超过12000个KerioControl防火墙暴露于被利用的RCE漏洞
超过12000个KerioControl防火墙暴露于被利用的RCE漏洞 胡金鱼 嘶吼专业版 2025-02-20 06:01 KerioControl是一款面向中小企业的网络安全套件,主要用于vpn、带宽管理、报表监控、流量过滤、反病毒防护、入侵防御等。安全研究员发现, 超过12000个GFI KerioControl防火墙实例暴露于一个关键的远程代码执行漏洞,跟踪为CVE-2024-52875。
继续阅读标签: XSS
.NET 通过代码审计发现某 OA 系统全局性权限访问绕过漏洞
.NET 通过代码审计发现某 OA 系统全局性权限访问绕过漏洞 原创 专攻.NET安全的 dotNet安全矩阵 2025-02-20 00:28 在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项全局绕过漏洞的发现引起了广泛关注。该漏洞源自 两个组件的协同作用,攻击者只需构造一个特定的URL请求,便能实现对任意接口的未授权访问。 01. OA系统漏洞背景 某和OA协同办
继续阅读信息安全漏洞周报(2025年第7期)
信息安全漏洞周报(2025年第7期) 原创 CNNVD CNNVD安全动态 2025-02-19 06:26 点击蓝字 关注我们 漏洞情况** 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年2月10日至2025年2月16日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞945个。 接报漏洞情况 本周CNNVD接报漏洞7117个,其中信息技术产品漏洞(通用型漏洞)381个,
继续阅读JAVA代审-publiccms_V4_2024_6
JAVA代审-publiccms_V4_2024_6 原创 C@ig0 菜狗安全 2025-02-19 02:13 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 前言 本篇文章首发在先知社区,作者C@i
继续阅读快排CMS-后台XSS漏洞
快排CMS-后台XSS漏洞 原创 骇客安全 骇客安全 2025-02-18 18:00 漏洞描述 快排CMS 后台存在XSS漏洞,通过后台构造特殊语句可以造成访问网站的用户被XSS影响 漏洞影响 快排 CMS <= 1.2 环境搭建 https://gitee.com/qingzhanwang/kpcms 漏洞复现 漏洞出现在登录后台的网站编辑的位置,由于没有对输出的字符进行过滤,导致XSS
继续阅读无休止的漏洞:macOS 漏洞被利用九次
无休止的漏洞:macOS 漏洞被利用九次 Ots安全 2025-02-18 12:12 这是我在OBTS v7.0会议上的演讲的博客文章。幻灯片已上传到这里。 苹果必须发布多少个补丁才能真正修复漏洞?答案是“随风飘荡”。🙈 我在 macOS 的PackageKit框架中发现了一个有趣的逻辑漏洞,该漏洞允许将权限提升到root,绕过透明度同意和控制(TCC),以及绕过系统完整性保护(SIP)。 很难
继续阅读【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?
【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些? 原创 醉墨离 泷羽Sec-醉陌离 2025-02-18 09:29 🌟【渗透测试Top10漏洞详解·萌新友好版(上)】黑客最爱的5大漏洞竟是这些?🔐 刚入门网络安全?别慌!用点外卖都能看懂的比喻,带你轻松掌握高危漏洞原理!(文末送新手工具包) 🍔 Top1 注入攻击:像篡改外卖订单的”加料黑客”
继续阅读Go语言ssti漏洞
Go语言ssti漏洞 船山信安 2025-02-17 16:00 简介 SSTI 漏洞是一种通过不安全地处理模板引擎输入而导致的漏洞。攻击者利用 SSTI 漏洞,可以注入恶意代码或表达式到模板引擎中,从而在服务器上执行任意代码,或获取敏感数据。Go中常用的模板引擎如 html/template 和 text/template ,如果使用不当,可能会导致 SSTI 漏洞。 Go中的模板引擎 Go语
继续阅读上周关注度较高的产品安全漏洞(20250210-20250216)
上周关注度较高的产品安全漏洞(20250210-20250216) 原创 CNVD CNVD漏洞平台 2025-02-17 10:16 一、境外厂商产品漏洞 1、Hitachi Energy RTU500 series CMU Firmware跨站脚本漏洞**** RTU500是日本日立制作所(Hitachi)公司的一系列工控组件,主要用于工业控制系统。Hitachi Energy RTU500
继续阅读每周网安资讯 (2.11-2.17)|Jsish存在跨界内存写漏洞
每周网安资讯 (2.11-2.17)|Jsish存在跨界内存写漏洞 交大捷普 2025-02-17 10:14 2024[ 每周网安资讯 ]2.11-2.17 网安资讯 1、市场监管总局公开征求《标准数字化标准体系建设指南 (征求意见稿)》意见 为深入贯彻落实党中央、国务院关于推动标准化工作向数字化、网络化、智能化转型的决策部署,实施《国家标准化发展纲要》和《质量强国建设纲要》,充分发挥标准的基础
继续阅读04 漏洞从哪里来?——认知局限
04 漏洞从哪里来?——认知局限 原创 Richard 方桥安全漏洞防治中心 2025-02-17 09:01 软件安全漏洞的根源不仅是技术缺陷,更是人类认知局限的后果 。 复杂的多层架构(如Log4j2漏洞)和滞后的技术认知(如HTTP明文传输)进一步扩大了攻击面。 开发人员 缺乏安全编码训练(如输入验证不足)、 管理者 业务优先级偏差(如安全投入不足)以及 认知盲区的叠加, 正是 安全漏洞 的
继续阅读Android-Webview中的漏洞利用总结
Android-Webview中的漏洞利用总结 NEURON SAINTSEC 2025-02-17 02:00 什么是 WebView? Android内置webkit内核的高性能浏览器,而WebView则是在这个基础上进行封装后的一个 控件, WebView直译网页视图,我们可以简单的看作一个可以嵌套到界面上的一个浏览器控件。 也就是说,我们可以直接在app中拉起一个网页,这样方便快捷,同时也
继续阅读软件供应链攻击:一次价值50,500美元的重大漏洞发现
软件供应链攻击:一次价值50,500美元的重大漏洞发现 原创 安全小白团译文 安全小白团 2025-02-17 00:31 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 引言 安全小白团 2021 年,我还在进攻性安全领域的早期阶段。虽然我已经成功入侵了几家公司,并通过漏洞赏金狩猎(Bug Bounty Hunting)
继续阅读逻辑漏洞挖掘思路与总结
逻辑漏洞挖掘思路与总结 计算机与网络安全 2025-02-16 23:57 资料列表: https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ 逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞,在实际开发中,因为开发者水平不一,没有安全意识,而且业务发展迅速,内部测试没有及时到位,所以常常会出现类似的漏洞,导致攻击者可以修改、绕过或者中断整个程序,让程序按
继续阅读DeepSeek代码审计技术解析:从模型革新到漏洞挖掘实战
DeepSeek代码审计技术解析:从模型革新到漏洞挖掘实战 原创 悟剑堂-千里 东方隐侠安全团队 2025-02-16 16:11 隐侠们的日常:关心武林 蛇 年新春前后,隐侠关注到DeepSeek名声大噪, 低成本AI模型的崛起 时代正式到来。 2025年初,中国AI企业深度求索(DeepSeek)凭借开源模型DeepSeek-V3 和DeepSeek-R1 引发全球关注。其模型以仅OpenAI
继续阅读通过供应链发起的RCE攻击
通过供应链发起的RCE攻击 迪哥讲事 2025-02-15 21:31 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/3936 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 依赖项混乱是一种软件供应链漏洞,
继续阅读03 漏洞从哪里来?——编程习惯
03 漏洞从哪里来?——编程习惯 原创 Richard 方桥安全漏洞防治中心 2025-02-15 06:19 代码质量直接决定系统安全性。编程习惯,或者“规范”,作为关键因素,直接影响漏洞产生的概率。 注入(OWASP A03:2021, SQL注入、XSS等)、缓冲区溢出(如:CWE-120)等安全漏洞均来源于非常基础的编码缺陷(NIST IR 8397)。 硬编码凭证(CWE-259)
继续阅读2025 最佳漏洞赏金书籍和网站
2025 最佳漏洞赏金书籍和网站 原创 破天KK KK安全说 2025-02-15 05:14 为知识付费,如果您对漏洞赏金狩猎非常推崇,那么投资购买合适的书籍可以加快您的学习进度,提高您的技能,并帮助您获得高额赏金。这些书籍和网站不仅仅是指南;它们是由行业专家精心设计的路线图,充满了现实世界的黑客场景、分步方法和高级技术,可将您的网络安全游戏提升到一个新的水平。 一、书籍篇: 无论您是刚刚起步,
继续阅读LLM 提高 SAST 的代审效率的思考方向
LLM 提高 SAST 的代审效率的思考方向 原创 A2Cai 隐雾安全 2025-02-14 01:01 LLM 提高 SAST 的代审效率的思考方向 原创 A2Cai 隐雾安全
继续阅读Z0SCAN一款基于Python3的主、被动扫描器|漏洞探测
Z0SCAN一款基于Python3的主、被动扫描器|漏洞探测 工具-Cavin小编 渗透安全HackTwo 2025-02-13 16:01 0x01 工具介绍 Z0SCAN是一个基于Python3的主、被动扫描器,旨在进行Web应用安全测试。它支持多种插件,包括SQL注入、XSS、文件上传、目录遍历等漏洞检测,并提供主动和被动扫描方式。Z0SCAN还包含一个MITM代理,用于拦截和分析HTTP/
继续阅读【安全圈】微软提高了Copilot AI漏洞赏金计划的奖励
【安全圈】微软提高了Copilot AI漏洞赏金计划的奖励 安全圈 2025-02-13 11:00 关键词 安全漏洞 微软在周末宣布,已扩大其微软副驾驶(人工智能)漏洞赏金计划,并提高了对中度严重程度漏洞的赏金金额。 为了进一步保护其副驾驶消费级产品免受攻击,这家位于雷德蒙德的公司将更广泛的副驾驶消费级产品和服务纳入了该计划的范围,其中包括适用于电报(Telegram)的副驾驶、适用于 What
继续阅读Ivanti 修复 Connect Secure & Policy Secure 中的三个严重漏洞
Ivanti 修复 Connect Secure & Policy Secure 中的三个严重漏洞 Bill Toulas 代码卫士 2025-02-13 10:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 已为 Ivanti Connect Secure (ICS)、Ivanti Policy Secure (IPS) 和 Ivanti Secure Acce
继续阅读【论文速读】| CleanVul:利用大语言模型启发式方法在代码提交中进行自动的函数级漏洞检测
【论文速读】| CleanVul:利用大语言模型启发式方法在代码提交中进行自动的函数级漏洞检测 原创 知识分享者 安全极客 2025-02-13 10:06 基本信息 原文标题:CleanVul: Automatic Function-Level Vulnerability Detection in Code Commits Using LLM Heuristics 原文作者 :Yikun Li,
继续阅读分享两个漏洞,含$3133 Google IDOR
分享两个漏洞,含$3133 Google IDOR 原创 玲珑安全 芳华绝代安全团队 2025-02-13 06:22 关注公众号,阅读优质好文。 漏洞1 在对某目标系统进行安全测试时,发现其运行着两个独立的域名——一个用于司机用户,一个用于开发者/企业用户。表面上看,这两个域名各自独立管理账户,但测试表明它们在处理电子邮件变更时存在严重的逻辑漏洞。 正文 目标系统存在两个子域: –
继续阅读【漏洞通告】DWT-目录和列表WordPress主题 验证通过短代码(CVE-2025-0169)存储的跨站点脚本
【漏洞通告】DWT-目录和列表WordPress主题 验证通过短代码(CVE-2025-0169)存储的跨站点脚本 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况 DWT – Directory & Listing WordPress主题在版本3.3.4及之前存在存储型跨站脚本漏洞(Stored Cross-Site Scripting),这是
继续阅读【漏洞通告】OpenProject存储的HTML注入脆弱性(CVE-2025-24892)
【漏洞通告】OpenProject存储的HTML注入脆弱性(CVE-2025-24892) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况OpenProject是一款开源的基于网络的项目管理软件。在版本低于15.2.1的情况下,应用程序在显示群组管理部分时未能正确地净化用户输入。使用HTML脚本标签创建的群组在渲染到项目中时未能得到适当的转义处理。这个问题已在OpenPro
继续阅读【漏洞通告】QingScan 安全漏洞(CVE-2024-57278)
【漏洞通告】QingScan 安全漏洞(CVE-2024-57278) 安迈信科应急响应中心 2025-02-13 02:46 01 漏洞概况在RT-Thread的5.1.0版本之前,发现了一个分类为问题的漏洞。该漏洞影响了位于rt-thread/components/lwp/lwp_syscall.c文件中的sys_thread_create函数。对参数arg[0]的操作导致了信息泄露。02 漏
继续阅读超1.2万台KerioControl防火墙暴露于远程代码执行漏洞威胁之下
超1.2万台KerioControl防火墙暴露于远程代码执行漏洞威胁之下 汇能云安全 2025-02-13 01:11 2月13日,星期四,您好!中科汇能与您分享信息安全快讯: 01 超1.2万台KerioControl防火墙暴露于远程代码执行漏洞威胁之下 近期,安全研究人员发现,超过1.2万个GFI KerioControl防火墙实例暴露于一个高危的远程代码执行漏洞CVE-2024-52875(
继续阅读通过 ROP 实现 RCE
通过 ROP 实现 RCE born0monday securitainment 2025-02-12 21:13 ROPing our way to RCE 在红队评估中,仅仅发现一个 XSS 或基本的配置错误往往是不够的,实现 RCE 才是真正的目标。在一次评估中,我们遇到了 XiongMai 的 uc-httpd,这是一个在全球无数 IP 摄像头中使用的轻量级 web 服务器。根据 Shod
继续阅读