PoC | Commvault 远程代码执行 CVE-2025-34028(9.0)
PoC | Commvault 远程代码执行 CVE-2025-34028(9.0) 独眼情报 2025-04-24 11:14 Commvault它是什么? Commvault 自称是数据保护或网络弹性解决方案;撇开花哨的词语不谈,产品市场评论网站将 Commvault 归类为企业备份和复制套件。这种读取能力告诉我们,Commvault 提供了集成并支持广泛的技术,包括云提供商、数据库、SOAR
继续阅读标签: vx
【原创0day】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞(NVDB-CITIVD-2025865374)
【原创0day】金蝶天燕应用服务器IIOP反序列化远程代码执行漏洞(NVDB-CITIVD-2025865374) 长亭安全应急响应中心 2025-04-24 10:10 金蝶Apusic应用服务器(Apusic Application Server,AAS)是一款企业级中间件,全面支持JakartaEE规范,提供Web、EJB、WebService容器,适配国产软硬件,用于支撑企业级应用运行。2
继续阅读【AI风险通告】NVIDIA NeMo存在多个高危漏洞
【AI风险通告】NVIDIA NeMo存在多个高危漏洞 安恒研究院 安恒信息CERT 2025-04-24 10:00 漏洞公告 近 日,安恒信息CERT监测到NVIDIA NeMo存在多个高危漏洞,漏洞(CVE-2025-23249)攻击者可通过远程代码执行导致反序列化不受信任的数据;攻击者可以利用漏洞(CVE-2025-23250)通过任意文件写入将文件路径不当限制到受限目录;漏洞(CVE-2
继续阅读无认证也能入侵?Commvault 现严重漏洞,黑客可借此远程 “掌控” 系统
无认证也能入侵?Commvault 现严重漏洞,黑客可借此远程 “掌控” 系统 看雪学苑 看雪学苑 2025-04-24 09:59 在当今数字化时代,数据已成为企业最为关键的资产之一,而数据保护平台的安全性直接关系到企业的核心利益与用户的隐私安全。然而,近期一则关于 Commvault Command Center Innovation Release 版本存在严重安全漏洞的消息,如同一颗突然投
继续阅读华硕修复严重的AMI 漏洞
华硕修复严重的AMI 漏洞 Bill Toulas 代码卫士 2025-04-24 09:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 华硕发布安全更新,修复CVSS评分为10的严重漏洞CVE-2024-54085,它可导致攻击者劫持并导致服务器崩溃。 该漏洞影响安迈科技公司的 MegaRAC BMC 软件,而它用于超过12家服务器硬件厂商,包括慧与、华硕以及ASRock公司。CVE
继续阅读如何应对攻防演练过程中的逻辑漏洞?
如何应对攻防演练过程中的逻辑漏洞? 原创 全域数字风险管理 云科安信Antira 2025-04-24 09:50 护网季前,多数企业都会进行全面的风险「自查」,以更稳妥的安全状态进入实战攻防演练。然而,互联网资产扫描探测、漏洞扫描、渗透测试、整改加固等等一系列自查的策略手段,往往会疏忽「逻辑漏洞」这个防不胜防的小风险大隐患。 实战对抗下的「逻辑漏洞」 不同于常规漏洞,逻辑漏洞的根源是业务或功能上
继续阅读从 CVE-2024-0012 到 CVE-2024-9474:Palo Alto 的分析与思考
从 CVE-2024-0012 到 CVE-2024-9474:Palo Alto 的分析与思考 原创 imjdl 源影安全团队 2025-04-24 09:30 引言 本文是一个漏洞分析回顾。2024年,在Palo Alto Networks的防火墙和SSL VPN产品中出现了两个严重的安全漏洞:CVE-2024-0012和CVE-2024-9474。这两个漏洞(身份验证绕过漏洞和权限提升漏洞)
继续阅读创宇安全智脑 | 时空智友企业流程化管控系统 indexService.notice SQL注入等88个漏洞可检测
创宇安全智脑 | 时空智友企业流程化管控系统 indexService.notice SQL注入等88个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-04-24 09:22 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和
继续阅读【漏洞通告】PyTorch 远程命令执行漏洞(CVE-2025-32434)
【漏洞通告】PyTorch 远程命令执行漏洞(CVE-2025-32434) 启明星辰安全简讯 2025-04-24 08:41 一、漏洞概述 漏洞名称 PyTorch 远程命令执行漏洞 CVE ID CVE-2025-32434 漏洞类型 命令执行 发现时间 2025-04-24 漏洞评分 9.3 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交互 不需要 PoC/EXP 未公
继续阅读漏洞预警 Netxxxx 日志审计 hostdelay.php 命令注入漏洞
漏洞预警 Netxxxx 日志审计 hostdelay.php 命令注入漏洞 by 融云安全-cas 融云攻防实验室 2025-04-24 07:12 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果
继续阅读大模型10大网络安全威胁及防范策略 | ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序
大模型10大网络安全威胁及防范策略 | ChatGPT在公开漏洞利用代码发布前成功生成CVE有效攻击程序 e安在线 e安在线 2025-04-24 05:05 大模型10大网络安全威胁及防范策略 OWASP发布的《大语言模型人工智能应用Top10安全威胁2025》,大语言模型人工智能应用中存在的十大安全风险,相比2023版有一些变化, 10大安全威胁如下: 1、提示词注入:用户通过特殊输入改变模型
继续阅读SpEL 表达式注入漏洞
SpEL 表达式注入漏洞 原创 信安魔方 锐鉴安全 2025-04-24 04:45 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。 请大家关注公众号支持,不定期有宠粉福利 Part-01 基础 知识 Spring 表达式语言(Spring Expression Language,SpEL
继续阅读微软警示:俄罗斯“沙虫”APT组织借Edge漏洞全球出击
微软警示:俄罗斯“沙虫”APT组织借Edge漏洞全球出击 原创 紫队 紫队安全研究 2025-04-24 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 在网络安全领域,有一个组织恶名昭彰,那
继续阅读攻击 FastCGI 库:CVE-2025-23016
攻击 FastCGI 库:CVE-2025-23016 独眼情报 2025-04-24 03:57 介绍 FastCGI 是一个用 C 语言编写的库,用于通过设计一种在 NGINX 等 Web 服务器和第三方软件之间进行通信的方式来开发编译的 Web 应用程序。 它是通用网关接口 (CGI) 的演进。 它的主要优势在于它能够集成轻量级 Web 应用程序。 此功能意味着该库主要用于计算能力较低的设备
继续阅读GitLab 发布安全更新以修复 XSS 和帐户接管漏洞
GitLab 发布安全更新以修复 XSS 和帐户接管漏洞 独眼情报 2025-04-24 03:57 GitLab 发布了安全公告,敦促用户立即升级其自管理的 GitLab 安装。该公告强调了 GitLab Community Edition (CE) 和 Enterprise Edition (EE) 的 17.11.1、17.10.5 和 17.9.7 版本的发布,以解决“ 重要的错误和安全修
继续阅读Pega Infinity – 绕过身份验证[CVE-2021-27651]
Pega Infinity – 绕过身份验证[CVE-2021-27651] _7ingLian 偏远酒馆 2025-04-24 03:36 CVE-2021-27651 免责声明 我们发布的内容仅作为测试和学习交流,禁止用于未授权场景。任何人不得将其用于非法目的。我方对于阅读本文技术引起的法律责任概不负责。 —>漏洞描述 Pega Infinity 版本8.2.1到
继续阅读可防护0day的智能语义分析防护系统
可防护0day的智能语义分析防护系统 夜组安全 2025-04-24 03:04 前言 面对大型网络安全活动、常态化防护以及满足等保2.0、GDPR等国内外合规要求,WEB应用防护设备是必需品。 SafeLine,中文名 “雷池”,是一款简单好用, 效果突出的 Web 应用防火墙(WAF),可以保护 Web 服务不受黑客攻击。 雷池通过过滤和监控 Web 应用与互联网之间的
继续阅读可防护0day的智能语义分析防护系统·雷池
可防护0day的智能语义分析防护系统·雷池 原创 NightTeam 夜组OSINT 2025-04-24 03:00 前言 面对大型网络安全活动、常态化防护以及满足等保2.0、GDPR等国内外合规要求,WEB应用防护设备是必需品。 SafeLine,中文名 “雷池”,是一款简单好用, 效果突出的 Web 应用防火墙(WAF),可以保护 Web 服务不受黑客攻击。 雷池通过
继续阅读PHPGurukul Men Salon Management System最新SQL注入漏洞及解决方法
PHPGurukul Men Salon Management System最新SQL注入漏洞及解决方法 原创 护卫神 护卫神说安全 2025-04-24 02:28 PHPGurukul Men Salon Management System 是一款基于 PHP 和 MySQL 开发的男士美发沙龙管理系统,系统功能涵盖发型师管理、预约管理、订单处理等,旨在提升沙龙运营效率。 CVE安全漏洞共享平
继续阅读EnGenius usbinteract.cgi 未授权远程命令执行
EnGenius usbinteract.cgi 未授权远程命令执行 Superhero Nday Poc 2025-04-24 02:23 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 EnGenius
继续阅读Spring漏洞扫描工具,springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证
Spring漏洞扫描工具,springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证 黑白之道 2025-04-24 01:55 一、工具概述 SBSCAN是一款专注于spring框架的渗透测试工具,可以对指定站点进行springboot未授权扫描/敏感信息扫描以及进行spring相关漏洞的扫描与验证。 – 最全的敏感路径字典 :最全的springboot站点
继续阅读【安全研究】若依4.8.0版本计划任务RCE研究
【安全研究】若依4.8.0版本计划任务RCE研究 原创 r0ser1 PokerSec 2025-04-24 01:00 痛苦的时刻,就是真相大白的时刻。只有接受现实,才能做出有意义的改变。 ——《纳瓦尔宝典》 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该
继续阅读渗透测试 | 实战swagger框架漏洞
渗透测试 | 实战swagger框架漏洞 原创 神农Sec 神农Sec 2025-04-24 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 0x1 加密的Swagger 首先一般大家分享Swa
继续阅读自动化JS提取与漏洞检测工具 – JSSS-Find
自动化JS提取与漏洞检测工具 – JSSS-Find kk12-30 安全洞察知识图谱 2025-04-24 00:30 免责声明 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全洞察知识图谱及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 1详细介绍 JSSS-Find 是一款用
继续阅读渗透测试实战:FastJSON漏洞如何在黑盒场景中精准触发?
渗透测试实战:FastJSON漏洞如何在黑盒场景中精准触发? 原创 火力猫 季升安全 2025-04-24 00:15 🧨 FastJSON 渗透实战指南 1️⃣ 什么是 FastJSON? FastJSON 是阿里巴巴开源的一款高性能 Java JSON 解析库,用于将 JSON 字符串转换为 Java 对象,或将 Java 对象序列化为 JSON。 👉 开发者最常用的方法 : Object o
继续阅读漏洞预警 | WordPress Plugin Google for WooCommerce信息泄露漏洞
漏洞预警 | WordPress Plugin Google for WooCommerce信息泄露漏洞 浅安 浅安安全 2025-04-24 00:00 0x00 漏洞编号 – # CVE-2024-10486 0x01 危险等级 – 中危 0x02 漏洞概述 Google for WooCommerce是一款WordPress插件,能将WooCommerce商店与Goo
继续阅读Windows CVE-2025-24054 漏洞解析:下载即泄 NTLM 哈希,Pass-the-Hash 风险剧增!
Windows CVE-2025-24054 漏洞解析:下载即泄 NTLM 哈希,Pass-the-Hash 风险剧增! 原创 Hankzheng 技术修道场 2025-04-23 23:59 美国网络安全与基础设施安全局 (CISA) 近日将 Windows NTLM 漏洞 CVE-2025-24054 (CVSS 6.5) 加入其“已知被利用漏洞 (KEV)”清单,证实该漏洞正在野外被积极利
继续阅读网络安全漏洞态势报告
网络安全漏洞态势报告 计算机与网络安全 2025-04-23 23:57 网络安全资料列表: https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ 了解会员及下载 公众号回复 下载 主题(目录) 网络安全综合 信息化、数字化、数智化 低空经济 出海/跨境 智能机器人 新能源汽车 数据安全 新质生产力 大数据 数据中心 政务 金融 医疗 教育 个人信息保护 电信/通信(
继续阅读HFS2.3远程代码执行(CVE-2024-23692 )漏洞
HFS2.3远程代码执行(CVE-2024-23692 )漏洞 渗透测试研究中心 2025-04-23 23:01 免则声明:本公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权转载和其他公众号白名单转载,如需转载,联系作者开白。 文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
继续阅读