一行代码引发的灾难:PHP文件包含漏洞全面剖析与防御
一行代码引发的灾难:PHP文件包含漏洞全面剖析与防御 原创 VlangCN HW安全之路 2025-04-08 20:21 在Web安全领域,文件包含漏洞(File Inclusion)是一种常见但危害严重的安全缺陷。今天我们深入浅出地讲解本地文件包含漏洞(LFI)的原理、利用方式和防御措施,帮助开发者构建更安全的应用程序。 什么是LFI漏洞? LFI(Local File Inclusion),
继续阅读标签: 信息泄露
谷歌修复安卓系统中遭攻击利用的两个零日漏洞及其他60处缺陷
谷歌修复安卓系统中遭攻击利用的两个零日漏洞及其他60处缺陷 FreeBuf 2025-04-08 19:05 谷歌在2025年4月的安卓安全更新中发布了62个漏洞的补丁,其中包括两个已被定向攻击利用的零日漏洞(zero-day)。 塞尔维亚当局利用的漏洞利用链 其中一个零日漏洞是Linux内核中ALSA设备USB音频驱动程序的高危权限提升漏洞(CVE-2024-53197)。 据报道,塞尔维亚当局
继续阅读雷神众测漏洞周报2025.4.1-2025.4.6
雷神众测漏洞周报2025.4.1-2025.4.6 雷神众测 雷神众测 2025-04-08 16:54 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减
继续阅读【漏洞通告】Vite 任意文件读取漏洞(CVE-2025-31486)
【漏洞通告】Vite 任意文件读取漏洞(CVE-2025-31486) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-08 15:13 漏洞名称: Vite 任意文件读取漏洞(CVE-2025-31486) 组件名称: Vite 影响范围: Vite ≤ 4.5.11 5.0.0 ≤ Vite ≤ 5.4.16 6.0.0 ≤ Vite ≤ 6.0.13 6.1.0 ≤ Vite ≤
继续阅读MCP漏洞被利用,你的聊天记录可能已被泄露!
MCP漏洞被利用,你的聊天记录可能已被泄露! AI前沿 恒脑与AI 2025-04-08 11:45 朋友们,你是否放心地让智能助手帮你管理 WhatsApp 消息?最近,安全团队发现了一种新型攻击手段,黑客竟能绕过加密,悄悄偷走你的聊天记录! 今天我们就聊一下关于全球超27亿用户使用的类微信应用 WhatsApp和Model Context Protocol(MCP)的安全问题。 一、事件背景:
继续阅读Crushftp存在未授权访问漏洞CVE-2025-2825 附POC
Crushftp存在未授权访问漏洞CVE-2025-2825 附POC 2025-4-7更新 南风漏洞复现文库 2025-04-07 22:03 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Crushftp简介 微信公众号搜索:南风
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-31486)安全风险通告
【已复现】Vite 任意文件读取漏洞(CVE-2025-31486)安全风险通告 奇安信 CERT 2025-04-07 17:44 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-14036,CVE-2025-31486 公开时间 2025-04-03 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读安全热点周报:Apache Tomcat RCE 漏洞遭两步利用
安全热点周报:Apache Tomcat RCE 漏洞遭两步利用 奇安信 CERT 2025-04-07 17:44 安全资讯导视 • 《关键信息基础设施安全测评要求》公安行业标准发布 • 哈尔滨亚冬会赛事信息系统遭境外网络攻击超27万次,攻击源大部来自美国 • 俄乌黑客展开铁路大战,运营系统瘫痪殃及百万民众 PART01 漏洞情报 1.Zabbix groupBy SQL注入漏洞安全风险通告
继续阅读上周关注度较高的产品安全漏洞(20250331-20250406)
上周关注度较高的产品安全漏洞(20250331-20250406) 原创 CNVD CNVD漏洞平台 2025-04-07 17:32 一、境外厂商产品漏洞 1、IBM Security Verify Access信息泄露漏洞(CNVD-2025-06210) IBM Security Verify Access(ISAM)是美国国际商业机器(IBM)公司的一款提高用户访问安全的服务。该服务通过使
继续阅读Sante PACS 服务器漏洞可使远程攻击者下载任意文件
Sante PACS 服务器漏洞可使远程攻击者下载任意文件 山卡拉 嘶吼专业版 2025-04-07 13:52 最近,在 Sante PACS Server 4.1.0 版本中发现了几个严重漏洞,这使得该版本极易遭受严重的安全威胁。 这些漏洞(CVE – 2025 – 2263、CVE – 2025 – 2264、CVE – 2025
继续阅读0033. JS 漏洞赏金 2.0 Extreme Edition 2024
0033. JS 漏洞赏金 2.0 Extreme Edition 2024 Kongsec Rsec 2025-04-06 21:02 本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。 声明:本文搬运自互联网,如你是原作者,请联系我们! 标签:JS 图1: 封面 我们可以使用以下不同的工具(以下工具可以在github搜索;或点击“阅读原文”,可直接跳转): – hakr
继续阅读Apache Parquet 允许远程执行代码漏洞
Apache Parquet 允许远程执行代码漏洞 网安百色 2025-04-06 19:25 点击上方 蓝字 关注我们吧~ 已在 Apache Parquet Java 库中发现了一个严重漏洞,特别是在其 parquet-avro 模块中。 此漏洞被跟踪为 CVE-2025-30065,使系统面临潜在的远程代码执行 (RCE) 攻击。 它被评为严重,CVSS 评分为 10.0,表示严重性最高。根
继续阅读CVE-2025-24813 – Apache Tomcat 路径等效漏洞
CVE-2025-24813 – Apache Tomcat 路径等效漏洞 Ots安全 2025-04-06 19:15 描述 路径等价:’file.Name’(内部点)导致远程代码执行和/或信息泄露和/或通过 Apache Tomcat 中启用写入的默认 Servlet 添加到上传的文件中。 此问题影响 Apache Tomcat:从 11.0.0-M1 到
继续阅读震惊!Verizon 750万用户数据泄露,供应商成安全漏洞?
震惊!Verizon 750万用户数据泄露,供应商成安全漏洞? 原创 老兵 网安守护 2025-04-05 19:44 近日,BreachForums 论坛上一位名为 IntelBroker 的用户声称发布了 Verizon 通信公司的客户数据,引发广泛关注。 这名威胁者声称掌握了包含 750 万 Verizon 客户记录 的数据库。 经 The Cyber Express 媒体求证,Verizo
继续阅读CISA将Apache Tomcat路径等效漏洞列入已知被利用漏洞目录
CISA将Apache Tomcat路径等效漏洞列入已知被利用漏洞目录 FreeBuf 2025-04-05 18:03 美国网络安全和基础设施安全局(CISA)已将Apache Tomcat路径等效漏洞(编号CVE-2025-24813)列入其已知被利用漏洞(KEV)目录。该漏洞在公开概念验证(PoC)代码发布仅30小时后即遭活跃利用。 技术细节 该漏洞属于Apache Tomcat路径等效缺陷
继续阅读WinRAR新漏洞:绕过Web标记,恶意代码悄悄运行,快更新!
WinRAR新漏洞:绕过Web标记,恶意代码悄悄运行,快更新! 一个不正经的黑客 2025-04-05 10:29 WinRAR新漏洞:绕过Web标记,恶意代码悄悄运行,快更新! 你知道吗?你每天都在用的WinRAR——这款全球超过5亿人都在用的文件压缩工具,最近爆出了一个不小的漏洞,可能会让黑客绕过Windows的安全警告,偷偷在你的电脑上运行恶意代码! 简直像是给恶意软件开了一扇后门,心里想想
继续阅读600+历年攻防演练漏洞汇编!千起实战案例还原漏洞攻击链
600+历年攻防演练漏洞汇编!千起实战案例还原漏洞攻击链 Drt安全战队 Drt安全战队 2025-04-05 08:30 随着国家攻防演练行动进入实战化深水区,攻击方技术手段持续升级,传统基于漏洞评分的”打补丁式防御”已难以应对复杂攻击链威胁。在2025攻防演练即将开启之际,360漏洞云基于对2023-2024年1372起真实攻防案例 的深度分析,发布《2025攻防演练必
继续阅读ipTIME 未授权访问漏洞(CVE-2024-54764)
ipTIME 未授权访问漏洞(CVE-2024-54764) Superhero Nday Poc 2025-04-04 17:07 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 ipTIME A2004的
继续阅读ipTIME 未授权访问漏洞(CVE-2024-54763)
ipTIME 未授权访问漏洞(CVE-2024-54763) Superhero Nday Poc 2025-04-04 16:08 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 ipTIME A2004的
继续阅读【漏洞速递】Zabbix API SQL注入漏洞(CVE-2024-36465)
【漏洞速递】Zabbix API SQL注入漏洞(CVE-2024-36465) 安全狐 2025-04-03 22:56 漏洞背景 Zabbix是一款开源的网络监控和报警系统,广泛应用于监视网络设备、服务器和应用程序的性能和可用性。近日,官方披露了Zabbix API中存在的一个SQL注入漏洞(CVE-2024-36465),该漏洞允许低权限用户通过API执行任意SQL命令,可能导致数据泄露或系
继续阅读漏扫设备误报漏洞处理;数据安全事件中的 “开盒” 防护| FB甲方群话题讨论
漏扫设备误报漏洞处理;数据安全事件中的 “开盒” 防护| FB甲方群话题讨论 FreeBuf 2025-04-03 19:24 各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第252期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 话题抢先看 1、漏扫设备会将一些的特殊漏洞也写到报告之中
继续阅读【已复现】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)安全风险通告
【已复现】Zabbix groupBy SQL注入漏洞(CVE-2024-36465)安全风险通告 奇安信 CERT 2025-04-03 18:26 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Zabbix groupBy SQL注入漏洞 漏洞编号 CVE-2024-36465,QVD-2025-13797 公开时间 2025-04-02 影响量级 十万级 奇安信评级 高
继续阅读揭秘天价漏洞BrokenSesame 技术细节
揭秘天价漏洞BrokenSesame 技术细节 sule01u 黑伞安全 2025-04-03 10:47 云上攻防TOP级案例分析从0到1 – #BrokenSesame 前几天 Wiz Research 团队分享了Ingress NGINX 中未经身份验证的远程代码执行漏洞,感兴趣大家可以去看:https://www.wiz.io/blog/ingress-nginx-kubern
继续阅读2025攻防演练必看:千起实战案例、600+历年漏洞汇编!
2025攻防演练必看:千起实战案例、600+历年漏洞汇编! 360数字安全 2025-04-02 18:02 随着国家攻防演练行动进入实战化深水区,攻击方技术手段持续升级,传统基于漏洞评分的”打补丁式防御”已难以应对复杂攻击链威胁。在2025攻防演练即将开启之际,360漏洞云基于对2023-2024年1372起真实攻防案例 的深度分析,发布《2025攻防演练必修漏洞合集》
继续阅读今日更新!系统0day安全-二进制漏洞攻防(第4期)
今日更新!系统0day安全-二进制漏洞攻防(第4期) 小雪 看雪学苑 2025-04-02 17:59 更新:第四章 模糊测试工具基础使用 4.6 AFL拓展 https://www.kanxue.com/book-193-5311.htm 二进制漏洞,作为黑客攻击的一把利刃,其威胁不容小觑。它们潜藏在软件的底层代码中,一旦被利用,可能导致数据泄露、系统崩溃,甚至更严重的安全事件。为了应对这一挑战
继续阅读国际 | 运营商巨头赔偿超2.3亿元:因系统漏洞令用户损失巨额资金
国际 | 运营商巨头赔偿超2.3亿元:因系统漏洞令用户损失巨额资金 内生安全联盟 2025-04-01 18:28 3月31日消息,美国加州Greenberg Glusker律师事务所表示,该律所在针对T-Mobile的仲裁案件中成功获得3300万美元(约合人民币2.39亿元)的赔偿,该案涉及该无线运营商在SIM交换攻击中的失误。 SIM交换攻击是指威胁行为者联系受害者的无线运营商,并诱骗其员工将
继续阅读【漏洞通告】Vite 任意文件读取漏洞(CVE-2025-31125)
【漏洞通告】Vite 任意文件读取漏洞(CVE-2025-31125) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-01 17:11 漏洞名称: Vite 任意文件读取漏洞(CVE-2025-31125) 组件名称: Vite 影响范围: Vite ≤ 4.5.10 5.0.0 ≤ Vite ≤ 5.4.15 6.0.0 ≤ Vite ≤ 6.0.12 6.1.0 ≤ Vite ≤
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-31125)安全风险通告
【已复现】Vite 任意文件读取漏洞(CVE-2025-31125)安全风险通告 奇安信 CERT 2025-04-01 15:11 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-13137,CVE-2025-31125 公开时间 2025-03-31 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读网络安全—Web常见的漏洞描述与修复方案
网络安全—Web常见的漏洞描述与修复方案 网安探索员 网安探索员 2025-03-31 20:00 原文链接:https://www.hackbase.net/security/web/263198.html 常见的Web漏洞描述与修复方案: 1.SQL注入 漏洞描述 当应用程序使用输入内容来构造动态 SQL 语句以访问数据库时,如果对输入的参数没有进行严格的过滤或者过滤不完整将会导致 SQL 注
继续阅读