CVE-2025-31324|SAP Netweaver代码执行漏洞(POC)
CVE-2025-31324|SAP Netweaver代码执行漏洞(POC) alicy 信安百科 2025-05-02 02:20 0x00 前言 SAP NetWeaver是基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。 0x01 漏洞描述 SAP NetWeaver Visual Composer Me
继续阅读标签: vx
CVE-2025-32432|Craft CMS反序列化代码执行漏洞(POC)
CVE-2025-32432|Craft CMS反序列化代码执行漏洞(POC) 信安百科 2025-05-02 02:20 0x00 前言 Craft CMS是一个开源的内容管理系统,它专注于用户友好的内容创建过程,可以用来创建个人或企业网站也可以搭建企业级电子商务系统。 Craft界面简洁优雅,逻辑清晰明了,是一个高度自由,高度自定义设计的平台。虽然不需要专业的编程知识,要对模板语法有所了解才能
继续阅读突发!国家级黑客利用零日漏洞入侵Commvault Azure环境,数据安全再响警报
突发!国家级黑客利用零日漏洞入侵Commvault Azure环境,数据安全再响警报 原创 道玄安全 道玄网安驿站 2025-05-01 23:00 “ CVE-2025-3928。” 01 — 导语 近日,全球知名数据备份服务商Commvault证实,其Microsoft Azure环境遭到国家级黑客组织攻击。攻击者利用未公开的零日漏洞 CVE-2025-3928 ,通过合法凭证渗透系统,并在
继续阅读Clash Verge rev 本地提权/远程命令执行漏洞 POC(5月1日更新)
Clash Verge rev 本地提权/远程命令执行漏洞 POC(5月1日更新) Web安全工具库 2025-05-01 16:00 暗月渗透测试04入门学习8课合集下载 链接:https://pan.quark.cn/s/d26dd0ba8b77 =================================== 免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息
继续阅读漏洞管理中的四大常见误区及改进方案
漏洞管理中的四大常见误区及改进方案 黑白之道 2025-05-01 14:35 图片来源:Shutterstock 漏洞管理的新挑战 现代漏洞管理已从简单的勾选框任务演变为需要实时可视化、风险优先级排序和自动化处理的系统工程。当前IT环境具有高度动态性,攻击者的进化速度与防御措施同步提升。若仍依赖传统工具和策略,系统管理员不仅会落后于时代,更可能为攻击者大开方便之门。 四大常见误区及解决方案 误区
继续阅读【安全圈】苹果隔空播放(AirPlay)协议存在可蠕虫的远程代码执行漏洞 可批量感染大量设备
【安全圈】苹果隔空播放(AirPlay)协议存在可蠕虫的远程代码执行漏洞 可批量感染大量设备 安全圈 2025-05-01 11:00 关键词 安全漏洞 安全研究团队近日披露,苹果AirPlay无线协议及其软件开发套件存在重大安全缺陷,可能引发全球范围内的大规模”蠕虫式”网络攻击。该漏洞集合被命名为”AirBorne”,涉及23个独立安全漏洞,其中1
继续阅读从IBM《2025年X-Force威胁情报指数报告》看安全文化的必要性
从IBM《2025年X-Force威胁情报指数报告》看安全文化的必要性 原创 HardyXie 超安全 2025-05-01 05:38 IBM 于近期发布了《2025年 X-Force威胁情报指数 报告》,该报告 基于对 130多个国家或地区每天监控超过1,500亿个安全事件所获得的洞察分析和观察结果 。深入 了解攻击者的策略对于保护 组织 的员工、数据和基础设施至关重要。本文将透过报告探析攻击
继续阅读【情报】CVE出现罕见的10.0评分漏洞,SAP NetWeaver存在RCE漏洞
【情报】CVE出现罕见的10.0评分漏洞,SAP NetWeaver存在RCE漏洞 原创 visionsec 安全视安 2025-05-01 05:21 漏洞概述 SAP NetWeaver Visual Composer的Metadata Uploader模块缺失必要的授权校验,攻击者可通过未经身份验证的POST请求向/developmentserver/metadatauploader 端点上
继续阅读CraftCMS 存在前台命令执行漏洞 (CVE-2025-32432)
CraftCMS 存在前台命令执行漏洞 (CVE-2025-32432) 菜狗安全 2025-05-01 05:13 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Craft CMS是一个开源的内容管理系统,它专注于用户友好的内容创建过程,逻辑清晰明了,是一个高度自由,高度自定义设计的平台吗,可以用来创建个人或企业网站也可以搭建企业级电子商务系统。 Fofa指纹:header=̶
继续阅读AirPlay 协议中易受蠕虫攻击的零点击远程代码执行 (RCE) 漏洞使 Apple 和 IoT 设备面临风险
AirPlay 协议中易受蠕虫攻击的零点击远程代码执行 (RCE) 漏洞使 Apple 和 IoT 设备面临风险 Ots安全 2025-05-01 04:17 Oligo Security Research 发现 Apple 的 AirPlay 协议和 AirPlay 软件开发工具包 (SDK) 中存在一组新的漏洞,第三方供应商使用该工具包将 AirPlay 集成到第三方设备中。 这些漏洞会导致一
继续阅读紧急!朝鲜Kimsuky组织利用BlueKeep漏洞,疯狂攻击日韩!
紧急!朝鲜Kimsuky组织利用BlueKeep漏洞,疯狂攻击日韩! 原创 紫队 紫队安全研究 2025-05-01 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 网络安全的警报再次拉响!近
继续阅读面临困境的漏洞管理生态系统
面临困境的漏洞管理生态系统 591zll SecLink安全空间 2025-05-01 02:18 全文共计约1950字,预计阅读10分钟 近日,漏洞管理生态系统遭遇惊人消息:被行业广泛采用的漏洞标准——CVE(通用漏洞披露) 与CWE(通用缺陷枚举) 项目突遭断资,面临关停风险。这引发了该生态上下游24小时的恐慌,直至网络安全和基础设施安全局(CISA)出面延续项目赞助,才维持其本年度 运营。但
继续阅读一次从注册功能隐藏到发现的sql注入漏洞
一次从注册功能隐藏到发现的sql注入漏洞 lo2us 实战安全研究 2025-05-01 02:02 1.访问站点 打开burpsuite,配置代理等完成一系列抓取流量的配置操作后,开始访问目标系统 发现只有一个登录框。 我们随便输入账号密码,点击登录,观察请求包和响应包 发现提示账号不存在(其实一个小漏洞,用户名遍历已到手)。 注意此时我们的路径是/dev-api/auth/login。 2.注
继续阅读vLLM 的 Mooncake 存在严重 RCE 漏洞(10)
vLLM 的 Mooncake 存在严重 RCE 漏洞(10) 独眼情报 2025-05-01 01:53 CVE-2025-29783 CVE-2025-32444 vLLM vulnerability 在 vLLM 中发现了一个关键的安全漏洞,vLLM 是一个流行的开源库,用于高性能推理和大型语言模型(LLM)的服务。该漏洞被追踪为 CVE-2025-32444 ,具有最高的 CVSS 评分
继续阅读CVE-2025-32433 PoC 漏洞利用发布 – Erlang/OTP 中的严重 SSH 漏洞
CVE-2025-32433 PoC 漏洞利用发布 – Erlang/OTP 中的严重 SSH 漏洞 TtTeam 2025-04-30 17:41 波鸿鲁尔大学专家日前发现 Erlang/OTP 平台 SSH 组件存在高危漏洞(CVE-2025-32433),并于周三通过 OpenWall 邮件列表公开披露。该漏洞因平台处理 SSH 协议消息机制缺陷,导致恶意攻击者在身份验证前即可发
继续阅读【成功复现】XWiki Platform系统远程代码执行漏洞(CVE-2025-24893)
【成功复现】XWiki Platform系统远程代码执行漏洞(CVE-2025-24893) 原创 弥天安全实验室 弥天安全实验室 2025-04-30 12:31 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍XWiki Platform是XWiki开源的一套用于创建Web协作应用程序的Wiki平台。XW
继续阅读信息安全漏洞周报(2025年第17期)
信息安全漏洞周报(2025年第17期) 原创 CNNVD CNNVD安全动态 2025-04-30 11:27 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年4月21日至2025年4月27日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞568个。 接报漏洞情况 本周CNNVD接报漏洞37683个,其中信息技
继续阅读【漏洞预警】Yeswiki远程代码执行漏洞CVE-2025-46347
【漏洞预警】Yeswiki远程代码执行漏洞CVE-2025-46347 cexlife 飓风网络安全 2025-04-30 11:23 漏洞描述: YesWiki是一款开源的维基系统,基于PHP和MySQL开发,旨在帮助用户以协作的方式创建和管理网站,在4.5.4版本之前,YesWiki存在远程代码执行漏洞,攻击者可以通过任意文件写入操作写入一个带有PHP扩展名的文件,然后通过访问该文件在服务器上
继续阅读【安全圈】Apache Tomcat 漏洞可导致攻击者绕过规则并触发 DoS 条件
【安全圈】Apache Tomcat 漏洞可导致攻击者绕过规则并触发 DoS 条件 安全圈 2025-04-30 11:00 关键词 安全漏洞 Apache 软件基金会披露了 Apache Tomcat 中的一个重大安全漏洞,该漏洞可能允许攻击者绕过安全规则并通过操纵 HTTP 优先级标头 触发 拒绝服务条件。 该高危漏洞编号为 CVE-2025-31650,影响多个 Tomcat 版本,对依赖此
继续阅读【安全圈】CISA 就 Commvault Web 服务器漏洞发布警告,称该漏洞可能被利用
【安全圈】CISA 就 Commvault Web 服务器漏洞发布警告,称该漏洞可能被利用 安全圈 2025-04-30 11:00 关键词 安全漏洞 网络安全和基础设施安全局 (CISA) 已将 Commvault Web 服务器 漏洞 (CVE-2025-3928) 添加到其已知被利用漏洞 (KEV) 目录中,这表明威胁行为者正在积极利用此安全漏洞。 该机构于 2025 年 4 月 28 日
继续阅读漏洞盒子助力 | GOGOGO!71SRC限时双倍金币活动开启!
漏洞盒子助力 | GOGOGO!71SRC限时双倍金币活动开启! 漏洞盒子VulBox 2025-04-30 10:55 白帽子们看过来!71SRC双倍金币活动火热开启! 用技术守护安全,用实力赢取奖励!白帽子们,是时候展示真正的实力了! 快加入71RSC,挑战自我,赢取丰厚奖励吧! 双倍金币活动 01 赢翻倍金币,更有专属礼物! 活动时间 01 2025.5.1-2025.5.15 活动范围 0
继续阅读主流AI系统或存在越狱、代码及数据安全漏洞
主流AI系统或存在越狱、代码及数据安全漏洞 FreeBuf 2025-04-30 10:04 最新研究发现,多款生成式人工智能(GenAI)服务存在两类可诱导其生成非法或危险内容的越狱攻击漏洞。其中代号为”Inception”的攻击技术,通过指令让AI工具虚构场景,进而在无安全限制的子场景中实施二次诱导。 美国计算机应急响应小组协调中心(CERT/CC)在近期公告中指出:&
继续阅读【漏洞处置SOP】PHP CGI代码注入漏洞(CVE-2024-4577)
【漏洞处置SOP】PHP CGI代码注入漏洞(CVE-2024-4577) 原创 just4fun 方桥安全漏洞防治中心 2025-04-30 10:02 01 SOP基本信息 SOP名称: PHP CGI代码注入漏洞(CVE-2024-4577)处置标准作业程序(SOP) 版本: 1.0 发布日期: 2025-04-08 作者:just4fun 审核人: T小组 修订记录: 初始版本: 创建SO
继续阅读入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第三十三期
入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第三十三期 原创 安钥 方桥安全漏洞防治中心 2025-04-30 10:02 2025年4月16日发布的安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第15期,总第33期] 活动现已结束。经过初评和复审,本次共有 2 篇 SOP 入选 。 入选SOP作品 结构清晰、 内容翔实、实用性强,有较高的借鉴意义,体现了作者在
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第17期,总第35期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第17期,总第35期] 原创 安钥 方桥安全漏洞防治中心 2025-04-30 10:02 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读2024年至少75个零日漏洞遭滥用,网络与安全产品占比近三成
2024年至少75个零日漏洞遭滥用,网络与安全产品占比近三成 安全内参编译 安全内参 2025-04-30 09:22 关注我们 带你读懂网络安全 谷歌威胁情报小组表示,2024年共发现75个已被实际利用的零日漏洞,其中44%的零日漏洞针对企业产品,27%针对网络与安全类别产品。 前情回顾· 零日漏洞利用态势 – 警惕!2024年全球零日漏洞利用呈现七大趋势 多国警告:零日漏洞攻击暴涨
继续阅读【漏洞通告】微软Telnet Server(MS-TNAP)身份验证绕过漏洞
【漏洞通告】微软Telnet Server(MS-TNAP)身份验证绕过漏洞 原创 NS-CERT 绿盟科技CERT 2025-04-30 09:12 通告编号:NS-2025-0025 2025-04-30 TAG: 微软、Telnet Server、0day 漏洞危害: 攻击者利用此漏洞,可实现身份验证绕过。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到网上披露了微软Telnet
继续阅读某开源cms 0day挖掘
某开源cms 0day挖掘 用户9528 马哥网络安全 2025-04-30 09:05 作者:用户9528 原文链接:https://xz.aliyun.com/news/17601 如侵权请联系删除 简介 简介 CicadasCMS是用springboot+mybatis+beetl开发的一款CMS,支持自定义内容模型、模板标签、全站静态化等功能。 漏洞挖掘 sql注入(成功) 漏洞发生位置在
继续阅读创宇安全智脑 | 小皮面板 JWT 硬编码认证绕过等71个漏洞可检测
创宇安全智脑 | 小皮面板 JWT 硬编码认证绕过等71个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-04-30 07:50 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态势、
继续阅读