FreeBuf周报 | CVE漏洞数据库项目面临停摆危机;Apache Roller 高危漏洞改密后会话仍有效 FreeBuf 2025-04-19 10:02 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 🔐美国国土安全部终止资助,CVE漏洞数据库项目面临停摆危机 🛡️美国CISA紧急拨款维持CVE漏洞数据
继续阅读CVE-2025-27218|Sitecore CMS远程代码执行漏洞 alicy 信安百科 2025-04-19 10:00 0x00 前言 Sitecore Experience Platform™ (XP) 是一款基于.NET WebForm技术构建的内容管理系统,可以将客户数据、分析、人工智能与营销自动化功能相结合,在任何渠道上实时提供个性化的内容,从而在客户旅程中与客户建立良好的关系。
继续阅读某短视频矩阵营销系统前台RCE漏洞审计 原创 Swimt 星悦安全 2025-04-19 05:19 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 Fofa语句:请见文末 搭建完之后长这样. ThinkPHP框架,需要将目录设置为Public. 这套系统洞挺多的,大家可以研究学习一下 目录结构 控制器全都是简单的eval加密: 0x01 前台任意文件读取+SSRF 在 /applica
继续阅读IngressNightmare:揭秘CVE-2025-1974 Kubernetes RCE漏洞 原创 mag1c7 山石网科安全技术研究院 2025-04-19 01:00 Kubernetes安全警报:一个漏洞,足以颠覆你的容器帝国! 在云计算和容器化技术日益成熟的今天,Kubernetes作为容器编排的领头羊,其安全性一直是社区关注的焦点。然而,最近发现的一个名为IngressNightm
继续阅读漏洞预警 | JieLink+智能终端操作平台SQL注入漏洞 浅安 浅安安全 2025-04-19 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 捷顺JeLink+智能终端操作平台是捷顺历经多年行业经验积累,集智能硬件技术视频分析技术、互联网技术等多种技术融合,基于B/S架构,实现核心业务处理模型的搭建;基于C/S架构实现岗
继续阅读Java XXE 防护实战:常见漏洞场景与防御代码全收录 原创 火力猫 季升安全 2025-04-18 13:50 🛡️ Java XXE 防护示例与详解 本文件涵盖常见 Java XML 解析器的 XXE 安全配置方法,适用学习和辅助判断审计目标是否存在XXE问题: – 💥 默认行为 ⚠️ 潜在风险 ✅ 防护方式 👨💻 防护代码 📘 1. DocumentBuilderFactor
继续阅读【安全圈】Erlang/OTP SSH 远程代码执行漏洞 PoC 漏洞利用发布 安全圈 2025-04-18 11:01 关键词 安全漏洞 安全业界正面临一场前所未有的挑战——研究人员日前确认Erlang/OTP的SSH实现存在一个可导致远程代码执行的严重漏洞(CVE-2025-32433),该漏洞已被评定为CVSS最高分10.0的危险等级。攻击者无需任何认证即可执行任意代码,完全控制系统。 这一
继续阅读美国CISA紧急续约CVE项目,确保漏洞披露机制不中断 SOC 赛欧思安全研究实验室 2025-04-18 03:09 – 娱乐服务巨头传奇国际公司披露数据泄露事件 娱乐场所管理公司传奇国际公司(Legends International)警告说,该公司在 2024 年 11 月遭遇了数据泄露事件,员工和参观过其管理的娱乐场所的人都受到了影响。 来源: BleepingComputer
继续阅读MCP安全检查清单:AI⼯具⽣态系统安全指南 | Windows 11高危漏洞:300毫秒即可提权至管理员 e安在线 e安在线 2025-04-18 03:09 MCP安全检查清单:AI⼯具⽣态系统安全指南 本清单涵盖多个领域安全要点,旨在帮助开发者识别潜在风险并加以防范。 背景 本安全检查清单由 @SlowMist_Team 编写并维护。 – 慢雾科技作为全球领先的区块链生态威胁情报
继续阅读某事业单位多处越权漏洞测试 实战安全研究 2025-04-18 01:00 前言 一般小程序都是都比较好测试,因为不像单纯的WEB网站一样需要登录后台或者注册进入才有比较多的功能点进行测试,反之小程序只需要访问就有大把的功能点进行测试,这次小程序就是功能点贼多。 信息泄露 这里访问小程序发现功能点很多,其中有一个群众点单功能点 点击进入发现很多的志愿活动相关页面,随便点击一处 抓包,哎嘿发现存在信
继续阅读【代码审计】某友云平台远程命令执行漏洞 原创 WL Rot5pider安全团队 2025-04-18 00:39 点击上方蓝字 关注安全知识 引 言 此漏洞未公开未公开漏洞 某友云平台远程命令执行漏洞 漏洞概述 xxx云平台存在未授权SQL注入漏洞,攻击者可通过构造恶意JSON请求实现数据库版本信息泄露,进而可能获取服务器控制权限。 影响版本 复现环境 参数 值 请求方式
继续阅读若依Vue漏洞检测工具v4更新 kk12-30 Hack分享吧 2025-04-18 00:30 声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推送,建议大家把 ” Hack分享吧 “ 设为星标 , 否则可能看不到了 ! 工具介绍 若依Vue漏洞检测工具, v3
继续阅读漏洞预警 | 科拓全智能停车收费系统SQL注入漏洞 浅安 浅安安全 2025-04-18 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 科拓全智能停车收费系统是一套先进的停车场管理系统,它集成了计算机、网络设备、车道管理设备等多种技术,旨在实现对停车场车辆出入、场内车流引导、以及停车费收取的智能化管理。 0x03 漏洞详情
继续阅读英国政府发布网络安全漏洞调查 原创 铸盾安全 河南等级保护测评 2025-04-17 16:00 英国科学、创新和技术部探讨了随着网络钓鱼和勒索软件的演变,英国的网络弹性如何面临新的压力 为了让政府和行业领导者获得在英国建立更具网络弹性的组织所需的洞察力,英国科学、创新和技术部发布了《2025年网络安全漏洞调查》。 该报告详细概述了英国企业的网络安全状况,详细介绍了风险管理方法、网络安全意识趋势以
继续阅读服务器被控的幕后黑手:远程文件包含漏洞深度揭秘 原创 VlangCN HW安全之路 2025-04-17 11:13 在网络安全的世界里,文件包含漏洞是一种常见却危险的安全隐患。今天,我们将以通俗易懂的方式,深入浅出地介绍远程文件包含漏洞的原理、危害及防护方法。 什么是远程文件包含? 想象一下,你的网站就像一本活页笔记本,可以随时插入新的页面。正常情况下,你只会插入自己写的笔记页。但如果笔记本有缺
继续阅读创宇安全智脑 | Optilink upgrade.php 远程命令执行等61个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-04-17 08:05 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价
继续阅读【已发现在野利用】Apple iOS 与 iPadOS 多个在野高危漏洞安全风险通告 奇安信 CERT 2025-04-17 06:06 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apple iOS 与 iPadOS 多个在野高危漏洞 漏洞编号 CVE-2025-31200、CVE-2025-31201 公开时间 2025-04-16 影响量级 十万级 奇安信评级 高危
继续阅读渗透测试|柳暗花明(记一次有趣的高危漏洞以及思考修复方案) 原创 爱州 州弟学安全 2025-04-17 02:57 本篇文章共 2600字,完全阅读全篇约 3 分钟 州弟学安全,只学有用的知识 前言 前段时间做渗透,客户对项目要求很严,一般情况下连XSS/注释泄露信息也不行的这种,所以挖洞这种就比较难挖了 为什么?因为在这之前,会进入等保流程->基线核查->N次主机漏扫和WEB漏扫,
继续阅读开发者注意!Vite框架曝高危漏洞,你的项目受影响了吗?(含poc和批量脚本) 原创 淮橘安全 淮橘安全 2025-04-17 02:23 声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,淮橘安全及文章作者不为此承担任何责任。 现在只对常读和星标的公众号才展示大图推送,建议大家能把 “ 设为星标 ”, 否则可能就看
继续阅读漏洞预警| Windows任务计划程序漏洞可避开UAC执行高权限命令 SecHub网络安全社区 2025-04-17 01:43 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件
继续阅读CVE编号在招手!23个JS漏洞挖掘技巧! 原创 牛叫瘦 HACK之道 2025-04-17 00:03 随着Web应用与Node.js的爆发式增长,JavaScript已成为现代数字生态的核心语言,其安全边界直接关系着数十亿用户的数据安全。XSS跨站脚本、原型链污染、SSRF服务端请求伪造等漏洞的持续涌现,不断暴露着动态语言特性与复杂依赖带来的安全隐患。攻击者利用JS弱类型、原型继承等特性构造的
继续阅读漏洞预警 | UNA CMS PHP对象注入漏洞 浅安 浅安安全 2025-04-17 00:00 0x00 漏洞编号 – # CVE-2025-32101 0x01 危险等级 – 高危 0x02 漏洞概述 UNA CMS是一款基于PHP和MySQL的开源内容管理系统。 0x03 漏洞详情 CVE-2025-32101 漏洞类型: 对象注入 影响: 任意文件访问或修改、信息
继续阅读综合后渗透工具e0e1-config|漏洞探测 eeeeeeeeee-code 渗透安全HackTwo 2025-04-16 16:01 0x01 工具介绍 e0e1-config 是一款后渗透工具,主要用于提取浏览器、数据库连接、远程桌面工具等的敏感信息。它支持提取 Firefox 和 Chromium 内核浏览器的浏览记录、下载记录、书签、cookie 和用户密码,同时可以获取 Windows
继续阅读Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727) 柠檬赏金猎人 2025-04-16 15:10 概述 CVE-2025-30727 是一个高危漏洞,存在于 Oracle E-Business Suite 的 Oracle Scripting 产品(iSurvey 模块)。攻击者可通过 HTTP 访问利用此漏洞,未经认证即可完全控制受影响系统,可能导致
继续阅读啥情况?!想让CVE董事会成员意识到一个重要的潜在问题?!震惊全球最大漏洞库出现危机?! 原创 梅苑 梅苑安全 2025-04-16 13:38 尊敬的 CVE董事会成员: 我们想让您意识到一个重要的潜在问题,与 MITRE 的持久支持 CVE。 2025年4月16日(星期三),MITRE开发、运营和现代化CVE及其他几个相关项目(如CWE)的当前合同途径将到期。政府继续作出相当大的努力,继续发挥
继续阅读Apache Roller 未经授权的访问漏洞 网安百色 2025-04-16 11:37 点击上方 蓝字 关注我们吧~ 在 Apache Roller 中发现了一个严重的安全漏洞,允许攻击者在更改密码后保持对博客系统的未经授权的访问。 漏洞 CVE-2025-24859 已获得 CVSS v4 的最高评分 10,表明受影响的系统面临严重风险。 该安全漏洞源于 Apache Roller 版本 1
继续阅读【漏洞处置SOP】FasterXML jackson-databind 信息泄露漏洞(CVE-2019-14439) 原创 Eason 方桥安全漏洞防治中心 2025-04-16 10:01 01 SOP基本信息 SOP名称: CVE-2019-14439|FasterXML jackson-databind 信息泄露漏洞处置标准作业程序(SOP) 版本: 1.0 发布日期: 2024-08-22
继续阅读记一次前端js加解密泄露引发的漏洞 C4安全团队运营 不秃头的安全 2025-04-16 09:54 记一次前端js加解密泄露引发的漏洞 前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。还在学怎么挖通用漏洞和src吗?知识星球在最下方,续费也有优惠私聊~~考安全证书请联系vx咨询。 前端js中往往存有前后端交互时候的加密方法,
继续阅读Apache Roller 漏洞让攻击者获得未经授权的访问 邑安科技 邑安全 2025-04-16 08:45 更多全球网络安全资讯尽在邑安全 在 Apache Roller 中发现了一个严重的安全漏洞,允许攻击者在更改密码后保持对博客系统的未经授权的访问。 漏洞 CVE-2025-24859 已获得 CVSS v4 的最高评分 10,表明受影响的系统面临严重风险。 该安全漏洞源于 Apache
继续阅读