安全热点周报:黑客精心设计 Craft CMS 漏洞链,用于零日攻击窃取数据
安全热点周报:黑客精心设计 Craft CMS 漏洞链,用于零日攻击窃取数据 奇安信 CERT 2025-04-28 10:01 安全资讯导视 • 金融监管总局拟制定《银行业保险业网络安全管理办法》 • 远程控制、窃密、挖矿!我国境内捕获“银狐”木马病毒变种 • 马来西亚多家券商系统遭境外攻击,大量交易账户被操纵买卖股票 PART01 新增在野利用 1.Craft CMS 远程代码执行漏洞(CV
继续阅读标签: vx
限时开放注册-Ai网络安全智能助手 – 漏洞检索、攻防技巧、CVE知识库、代码审计、应急响应 、聊天机器人、安全基础知识等
限时开放注册-Ai网络安全智能助手 – 漏洞检索、攻防技巧、CVE知识库、代码审计、应急响应 、聊天机器人、安全基础知识等 原创 渗透测试 渗透测试 2025-04-28 10:00 Ai网络安全智能助手 – 漏洞检索、攻防技巧、CVE知识库、代码审计、应急响应 、聊天机器人、安全基础知识等 Ai 功能。 Ai网络安全智能助手:https://chat.iis.cm 在线注
继续阅读CrushFTP身份认证绕过漏洞(CVE-2025-2825)
CrushFTP身份认证绕过漏洞(CVE-2025-2825) YuanQiu安全 2025-04-28 09:43 免责声明 由于传播、 本公众号 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任! 一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即删除并致歉,谢谢! 一、前言 1. 漏洞简介 CrushFTP 是由 CrushFTP L
继续阅读【漏洞通告】Craft CMS 远程代码执行漏洞(CVE-2025-32432)
【漏洞通告】Craft CMS 远程代码执行漏洞(CVE-2025-32432) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-28 09:42 漏洞名称: Craft CMS 远程代码执行漏洞(CVE-2025-32432) 组件名称: Pixel & Tonic-Craft CMS 影响范围: 3.0.0-RC1 ≤ Craft CMS < 3.9.15 4.0.0-
继续阅读【漏洞通告】SAP NetWeaver 远程代码执行漏洞(CVE-2025-31324)
【漏洞通告】SAP NetWeaver 远程代码执行漏洞(CVE-2025-31324) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-28 09:42 漏洞名称: SAP NetWeaver 远程代码执行漏洞(CVE-2025-31324) 组件名称: SAP-NetWeaver 影响范围: SAP NetWeaver 及其 Visual Composer 组件 漏洞类型: 代码执行
继续阅读《2025年提升全民数字素养与技能工作要点》印发,提出营造安全有序数字环境;PoC攻击暴露Linux安全工具核心设计缺陷 |牛览
《2025年提升全民数字素养与技能工作要点》印发,提出营造安全有序数字环境;PoC攻击暴露Linux安全工具核心设计缺陷 |牛览 安全牛 2025-04-28 09:33 新闻速览 •《2025年提升全民数字素养与技能工作要点》印发,提出营造安全有序数字环境 •全球能源巨头成为目标:揭秘”电力寄生虫”多语言钓鱼攻击 •教育云遭遇重创:黑客利用AzureChecker部署加密
继续阅读无法避免的漏洞,别轻易认栽
无法避免的漏洞,别轻易认栽 蚁景网络安全 2025-04-28 09:30
继续阅读安全专家提供的 APT38 窃取 0day 漏洞的策略 PoC
安全专家提供的 APT38 窃取 0day 漏洞的策略 PoC Ots安全 2025-04-28 08:58 – 一个自动化 APT38 技术的程序,该技术已被用于针对网络安全研究人员专家 Lazarus 是一个受朝鲜政府支持的组织,其针对网络安全研究人员的攻击记录屡见不鲜。在其众多引人注目的技术中,有一种因其能够有效欺骗众多网络安全专家而尤为突出。 攻击者创建多个 Twitter 和
继续阅读印度阿三安全研究员,欺骗漏洞赏金全过程!
印度阿三安全研究员,欺骗漏洞赏金全过程! 原创 村里的小四 信安之路 2025-04-28 08:55 本文作者:村里的小四,成长平台三百分成员,本文奖励信安之路知识星球一年有效期。 凌晨 3 点收到一封邮件,邮件标题是 Responsible Disclosure of a Subdomain Takeover issue on: t.test.example.com,此处 t.test.exa
继续阅读CNVD漏洞周报2025年第16期
CNVD漏洞周报2025年第16期 原创 CNVD CNVD漏洞平台 2025-04-28 08:43 2 0 2 5 年 0 4 月 21 日 – 2 0 2 5 年 0 4月27日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞484个,其中高危漏洞250个、中
继续阅读上周关注度较高的产品安全漏洞(20250421-20250427)
上周关注度较高的产品安全漏洞(20250421-20250427) 原创 CNVD CNVD漏洞平台 2025-04-28 08:43 一、境外厂商产品漏洞 1、TOTOLINK A6000R action_passwd命令注入漏洞 TOTOLINK A6000R 是一款性能卓越的无线路由器,采用先进的技术和设计 , 为用户提供出色的网络体验。 TOTOLINK A6000R action_pas
继续阅读人工智能自动化模糊测试:如何自主发现汽车软件中的漏洞
人工智能自动化模糊测试:如何自主发现汽车软件中的漏洞 GRCC IoVSecurity 2025-04-28 08:41 点击上方 蓝色字体 ,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 掌握模糊测试-如何在法规遵从中克服网络安全挑战
继续阅读Ruby 服务器中存在 Rack::Static 漏洞,可导致数据遭泄露
Ruby 服务器中存在 Rack::Static 漏洞,可导致数据遭泄露 Ravie Lakshmanan 代码卫士 2025-04-28 08:39 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 网络安全研究员披露了位于 Rack Ruby web 服务器界面中的多个安全漏洞。如遭成功利用,它们可导致攻击者越权访问文件、注入恶意数据并在某些情况下篡改日志。 这些漏洞如下: CVE-202
继续阅读无法避免的漏洞!认栽?
无法避免的漏洞!认栽? 蚁景网安 2025-04-28 08:30
继续阅读mybb 0day? bf复活?
mybb 0day? bf复活? 原创 cybernews OSINT研习社 2025-04-28 08:18 具体直接谷歌吧 黑灰产还是顶啊
继续阅读雷神众测漏洞周报2025.4.21-2025.4.27
雷神众测漏洞周报2025.4.21-2025.4.27 雷神众测 雷神众测 2025-04-28 07:00 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或
继续阅读记一次某大学附属医院漏洞挖掘
记一次某大学附属医院漏洞挖掘 Tai 不秃头的安全 2025-04-28 06:40 记一次某大学附属医院漏洞挖掘 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。还在学怎么挖通用漏洞和src吗?知识星球,续费也有优惠私聊~~想要入交流群在最下方,考安全证书请联系vx咨询。 前情提要 开局一个登录框 ![图形用户界面, 应用程
继续阅读面对零日漏洞:如何提高应对能力?
面对零日漏洞:如何提高应对能力? 原创 deepsec 深安安全 2025-04-28 06:37 在网络安全领域,”零日漏洞”(Zero-Day Vulnerability)是最令企业和个人头疼的威胁之一。攻击者利用尚未被公开或修复的漏洞发起攻击,而防御方往往措手不及。近年来,零日漏洞攻击事件频发,如SolarWinds供应链攻击、微软Exchange漏洞等,均造成了巨大
继续阅读Craft CMS CVE-2025-32432 exp发布
Craft CMS CVE-2025-32432 exp发布 独眼情报 2025-04-28 06:32 Craft CMS 0day, CVE-2025-32432 安全研究员 Chocapikk 发布了一个 Metasploit 模块,用于影响 Craft CMS 的关键零日漏洞,该漏洞被追踪为 CVE-2025-32432 (CVSS 10)。 这种远程代码执行 (RCE) 漏洞,当与 Yi
继续阅读立即保护好Clash Verge rev! 远程命令执行漏洞公开!
立即保护好Clash Verge rev! 远程命令执行漏洞公开! 原创 一个不正经的黑客 一个不正经的黑客 2025-04-28 06:19 立即保护好Clash Verge rev! 远程命令执行漏洞公开! 免责声明: 本文仅限学习、研究使用!其他用途责任自负 背景信息 2天之前clash Verge rev 被爆出存在本地提权漏洞,群友们传的沸沸扬扬说这个漏洞本质是命令执行漏洞。 因为自己也
继续阅读深澜计费管理系统 down-load 任意文件读取漏洞
深澜计费管理系统 down-load 任意文件读取漏洞 Superhero Nday Poc 2025-04-28 06:13 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 深澜计费管理系统 down-lo
继续阅读安全动态回顾|“银狐”木马病毒再度来袭 关键Commvault RCE漏洞允许远程攻击者执行任意代码
安全动态回顾|“银狐”木马病毒再度来袭 关键Commvault RCE漏洞允许远程攻击者执行任意代码 胡金鱼 嘶吼专业版 2025-04-28 06:00 2025.4.14—4.20安全动态周回顾 2025.4.7—4.13安全动态周回顾 2025.3.31—4.6安全动态周回顾 2025.3.24—3.30安全动态周回顾 2025.3.17—3.23安全动态周回顾 2025.3.10—3.16
继续阅读工信部:关于防范WinRAR安全绕过漏洞的风险提示 | 干翻KnowBe4!网安黑马掀起安全培训的AI革命
工信部:关于防范WinRAR安全绕过漏洞的风险提示 | 干翻KnowBe4!网安黑马掀起安全培训的AI革命 e安在线 e安在线 2025-04-28 05:03 工信部:关于防范WinRAR安全绕过漏洞的风险提示 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现, WinRAR 存在安全绕过高危漏洞。 WinRAR 是德国 RARLAB 公司开发的压缩文件管理工具,广泛用
继续阅读漏洞预警 西部数据 NAS remoteBackups.php 命令执行漏洞
漏洞预警 西部数据 NAS remoteBackups.php 命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-28 02:30 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果
继续阅读地理数据的背叛:坐标风暴漏洞讲解
地理数据的背叛:坐标风暴漏洞讲解 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2025-04-28 02:19 嘿嘿,亲爱的师傅们好呀~ 最近收到好多小伙伴的贴心反馈:”大师的实验性漏洞研究超干货!但对着视频记笔记实在不方便啊…” ⚡️所以以后打算随着视频同步推出文章,当然都是免费的哈哈! 文章一般首发于地图大师自己的网站:https://www.dituse
继续阅读时空智友 企业信息管理系统 updater.getStudioFile 任意文件读取漏洞
时空智友 企业信息管理系统 updater.getStudioFile 任意文件读取漏洞 Superhero Nday Poc 2025-04-28 02:17 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述
继续阅读StudentServlet-JSP跨站脚本漏洞及解决办法(CNVD-2025-06945、CVE-2025-3036)
StudentServlet-JSP跨站脚本漏洞及解决办法(CNVD-2025-06945、CVE-2025-3036) 原创 护卫神 护卫神说安全 2025-04-28 01:56 StudentServlet-JSP 是一个基于 Java Web 技术的开源学生管理系统示例项目,旨在帮助初学者掌握 Servlet 和 JSP 的核心概念及开发流程。项目通过分权管理模式实现学生、教师和管理员的功
继续阅读攻防演练大考将至,企业如何防范人员安全漏洞?
攻防演练大考将至,企业如何防范人员安全漏洞? 原创 值得信赖得 众安天下Allsec 2025-04-28 01:30 随着年度网络攻防演练的临近,企业的网络安全防护能力将面临全面检验。尽管多数组织在技术层面已构建起多层次的防护体系,但人员安全漏洞正逐渐成为网络攻击的主要突破口,构成企业安全的“阿喀琉斯之踵”。 人员漏洞成为企业最大的安全短板 根据Verizon发布的《2024年数据泄露调查报告》
继续阅读浅谈常见edu漏洞,逻辑漏洞、越权、接管、小白如何快速找准漏洞
浅谈常见edu漏洞,逻辑漏洞、越权、接管、小白如何快速找准漏洞 薛定谔不喜欢猫 富贵安全 2025-04-28 01:15 今年对某高校进行了渗透测试,发现了一些比较经典的漏洞,写一下和师傅们一起分享。 1.教务系统登录处短信轰炸 学校的教务系统登录处,发现有一个手机验证码认证 这里会发送一个验证码 正常来说,每发送一次短信验证码,这个校验码就会自动更新一次,然后会报错:“验证码错误”。 但是这里
继续阅读2024全球高危漏洞预警报告(含POC)
2024全球高危漏洞预警报告(含POC) 原创 鲸落 Rot5pider安全团队 2025-04-28 01:04 点击上方蓝字 关注安全知识 2024全球高危漏洞预警报告(完整版) TOP 10漏洞全披露(含PoC状态) 一、高危漏洞TOP 10完整榜单 1. CVE-2024-12345:Apache Log4j 2.21.1 反序列化漏洞 CVSS评分 :9.8(严重) PoC状态 :
继续阅读