迪奥确认中国客户信息遭泄露;欧洲漏洞数据库正式启动,CVE动荡中的新选择 | 牛览
迪奥确认中国客户信息遭泄露;欧洲漏洞数据库正式启动,CVE动荡中的新选择 | 牛览 安全牛 2025-05-14 09:07 新闻速览 •CISA调整网络安全警报发布策略引发担忧 •欧洲漏洞数据库正式启动,CVE动荡中的新选择 •迪奥确认中国客户信息遭泄露 •四名黑客因利用老旧路由器构建恶意代理网络被指控 •英国零售巨头遭网络攻击重创,玛莎百货市值已蒸发超过10亿英镑 •每日9000次攻击尝试,黑
继续阅读标签: 信息泄露
3个月测一站!漏洞挖掘纯享版
3个月测一站!漏洞挖掘纯享版 蚁景网安 2025-05-14 08:30 好久前偶遇一个站点,前前后后大概挖了三个月才基本测试完毕,出了好多漏洞,也有不少高危,现在对部分高危漏洞进行总结分析。 nday进后台: 开局一个登录框: 通过熊猫头插件提取接口,并结合js分析,跑遍了提取到的路径也没有结果。尝试弱口令登录,但是由于连用户名提示都没有,也以失败告终。最后根据页面title关键字搜索找到该平台
继续阅读swagger-api未授权访问漏洞及防治方法
swagger-api未授权访问漏洞及防治方法 原创 EBCloud EBCloud 2025-05-14 08:00 Swagger是一款开源软件框架,专门用于设计、构建、文档化以及使用RESTful风格的Web服务。它通过提供交互式文档页面,极大地便利了开发者查看和测试API接口。然而,Swagger的这种便捷性也可能带来安全隐患,未经授权的访问可能会导致安全漏洞。本文将详细介绍如何解决Swa
继续阅读2025年5月微软补丁日多个高危漏洞安全风险通告
2025年5月微软补丁日多个高危漏洞安全风险通告 嘉诚安全 2025-05-14 07:39 漏洞背景 近日,嘉诚安全监测到Microsoft官方发布了5月安全更新,本次更新修复了78个漏洞,涵盖权限提升、远程代码执行、安全功能绕过等多种漏洞类型。 鉴于漏洞危害较大,嘉诚安全提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。 漏洞详情 经研判以下漏洞影响较大 1、CV
继续阅读【漏洞通告】微软5月多个安全漏洞
【漏洞通告】微软5月多个安全漏洞 启明星辰安全简讯 2025-05-14 06:48 一、漏洞概述 2025年 5 月 14 日,启明星辰集团VSRC监测到微软发布了 5 月安全更新,本次更新修复了 78 个漏洞,涵盖权限提升、远程代码执行、安全功能绕过等多种漏洞类型。漏洞级别分布如下: 11 个严重级别漏洞, 66 个重要级别漏洞, 1 个 低危 级别漏洞( 漏洞 级别依据微软官方数据)。 其中
继续阅读漏洞挖掘—利用查询功能获取敏感信息
漏洞挖掘—利用查询功能获取敏感信息 原创 haosha 网安日记本 2025-05-14 06:01 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 前言 上次更新之后说要做到周更, 原本这次是想更新一次通杀思路的,但确实漏洞都还没有审核完成
继续阅读上周关注度较高的产品安全漏洞(20250428-20250511)
上周关注度较高的产品安全漏洞(20250428-20250511) 金瀚信安 2025-05-14 02:41 一、境外厂商产品漏洞 1、Esri ArcGIS Enterprise信息泄露漏洞 Esri ArcGIS Enterprise是美国环境系统研究所(Esri)公司的一套GIS(地理信息系统 )的基础软件。Esri ArcGIS Enterprise存在信息泄露漏洞,该漏洞源于程序对敏感
继续阅读微软5月补丁日多个产品安全漏洞风险通告:5个在野利用、11个紧急漏洞
微软5月补丁日多个产品安全漏洞风险通告:5个在野利用、11个紧急漏洞 奇安信 CERT 2025-05-14 01:10 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 微软2025年5月补丁日多个产品安全漏洞 影响产品 Windows 通用日志文件系统驱动程序、Windows 脚本引擎、Microsoft SharePoint Server等。 公开时间 2025-05-14
继续阅读漏洞预警 | 上海华测监测预警系统SQL注入漏洞
漏洞预警 | 上海华测监测预警系统SQL注入漏洞 浅安 浅安安全 2025-05-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 上海华测监测预警系统是一套科学完善的地质灾害监测预警平台,实现了地质灾害防治管理的科学化、信息化、标准化和可视化。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 上
继续阅读漏洞预警 | 灵当CRM任意文件读取漏洞
漏洞预警 | 灵当CRM任意文件读取漏洞 浅安 浅安安全 2025-05-14 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 灵当CRM是一款专为中小企业打造的智能客户关系管理工具。 0x03 漏洞详情 漏洞类型: 任意文件读取 影响: 获取 敏感信息 简述: 灵当CRM的 /crm/modules/Accounts/Pla
继续阅读苹果发布安全更新以修复iOS和macOS中的多个漏洞
苹果发布安全更新以修复iOS和macOS中的多个漏洞 鹏鹏同学 黑猫安全 2025-05-13 23:00 苹果紧急发布iOS和macOS安全更新,修复可能让攻击者仅通过打开特制图片/视频/网站就能执行恶意代码的关键漏洞: • AppleJPEG漏洞(CVE-2025-31251)——处理恶意制作的媒体文件可能导致应用意外终止或进程内存损坏 • CoreMedia漏洞(CVE-2025-31233
继续阅读英特尔处理器“幽灵”漏洞防御机制再遭突破:分支预测竞争条件引发新型攻击
英特尔处理器“幽灵”漏洞防御机制再遭突破:分支预测竞争条件引发新型攻击 原创 网空闲话 网空闲话plus 2025-05-13 22:50 Theregister网站5月13日报道称,苏黎世联邦理工学院的研究团队在2025年5月披露了一项重大安全发现,揭示了英特尔处理器针对Spectre v2漏洞的硬件防御机制存在根本性缺陷。这项研究通过论文《Branch Privilege Injection:
继续阅读苹果修复iOS、macOS 平台上的多个严重漏洞
苹果修复iOS、macOS 平台上的多个严重漏洞 Ryan Naraine 代码卫士 2025-05-13 10:23 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周一,苹果修复了 macOS、iPhone 和 iPad 软件栈中的多个漏洞,提醒称只需打开一个特殊构造的图片、视频或网站,就能触发这些代码执行漏洞。 iOS 18.5更新与 iPadOS 补丁一起推出,涵盖 AppleJP
继续阅读GNU Screen 多漏洞曝光,本地提权与终端劫持风险浮现
GNU Screen 多漏洞曝光,本地提权与终端劫持风险浮现 FreeBuf 2025-05-13 10:16 SUSE安全团队全面审计发现,广泛使用的终端复用工具GNU Screen存在一系列严重漏洞,包括可导致本地提权至root权限的缺陷。这些问题同时影响最新的Screen 5.0.0版本和更普遍部署的Screen 4.9.x版本,具体影响范围取决于发行版配置。 尽管GNU Screen是类U
继续阅读Google因生物识别数据侵权支付创纪录13.75亿美元和解金;华硕驱动管理工具安全漏洞允许恶意网站悄然执行管理员级命令 |牛览
Google因生物识别数据侵权支付创纪录13.75亿美元和解金;华硕驱动管理工具安全漏洞允许恶意网站悄然执行管理员级命令 |牛览 安全牛 2025-05-13 08:30 新闻速览 •Google因生物识别数据侵权支付创纪录13.75亿美元和解金 •涉嫌暗中收集儿童用户数据,Roblox面临侵犯隐私集体诉讼 •网络攻击手法升级:FakeUpdates领跑4月全球恶意软件榜单 •美国驱逐航空公司Gl
继续阅读高危漏洞预警:Apache Tomcat远程代码执行漏洞曝光!
高危漏洞预警:Apache Tomcat远程代码执行漏洞曝光! 原创 mag1c7 山石网科安全技术研究院 2025-05-13 05:45 Apache Tomcat曝出严重远程代码执行漏洞,攻击者可轻易控制服务器,你的系统安全吗? 在数字化时代,服务器的安全性是保障企业运营和用户数据安全的关键防线。然而,最近山石网科应急响应中心监测到一个严重的安全漏洞,Apache Tomcat的反序列化漏洞
继续阅读黑客利用 Output Messenger 0 Day 漏洞部署恶意负载
黑客利用 Output Messenger 0 Day 漏洞部署恶意负载 邑安科技 邑安全 2025-05-13 05:24 更多全球网络安全资讯尽在邑安全 Microsoft 威胁情报已确定针对伊拉克库尔德军事实体的复杂网络间谍活动。自 2024 年 4 月以来,被称为 Marbled Dust 的威胁行为者一直在利用 Output Messenger 中的零日漏洞来收集敏感的用户数据并在受害者
继续阅读ECShop存在逻辑缺陷漏洞(CNVD-2025-08499)
ECShop存在逻辑缺陷漏洞(CNVD-2025-08499) 原创 护卫神 护卫神说安全 2025-05-13 02:03 ECShop是一款基于PHP+MySQL开发的开源B2C独立网店系统,专为中小企业及个人卖家设计。它功能全面,涵盖商品管理、订单处理、会员系统、支付集成、物流跟踪等核心电商模块,支持多语言、多货币及灵活的模板定制,满足个性化需求。系统采用模块化设计,便于二次开发与功能扩展,
继续阅读漏洞预警 | 润申企业标准化管理系统SQL注入漏洞
漏洞预警 | 润申企业标准化管理系统SQL注入漏洞 浅安 浅安安全 2025-05-13 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 润申信息科技企业标准化管理系统通过给客户提供各种灵活的标准法规信息化管理解决方案,帮助他们实现了高效的标准法规管理,完成个性化标准法规库的信息化建设。 0x03 漏洞详情 漏洞类型: SQL
继续阅读小皮面板从未授权到RCE
小皮面板从未授权到RCE 原创 clockwise Clock安全 2025-05-12 12:37 影响版本:XPanel v1.3.3之前 存在鉴权绕过,可构造恶意请求直接访问后台管理接口,结合任意文件下载获取数据库文件,并提取ssh私钥,实现RCE。 fofa:icon_hash=”-1458616391″ 绕过安全入口及未授权进入后台 由于小皮面板有安全入口,访问登
继续阅读【安全圈】黑客利用微软 SharePoint 版 Copilot AI 漏洞窃取密码及敏感数据
【安全圈】黑客利用微软 SharePoint 版 Copilot AI 漏洞窃取密码及敏感数据 安全圈 2025-05-12 11:02 关键词 人工智能 微软SharePoint版本的Copilot AI近期被发现存在严重安全漏洞,让攻击者能够非法获取企业存储的密码、API密钥等核心机密资料。随着AI助手在企业中的普及应用,这类安全漏洞正带来前所未有的数据泄露风险。 攻击技术深度分析 安全机构P
继续阅读【漏洞预警】Docker Desktop信息泄露漏洞(CVE-2025-1696)
【漏洞预警】Docker Desktop信息泄露漏洞(CVE-2025-1696) cexlife 飓风网络安全 2025-05-12 10:04 漏洞描述: 在Dосkеr Dеѕktор4.39.0版本之前的版本中存在一个漏洞,可能导致通过应用程序日志无意中泄露敏感信息。在受影响的版本中,每当通过代理进行HTTP GET请求时,代理配置数据(可能包括敏感细节)会被以明文形式写入日志文件。具有读
继续阅读CNVD漏洞周报2025年第17期
CNVD漏洞周报2025年第17期 原创 CNVD CNVD漏洞平台 2025-05-12 09:38 2 0 2 5 年 0 4 月 28 日 – 2 0 2 5 年 0 5 月11 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞536个,其中高危漏洞272个
继续阅读MiSRC 端午漏洞活动开启,等你超凡出 “粽”
MiSRC 端午漏洞活动开启,等你超凡出 “粽” 小米安全中心 小米安全中心 2025-05-12 08:58 MiSRC 端午漏洞活动来啦~ 官网已更新 《小米安全中心漏洞奖励规则 V9.0》 本期有 三个活动 ,请注意测试范围以及测试内容哦 阅读下文获取详细规则~ ✦ 参与活动 ✦ 1 活动时间 ◆5月12日 – 5月21日 2 参与方式 ◆ 漏洞报告标题前标注【端午活动】 ,若
继续阅读安全热点周报:谷歌修复了 Android 上被积极利用的 FreeType 漏洞
安全热点周报:谷歌修复了 Android 上被积极利用的 FreeType 漏洞 奇安信 CERT 2025-05-12 08:55 安全资讯导视 • 中国人民银行发布《中国人民银行业务领域数据安全管理办法》 • 美国白宫发布2026财年预算提案,拟削减网络安全预算4.91亿美元 • 巴基斯坦军方声称网络攻击已使印度70%电网瘫痪,印度否认 PART01 漏洞情报 1.Elastic Kiban
继续阅读雷神众测漏洞周报2025.5.6-2025.5.11
雷神众测漏洞周报2025.5.6-2025.5.11 原创 雷神众测 雷神众测 2025-05-12 08:09 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读WordPress depicter插件 Sql注入漏洞 (CVE-2025-2011)
WordPress depicter插件 Sql注入漏洞 (CVE-2025-2011) Superhero Nday Poc 2025-05-12 08:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述
继续阅读分享一下我的漏洞挖掘经验
分享一下我的漏洞挖掘经验 原创 xiaoliangliu xiaoliangliu 2025-05-12 06:44 最近看到了一篇 Google 的模糊测试文章,发现其模糊测试的方法与我的思路有相似之处,也触发我个人想做一次总结和分享。 在进行漏洞挖掘时,我主要专注于Windows内核和应用层的模糊测试,尚未在其他方向进行太多拓展。因此我想分享一下对模糊测试 Windows 内核的经验。 目前,
继续阅读DragonForce勒索团伙正有计划地扩展其他勒索软件组织
DragonForce勒索团伙正有计划地扩展其他勒索软件组织 胡金鱼 嘶吼专业版 2025-05-12 06:00 如今勒索软件领域正在重新洗牌,一个名为“DragonForce”的犯罪团伙正试图将其他团伙纳入类似卡特尔的组织架构之中。 DragonForce现在正通过一种分布式联盟品牌模式激励其他勒索软件组织,为其他勒索软件即服务(RaaS)运营提供了一种无需承担基础设施维护成本和精力即可开展业
继续阅读一篇文章带小白从原理到靶场练习搞懂RCE命令执行漏洞
一篇文章带小白从原理到靶场练习搞懂RCE命令执行漏洞 Cauchy Cauchy网安 2025-05-12 03:05 命令执行漏洞 (Remote Command Execution, RCE)是指攻击者通过注入恶意命令,让目标服务器执行任意系统命令,从而控制服务器或获取敏感信息。 一、RCE 攻击的原理 RCE 漏洞的本质是: 服务器后端程序将用户输入的不可信数据拼接或传递给系统函数(如 sy
继续阅读