美国国土安全部终止资助,CVE漏洞数据库面临停摆危机;|有部分群众反映收到了领取“五险一金补贴”的通知;
美国国土安全部终止资助,CVE漏洞数据库面临停摆危机;|有部分群众反映收到了领取“五险一金补贴”的通知; 黑白之道 2025-04-17 02:11 美国国土安全部终止资助,CVE漏洞数据库面临停摆危机; 美国非营利研发组织MITRE宣布,其与美国国土安全部(DHS)签订的”通用漏洞披露(CVE)”数据库维护合同将于2025年4月16日午夜到期。这个运行25年的项目作为网络
继续阅读标签: vx
漏洞预警| Windows任务计划程序漏洞可避开UAC执行高权限命令
漏洞预警| Windows任务计划程序漏洞可避开UAC执行高权限命令 SecHub网络安全社区 2025-04-17 01:43 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件
继续阅读专家发现 Windows 任务计划程序中存在四个新的权限提升漏洞
专家发现 Windows 任务计划程序中存在四个新的权限提升漏洞 会杀毒的单反狗 军哥网络安全读报 2025-04-17 01:00 导读 网络安全研究人员详细介绍了 Windows任务调度服务核心组件中的四个不同漏洞,本地攻击者可以利用这些漏洞实现权限提升并擦除日志以掩盖恶意活动的证据。 漏洞出在名为“ schtasks.exe ”的二进制文件中,该程序允许管理员在本地或远程计算机上创建、删除、
继续阅读苹果称新发现的0day漏洞针对使用 iOS 的“特定目标个人”
苹果称新发现的0day漏洞针对使用 iOS 的“特定目标个人” 会杀毒的单反狗 军哥网络安全读报 2025-04-17 01:00 导读 苹果公司在其产品线中发布了新的软件更新,以修复两个安全漏洞。该公司表示,这两个漏洞可能已被积极利用,以攻击特定的苹果用户。 苹果公司在其网站上发布的安全公告中确认已修复这两个 0day 漏洞,这些漏洞“可能被利用来针对 iOS 上的特定目标个人发起极其复杂的攻击
继续阅读一张图拆解:CVE漏洞的旅程
一张图拆解:CVE漏洞的旅程 哆啦安全 2025-04-17 00:55 近日,CVE要被终止资助而引起了热议。甚至有人这样描述“全球所有行业都依赖CVE计划在管理威胁时保持生存,因此像这样的突然停顿就像剥夺了网络安全行业的氧气,还指望它能自发长出腮部一样。” All industries worldwide depend on the CVE program to keep their head
继续阅读一文看懂 Java 命令执行的源码审计与防御
一文看懂 Java 命令执行的源码审计与防御 原创 火力猫 季升安全 2025-04-17 00:30 ☠️ Java 命令执行全景式源码审计指南 本文围绕 Java 程序中可能存在的命令执行方式进行深入挖掘与分析,不局限于常规 Runtime.getRuntime() 与 ProcessBuilder ,剖析更多隐蔽的命令执行点,助你在审计与渗透中快速识别可控点。 🎯 为什么不仅仅是 Runt
继续阅读美国国土安全部终止资助,CVE漏洞数据库面临停摆危机
美国国土安全部终止资助,CVE漏洞数据库面临停摆危机 乌雲安全 2025-04-17 00:30 美国非营利研发组织MITRE宣布,其与美国国土安全部(DHS)签订的”通用漏洞披露(CVE)”数据库维护合同将于2025年4月16日午夜到期。这个运行25年的项目作为网络安全防御体系的核心支柱,因DHS未说明具体原因拒绝续约而面临终止。 MITRE国土安全中心主任Yosry B
继续阅读CVE编号在招手!23个JS漏洞挖掘技巧!
CVE编号在招手!23个JS漏洞挖掘技巧! 原创 牛叫瘦 HACK之道 2025-04-17 00:03 随着Web应用与Node.js的爆发式增长,JavaScript已成为现代数字生态的核心语言,其安全边界直接关系着数十亿用户的数据安全。XSS跨站脚本、原型链污染、SSRF服务端请求伪造等漏洞的持续涌现,不断暴露着动态语言特性与复杂依赖带来的安全隐患。攻击者利用JS弱类型、原型继承等特性构造的
继续阅读漏洞预警 | UNA CMS PHP对象注入漏洞
漏洞预警 | UNA CMS PHP对象注入漏洞 浅安 浅安安全 2025-04-17 00:00 0x00 漏洞编号 – # CVE-2025-32101 0x01 危险等级 – 高危 0x02 漏洞概述 UNA CMS是一款基于PHP和MySQL的开源内容管理系统。 0x03 漏洞详情 CVE-2025-32101 漏洞类型: 对象注入 影响: 任意文件访问或修改、信息
继续阅读MCP TPA漏洞复现,及Deepseek的诡异表现
MCP TPA漏洞复现,及Deepseek的诡异表现 原创 孙志敏 AI与安全 2025-04-17 00:00 Invariant Labs在模型上下文协议 (MCP) 中发现了一个严重漏洞,该漏洞允许“工具中毒攻击”(Tool Poisoning Attacks)。许多主要提供商(例如 Anthropic 和 OpenAI)、工作流自动化系统(例如 Zapier)和 MCP 客户端(例如 Cu
继续阅读Nashorn:潜伏在Java中的JavaScript命令执行后门
Nashorn:潜伏在Java中的JavaScript命令执行后门 原创 火力猫 季升安全 2025-04-16 16:17 ☢️ Java 类对象的 JavaScript 引擎 —— Nashorn 🧠 什么是 Nashorn? Nashorn 是 Oracle 在 Java 8 引入的 JavaScript 引擎,用于在 Java 应用中嵌入执行 JavaScript 代码。它支持调用 Ja
继续阅读集结社区之力,助力客户应急不明1day漏洞的PoC验证
集结社区之力,助力客户应急不明1day漏洞的PoC验证 斗象科技 2025-04-16 16:08 没有PoC验证报告,整改就像蒙眼拆弹, 要么误伤业务,要么坐等处罚。 某金融机构突然收到上级监管部门的红色预警通知: “监测到系统存在某高危漏洞风险,需48小时内提交修复证明及漏洞验证报告。” 通知仅模糊提及“某组件高危漏洞”,无CVE编号、无攻击样本、无公开分析报告。安全总监李明攥着这份“三无”整
继续阅读以后是不是0day更多了?由于美国资金不确定性CVE项目面临中断
以后是不是0day更多了?由于美国资金不确定性CVE项目面临中断 祺印说信安 2025-04-16 16:01 非营利性 MITRE 公司表示,美国政府资金的不确定性可能会导致通用漏洞和暴露 (CVE) 计划的中断和“恶化”。在给 CVE 董事会的一封信中,MITRE 国土安全中心副总裁兼主任 Yosry Barsoum 表示,与美国政府签订的管理该项目的合同将于 4 月 16 日到期,目前还没有
继续阅读综合后渗透工具e0e1-config|漏洞探测
综合后渗透工具e0e1-config|漏洞探测 eeeeeeeeee-code 渗透安全HackTwo 2025-04-16 16:01 0x01 工具介绍 e0e1-config 是一款后渗透工具,主要用于提取浏览器、数据库连接、远程桌面工具等的敏感信息。它支持提取 Firefox 和 Chromium 内核浏览器的浏览记录、下载记录、书签、cookie 和用户密码,同时可以获取 Windows
继续阅读Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)
Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727) 柠檬赏金猎人 2025-04-16 15:10 概述 CVE-2025-30727 是一个高危漏洞,存在于 Oracle E-Business Suite 的 Oracle Scripting 产品(iSurvey 模块)。攻击者可通过 HTTP 访问利用此漏洞,未经认证即可完全控制受影响系统,可能导致
继续阅读全球网络安全警报!CVE漏洞数据库停摆危机,美国为何自毁长城?
全球网络安全警报!CVE漏洞数据库停摆危机,美国为何自毁长城? 原创 道玄安全 道玄网安驿站 2025-04-16 14:34 “ 以后要用国产CVE了。” 01 — 导语 2025年4月16日,全球网络安全领域迎来“地震级”事件——美国国土安全部(DHS)终止对“通用漏洞披露”(CVE)项目的资金支持。这一运行25年的漏洞管理核心体系面临停摆危机,MITRE公司宣布停止更新漏洞数据库。全球安全
继续阅读【成功复现】Ingress NGINX Controller远程代码执行漏洞(CVE-2025-1974)
【成功复现】Ingress NGINX Controller远程代码执行漏洞(CVE-2025-1974) 原创 弥天安全实验室 弥天安全实验室 2025-04-16 14:04 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍Kubernetes ingress-nginx是云原生计算基金会(Cloud N
继续阅读啥情况?!想让CVE董事会成员意识到一个重要的潜在问题?!震惊全球最大漏洞库出现危机?!
啥情况?!想让CVE董事会成员意识到一个重要的潜在问题?!震惊全球最大漏洞库出现危机?! 原创 梅苑 梅苑安全 2025-04-16 13:38 尊敬的 CVE董事会成员: 我们想让您意识到一个重要的潜在问题,与 MITRE 的持久支持 CVE。 2025年4月16日(星期三),MITRE开发、运营和现代化CVE及其他几个相关项目(如CWE)的当前合同途径将到期。政府继续作出相当大的努力,继续发挥
继续阅读【Python代码审计】佰阅发卡存在前台RCE漏洞
【Python代码审计】佰阅发卡存在前台RCE漏洞 原创 ReversingByte 星悦安全 2025-04-16 13:09 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 █ 该文章来自零日防线社区版主 Reversing_Byte 投稿 █ 适用于各种电商、优惠卷、论坛邀请码、充值卡、激活码、注册码、腾讯爱奇艺积分CDK等,支持手工和全自动发货,分层批发模式。 :lollip
继续阅读网站安全”扫描利器”:掌握Gobuster,一键发现隐藏漏洞
网站安全”扫描利器”:掌握Gobuster,一键发现隐藏漏洞 原创 VlangCN HW安全之路 2025-04-16 12:16 在网络安全领域,网站表面看到的内容只是冰山一角。今天,我们来聊聊如何使用一款强大的开源工具——Gobuster,来扫描网站的潜在漏洞,并学习如何防范此类攻击。 为什么需要主动扫描? 当攻击者对网站发起攻击时,他们的第一步通常是寻找URL列表和子
继续阅读Apache Roller 未经授权的访问漏洞
Apache Roller 未经授权的访问漏洞 网安百色 2025-04-16 11:37 点击上方 蓝字 关注我们吧~ 在 Apache Roller 中发现了一个严重的安全漏洞,允许攻击者在更改密码后保持对博客系统的未经授权的访问。 漏洞 CVE-2025-24859 已获得 CVSS v4 的最高评分 10,表明受影响的系统面临严重风险。 该安全漏洞源于 Apache Roller 版本 1
继续阅读深入解析 URL 跳转漏洞:审计方法与渗透实战全攻略
深入解析 URL 跳转漏洞:审计方法与渗透实战全攻略 原创 火力猫 季升安全 2025-04-16 11:30 🔍 URL跳转漏洞审计与渗透分析手册 🧠 一、漏洞原理概述 URL跳转漏洞 发生在服务端根据用户可控输入进行跳转,却未对跳转目标地址进行有效验证 。 🔗 典型攻击场景: https://example.com/go?url=https://evil.com 若后端直接使用: respo
继续阅读Gladinet漏洞CVE-2025-30406遭在野利用
Gladinet漏洞CVE-2025-30406遭在野利用 鹏鹏同学 黑猫安全 2025-04-16 11:21 紧急安全通告 网络安全公司Huntress发出警告,Gladinet旗下CentreStack和Triofox软件中存在的关键反序列化漏洞(CVE-2025-30406,CVSS 9.0分)正被黑客组织大规模利用。该漏洞源于系统使用硬编码的machineKey值,攻击者可借此实现远程代
继续阅读【漏洞预警】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)
【漏洞预警】Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727) 原创 聚焦网络安全情报 安全聚 2025-04-16 11:01 严 重 公 告 近日,安全聚实验室监测到 Oracle E-Business Suite 存在远程代码执行漏洞 ,编号为:CVE-2025-30727,CVSS:9.8 未经身份验证的攻击者通过 该漏洞执行任意代码,成功攻击
继续阅读【漏洞预警】Oracle 2025年4月补丁日多个安全漏洞
【漏洞预警】Oracle 2025年4月补丁日多个安全漏洞 cexlife 飓风网络安全 2025-04-16 10:22 漏洞描述: Oracle发布2025年4月关键安全补丁集合更新CPU(Critical Patch Update),这是针对多个安全漏洞的补丁集合,涵盖了众多Oracle产品及其中包含的第三方组件,此次更新包含378个新安全补丁,涉及众多产品家族,如数据库、中间件、各种企业管
继续阅读【漏洞预警】Argo Events权限管理不当漏洞
【漏洞预警】Argo Events权限管理不当漏洞 cexlife 飓风网络安全 2025-04-16 10:22 漏洞描述: Kubernetes的事件驱动工作流自动化框架Argo Events中存在一个权限管理不当漏洞,该漏洞源于Argo Events对EventSource和Sensor自定义资源的处理方式不正确,攻击者可通过创建或修改某些资源获得对主机系统和集群的特权访问,并通过定制spe
继续阅读WordPress前台管理员账户创建漏洞(CVE-2025-3102)POC及一键部署环境
WordPress前台管理员账户创建漏洞(CVE-2025-3102)POC及一键部署环境 原创 a1batr0ss 天翁安全 2025-04-16 10:15 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书
继续阅读【漏洞处置SOP】FasterXML jackson-databind 信息泄露漏洞(CVE-2019-14439)
【漏洞处置SOP】FasterXML jackson-databind 信息泄露漏洞(CVE-2019-14439) 原创 Eason 方桥安全漏洞防治中心 2025-04-16 10:01 01 SOP基本信息 SOP名称: CVE-2019-14439|FasterXML jackson-databind 信息泄露漏洞处置标准作业程序(SOP) 版本: 1.0 发布日期: 2024-08-22
继续阅读入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第三十一期
入选作品公布|安钥®「漏洞处置标准作业程序(SOP)」征文第三十一期 原创 安钥 方桥安全漏洞防治中心 2025-04-16 10:01 2025年4月2日发布的安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第13期,总第31期] 活动现已结束。经过初评和复审,本次共有 3 篇 SOP 入选 。 入选SOP作品 结构清晰、 内容翔实、实用性强,有较高的借鉴意义,体现了作者在漏
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第15期,总第33期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第15期,总第33期] 原创 安钥 方桥安全漏洞防治中心 2025-04-16 10:01 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读