【漏洞预警】PgAdmin远程代码执行漏洞CVE-2025-2945
【漏洞预警】PgAdmin远程代码执行漏洞CVE-2025-2945 cexlife 飓风网络安全 2025-04-08 22:44 漏洞描述: pgadmin发布安全公告,其中公开披露了一个PgAdmin4中的代码注入漏洞,由于high_availability参数不安全地传递给eval()函数导致低权限的攻击者可以通过该漏洞注入恶意代码来获取服务器控制权限,当以server模式部署时,具有账号
继续阅读标签: 代码执行
一行代码引发的灾难:PHP文件包含漏洞全面剖析与防御
一行代码引发的灾难:PHP文件包含漏洞全面剖析与防御 原创 VlangCN HW安全之路 2025-04-08 20:21 在Web安全领域,文件包含漏洞(File Inclusion)是一种常见但危害严重的安全缺陷。今天我们深入浅出地讲解本地文件包含漏洞(LFI)的原理、利用方式和防御措施,帮助开发者构建更安全的应用程序。 什么是LFI漏洞? LFI(Local File Inclusion),
继续阅读【漏洞预警】pgAdmin 远程代码执行漏洞(CVE-2025-2945)
【漏洞预警】pgAdmin 远程代码执行漏洞(CVE-2025-2945) 原创 聚焦网络安全情报 安全聚 2025-04-08 20:03 严 重 公 告 近日,安全聚实验室监测到 pgAdmin 存在远程代码执行漏洞 ,编号为:CVE-2025-2945,CVSS:10 由于 high_availability 参数被不安全地传递给 eval() 函数,低权限攻击者可以利用该漏洞注入恶意代码
继续阅读Metasploitable2-Linux。关于老师给了任务,一位彦祖返回家无私奉献,打穿靶场的故事。手搓+msf提权漏洞利用
Metasploitable2-Linux。关于老师给了任务,一位彦祖返回家无私奉献,打穿靶场的故事。手搓+msf提权漏洞利用 原创 泷羽Sec-朝阳 泷羽Sec-朝阳 2025-04-07 23:25 Metasploitable2-Linux 1、主机发现 首先打开靶机就是这个界面,你没看错,通常情况下你是不可能知道账户密码的,所以老老实实去做 arp-scan -l 主机探测,由于你开的靶机
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-31486) 附POC
【已复现】Vite 任意文件读取漏洞(CVE-2025-31486) 附POC 原创 聚焦网络安全情报 安全聚 2025-04-07 20:52 中 危 预 警 近日,安全聚实验室监测到 Vite 存在任意文件读取漏洞 ,编号为:CVE-2025-31486,CVSS:5.3 由于没有对请求的路径进行严格的安全检查和限制,攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。 01 漏洞描述
继续阅读安全热点周报:Apache Tomcat RCE 漏洞遭两步利用
安全热点周报:Apache Tomcat RCE 漏洞遭两步利用 奇安信 CERT 2025-04-07 17:44 安全资讯导视 • 《关键信息基础设施安全测评要求》公安行业标准发布 • 哈尔滨亚冬会赛事信息系统遭境外网络攻击超27万次,攻击源大部来自美国 • 俄乌黑客展开铁路大战,运营系统瘫痪殃及百万民众 PART01 漏洞情报 1.Zabbix groupBy SQL注入漏洞安全风险通告
继续阅读上周关注度较高的产品安全漏洞(20250331-20250406)
上周关注度较高的产品安全漏洞(20250331-20250406) 原创 CNVD CNVD漏洞平台 2025-04-07 17:32 一、境外厂商产品漏洞 1、IBM Security Verify Access信息泄露漏洞(CNVD-2025-06210) IBM Security Verify Access(ISAM)是美国国际商业机器(IBM)公司的一款提高用户访问安全的服务。该服务通过使
继续阅读Sante PACS 服务器漏洞可使远程攻击者下载任意文件
Sante PACS 服务器漏洞可使远程攻击者下载任意文件 山卡拉 嘶吼专业版 2025-04-07 13:52 最近,在 Sante PACS Server 4.1.0 版本中发现了几个严重漏洞,这使得该版本极易遭受严重的安全威胁。 这些漏洞(CVE – 2025 – 2263、CVE – 2025 – 2264、CVE – 2025
继续阅读漏洞利用 第二集 – 进入矩阵
漏洞利用 第二集 – 进入矩阵 Dennis Goodlett securitainment 2025-04-06 23:38 !exploitable Episode Two – Enter the Matrix 引言 如果你刚刚开始关注,Doyensec 团队正在地中海的一艘游轮上度假。放松身心,与同事交流,享受乐趣。 第一部分 讲述了我们在 IoT ARM 漏洞利用
继续阅读Apache Parquet 允许远程执行代码漏洞
Apache Parquet 允许远程执行代码漏洞 网安百色 2025-04-06 19:25 点击上方 蓝字 关注我们吧~ 已在 Apache Parquet Java 库中发现了一个严重漏洞,特别是在其 parquet-avro 模块中。 此漏洞被跟踪为 CVE-2025-30065,使系统面临潜在的远程代码执行 (RCE) 攻击。 它被评为严重,CVSS 评分为 10.0,表示严重性最高。根
继续阅读CVE-2025-24813 – Apache Tomcat 路径等效漏洞
CVE-2025-24813 – Apache Tomcat 路径等效漏洞 Ots安全 2025-04-06 19:15 描述 路径等价:’file.Name’(内部点)导致远程代码执行和/或信息泄露和/或通过 Apache Tomcat 中启用写入的默认 Servlet 添加到上传的文件中。 此问题影响 Apache Tomcat:从 11.0.0-M1 到
继续阅读一款基于deepseek智能化代码审计工具,支持多语言代码安全分析,帮助开发者快速定位潜在漏洞。
一款基于deepseek智能化代码审计工具,支持多语言代码安全分析,帮助开发者快速定位潜在漏洞。 黑白之道 2025-04-05 21:41 工具介绍 DeepAudit 是一款基于 Python 和 Tkinter 开发的代码审计工具,旨在帮助开发者自动分析项目代码,检测潜在的安全漏洞。该工具通过调用 DeepSeek API,对代码进行深入分析,并将结果以直观的界面展示给用户。同时,支持将漏洞
继续阅读CISA将Apache Tomcat路径等效漏洞列入已知被利用漏洞目录
CISA将Apache Tomcat路径等效漏洞列入已知被利用漏洞目录 FreeBuf 2025-04-05 18:03 美国网络安全和基础设施安全局(CISA)已将Apache Tomcat路径等效漏洞(编号CVE-2025-24813)列入其已知被利用漏洞(KEV)目录。该漏洞在公开概念验证(PoC)代码发布仅30小时后即遭活跃利用。 技术细节 该漏洞属于Apache Tomcat路径等效缺陷
继续阅读【漏洞预警】Apache Parquet 代码执行漏洞(CVE-2025-30065)
【漏洞预警】Apache Parquet 代码执行漏洞(CVE-2025-30065) cexlife 飓风网络安全 2025-04-03 18:46 漏洞描述: Apache Parquet是一种开源的列式存储文件格式,专门设计用于大数据处理和分析,广泛应用于Hadoop生态系统。 Aрасhе Pаrԛuеt 1.15.0及之前版本的раrԛuеt-аvrо模块中的模式解析允许攻击者执行任意
继续阅读【已复现】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)安全风险通告
【已复现】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)安全风险通告 奇安信 CERT 2025-04-03 18:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Zabbix groupBy SQL注入漏洞 漏洞编号 CVE-2024-36465,QVD-2025-13797 公开时间 2025-04-02 影响量级 十万级 奇安信评级 高
继续阅读Jan AI 系统中存在多个漏洞,可遭远程操纵
Jan AI 系统中存在多个漏洞,可遭远程操纵 Ionut Arghire 代码卫士 2025-04-03 18:20 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究人员提到,标榜为ChatGPT 替代品的开源工具 Jan AI中存在多个漏洞,可导致远程未认证攻击者操纵系统。 Jan AI 是由 Menlo Research 开发的一款个人助手,可在桌面和移动设备上离线使用,包含热
继续阅读揭秘天价漏洞BrokenSesame 技术细节
揭秘天价漏洞BrokenSesame 技术细节 sule01u 黑伞安全 2025-04-03 10:47 云上攻防TOP级案例分析从0到1 – #BrokenSesame 前几天 Wiz Research 团队分享了Ingress NGINX 中未经身份验证的远程代码执行漏洞,感兴趣大家可以去看:https://www.wiz.io/blog/ingress-nginx-kubern
继续阅读.NET 四种方法上传 web.config 绕过限制实现RCE
.NET 四种方法上传 web.config 绕过限制实现RCE 原创 专攻.NET安全的 dotNet安全矩阵 2025-04-03 08:55 在 .NET Web 应用安全领域,web.config 文件不仅仅是一个普通的配置文件,还能成为攻击者绕过安全限制、执行任意代码的重要工具。 最近,一篇关于某电力公司 web.config RCE 的文章在安全圈引发了热议,详细描述了攻击者如何利
继续阅读Apache Parquet Java 中存在CVSS满分漏洞
Apache Parquet Java 中存在CVSS满分漏洞 do son 代码卫士 2025-04-02 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 与列存储相关的开源数据文件格式 Apache Parquet 中被指存在一个严重漏洞,为使用 Apache Parquet Java 库的系统造成严重风险。 Apache Parquet 为有效存储和检索数据而设计,因高性能
继续阅读佳能打印机驱动中存在严重漏洞
佳能打印机驱动中存在严重漏洞 Eduard Kovacs 代码卫士 2025-04-02 18:35 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软提醒称,佳能的一些打印机驱动受严重漏洞 (CVE-2025-1268) 的影响。 佳能在上周发布安全公告表示,与多个生产打印机、办公室多功能打印机和激光打印机相关联的驱动受界外漏洞CVE-2025-1268的影响。该漏洞的CVSS评分为9.
继续阅读佳能打印机驱动曝高危漏洞,请及时更新
佳能打印机驱动曝高危漏洞,请及时更新 看雪学苑 看雪学苑 2025-04-02 17:59 近日,微软的进攻性安全研究与工程(MORSE)团队发现佳能打印机驱动中存在一个严重的代码执行漏洞,该漏洞被标记为CVE-2025-1268,CVSS评分为9.4,属于高危漏洞。 漏洞详情 该漏洞是一个越界问题,存在于某些生产打印机、办公/小型办公多功能打印机和激光打印机的驱动程序中,包括Generic Pl
继续阅读【安全圈】Dell Unity 企业存储系统现严重漏洞,攻击者借此可实现 root 权限接管
【安全圈】Dell Unity 企业存储系统现严重漏洞,攻击者借此可实现 root 权限接管 安全圈 2025-04-01 19:01 关键词 安全漏洞 Dell Technologies 发布了一项关键的安全更新,以修复其 Unity 企业存储系统中存在的多个严重漏洞。这些漏洞可能会让攻击者以 root 权限执行任意命令、删除关键系统文件,并在无需进行身份验证的情况下开展其他恶意活动。 安全研究
继续阅读【安全圈】Ubuntu曝高危权限提升漏洞 三大绕过机制威胁Linux系统安全
【安全圈】Ubuntu曝高危权限提升漏洞 三大绕过机制威胁Linux系统安全 安全圈 2025-04-01 19:01 关键词 安全漏洞 网络安全研究人员近期发现Ubuntu Linux系统存在三项严重安全缺陷,可允许本地攻击者绕过系统防护机制,利用内核漏洞提升权限。该漏洞主要影响Ubuntu 23.10和24.04 LTS版本中基于AppArmor的用户命名空间限制功能。 三大核心技术绕过方式:
继续阅读惠普HPE CMU曝高危漏洞:攻击者可绕过认证执行远程命令
惠普HPE CMU曝高危漏洞:攻击者可绕过认证执行远程命令 FreeBuf 2025-04-01 18:15 HPE Insight集群管理工具(CMU)v8.2版本中存在一个关键的无认证远程代码执行漏洞(CVE-2024-13804),攻击者可利用该漏洞绕过认证机制,在后端服务器上以root权限执行任意命令。 该高危漏洞影响用于管理高性能计算集群的工具,可能导致攻击者完全控制整个计算环境。漏洞根
继续阅读Cannon Printer 漏洞让攻击者可以执行任意代码
Cannon Printer 漏洞让攻击者可以执行任意代码 邑安科技 邑安全 2025-04-01 17:23 更多全球网络安全资讯尽在邑安全 Canon 已发布一个重要的安全公告,内容涉及在其多个打印机驱动程序中检测到的严重漏洞,该漏洞可能允许攻击者在受影响的系统上执行任意代码。 该漏洞被确定为 CVE-2025-1268,严重性 CVSS 基本分数为 9.4,表明对受影响 Canon 产品的用
继续阅读漏洞预警|金蝶 Apusic IIOP 反序列化远程代码执行漏洞
漏洞预警|金蝶 Apusic IIOP 反序列化远程代码执行漏洞 威胁情报运营中心 矢安科技 2025-04-01 17:05
继续阅读雷神众测漏洞周报2025.3.17-2024.3.31
雷神众测漏洞周报2025.3.17-2024.3.31 雷神众测 雷神众测 2025-04-01 16:25 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或
继续阅读疑似NSA网攻行动曝光:神秘零日漏洞利用链 目标针对俄媒体科研机构
疑似NSA网攻行动曝光:神秘零日漏洞利用链 目标针对俄媒体科研机构 安全内参编译 安全内参 2025-04-01 16:05 关注我们 带你读懂网络安全 卡巴斯基日前披露一起尖端的网攻行动,受害者点击定向钓鱼邮件中的链接,该页面暗藏零日漏洞利用代码,可远程绕过Chrome浏览器的沙盒保护机制,结合另一个未知漏洞即可实现远程代码执行,控制受害者的设备; 根据该行动非常隐蔽和技艺高超的特征,卡巴斯基认
继续阅读漏洞预警 | Kubernetes Ingress-NGINX Controller 存在未授权远程代码执行漏洞
漏洞预警 | Kubernetes Ingress-NGINX Controller 存在未授权远程代码执行漏洞 原创 烽火台实验室 Beacon Tower Lab 2025-04-01 13:10 1 漏洞概述 漏洞类型 远程代码执行 漏洞等级 高 漏洞编号 CVE-2025-1974 漏洞评分 9.8 利用复杂度 低 影响版本 Ingress-Nginx 在 v1.11.5、v1.12.1
继续阅读【安全圈】威胁通告:黑客组织利用WordPress MU插件目录隐匿恶意软件实现远程代码执行
【安全圈】威胁通告:黑客组织利用WordPress MU插件目录隐匿恶意软件实现远程代码执行 安全圈 2025-03-31 19:00 关键词 恶意软件 最近的发现揭示了一个令人担忧的趋势,威胁行为者正在策略性地将恶意代码隐藏在 WordPress 网站的 mu-plugins 目录中。 该目录对于攻击者来说特别有价值,因为它会随 WordPress 自动加载,从而使得检测和删除更具挑战性。 所发
继续阅读