mojoPortal 路径穿越漏洞 (CVE-2025-28367)
mojoPortal 路径穿越漏洞 (CVE-2025-28367) Superhero Nday Poc 2025-04-26 13:18 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 在 mojoPor
继续阅读标签: vx
通过svg图片所引发的漏洞
通过svg图片所引发的漏洞 richardo1o1 迪哥讲事 2025-04-26 12:30 通过svg图片所引发的漏洞 正文 漏洞核心: SVG 是一种 XML 格式的矢量图文件,它支持嵌入其他资源(如图片),比如这样一行代码: <image xlink:href="http://attacker.com/logo.gif" /> ~当 厂商 的服务器/浏览器
继续阅读【安全圈】零日漏洞引发危机:黑客利用 Ivanti VPN 发动 DslogdRAT 恶意攻击
【安全圈】零日漏洞引发危机:黑客利用 Ivanti VPN 发动 DslogdRAT 恶意攻击 安全圈 2025-04-26 11:01 关键词 零日漏洞 近期针对日本组织的攻击事件表明,有技术高超的黑客利用了 Ivanti Connect Secure VPN 设备中的一个零日漏洞。 攻击者利用 CVE-2025-0282 漏洞部署了多种恶意工具,其中包括一种名为 DslogdRAT 的定制恶意
继续阅读【安全圈】NVIDIA NeMo 框架三大高危漏洞致远程攻击与数据篡改风险剧增
【安全圈】NVIDIA NeMo 框架三大高危漏洞致远程攻击与数据篡改风险剧增 安全圈 2025-04-26 11:01 关键词 安全漏洞 马里兰州主要医疗服务机构之一 Frederick Health Medical Group 近日披露,该机构于今年1月遭遇勒索软件攻击,导致约 93万名患者 的敏感个人信息被泄露。 Frederick Health 拥有近 4000名员工 ,在本地设有超过
继续阅读隐藏在菜单外的”秘密菜品”:我如何通过robots.txt找到管理后台并实现远程代码执行
隐藏在菜单外的”秘密菜品”:我如何通过robots.txt找到管理后台并实现远程代码执行 原创 VlangCN HW安全之路 2025-04-26 10:44 你是否曾在餐厅点餐时好奇,”菜单上会不会有什么秘密菜品没有展示给我?” 这正是我在一次深夜安全侦察过程中浏览子域名时的感受。疲惫不堪,却渴望发现一些值得研究的漏洞。没想到,我即将遇到的是一个配
继续阅读Clash Verge rev存在提权漏洞
Clash Verge rev存在提权漏洞 JunYi 毅心安全 2025-04-26 09:35 Clash Verge rev存在提权漏洞,在Mac、Linux和Windows都能进行提权,Mac和Linux下能提权到root,Windows下可以提权到SYSTEM。此漏洞包括最新发行的版本2.2.4-alpha,目前正在积极与作者取得联系。如果确实需要使用这类软件,请禁用他的守护进程。 建议
继续阅读在看 | 周报:国家部委张某犯重大间谍案;微软新安全功能误判导致全球性账户锁定;华硕确认AiCloud路由器存在严重漏洞
在看 | 周报:国家部委张某犯重大间谍案;微软新安全功能误判导致全球性账户锁定;华硕确认AiCloud路由器存在严重漏洞 原创 管窥蠡测 安在 2025-04-26 09:12 热点事件,政策法规,产业要闻,资讯报告,尽在「网安周报」。与网安发展同步,采业界资讯共赏,天天见闻,周周必报。 安全事件 1、国家部委张某犯重大间谍案 国家安全部披露一起重大间谍案。某国家部委工作人员张某,主动向境外间谍情
继续阅读PoC攻击暴露Linux安全工具缺陷,以色列厂商称过度依赖eBPF埋隐患
PoC攻击暴露Linux安全工具缺陷,以色列厂商称过度依赖eBPF埋隐患 信息安全大事件 2025-04-26 08:46 以色列云安全公司Armo近日通过新型概念验证(PoC)rootkit成功绕过多款主流Linux运行时安全工具,该案例揭示了当前安全产品存在的技术局限。这款名为”Curing”的PoC工具名称融合了”治愈”概念与Linux内核接口
继续阅读紧急预警!某高校EDU越权漏洞被盯上!我竟在后台改写了百万师生“生死簿”?!
紧急预警!某高校EDU越权漏洞被盯上!我竟在后台改写了百万师生“生死簿”?! 勤奋的运营姐姐 EnhancerSec 2025-04-26 08:43 甲方领导看到这篇文章连夜打电话要求排查系统! 白帽子看了这篇文章想立刻下载复现!! 吃瓜群众误以为是灵异事件点进来这篇文章学技术!!! 平台算法因这篇文章含“天劫”等高权重词疯狂推荐!!!! 你还在犹豫什么!速速点击关注公众号加入我们吧!!!!!
继续阅读SAP NetWeaver 中的关键漏洞受到主动利用的威胁
SAP NetWeaver 中的关键漏洞受到主动利用的威胁 原创 mayfly 独眼情报 2025-04-26 07:34 关键漏洞 CVE-2025-31324,一个未经身份验证的文件上传漏洞,已在 SAP NetWeaver Visual Composer 中被发现,其严重程度被评为最高的 10.0 分。安全研究人员观察到,恶意行为者正在积极利用此漏洞上传 JSP webshell,从而获得未
继续阅读Mitel 企业协作平台 npm-pwg 任意文件读取漏洞
Mitel 企业协作平台 npm-pwg 任意文件读取漏洞 HK安全小屋 2025-04-26 07:12 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 由于Mitel MiCollab软件的 NuPoint 统一消息 (NPM
继续阅读【红队】一款全方位扫描工具,具备高效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能
【红队】一款全方位扫描工具,具备高效的机器探活,端口探活,协议识别,指纹识别,漏洞扫描等功能 polite-007 贝雷帽SEC 2025-04-26 03:48 免责声明 本公众号所提供的文字和信息仅供学习和研究使用, 请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任 。 工具来自网络,安全性自测,如有侵权请联系删除。 工具介绍 一
继续阅读拿来即用SQL注入POC,亲测好用
拿来即用SQL注入POC,亲测好用 原创 锐鉴安全 锐鉴安全 2025-04-26 03:38 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标, 不定期有宠粉福利 Part-01 背景 根据测试过程中发现sql注入漏洞,总结并分享一份针对不同数据库的poc清单。 P
继续阅读【0day预警】最新版小皮面板(XPanel)组合拳前台RCE
【0day预警】最新版小皮面板(XPanel)组合拳前台RCE sec0nd安全 2025-04-26 02:26 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 前言 文章由交流群匿名大手子投稿 漏洞详
继续阅读日本遭定向攻击!Ivanti ICS零日漏洞被利用部署新型恶意软件DslogdRAT
日本遭定向攻击!Ivanti ICS零日漏洞被利用部署新型恶意软件DslogdRAT sec0nd安全 2025-04-26 02:26 “ 零日漏洞。” 01 — 导语 2024年12月,日本多家组织遭遇针对Ivanti Connect Secure(ICS)VPN设备的定向攻击。攻击者利用高危零日漏洞 CVE-2025-0282 部署了新型远控木马 DslogdRAT 及隐蔽的网页后门。此漏
继续阅读若依系统 | SQL注入漏洞+druid框架漏洞
若依系统 | SQL注入漏洞+druid框架漏洞 原创 神农Sec 神农Sec 2025-04-26 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 若依系统渗透测试 漏洞一:SQL注入漏洞 都
继续阅读若依Vue漏洞检测工具更新!V5
若依Vue漏洞检测工具更新!V5 黑白之道 2025-04-26 00:36 往期若依工具 若依 Vue框架漏洞检测工具,包括 Swagger、Druid、文件下载漏洞、SQL 注入、定时任务漏洞和任意密码修改漏洞等 若依 最新定时任务SQL注入可导致RCE漏洞的一键利用工具 若依工具 若依 Vue 框架应用程序中的常见漏洞。该工具提供了多种漏洞检测模块,包括 Swagger 检测、 Druid
继续阅读漏洞预警 | Redis拒绝服务漏洞
漏洞预警 | Redis拒绝服务漏洞 浅安 浅安安全 2025-04-26 00:00 0x00 漏洞编号 – # CVE-2025-21605 0x01 危险等级 – 高危 0x02 漏洞概述 Redis是一个持久存在于磁盘上的内存数据库。数据模型是键值对,但支持许多不同类型的值:字符串、列表、集合、有序集合、哈希、流、HyperLogLogs、位图。 0x03 漏洞详情
继续阅读漏洞预警 | 泛微E-Office SQL注入漏洞
漏洞预警 | 泛微E-Office SQL注入漏洞 浅安 浅安安全 2025-04-26 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 泛微e-office是泛微旗下的一款标准协同移动办公平台。主要面向中小企业,平台全方位覆盖日常办公场景,可以有效提升组织管理与协同效率。 0x03 漏洞详情 漏洞类型: SQL注入 影响:
继续阅读emlog2.5.3代码审计(后台文件上传漏洞)
emlog2.5.3代码审计(后台文件上传漏洞) 船山信安 2025-04-25 16:00 前言 前几天在学代码审计,翻cnvd看到一个emlog的新漏洞,想着自己复现一下 搭建 访问官网找到对应版本下载即可 https://www.emlog.net/ 解压到phpstudy的www目录下 访问install.php即可安装 审计 该漏洞需要登录到后台,因此先进行登录 进入后台,来到插件这,可
继续阅读【复现】金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告
【复现】金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告 赛博昆仑CERT 2025-04-25 14:38 赛博昆仑漏洞 安全风险通告 金蝶天燕应用服务器IIOP远程代码执行漏洞风险通告 漏洞描述 金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款企业级中间件,全面支持JakartaEE规范,提供Web、EJB、WebService容器,适配国产软硬
继续阅读【漏洞预警】Redis 输出缓冲区无限增长漏洞(CVE-2025-21605)
【漏洞预警】Redis 输出缓冲区无限增长漏洞(CVE-2025-21605) cexlife 飓风网络安全 2025-04-25 13:46 漏洞描述: Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。它支持多种数据结构,如字符串、哈希、列表、集合、有序集合等,并提供丰富的操作命令。Redis具有高性能、灵活性和持久化能力,数据可以保存在内存中,定期或根据需
继续阅读【成功复现】Langflow框架远程命令执行漏洞(CVE-2025-3248)
【成功复现】Langflow框架远程命令执行漏洞(CVE-2025-3248) 原创 弥天安全实验室 弥天安全实验室 2025-04-25 13:39 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Langflow是Langflow开源的一个用于构建多代理和 RAG 应用程序的可视化框架。是一个面向开发者
继续阅读最新版 ThinkPHP (8.1.2) 反序列化漏洞挖掘
最新版 ThinkPHP (8.1.2) 反序列化漏洞挖掘 原创 Heihu577 Heihu Share 2025-04-25 12:53 最新版 ThinkPHP (8.1.2) 反序列化漏洞挖掘 前言 很久没分析过PHP 了, 最近ThinkPHP 8 又更新了最新版本 (1月14号), 当然在这里进行一个反序列化漏洞挖掘. 其链路后半部分耦合性较高. 挖掘过程略显复杂. 声明:文中涉及到的
继续阅读小程序渗透记录 通过细节挖掘漏洞的艺术
小程序渗透记录 通过细节挖掘漏洞的艺术 一天要喝八杯水 蓝云Sec 2025-04-25 12:03 低价享受高价 锁定一个购票小程序.购买出行船票或车票时都区分为 二等座 一等座 包括舱位、上下卧铺价格也不同上,包括成人价格 儿童老年人优惠等,站点特征明显,厚码叠甲 选择一个目的地出行,然后下单记录数据包 选择一个目的地BP记录到了创建订单的接口shipgateway/shipOrderApi/
继续阅读Sunder:旨在利用 BYOVD 漏洞的 Windows rootkit
Sunder:旨在利用 BYOVD 漏洞的 Windows rootkit Ots安全 2025-04-25 11:36 模仿 Lazarus Group 的 FudModule rootkit的 Windows rootkit. 参考 这个版本的 Sunder 以 appid.sys 驱动程序漏洞为例,该漏洞被 Lazarus Group FudModule rootkit 利用。 Sunder
继续阅读揭秘 SuperNote Nomad 电子墨水屏平板电脑中的 0-Click RCE 漏洞
揭秘 SuperNote Nomad 电子墨水屏平板电脑中的 0-Click RCE 漏洞 Ots安全 2025-04-25 11:36 概述: 去年,流行的 E-Ink 平板电脑供应商Ratta Software发布了SuperNote A6 X2 Nomad——一款运行 Android 11 的 7.8 英寸平板电脑。 作为效率达人,我们在 2024 年 7 月入手了一台,原本打算用它来做笔记
继续阅读NVIDIA NeMo 框架存在允许攻击者执行远程代码漏洞
NVIDIA NeMo 框架存在允许攻击者执行远程代码漏洞 网安百色 2025-04-25 11:31 NVIDIA NeMo 框架中存在三个严重性较高的漏洞,可能允许攻击者执行远程代码,从而可能危及 AI 系统并导致数据篡改。 这些安全漏洞被确定为 CVE-2025-23249、CVE-2025-23250 和 CVE-2025-23251,CVSS 基本评分均为 7.6,表明流行的生成式 AI
继续阅读【安全圈】Kubernetes 集群安全漏洞遭利用,算力资源面临严重危机
【安全圈】Kubernetes 集群安全漏洞遭利用,算力资源面临严重危机 安全圈 2025-04-25 11:01 关键词 安全漏洞 对于网络安全专业人士而言,出现了一个令人担忧的新情况:威胁行为者正越来越多地将目标对准未受安全保护的 Kubernetes 集群,以便在受害者组织毫不知情的情况下,利用其计算资源来部署加密货币挖矿活动。 这些攻击利用了容器化环境中的漏洞,尤其侧重于利用配置错误和薄弱
继续阅读