Grafana开放重定向&服务端请求伪造漏洞(CVE-2025-4123)
Grafana开放重定向&服务端请求伪造漏洞(CVE-2025-4123) HK安全小屋 2025-06-01 09:12 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: Grafana是Grafana开源的一套提供可视化
继续阅读标签: XSS
【成功复现】Grafana开放重定向&服务端请求伪造漏洞(CVE-2025-4123)
【成功复现】Grafana开放重定向&服务端请求伪造漏洞(CVE-2025-4123) 原创 弥天安全实验室 弥天安全实验室 2025-05-31 15:15 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 Grafana是Grafana开源的一套提供可视化监控界面的开源监控工具。该工具主要用于监控
继续阅读突破浅层测试桎梏:多维度漏洞挖掘突破与实践探索
突破浅层测试桎梏:多维度漏洞挖掘突破与实践探索 富贵安全 2025-05-31 00:47 在漏洞挖掘领域,刚入门新手常受限于浅层测试模式,他们多止步于基础功能验证,扫描接口时若未发现铭感信息便迅速转换目标,并只关注首次探测到的接口忽略前置接口的检查; 信息泄露单纯明文id鉴权场景以大幅减少唯有探索新的测试手法才能突破瓶颈 本文整合许多优秀师傅分享思路与笔者事件经验,萃取其中精华皆在拓展读者挖掘视
继续阅读阿迪达斯曝数据泄露事件,NASA开源软件发现安全漏洞|一周特辑
阿迪达斯曝数据泄露事件,NASA开源软件发现安全漏洞|一周特辑 威努特安全网络 2025-05-30 23:59 阿迪达斯再曝数据泄露事件 第三方服务商遭黑客入侵 全球知名运动品牌阿迪达斯近日确认发生一起数据泄露事件,起因是其合作的第三方客户服务提供商遭到黑客入侵。 阿迪达斯在5月24日发布的声明中表示,他们已立即采取措施控制事态发展,并聘请顶级信息安全专家展开全面调查。初步调查显示,泄露数据主要
继续阅读海外SRC漏洞挖掘|助力成为百万赏金猎人
海外SRC漏洞挖掘|助力成为百万赏金猎人 迪哥讲事 2025-05-30 12:47 0x01 培训介绍 在SRC漏洞挖掘当中,随着攻击面的缩小,常规姿势与技巧已经无法挖掘出比较满意的漏洞。那么本课程将会给你带来国内外SRC漏洞挖掘 的骚姿势以及奇淫技巧!通过丰富的案例以及生动且简单易懂的教学带你快速上手漏洞挖掘当中的方方面面。通过本课程,了解国内外漏洞挖掘不同的思路,并且提升国内外漏洞挖掘的能力
继续阅读用友NC expertschedule SQL注入漏洞
用友NC expertschedule SQL注入漏洞 Superhero Nday Poc 2025-05-30 02:38 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 用友NC expertsched
继续阅读一处价值 $2500 的 DOM XSS 漏洞
一处价值 $2500 的 DOM XSS 漏洞 原创 骨哥说事 骨哥说事 2025-05-29 16:01 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4389 **不想错过任何消息?设置星标↓ ↓ ↓ 概
继续阅读Sirius 一款开源通用漏洞扫描器(Docker版)|漏洞探测
Sirius 一款开源通用漏洞扫描器(Docker版)|漏洞探测 makoto56 渗透安全HackTwo 2025-05-29 16:01 0x01 工具介绍 天狼星(Sirius)是一款高效的开源漏洞扫描工具,支持Docker快速部署,提供Web界面、API接口和自动化扫描功能。适用于企业安全团队、渗透测试人员及开发者,帮助发现并修复系统漏洞,快速检测SQL注入、XSS、弱口令等常见漏洞。5分
继续阅读不同视角学习Java代码审计之文件读取漏洞
不同视角学习Java代码审计之文件读取漏洞 闪石星曜CyberSecurity 2025-05-29 08:58 声明:文章涉及网络安全技术仅作为学习,从事非法活动与作者无关! 本篇为代码审计系列任意文件读取基础理论篇第三篇,看完本篇你将掌握关于文件读取漏洞的代码视角原理剖析、基础挖掘漏洞核心能力,看完如有技术错误欢迎评论区指正。 – 漏洞原理 业务视角DEMO代码 漏洞校验DEMO代
继续阅读创宇安全智脑 | vBulletin远程代码执行(CVE-2025-48827/CVE-2025-48828)等84个漏洞可检测
创宇安全智脑 | vBulletin远程代码执行(CVE-2025-48827/CVE-2025-48828)等84个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-05-29 08:05 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持
继续阅读美国宇航局开源软件中爆出大量严重漏洞
美国宇航局开源软件中爆出大量严重漏洞 GoUpSec 2025-05-29 04:11 就在全球对政府机构软件安全信心日益动摇之际,一则关于NASA开源项目的爆炸性发现,再次敲响了警钟。 知名安全研究员、ThreatLeap创始人Leon Juranić在短短4小时的人工代码审查中,发现了美国国家航空航天局(NASA)多个开源软件项目中大量严重漏洞,其中包括一系列栈溢出、跨站脚本(XSS)、硬编码
继续阅读AI用于软件安全和漏洞挖掘
AI用于软件安全和漏洞挖掘 GRCC IoVSecurity 2025-05-28 23:50 点击上方 蓝色字体 ,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 人工智能 和网络安全 AI in Security 人工智能 赋能安全应用
继续阅读实战EDUSRC挖掘|微信小程序渗透漏洞及getshell复盘
实战EDUSRC挖掘|微信小程序渗透漏洞及getshell复盘 不秃头的安全 2025-05-28 04:09 微信小程序渗透漏洞及getshell复盘 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。还在学怎么挖通用漏洞和src吗?知识星球有什么,续费也有优惠私聊~~想要入交流群在最下方,考安全证书请联系vx咨询。 0x1
继续阅读网络安全漏洞扫描:别再迷信工具,先搞懂这些事儿!
网络安全漏洞扫描:别再迷信工具,先搞懂这些事儿! 龙哥网络安全 龙哥网络安全 2025-05-28 03:53 壹:漏洞扫描?别当成万能药! 漏洞扫描,听起来像是网络安全的“一键体检”,用各种工具对着你的系统一顿扫,然后告诉你哪儿有问题,该吃什么药。但如果真这么简单,还要安全工程师干嘛?说白了,漏洞扫描就是基于已知的CVE、CNVD、CNNVD这些“病历本”,用工具去“对症下药”,看看你的网络设备
继续阅读信息安全漏洞周报(2025年第21期)
信息安全漏洞周报(2025年第21期) 原创 CNNVD CNNVD安全动态 2025-05-28 03:44 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年5月19日至2025年5月25日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞908个。 接报漏洞情况 本周CNNVD接报漏洞10389个,其中信息技术产品漏洞(通用型漏洞)232个,
继续阅读自学黑客技术多长时间能达到挖漏洞的水平?零基础入门到精通,收藏这篇就够了
自学黑客技术多长时间能达到挖漏洞的水平?零基础入门到精通,收藏这篇就够了 k哥网络安全 2025-05-28 02:13 抱着一个明确的目的去学习,学习效果能够事半功倍,给你点个赞。 但值得注意的一个点是: 任何未经授权的挖洞行为,都是违法的!!! 任何未经授权的挖洞行为,都是违法的!!! 任何未经授权的挖洞行为,都是违法的!!! 这一点一定要切记!!!!!!! 接下来回归主题,你想挖漏洞做副业这
继续阅读国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞
国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞 汇能云安全 2025-05-28 01:42 5月28日,星期三,您好!中科汇能与您分享信息安全快讯: 01 Zimbra协作套件XSS漏洞被武器化,影响全球超12.9万服务器 Zimbra协作套件(ZCS)近日被发现存在一个严重安全漏洞(CVE-2024-27443),该漏洞已被列入CISA已知被利用漏洞(KEV)目录,并疑似被黑客组织S
继续阅读量子计算破解RSA加密难度降低20倍,后量子密码学迫在眉睫;国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞 | 牛览
量子计算破解RSA加密难度降低20倍,后量子密码学迫在眉睫;国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞 | 牛览 安全牛 2025-05-27 08:54 新闻速览 •国家网络安全通报中心提醒:ComfyUI存在多个高危漏洞 •国家互联网应急中心提醒防范 “游蛇”黑产攻击活动的风险 •量子计算破解RSA加密难度降低20倍,后量子密码学迫在眉睫 •SilverRAT远控木马源代码泄露,
继续阅读黑客发起全球间谍行动,政府邮箱被利用XSS漏洞入侵
黑客发起全球间谍行动,政府邮箱被利用XSS漏洞入侵 网络攻防情报小组 C4安全团队 2025-05-27 06:05 近日,安全研究人员披露,一个名为“RoundPress” 的全球网络间谍活动正在持续展开,攻击者通过 Webmail 服务中的数个XSS漏洞,对全球多国政府和关键机构发起邮件窃密攻击。该行动被认为与黑客组织 APT28(又称“Fancy Bear”或“Sednit”)有关。 一、行
继续阅读查找高级文件上传漏洞的完整指南
查找高级文件上传漏洞的完整指南 原创 红云谈安全 红云谈安全 2025-05-26 12:23 兄弟们,先养眼 什么是文件上传漏洞? 文件上传漏洞源于不安全的文件上传实现,尤其是当组件对上传的文件执行了不完善的验证或根本不执行验证时。 这种行为可能导致不良行为者上传恶意负载(例如 PHP 或 ASP 文件),并尝试在目标服务器上执行代码。 文件上传表单示例 因此,文件上传漏洞通常本质上具有影响,并
继续阅读【漏洞预警】Grafana未授权跨站点脚本攻击xss和SSRF漏洞(CVE-2025-4123)
【漏洞预警】Grafana未授权跨站点脚本攻击xss和SSRF漏洞(CVE-2025-4123) PokerSec PokerSec 2025-05-26 11:11 先关注,不迷路. 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞介绍
继续阅读每周网安资讯 (5.20-5.26)| Poedit 安全漏洞
每周网安资讯 (5.20-5.26)| Poedit 安全漏洞 交大捷普 2025-05-26 10:14 2025[ 每周网安资讯 ]5.20-5.26 网安资讯 1、中央网信办等三部门印发《2025年深入推进IPv6规模部署和应用工作要点》 近日,中央网信办、国家发展改革委、工业和信息化部联合印发《2025年深入推进IPv6规模部署和应用工作要点》(以下简称《工作要点》)。《工作要点》要求,坚
继续阅读浅析SpringBoot框架常见未授权访问漏洞
浅析SpringBoot框架常见未授权访问漏洞 Jack 黑曜网安实验室 2025-05-26 10:07 星标公众号可大图观看! 前言 在对 Java 站点进行渗透测试的过程中,经常会遇见各类未授权访问漏洞,本文来总结学习下常见的几类未授权访问漏洞的检测和利用方法。 SpringBoot 站点的简单识别方法: 1) 通过 API 接口的 Web 服务。通俗的来讲,Swagger 就是将项目中所有
继续阅读漏洞通告 | Grafana 开放重定向与服务端请求伪造漏洞
漏洞通告 | Grafana 开放重定向与服务端请求伪造漏洞 原创 微步情报局 微步在线研究响应中心 2025-05-26 09:01 漏洞概况 Grafana 是一个开源分析平台,用于可视化来自 Prometheus 和 InfluxDB 等来源的数据。 微步情报局获取到Grafana 开放重定向与服务端请求伪造漏洞情报(CVE-2025-4123、CNNVD-202505-3274)。该漏洞由
继续阅读CNVD漏洞周报2025年第19期
CNVD漏洞周报2025年第19期 原创 CNVD CNVD漏洞平台 2025-05-26 08:28 2 0 2 5 年 0 5 月1 9 日 – 2 0 2 5 年 0 5 月25 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞315个,其中高危漏洞169个
继续阅读上周关注度较高的产品安全漏洞(20250519-20250525)
上周关注度较高的产品安全漏洞(20250519-20250525) 原创 CNVD CNVD漏洞平台 2025-05-26 08:28 一、境外厂商产品漏洞 1、Google Chrome安全绕过漏洞(CNVD-2025-10056) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 136.0.7103.59之前版本存在安全绕过漏洞,该漏洞源
继续阅读工具 | 漏洞挖掘小工具-SeeMore
工具 | 漏洞挖掘小工具-SeeMore 渗透安全团队 2025-05-26 07:05 介绍 1、在某系统发现在导入文件时,文件内容没有进行过滤导致存储型xss注入,可以发送任何人或提交模板(管理员会审查)危害挺大的,然后提交漏洞后他进行了修复。 2、但是 程序员只是将导入功能的元素添加”display: none;”隐藏起来了, 但是这个功能还是存在,所以可以通过将&#
继续阅读黑客宣称利用 API 接口漏洞窃取 12 亿 Facebook 用户记录
黑客宣称利用 API 接口漏洞窃取 12 亿 Facebook 用户记录 三沐 三沐数安 2025-05-26 03:15 背景: 攻击者声称通过滥用Meta旗下Facebook的应用程序接口(API)非法获取了包含12亿条用户记录的数据库,并将该数据集发布于知名数据泄露论坛。 若得到证实,这将成为Facebook历史上最大规模的数据泄露事件之一。 网络安全媒体Cybernews研究团队对攻击
继续阅读一款专为安全研究人员和白帽子设计的漏洞赏金工具
一款专为安全研究人员和白帽子设计的漏洞赏金工具 黑白之道 2025-05-26 01:56 0x01 工具介绍 漏洞赏金工具是一款专为安全研究人员和白帽子黑客设计的图形化渗透测试工具集。它集成了多个常用的安全测试工具,提供了直观的用户界面,让漏洞挖掘变得更加简单和高效。 0x02 主要特性 🎨 美观的图形界面 支持多种主题切换(超级英雄风、赛博朋克、暗黑模式等) 实时日志输出展示 简洁直观的工具选
继续阅读PHP中的session漏洞利用
PHP中的session漏洞利用 船山信安 2025-05-26 01:47 前言 同样是以前在学习PHP安全相关的时候,针对php中session的利用。 session反序列化 session的存储机制 php <?php error_reporting(0); echo "serialize_handler: ".ini_get("session.seri
继续阅读