【安全圈】微软的符号链接补丁造成了新的 Windows DoS 漏洞
【安全圈】微软的符号链接补丁造成了新的 Windows DoS 漏洞 安全圈 2025-04-25 11:01 关键词 Microsoft 微软最近发布的安全更新旨在修补一个严重的权限提升漏洞,但却无意中引入了一个新的重大缺陷。 此修复程序现在允许非管理用户有效阻止所有未来的 Windows 安全更新,从而创建拒绝服务条件。 该补丁的意外后果凸显了软件安全的复杂性以及防止不可预见的漏洞的持续挑战
继续阅读标签: vx
2025年第一季度159个CVE漏洞遭利用
2025年第一季度159个CVE漏洞遭利用 FreeBuf 2025-04-25 10:35 2025年第一季度共有159个CVE编号漏洞被确认在野利用,较2024年第四季度的151个有所上升。 网络安全公司VulnCheck向《黑客新闻》提供的报告指出:”我们发现漏洞利用速度持续加快,28.3%的漏洞在其CVE披露后24小时内就遭到利用。”这意味着有45个安全漏洞在公开披
继续阅读微软悬赏最高3万美元征集AI系统漏洞
微软悬赏最高3万美元征集AI系统漏洞 FreeBuf 2025-04-25 10:35 微软宣布将Dynamics 365和Power Platform服务及产品中发现的AI漏洞赏金最高提升至3万美元。 01 产品范围与漏洞类型 Power Platform包含帮助企业分析数据和自动化流程的应用程序,而Dynamics 365则是一套连接客户、产品、人员和运营的商业应用套件。符合奖励条件的AI漏洞
继续阅读尽快更新Redis,最新漏洞可导致服务器遭受拒绝服务攻击(CVE-2025-21605)
尽快更新Redis,最新漏洞可导致服务器遭受拒绝服务攻击(CVE-2025-21605) 原创 a1batr0ss 天翁安全 2025-04-25 10:15 漏洞背景 Redis是一款广泛使用的开源内存数据库,支持持久化存储。Redis因其高性能、灵活性和广泛的应用场景而受到众多企业和开发者的青睐。随着其使用范围不断扩大,其安全性也受到越来越多的关注。 2025年4月23日,Redis官方发布了
继续阅读基于静态分析的路由器固件二进制漏洞挖掘经验分享
基于静态分析的路由器固件二进制漏洞挖掘经验分享 xubeining 看雪学苑 2025-04-25 09:59 迄今为止,在IOT方面的攻击一般分为云,管,端三个方向,云主要是关注物联网云平台的安全,管主要是通信协议的安全,而本篇文章所讨论的是在端这个方向,也就是终端设备上路由器固件的二进制漏洞挖掘经验,其中又包括堆和栈两个方面。 在利用上堆比栈难了很多个数量级,但是如果仅仅只是想打出拒绝服务去c
继续阅读2025年Q1 遭利用漏洞达159个,开源软件类排名第四
2025年Q1 遭利用漏洞达159个,开源软件类排名第四 Ravie Lakshmanan 代码卫士 2025-04-25 09:56 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VulnCheck 公司发布报告表示,在2025年第一季度,多达159个CVE漏洞已被标记为遭在野利用,而2024年第四季度这一数字为151个。 报告指出,“我们仍发现,在CVE编号发布不到一天的时间,28.3
继续阅读分享常见的逻辑漏洞挖掘方法(第一部分)
分享常见的逻辑漏洞挖掘方法(第一部分) LA安全 白帽子社区团队 2025-04-25 09:37 001 引言 作为一名安服狗,领导今天给了几个网站,我打眼一看, WAF 至少上了两层,而且动不动就封 IP ,所以漏扫根本不用想,不能用。我无助的看向了同事,同事也是很无奈,对我说,试试挖一挖逻辑漏洞吧。那么,逻辑漏洞是什么呢?常见的逻辑漏洞有哪些,应该怎么挖呢?下面我给大家介绍介绍。 002
继续阅读信息安全漏洞周报【第019期】
信息安全漏洞周报【第019期】 零零捌信安观察 银天信息 2025-04-25 09:15 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读SyntaxFlow:挖掘 CVE 漏洞必备神器!你还不赶紧了解?
SyntaxFlow:挖掘 CVE 漏洞必备神器!你还不赶紧了解? 原创 YAK Yak Project 2025-04-25 09:02 基础知识:https://ssa.to/syntaxflow-guide/intro 对于框架来说,常常是不能编译底层全部源码的,一方面,底层源码采用多种设计模式来降低代码的耦合度,另一方面,对于底层的代码框架,其文件和包含的依赖常常有几千个,其编译起来会非常
继续阅读Top 10 漏洞不懂?这还不手拿把掐吗?
Top 10 漏洞不懂?这还不手拿把掐吗? 点击关注👉 马哥网络安全 2025-04-25 09:01 1. SQL注入(SQL Injection) 段子 : HR:你叫什么名字? 程序员:’; DROP TABLE 员工表; — HR:你被录用了!(然后公司数据库消失了) 技术原理 : – 攻击者通过输入恶意SQL代码,欺骗数据库执行非法操作(比如删库、窃取
继续阅读关于防范Google Chrome沙箱逃逸高危漏洞的风险提示
关于防范Google Chrome沙箱逃逸高危漏洞的风险提示 NVDB 网络安全威胁和漏洞信息共享平台 2025-04-25 08:35 近日,工业和信息化部网络安全威胁和漏洞信息共享平台( NVDB )监测发现, Google Chrome 存在沙箱逃逸高危漏洞,可被恶意利用导致信息泄露、代码执行等危害。 Google Chrome 是谷歌公司开发的网页浏览器,用于快速浏览、搜索互联网内容。由于
继续阅读国外顶级漏洞实战工具推荐(附下载)
国外顶级漏洞实战工具推荐(附下载) 蚁景网安 2025-04-25 08:31 漏洞实战通常包括漏洞扫描、漏洞评估、漏洞修复和漏洞验证等环节,以及使用各种工具、平台和策略来实现这些环节的自动化、优化和协调。漏洞工具在漏洞实战过程中发挥着重要的作用,它们可以帮助组织快速地检测、分析和修复各种类型的漏洞,以及提供可视化的报告和反馈。本文将推荐一批顶级开源漏洞管理工具,希望能帮助学习者了解和选择合适的工
继续阅读高达30000美元!微软大幅提升AI漏洞奖金,强化企业级AI安全防线
高达30000美元!微软大幅提升AI漏洞奖金,强化企业级AI安全防线 安全客 2025-04-25 08:21 近期,微软宣布将Dynamics 365和Power Platform服务和产品中发现的AI漏洞的奖金最高增加到30000美元。其中,Power Platform包括旨在帮助公司分析数据和自动化流程的应用程序,而Dynamics 365是一组连接客户、产品、人员和运营的业务应用程序。 该
继续阅读漏洞预警 | 金和OA文件任意文件上传漏洞
漏洞预警 | 金和OA文件任意文件上传漏洞 原创 C4团队运营 C4安全团队 2025-04-25 08:11 0x00 漏洞编号 – # CNVD-2024-22977 0x01 危险等级 – 高危 0x02 漏洞概述 金和OA系统 产品C6协同管理平台,是一个涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围的
继续阅读记一次接口导致的漏洞
记一次接口导致的漏洞 原创 Fengge233 Tsia安全团队 2025-04-25 08:07 1、经典开局一个登录框swagger泄露,提取跑接口 某接口信息泄露 2、未授权 开局一个登录口 提取接口跑一波出货了
继续阅读二维码功能点SRC漏洞挖掘
二维码功能点SRC漏洞挖掘 GG安全 2025-04-25 08:04 免责声明 由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此 承担任何责任,一旦造成后果请自行承担!本文为连载文章欢迎大家关注红云谈安全公众号! 在漏洞挖掘过程中我们经常会遇到二维码,二维码出现的场景主要有支付状态下、扫描登录、扫码关注、扫码分享、
继续阅读揭秘千万漏洞赏金密码!跟着漏洞挖掘大神解锁 SRC 变现新赛道
揭秘千万漏洞赏金密码!跟着漏洞挖掘大神解锁 SRC 变现新赛道 Z2O安全攻防 2025-04-25 08:03 小编寄语 小笼包携手黑色键盘,两位大佬强强联合,开始授课啦 ,小编给大家要了个福利,即报“ Z2O安全攻防 ”暗号可享早鸟价格哦~ SRC大师课 小笼包 & 黑色键盘 & 神秘嘉宾 《联合打造》 SRC漏洞挖掘培训班 01 导师介绍 黑色 键盘 阿里巴巴核心白帽
继续阅读独家揭秘:1000万漏洞赏金白帽,SRC漏洞挖掘通杀思路分享
独家揭秘:1000万漏洞赏金白帽,SRC漏洞挖掘通杀思路分享 赤弋安全团队 2025-04-25 08:02 小编寄语 小笼包携手黑色键盘,两位大佬强强联合,开始授课啦 ,小编给大家要了个福利,文末添加报“ 赤弋安全 ”暗号可享早鸟价格哦~ 一次报名,终身学习~ SRC大师课 小笼包 & 黑色键盘 & 神秘嘉宾 《联合打造》 SRC漏洞挖掘培训班 01 导师介绍 黑色 键盘
继续阅读【漏洞预警】泛微 E-cology 远程代码执行漏洞
【漏洞预警】泛微 E-cology 远程代码执行漏洞 原创 大荒Sec 太乙Sec实验室 2025-04-25 07:12 免责声明: 本公众号 太乙Sec实验室 所提供的实验环境均是本地搭建,仅限于网络安全研究与学习 。旨在为安全爱好者提供技术交流。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作,所导致的直接或间接后果及损失,均由使用者本人负责。太乙Sec实验室 及作者对此不承担任何
继续阅读【工具分享】JavaSecLab综合且全面的Java漏洞平台
【工具分享】JavaSecLab综合且全面的Java漏洞平台 秀龙叔 黑客之道HackerWay 2025-04-25 07:00 简介: JavaSecLab是一款最全面的Java漏洞平台,提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范、漏洞流量分析,涵盖多种漏洞场景,人性化的交互UI…… 支持漏洞模块: 跨站脚本攻击、跨站请求伪造、CORS、JS
继续阅读时空智友 企业流程化管控系统 indexService.notice SQL注入漏洞
时空智友 企业流程化管控系统 indexService.notice SQL注入漏洞 Superhero Nday Poc 2025-04-25 06:43 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 时
继续阅读上周关注度较高的产品安全漏洞(20250414-20250420)
上周关注度较高的产品安全漏洞(20250414-20250420) 金瀚信安 2025-04-25 06:36 一、境外厂商产品漏洞 1、F5 BIG-IP拒绝服务漏洞(CNVD-2025-07325) F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP存在安全漏洞,该漏洞源于当禁用了SNMP v1或v2c时,攻击者可利用该
继续阅读【漏洞通告】Commvault 远程代码执行漏洞(CVE-2025-34028)
【漏洞通告】Commvault 远程代码执行漏洞(CVE-2025-34028) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-25 06:33 漏洞名称: Commvault 远程代码执行漏洞(CVE-2025-34028) 组件名称: Commvault-WebServer 影响范围: 11.38.0 ≤ Commvault < 11.38.20 漏洞类型: 绕过认证 利用条
继续阅读【漏洞通告】PyTorch远程命令执行漏洞安全风险通告
【漏洞通告】PyTorch远程命令执行漏洞安全风险通告 嘉诚安全 2025-04-25 06:28 漏洞背景 近日,嘉诚安全 监测到 PyTorch远程命令执行漏洞,漏洞编号为: CVE-2025-32434 。 PyTorch是一个开源的深度学习框架,广泛用于机器学习和人工智能研究。它提供强大的张量计算功能,支持GPU加速,并且基于自动求导系统(autograd),使得模型训练更加高效。PyTo
继续阅读【漏洞通告】Redis输出缓冲区无限增长漏洞安全风险通告
【漏洞通告】Redis输出缓冲区无限增长漏洞安全风险通告 嘉诚安全 2025-04-25 06:28 漏洞背景 近日,嘉诚安全 监测到 Redis输出缓冲区无限增长漏洞,漏洞编号为: CVE-2025-21605 。 Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。它支持多种数据结构,如字符串、哈希、列表、集合、有序集合等,并提供丰富的操作命令。Redis具有
继续阅读【漏洞通告】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞安全风险通告
【漏洞通告】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞安全风险通告 嘉诚安全 2025-04-25 06:28 漏洞背景 近日,嘉诚安全 监测到 金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞。 金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款企业级中间件,全面支持JakartaEE规范,提供Web、EJB、WebService容器,适配国
继续阅读同步漏洞行动:“ Lazarus 高级持续性威胁组织”再次故技重施
同步漏洞行动:“ Lazarus 高级持续性威胁组织”再次故技重施 原创 Kaspersky 卡巴斯基威胁情报 2025-04-25 06:00 自去年 11 月以来,我们一直在跟踪 Lazarus 组织的最新攻击活动,因为它以韩国的组织为目标,将水坑策略与韩国软件中的漏洞利用巧妙结合。这项被称为“SyncHole 行动”的活动已经影响了韩国软件、IT、金融、半导体制造和电信行业的至少六个组织,我
继续阅读IoT智能设备产品「发售前」安全检验:关乎品牌声誉的漏洞之战
IoT智能设备产品「发售前」安全检验:关乎品牌声誉的漏洞之战 斗象科技 2025-04-25 05:59 在智能设备安全事件频发的今天,欧盟2024年新规规定所有联网设备必须提供5年的免费安全更新,我国《物联网基础安全 物联网平台安全分级分类管理评估方法》(YD/T 6039-2024)在今年2月正式实施,合规与网络安全性已经成为智能产品的重要指标之一。 2024年12月,距某全球500强综合性智
继续阅读【红队】JNDIExploit 改进版
【红队】JNDIExploit 改进版 pap1rman 贝雷帽SEC 2025-04-25 05:24 免责声明 本公众号所提供的文字和信息仅供学习和研究使用, 请读者自觉遵守法律法规,不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任 。 工具来自网络,安全性自测,如有侵权请联系删除。 工具介绍 对原版JNDIExploit进行修改增加内存马模块和本地序列
继续阅读常见EDU漏洞,附实战案例
常见EDU漏洞,附实战案例 锐鉴安全 2025-04-25 05:06 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 关注公众号,设置为星标, 不定期有宠粉福利 0x01 前言 今年对某高校进行了渗透测试,发现了一些比较经典的漏洞,写一下和师傅们一起分享。 0x02 漏洞详情 1.教务
继续阅读