA "wp-content/plugins/depicter/" 影响版本 depicter <= 3.6.1 POC http://127.0.0.1/wp-admin/admin-ajax.php?s=test%25’%20AN
继续阅读