思科修补启用 Root CmdExec 和 PrivEsc 的关键 ISE 漏洞
思科修补启用 Root CmdExec 和 PrivEsc 的关键 ISE 漏洞 信息安全大事件 2025-02-06 12:08 Cisco 发布了更新,以解决身份服务引擎 (ISE) 的两个关键安全漏洞,这些漏洞可能允许远程攻击者在易受攻击的设备上执行任意命令并提升权限。 漏洞如下: – CVE-2025-20124(CVSS 评分:9.9)- 思科 ISE API 中存在不安全的
继续阅读标签: 信息泄露
思科披露两个严重的身份服务引擎漏洞
思科披露两个严重的身份服务引擎漏洞 跳舞的花栗鼠 FreeBuf 2025-02-06 11:02 思科公司披露了其身份服务引擎(ISE)软件中的两个关键漏洞,CVE-2025-20124和CVE-2025-20125,CVSS评分分别为9.9和9.1,严重性评级极高。这两个漏洞可能允许已认证的攻击者执行以下操作:远程任意命令执行、系统权限提升以及配置参数篡改。 截至目前,思科产品安全事件响应团队
继续阅读HVV实战课程与超值福利
HVV实战课程与超值福利 原创 ZPZ安全团队 ZeroPointZero安全团队 2025-02-06 10:23 P ART.01/ 课程简介 欢迎加入HVV行动实战课程,这是一门为网络安全爱好者和安全从业者量身打造的高端课程,专注于红蓝对抗技能的深入学习和实践应用。无论你是刚刚踏入网络安全领域的初学者,还是经验丰富的专业人士,这门课程都将带你深入探索网络攻防的精髓,为你提供从基础知识到高级技
继续阅读Elon Musk团队操作引发美国政府数据安全危机与网络安全漏洞担忧;2024 网安(亏损)TOP 10 | 牛览
Elon Musk团队操作引发美国政府数据安全危机与网络安全漏洞担忧;2024 网安(亏损)TOP 10 | 牛览 安全牛 2025-02-06 09:26 新闻速览 2024 网安(亏损)TOP 10 Backline利用人工智能解决企业安全积压问题 Zyxel 路由器遭受 CVE-2024-40891 攻击,确认不再提供补丁;Netgear 发布关键漏洞修复 Grubhub 因第三方服务提供商
继续阅读同学,XXE漏洞了解一下
同学,XXE漏洞了解一下 原创 Caigensec 菜根网络安全杂谈 2025-02-06 04:09 点击标题下「蓝色微信名」可快速关注 免责声明:本文仅用于合法范围的学习交流,若使用者将本文用于非法目的或违反相关法律法规的行为,一切责任由使用者自行承担。请遵守相关法律法规,勿做违法行为!本公众号尊重知识产权,如有侵权请联系我们删除。 01 漏洞介绍 1、XXE概念 XXE(XML Extern
继续阅读AMD SEV 漏洞允许以管理员身份恶意注入 CPU 微码
AMD SEV 漏洞允许以管理员身份恶意注入 CPU 微码 汇能云安全 2025-02-06 02:34 2月6日,星期四,您好!中科汇能与您分享信息安全快讯: 01 PlushDaemon APT 在供应链攻击中以韩国 VPN 提供商为目标 根据 ESET 的新调查结果,一个以前未记录的与中国结盟的高级持续威胁 (APT) 组织 PlushDaemon 与 2023 年针对韩国虚拟专用网络 (V
继续阅读DCCE MAC1000 PLC漏洞测试总结二
DCCE MAC1000 PLC漏洞测试总结二 NEURON SAINTSEC 2025-02-06 02:02 1. PLC指令可被利用发起蠕虫传播 **** 问题名称 PLC“自由通讯指令”可被利用发起蠕虫传播 检测工具 Arpspoof Python PLC_Config 问题描述 通过劫持PLC_Config下载程序流程,篡改PLC下载程序内容,导致PLC向局域网设备发送任一带功能报文(
继续阅读全球超过 660,000 个 Rsync 服务器遭受代码执行漏洞攻击
全球超过 660,000 个 Rsync 服务器遭受代码执行漏洞攻击 Rhinoer 犀牛安全 2025-02-05 16:00 全球超过 660,000 台暴露的 Rsync 服务器可能受到六个新漏洞的攻击,其中包括一个严重程度极高的堆缓冲区溢出漏洞,该漏洞允许在服务器上执行远程代码。 Rsync 是一个开源文件同步和数据传输工具,因其执行增量传输的能力而受到重视,从而减少了数据传输时间和带宽使
继续阅读NVIDIA GPU 显示驱动程序漏洞
NVIDIA GPU 显示驱动程序漏洞 网安百色 2025-02-05 11:31 点击上方 蓝字 关注我们吧~ NVIDIA发布了关键安全更新,修复其GPU显示驱动程序和vGPU软件中的多个漏洞,影响Windows和Linux系统。 其中包括CVE-2024-0149,这是一个存在于Linux平台NVIDIA GPU显示驱动程序中的漏洞,攻击者可能通过该漏洞未经授权访问文件。 这些漏洞在2025
继续阅读Git交互式凭证提示和凭据重定向漏洞CVE-2024-50349 CVE-2024-52006
Git交互式凭证提示和凭据重定向漏洞CVE-2024-50349 CVE-2024-52006 SecHub网络安全社区 2025-02-05 09:06 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权
继续阅读一次OSS存储桶的任意数据上传挖掘
一次OSS存储桶的任意数据上传挖掘 白帽子左一 白帽子左一 2025-02-05 07:28 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 第一步:识别目标 在随意浏览目标网站时,我遇到了一个 403 Forbidden 响应。 img 第二步:技术检测 我使用 Wappalyzer 浏览器扩展来分析目标所使用的技术。结果
继续阅读警惕!黑客利用政府网站漏洞发动钓鱼攻击,全球多国受害
警惕!黑客利用政府网站漏洞发动钓鱼攻击,全球多国受害 原创 紫队 紫队安全研究 2025-02-05 04:00 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 近日,网络安全研究机构 Cofense I
继续阅读【漏洞复现】锐明技术Crocus系统存在任意文件读取
【漏洞复现】锐明技术Crocus系统存在任意文件读取 什么安全 什么安全 2025-02-05 01:47 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 产品描述 深圳市锐明技术股份有限公司锐明技术Crocus系统融合了锐明
继续阅读【漏洞预警】招标采购平台存在未授权访问
【漏洞预警】招标采购平台存在未授权访问 原创 什么安全 什么安全 2025-02-05 01:25 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 产品介绍 上海汇招信息技术有限公司,是我国领先的集供应链管理咨询、项目实施、平
继续阅读7-Zip MotW 绕过漏洞被用于针对乌克兰的0day攻击
7-Zip MotW 绕过漏洞被用于针对乌克兰的0day攻击 会杀毒的单反狗 军哥网络安全读报 2025-02-05 01:00 导读 自 2024 年 9 月以来,俄罗斯黑客利用 7-Zip 漏洞作为 0 day漏洞武器,该漏洞允许攻击者绕过 Windows 安全功能 Mark of the Web (MotW)。 据趋势科技研究人员称,该漏洞被用于针对乌克兰政府和私人组织的 SmokeLoad
继续阅读420万台主机面临安全风险!VPN、路由器等设备因隧道协议漏洞暴露
420万台主机面临安全风险!VPN、路由器等设备因隧道协议漏洞暴露 原创 Hankzheng 技术修道场 2025-02-05 00:16 近日,一项由Top10VPN与比利时鲁汶大学教授Mathy Vanhoef合作的研究揭示,多个隧道协议存在严重安全漏洞 ,可能导致攻击者对420万台主机发起多种攻击,其中包括VPN服务器、ISP家用路由器、核心互联网路由器、移动网络网关以及内容分发网络(CDN
继续阅读五眼联盟发布网络边缘设备安全指导,强调取证可见性
五眼联盟发布网络边缘设备安全指导,强调取证可见性 原创 网空闲话 网空闲话plus 2025-02-04 23:04 2025年2月4日,英国、澳大利亚、加拿大、新西兰和美国的“五眼”网络安全机构联合发布指导文件,呼吁网络边缘设备制造商提高取证可视性,以帮助防御者检测攻击并调查违规行为。相关文件包括《网络设备和器具生产商的数字取证和保护监测规范指南》和《边缘设备的安全注意事项(ITSM.80.10
继续阅读【焕新领先】捷普漏洞扫描系统
【焕新领先】捷普漏洞扫描系统 交大捷普 2025-02-04 01:00 捷普漏洞扫描系统 产品特点 01 丰富的漏洞库资源 NVAS的漏洞知识库量级为300000条,涵盖了各种主流操作系统、应用服务、数据库、网络设备、虚拟化平台、大数据、视频监控系统等。漏洞知识库数量国内领先,每两周至少升级一次。漏洞相关信息支持全中文,兼容CVE,CNNVD等标准,漏洞修复建议清晰、详细,可操作性强。 02 结
继续阅读【burpsuite靶场-服务端4】命令注入漏洞
【burpsuite靶场-服务端4】命令注入漏洞 原创 underatted 泷羽Sec-underatted安全 2025-02-03 14:38 免责声明: 由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我会立即删除并致歉。谢谢! 1.简介 在本节中,我们将解释什么是操作系统
继续阅读联发科发布公告CVE-2025-20633可能导致远程代码执行
联发科发布公告CVE-2025-20633可能导致远程代码执行 独眼情报 2025-02-03 12:54 联发科技产品安全公告包含影响联发科技智能手机、平板电脑、AIoT、智能显示屏、智能平台、OTT、计算机视觉、音频和电视芯片组的安全漏洞的详细信息。设备 OEM 在发布前至少两个月就已收到所有问题和相应安全补丁的通知。已识别漏洞的严重程度是根据通用漏洞评分系统版本 3.1 (CVSS v3.1
继续阅读AI驱动API漏洞激增1205%,企业安全面临空前挑战!
AI驱动API漏洞激增1205%,企业安全面临空前挑战! 原创 紫队 紫队安全研究 2025-02-03 03:59 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。 🔍 API安全成为网络安全新战场,AI
继续阅读500 美元的漏洞:Censys 搜索如何引导我获得快速漏洞赏金
500 美元的漏洞:Censys 搜索如何引导我获得快速漏洞赏金 hai dragon 安全狗的自我修养 2025-02-03 03:22 侦查是道德黑客攻击和漏洞赏金猎杀的支柱 — 跳过它,您将告别轻松支付。Censys Search、Shodan、Nmap 和 Burp Suite 等工具是发现安全漏洞的终极武器,从配置错误的服务器和开放端口到默认凭据和暴露的 API。Recon 不仅重要,它
继续阅读FUZZ出来的一系列漏洞
FUZZ出来的一系列漏洞 原创 hacker30 hacker30 2025-02-02 12:43 前言:在平常挖洞过程中,不乏很快就能出成果,也不乏测试很长一段时间都一无所获,心态容易受到影响,陷入自我怀疑。但我们只需要静下心来,充分利用收集的所有信息,多尝试新的思路,也许就会有出其不意的效果。 1、在访问测试站点时,抓取到这么一个接口的数据包: /xxx-athene/system/logi
继续阅读时间强盗漏洞:ChatGPT绕过敏感话题安全防护
时间强盗漏洞:ChatGPT绕过敏感话题安全防护 黑白之道 2025-02-02 02:16 一种名为“时间强盗”(Time Bandit)的ChatGPT越狱漏洞,允许用户在询问敏感话题的详细说明时绕过OpenAI的安全指南。 这些敏感话题包括武器制造、核话题信息以及恶意软件创建等。 该漏洞由网络安全和人工智能研究员David Kuszmar发现。他发现ChatGPT存在“时间混淆”问题,这使得
继续阅读Burpsuite存储桶配置不当漏洞检测插件
Burpsuite存储桶配置不当漏洞检测插件 黑白之道 2025-02-02 02:16 01 工具介绍 存储桶相关配置检测自动化,访问目标网站将会自动检测,如:访问的网站引用存储桶上的静态资源,就会触发检测逻辑,将指纹识别方式修改了下,通过server头及域名中的一个方式进行判断,另外由于敏感信息误报较多,已经取消了。 导入burpsuite 存储桶相关配置问题检测结果同步到bp的issue 检
继续阅读WVP-GB28181摄像头管理平台user信息泄露漏洞
WVP-GB28181摄像头管理平台user信息泄露漏洞 原创 骇客安全 骇客安全 2025-01-31 04:02 漏洞描述WVP-GB28181摄像头管理平台 user 信息泄露漏洞,攻击者可利用此漏洞收集敏感信息,从而为下一步攻击做准备。漏洞复现1、fofabody=”国标28181″2、部分界面如下 3、隐患url,验证如下GET /api/user/all HTT
继续阅读DeepSeek 数据库未授权访问漏洞,导致大量数据泄露
DeepSeek 数据库未授权访问漏洞,导致大量数据泄露 安全透视镜 网络安全透视镜 2025-01-31 02:37 Wiz Research 团队,近日国外爆出DeepSeek 的一套可公开访问的 ClickHouse 数据库,允许对数据库进行完全控制,包括访问内部数据。此次暴露包含超过一百万行的日志流,其中含有聊天记录、密钥、后端细节以及其他高度敏感的信息。 未授权详情 • http://o
继续阅读网络安全不是一场漏洞游戏
网络安全不是一场漏洞游戏 苏说安全 2025-01-30 23:03 网络安全公司Teleport的首席执行官Ev Kontsevoy最近撰文指出,网络安全行业集体偏离了安全的本质,陷入了一场漏洞(发现)游戏,一场劳命伤财的技术表演竞赛。 安全技术营造的安全假象 在现代网络安全领域,许多人都相信“发现的漏洞越多,安全就越有保障”。理论上,技术堆栈中加入更多工具似乎能更有效地监控攻击面。然而,现实情
继续阅读【安全预警】明源云ERP报表服务GetErpConfig存在信息泄露漏洞
【安全预警】明源云ERP报表服务GetErpConfig存在信息泄露漏洞 hyuya 安全卫士小帮手 2025-01-30 09:15 来源:https://www.ddpoc.com/DVB-2024-8341.html 产商已修复,未更新补丁的请及时更新补丁,验证脚本和方式星球内自取
继续阅读DeepSeek 数据库被攻击,国外团队已公开披露漏洞
DeepSeek 数据库被攻击,国外团队已公开披露漏洞 原创 Mstir 星悦安全 2025-01-30 07:16 点击上方 蓝字 关注我们 并设为 星标 0x01 漏洞研究 AI 初创公司 DeepSeek 最近因其开创性的 AI 模型,尤其是 DeepSeek-R1 推理模型而引起了媒体的广泛关注。该模型在性能上可与 OpenAI 的 o1 等领先的 AI 系统相媲美,并以其成本效益和效率而
继续阅读