SAP NetWeaver RCE 漏洞 (CVE-2025-31324):深度剖析、高级威胁与全方位防御策略 sec0nd安全 2025-05-04 13:58 针对 SAP NetWeaver 的高危远程代码执行漏洞 CVE-2025-31324,攻击活动仍在持续,已对包括多家世界500强在内的全球企业构成实质性威胁。 SAP NetWeaver:企业数字化引擎,安全重于泰山 SAP NetW
继续阅读7天如何从捡破烂到成功挖出一堆0day sekirolove UKFC安全 2025-05-04 12:07 这是一个在2月初就酝酿要写的博客,因为本人大三下处于关键的十字路口考虑升学or就业实习,时间紧迫,以及厂商迟迟未出补丁,故搁置良久,恰逢此刻已到新的人生阶段,并且看到近期厂商已经发了修复后的固件,突然想起,便写下此文 时间线 根据厂商的要求,在修补后的固件发布之前,我对该漏洞的细节进行了保
继续阅读一行代码即可让iPhone“变砖”:iOS高危漏洞解析 商密君 2025-05-04 11:45 iOS系统存在一个高危漏洞(CVE-2025-24091),恶意应用仅需执行一行代码即可永久禁用iPhone。该漏洞通过操作系统的Darwin通知机制触发无限重启循环,导致设备”变砖”,必须通过完整系统恢复才能修复。 01 Darwin通知系统漏洞分析 该漏洞利用了 CoreO
继续阅读【安全圈】TensorRT-LLM高危漏洞可导致攻击者远程执行代码 安全圈 2025-05-04 11:00 关键词 漏洞 NVIDIA 在其 TensorRT-LLM 框架中披露并修补了一个高严重性漏洞,该漏洞可能允许具有本地访问权限的攻击者执行恶意代码、篡改数据并可能破坏 AI 系统。 该漏洞被跟踪为 CVE-2025-23254,影响 Windows、Linux 和 macOS 平台上 0.
继续阅读zyxel路由器CVE-2024-9200漏洞调用链分析 CLan_nad 看雪学苑 2025-05-04 10:02 本文主要是针对于zyxel厂商的路由器的zhttpd程序进行漏洞分析,作者在挖掘zyxel设备漏洞时,翻到一篇较新的漏洞公告: Zyxel security advisory for buffer overflow and post-authentication command
继续阅读CVE-2025-21756|Linux提权漏洞(PoC) alicy 信安百科 2025-05-04 10:00 0x00 前言 一个影响Linux内核vsock子系统的释放后重用(Use-After-Free,UAF)漏洞。 0x01 漏洞描述 该漏洞的根本原因在于传输重分配期间对套接字绑定状态处理不当。vsock代码错误地减少了已解绑套接字的引用计数器,导致vsock对象被过早释放。 0x0
继续阅读CVE-2025-24893|XWiki Platform远程代码执行漏洞(POC) alicy 信安百科 2025-05-04 10:00 0x00 前言 XWiki是一个开源的企业级知识管理平台,它使用Java编写,并提供了一个完整的框架用于创建、管理和分享信息。XWiki采用Wiki概念,允许团队成员通过Web界面协作编辑文档。其核心特性包括强大的版本控制、权限管理、模板和宏系统以及多语言支
继续阅读CVE – 2025 – 29927 POC Next.js 存在严重漏洞,可导致黑客绕过授权 Khan安全团队 2025-05-04 09:34 在 Next.js 这个开源 Web 开发框架中发现了编号为 CVE-2025-29927 的严重漏洞,该漏洞可能允许攻击者绕过授权检查,使其无需经过关键安全检查就能发送到达目标路径的请求。Next.js 是一个流行的 Reac
继续阅读AirBorne漏洞可导致苹果设备被完全劫持 网络安全与人工智能研究中心 2025-05-04 08:48 苹果AirPlay协议及SDK中的漏洞使苹果及第三方设备面临攻击风险,包括远程代码执行。 网络安全公司Oligo在苹果AirPlay协议及软件开发套件(SDK)中发现一系列严重漏洞(统称为AirBorne),影响苹果及第三方设备。攻击者可利用这些漏洞实施零点击/单点击远程代码执行(RCE)、
继续阅读数字青春,榜样力量!360漏洞云五四特别直播回顾! 360漏洞云 2025-05-04 02:50 五四青年节 在五四青年节到来之际,360漏洞云携手共青团中央直属中国光华科技基金会发起了数字青春榜样力量特别直播活动。三位青年代表分享了自己的背景和经历,展示了他们在网络安全领域的贡献与热情。此次活动聚焦数字化浪潮中新时代青年在捍卫国家网络空间主权与安全方面的崇高使命,旨在汇聚新时代网络安全青年,共
继续阅读SimpleHelp复现 船山信安 2025-05-03 22:12 免责声明 由于传播、利用本博客所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本博客及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢! 介绍 SimpleHelp 是一个促进远程支持、访问和工作以及其他用途的系统。它主要由 IT 专业人员和支持团队使用,以允许他
继续阅读Next.js CVE-2025–29927 hackinghub TtTeam 2025-05-03 17:25 启动 BURP SUITE 并检查 HTTP 历史记录。 在这里看到了 307。所以,可能有一个中间件将所有直接访问主页面的请求重定向到登录页面。 后端服务器使用的是 next.js 12.2.5,因此可以尝试利用此易受攻击的 next.js 版本中的 CVE-2025-29927
继续阅读西悉尼大学披露安全漏洞和泄露了 580 TB 数据 Rhinoer 犀牛安全 2025-05-03 16:00 西悉尼大学(WSU)宣布发生两起安全事件,泄露了其社区成员的个人信息。 西悉尼大学是澳大利亚著名的大学,提供跨多个学科的各种本科、研究生和研究课程。该校拥有 47,000 名学生,雇用超过 4,500 名长期和季节性员工,年度运营预算约为 6 亿美元。 披露的事件之一 涉及 2025
继续阅读$9000 赏金的漏洞 迪哥讲事 2025-05-03 13:31 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4217 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 国外白帽小哥在一次渗透测试时,发现目
继续阅读[靶场复现]CyberStrikeLab-Gear sec0nd安全 2025-05-03 13:18 前言 建议大家把公众号“离别钩PartingHook ”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标 】即可。 flag1(CMS Made Simple RCE) http://www.my.c
继续阅读漏洞挖掘—隐藏资产挖掘SQL注入 原创 haosha 网安日记本 2025-05-03 11:00 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 前言 最近看各位大佬都在冲EDU SRC看的我是热血沸腾,搞得我也想试一试,于是便趁着工作之余
继续阅读ECU自适应模糊测试:用于增强漏洞检测的模块化测试平台方法 谈思实验室 2025-05-03 10:28 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 01 引言 现代车辆是复杂的数字生态系统,其运行和安全依赖于复杂的网络。然而,这些网络中的网络安全漏洞可能会危及道路安全。本文探讨了由 CAN 总线促成的电子控制单元(ECU)之间的关键交互。CAN 总线最初设计用于确保可靠通信,但并未将安全
继续阅读最佳实践:通过有效的基于风险的漏洞管理加强汽车网络安全 GRCC IoVSecurity 2025-05-03 10:18 点击上方 蓝色字体 ,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资合作群… 相关文章 软件定义车辆的网络安全 Upstream2025
继续阅读『Java代码审计零基础到高阶实战班』正式开班啦!手把手带你从零基础学习到反序列化,内存马以及框架漏洞等实战知识!!! 润霖@闪石星曜 闪石星曜CyberSecurity 2025-05-03 06:48 闪石星曜 CyberSecurity 专注代码审计、渗透测试干货分享与培训 第一期还剩四个发车名额, 赶紧来一起抱团学习! 05月07日开课! 01 课程简介 1、你是否渴望从零基础起步,真正掌
继续阅读五一福利 | 抽CNVD高危漏洞 原创 鲸落 Rot5pider安全团队 2025-05-03 06:14 点击上方蓝字 关注安全知识 引 言 欢迎加 技术交流群 ,随意聊, 禁发广告、政治 赌毒等,嘿嘿 群若满,请添加: The_movement,备注: 进群 活动时间 :2025年5月3日00:00 – 5月8日8:30参与方式 :关注公众号 + 转发指定本文 一、活动规则(核
继续阅读聊聊对安全漏洞的一些关键认知 原创 booooooom 白帽子章华鹏 2025-05-03 06:14 写在前面 我的十多年信息安全职业生涯都是和安全漏洞有着紧密的关联的,甚至也可以说都是在围绕如何解决企业的安全漏洞所带来的风险的。当然,这里的漏洞其实更多的不仅仅包含传统意义上的技术漏洞,当然还包括企业管理流程、制度等方面的一些漏洞缺陷。企业安全工作的本质是控制风险, 而对于企业来说信息化技术及管
继续阅读Spring Security CVE-2025-22234 引入用户名枚举向量 Ots安全 2025-05-03 05:48 产品: Spring Security 受影响的软件包: spring-security-crypto 受影响的版本: =5.7.16、=5.8.18、=6.0.16、=6.1.14、=6.2.10、=6.3.8、=6.4.4 GitHub 仓库: https://spr
继续阅读入侵苹果——SQL注入远程代码执行 Ots安全 2025-05-03 05:48 介绍 在上一篇博文中,我们深入研究了 Lucee 的内部工作原理,并查看了 Masa/Mura CMS 的源代码,并意识到其潜在的攻击面之广。显然,花时间理解代码是值得的。经过一周的探索,我们偶然发现了几个可以利用的切入点,包括一个关键的 SQL 注入漏洞,我们可以利用该漏洞在 Apple 的 Book Travel
继续阅读CVE-2025-33028:WinZip 漏洞通过 MotW 绕过导致用户遭受静默代码执行 TtTeam 2025-05-03 05:47 热门文件压缩工具 WinZip 被曝光存在严重安全漏洞(CVE-2025-33028),致使数百万用户面临静默代码执行风险。作为 Windows 抵御网络钓鱼与恶意软件的重要防线,Web 标记(MotW)功能通过标记互联网下载文件、触发运行前安全警告,有效拦
继续阅读手把手教你写好一份完整的漏洞报告 原创 玲珑安全 玲珑安全 2025-05-03 05:47 玲珑安全第六期SRC培训开启招生 点击 下方卡片 查看招生细则 欢迎广大朋友咨询参加 引言 我们发现,许多初学者乃至一些已有一定经验的师傅,在撰写漏洞报告时容易出现表述混乱、结构不清等问题,常常让甲方或漏洞审核人员看得一头雾水、难以理解。为此,本文将通过模板,手把手教你如何写出一份清晰、完整、专业的漏洞报
继续阅读用友U8Cloud getReportIdsByTaskId方法-多处SQL注入漏洞分析 蓝云Sec 2025-05-02 16:01 一、漏洞简介 U8cloud系统getReportIdsByTaskId 方法存在SQL注入漏洞,未经权限校验调用该方法的服务就会存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。 二、影响版本 1.0,2.0,2.1,
继续阅读网络入侵新态势:凭证窃取与边界漏洞利用激增,钓鱼攻击持续衰退 黑白之道 2025-05-02 14:26 根据 Verizon 和谷歌旗下 Mandiant 的独立报告数据,网络犯罪分子的初始入侵手段正在发生显著转变。Mandiant 事件响应团队指出,攻击者更倾向于利用目标环境中现有工具,而非构建新恶意软件或配置漏洞利用后工具。 01 入侵手段演变趋势 Mandiant 调查显示,2024年漏洞
继续阅读从代理到后门:Mihomo Party漏洞直通SYSTEM权限,你的设备已经在裸奔。 原创 RCS-TEAM安全团队 小白嘿课 2025-05-02 14:17 PART.01 免责声明 RCS-TEAM作为独立安全实验室,于2025年4月发现Mihomo Party存在未公开本地提权0day漏洞。根据《漏洞披露国际准则》,我方已提前通过多途径联系开发团队,但未获有效回应。基于漏洞已遭野外利用且百
继续阅读信息安全漏洞周报【第020期】 零零捌信安观察 银天信息 2025-05-02 11:13 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读若依Vue漏洞检测工具 kk12-30 菜鸟学信安 2025-05-02 02:33 介绍 若依Vue漏洞检测工具。 下载地址 https://github.com/kk12-30/ruoyi-Vue-tools
继续阅读