白宫平面图等敏感信息泄露,特朗普政府又一次曝出安全漏洞
白宫平面图等敏感信息泄露,特朗普政府又一次曝出安全漏洞 赛博研究院 赛博研究院 2025-04-21 09:14 日前,《华盛顿邮报》查阅的内部记录显示,美国政府一机构因管理漏洞,导致敏感文件被不当共享。据悉,文件包括可能属于机密的白宫平面图、白宫游客中心拟建防爆门的详细信息,以及协助特朗普政府新闻发布会的供应商银行账户信息。 报道称,美国总务管理局(GSA)的职业雇员被指对此次事件负有责任。记录
继续阅读标签: vx
SpEL 漏洞渗透测试实战:全网最全姿势集合!
SpEL 漏洞渗透测试实战:全网最全姿势集合! 原创 火力猫 季升安全 2025-04-21 08:52 🔍 SpEL 黑盒探测不止靠 1+1,还可以这样搞! 提到 SpEL 注入,很多人黑盒测试的第一反应就是试试 1+1 看看会不会变成 2 。但真正在实战中,SpEL 的“藏身之处”远不止那么简单!它可能伪装在表达式参数、权限注解、规则引擎,甚至是配置文件中。 本文将带你深入挖掘黑盒测试中如何
继续阅读【星闻周报】TP-Link存在严重漏洞,Wi-Fi 凭据面临泄露风险
【星闻周报】TP-Link存在严重漏洞,Wi-Fi 凭据面临泄露风险 星河君 星河安全 2025-04-21 06:45 星闻周报 每周安全资讯全知道 周报速览 TP-Link存在严重漏洞,Wi-Fi 凭据面临泄露风险 超1.4万台Fortinet设备长期被黑客入侵,约1100台位于中国 苹果紧急修复两枚被用于定向攻击iPhone的零日漏洞 政策要闻:工信部办公厅关于组织开展2025年工业互联网一
继续阅读价值$10,000的PS5内核漏洞!TheFlow再曝索尼系统级缺陷
价值$10,000的PS5内核漏洞!TheFlow再曝索尼系统级缺陷 原创 骨哥说事 骨哥说事 2025-04-21 06:37 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4186 **不想错过任何消息?
继续阅读安全动态回顾|国家计算机病毒应急处理中心监测发现13款违规移动应用 SonicWall SMA设备存在被积极利用的漏洞
安全动态回顾|国家计算机病毒应急处理中心监测发现13款违规移动应用 SonicWall SMA设备存在被积极利用的漏洞 胡金鱼 嘶吼专业版 2025-04-21 06:00 2025.4.7—4.13安全动态周回顾 2025.3.31—4.6安全动态周回顾 2025.3.24—3.30安全动态周回顾 2025.3.17—3.23安全动态周回顾 2025.3.10—3.16安全动态周回顾 2025.
继续阅读CVE-2025-22457:基于堆栈的远程缓冲区溢出的POC验证脚本
CVE-2025-22457:基于堆栈的远程缓冲区溢出的POC验证脚本 原创 z1 Z1sec 2025-04-21 05:19 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! CVE-2025-22457介绍: 基于堆栈的远程缓
继续阅读WordPress wpdm-premium-packages SQL注入漏洞(CVE-2025-24659)
WordPress wpdm-premium-packages SQL注入漏洞(CVE-2025-24659) 船山信安 2025-04-21 05:00 插件介绍: Premium Packages 是一款免费的全功能 WordPress 电子商务插件,可轻松销售数字产品。 漏洞描述: Premium Packages – Sell Digital Products Securely
继续阅读严重 PyTorch 漏洞 CVE-2025-32434 允许远程代码执行
严重 PyTorch 漏洞 CVE-2025-32434 允许远程代码执行 独眼情报 2025-04-21 04:27 PyTorch 是目前最受欢迎的深度学习框架之一,如今被发现存在一个严重漏洞。安全研究员周吉安发现,PyTorch 中最受开发人员信赖的函数之一存在一个严重远程命令执行 (RCE) 漏洞,即使已进行安全配置,该函数也用于安全加载模型。 该漏洞编号为 CVE-2025-32434,
继续阅读MRCMS(蘑菇建站)跨站脚本漏洞及解决方法(CNVD-2025-05252、CVE-2025-2195)
MRCMS(蘑菇建站)跨站脚本漏洞及解决方法(CNVD-2025-05252、CVE-2025-2195) 原创 护卫神 护卫神说安全 2025-04-21 03:40 MRCMS(蘑菇建站)是一款基于Java开发的开源内容管理系统,专为中小型网站设计。它支持跨平台运行,功能完善,易于部署和扩展。MRCMS通过数据模型、模板和插件实现灵活定制,满足企业官网、个人博客、行业门户等多样化需求。其遵循G
继续阅读【工具分享】ruoyi-Vue-tools-若依Vue漏洞检测工具v4更新
【工具分享】ruoyi-Vue-tools-若依Vue漏洞检测工具v4更新 秀龙叔 黑客之道HackerWay 2025-04-21 03:30 简介: 若依Vue漏洞检测工具,v3新增敏感信息提取功能,v4支持定义基础前缀接口路径。 公众号回复“ 1638 ”获取下载链接 用您发财的小手点个赞鼓励一下吧❥(^_-) 关注公众号便于更好的为您分享(#^.^#) 免责声明 本公众号“黑客之道Hack
继续阅读Kubernetes CVE-2025-1974 RCE
Kubernetes CVE-2025-1974 RCE TtTeam 2025-04-21 03:29 Kubernetes 中发现了一个安全问题。在某些情况下,未经身份验证且能够访问 Pod 网络的攻击者可以在 ingress-nginx 控制器上下文中执行任意代码。这可能导致控制器可访问的 Secret 信息泄露。(请注意,在默认安装中,控制器可以访问集群范围内的所有 Secret。) 此问
继续阅读DC-1,一台和蔼可亲的靶机。Drupal7,msfcve-2018-7600漏洞利用,隧道建立,SUID提权
DC-1,一台和蔼可亲的靶机。Drupal7,msfcve-2018-7600漏洞利用,隧道建立,SUID提权 原创 泷羽Sec-朝阳 泷羽Sec-朝阳 2025-04-21 03:11 一、信息收集 1、主机探测 arp-scan -l 探测同网段 2、端口扫描 nmap -sS -sV 192.168.66.136 这里三个端口,有个ssh可能会爆出来,80端口访问,先后台扫描目录 3、目录扫
继续阅读WinRAR安全漏洞可绕过Windows安全警告 执行恶意软件
WinRAR安全漏洞可绕过Windows安全警告 执行恶意软件 国家网络安全通报中心 2025-04-21 02:49 近日,日本安全团队 CSIRT揭露了WinRAR中的一项安全漏洞,该漏洞能够绕过微软Windows的Mark of the Web(MoTW)安全机制,使得用户在不知情的情况下,有可能执行来自网络的恶意程序,造成严重安全风险,该漏洞被编号CVE-2025-31334。 一、基本情
继续阅读漏洞预警 西部数据 NAS ftp_download.php 命令执行漏洞
漏洞预警 西部数据 NAS ftp_download.php 命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-21 02:38 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和
继续阅读苹果紧急修复两个“极其复杂”的高危零日漏洞
苹果紧急修复两个“极其复杂”的高危零日漏洞 汇能云安全 2025-04-21 01:46 4月21日,星期一,您好!中科汇能与您分享信息安全快讯: 01 Linux中国开源社区官网正式关闭 因为Linux.cn域名因未知原因被冻结 运营超过二十年的Linux中国开源社区(linux.cn)官方网站近日宣告关闭。2025年3月20日起,其主域名被注册商设置为”clientHoldR
继续阅读搭载AiCloud功能的华硕(ASUS)路由器存在身份验证绕过漏洞
搭载AiCloud功能的华硕(ASUS)路由器存在身份验证绕过漏洞 鹏鹏同学 黑猫安全 2025-04-21 01:16 华硕(ASUS)发布安全警告称,其搭载AiCloud功能的路由器存在身份验证绕过漏洞(编号CVE-2025-2492,CVSS v4评分9.2)。远程攻击者可通过构造特殊请求触发该漏洞,在未授权情况下执行设备功能。 华硕产品安全公告指出,”部分华硕路由器固件存在认证
继续阅读0036. 我是如何发现一个关键的商店 XSS 漏洞并获得 2,000 美元赏金的——我的挣扎、失败和突破
0036. 我是如何发现一个关键的商店 XSS 漏洞并获得 2,000 美元赏金的——我的挣扎、失败和突破 TheIndianNetwork Rsec 2025-04-21 01:02 本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。 声明:本文搬运自互联网,如你是原作者,请联系我们! 标签:XSS 介绍: 发现漏洞总能让人感到无比满足,尤其是当它可能是危及数百万用户的漏洞时。当你因
继续阅读分享某EDUSRC漏洞挖掘复盘
分享某EDUSRC漏洞挖掘复盘 原创 神农Sec 神农Sec 2025-04-21 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 0x1 信息收集 首先我们先确定下目标资产,某某大学站点。 然
继续阅读必备安全工具:推荐一款高效的漏洞扫描工具
必备安全工具:推荐一款高效的漏洞扫描工具 原创 ralap 网络个人修炼 2025-04-21 01:00 又发现一个好用的工具Nuclei,Nuclei是一个强大的开源工具,它基于模板执行漏洞扫描,帮助用户快速识别系统中的安全隐患。本文将详细介绍如何在Windows操作系统上安装并配置Nuclei。 1.安装Go语言环境 由于Nuclei是用Go语言编写的,因此首先需要安装Go语言环境。截至20
继续阅读漏洞赏金实战案例分享
漏洞赏金实战案例分享 xazlsec 信安之路 2025-04-21 00:50 粉丝福利价,仅需 9.9 即可参与两天训练营!扫码加入!
继续阅读【PHP代审】星河留言板存在前台任意文件上传RCE
【PHP代审】星河留言板存在前台任意文件上传RCE 原创 菜狗安全 菜狗安全 2025-04-21 00:00 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由 使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 文章目录 介绍 漏洞分析 漏洞复现 最
继续阅读云对象存储桶写漏洞?模型和数据被投毒、机器沦陷?- AI & 云安全
云对象存储桶写漏洞?模型和数据被投毒、机器沦陷?- AI & 云安全 原创 lufeisec lufeisec 2025-04-21 00:00 一、前言 随着云计算的兴起,私有云也逐渐成为企业数字化转型的重要选择之一。然而,无论是公有云还是私有云,在建设过程中都曾爆出过许多安全漏洞。今天,我们就来聊一聊最近爆出的私有云的对象存储系统的漏洞(可以导致任意覆盖写桶里面的文件)以及这个漏洞在A
继续阅读漏洞预警 | 汉塔科技上网行为管理系统命令注入漏洞
漏洞预警 | 汉塔科技上网行为管理系统命令注入漏洞 浅安 浅安安全 2025-04-21 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 上海汉塔网络科技有限公司专注于网络应用软件开发,特别是在网络安全、网络协议分析和网络数据流控制等领域,积累了丰富的经验和技术实力。 0x03 漏洞详情 漏洞类型: 远程代码执行 影响: 执行
继续阅读漏洞预警 | 神州讯盟芯管家SQL注入漏洞
漏洞预警 | 神州讯盟芯管家SQL注入漏洞 浅安 浅安安全 2025-04-21 00:00 0x00 漏洞编号 – 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 神州讯盟芯管家是深圳神州讯盟软件有限公司专门针对电子元器件行业特点和业务流程研发的管理软件,具有智能分配、大数据匹配报价等功能,有多种版本以满足不同企业需求。 0x03 漏洞详情 漏洞类型: SQL注入
继续阅读新的Windows NTLM漏洞被利用进行攻击
新的Windows NTLM漏洞被利用进行攻击 祺印说信安 2025-04-20 22:38 Check Point 警告称,Windows NTLM 漏洞的利用始于上个月补丁发布后大约一周。该漏洞编号为 CVE-2025-24054(CVSS 评分为 6.5),并于2025 年 3 月补丁星期二得到解决,该中等严重性漏洞可能允许 NTLM 哈希泄露,从而使攻击者能够通过网络执行欺骗攻击。根据微软
继续阅读Bottle 框架漏洞攻防实录:从原型链污染到 Flag 获取的完整渗透路径
Bottle 框架漏洞攻防实录:从原型链污染到 Flag 获取的完整渗透路径 原创 零漏安全 零漏安全 2025-04-20 19:05 当 Web 应用暗藏原型链污染漏洞,当环境变量成为关键突破口,安全研究员如何抽丝剥茧、突破层层防护? (题目来源于NCTF的EZ_DASH) 源码 ”’ Hints: Flag在环境变量中 ”’ from typing import Optional imp
继续阅读UNACMS PHP对象注入漏洞(CVE-2025-32101)
UNACMS PHP对象注入漏洞(CVE-2025-32101) Superhero Nday Poc 2025-04-20 17:34 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 该漏洞位于 /temp
继续阅读CentreStack 反序列化漏洞 (CVE-2025-30406)
CentreStack 反序列化漏洞 (CVE-2025-30406) Superhero Nday Poc 2025-04-20 16:02 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 该应用程序在 I
继续阅读OpenAI 现向安全研究人员支付了 10 万美元以修补关键漏洞
OpenAI 现向安全研究人员支付了 10 万美元以修补关键漏洞 Rhinoer 犀牛安全 2025-04-20 16:00 人工智能公司 OpenAI 宣布,针对“特殊且有差异化”的严重安全漏洞的最高漏洞赏金将提高五倍,从 20,000 美元提高至 100,000 美元。 OpenAI 表示,每周全球有 4 亿用户在企业、公司和政府中使用其服务和平台。 该公司表示:“我们将大幅提高特殊和差异化关
继续阅读三星-WLAN-AP-WEA453e路由器-远程命令执行漏洞
三星-WLAN-AP-WEA453e路由器-远程命令执行漏洞 骇客安全 2025-04-20 16:00
继续阅读