随着Roundcube RCE漏洞被快速利用,超过80,000台服务器受到影响
随着Roundcube RCE漏洞被快速利用,超过80,000台服务器受到影响 鹏鹏同学 黑猫安全 2025-06-12 01:20 威胁攻击者在Roundcube关键远程代码执行漏洞(CVE-2025-49113)补丁发布数日后便发起大规模利用,已波及超80,000台服务器。 Roundcube作为主流网页邮件平台,长期被APT28、Winter Vivern等高级威胁组织盯上。历史攻击案例显示
继续阅读标签: 命令执行
Roundcube RCE 漏洞被迅速利用,超过 8 万台服务器受到影响
Roundcube RCE 漏洞被迅速利用,超过 8 万台服务器受到影响 会杀毒的单反狗 军哥网络安全读报 2025-06-12 01:01 导读 Roundcube 中的一个严重远程代码执行 (RCE) 漏洞在修补几天后被利用,影响了超过 80,000 台服务器。 补丁发布几天后,威胁组织就利用了 Roundcube 中一个严重远程代码执行 (RCE) 漏洞(CVE-2025-49113 ),攻
继续阅读微软 Copilot 严重漏洞可能引发零点击攻击
微软 Copilot 严重漏洞可能引发零点击攻击 会杀毒的单反狗 军哥网络安全读报 2025-06-12 01:01 导读 研究人员表示,微软 Copilot AI 工具中最近修复的一个严重漏洞可能让远程攻击者只需发送电子邮件即可窃取组织的敏感数据。 该漏洞被命名为 EchoLeak,漏洞编号为CVE-2025-32711,黑客可利用该漏洞在目标用户未采取任何行动的情况下发起攻击。 Aim Sec
继续阅读Sharp4Shell:.NET 一款集交互与横向于一体的内网渗透神器
Sharp4Shell:.NET 一款集交互与横向于一体的内网渗透神器 专攻.NET安全的 dotNet安全矩阵 2025-06-12 00:40 在红队渗透测试的过程中,内网横向移动 是获取高价值目标与深入网络核心的关键一步。如何在目标网络中高效执行命令、提权、收集信息并进一步横向,是对攻击者实战能力的深刻考验。为此,Sharp4Shell.exe 应运而生,它不仅具备交互式 Shell 支
继续阅读使用异或/或运算绕过符号过滤 — RCE-XOR(6月11日更新)
使用异或/或运算绕过符号过滤 — RCE-XOR(6月11日更新) pluvo070 Web安全工具库 2025-06-11 16:02 暗月渗透测试33 项目实战渗透合集实战项目四 完整的渗透测试实例 链接:https://pan.quark.cn/s/cff5e3567c0a =================================== 免责声明 请勿利用文章内的相关技术
继续阅读【安全圈】Outlook 高危漏洞曝光:无需用户操作即可远程执行代码,微软紧急应对 CVE-2025-47176
【安全圈】Outlook 高危漏洞曝光:无需用户操作即可远程执行代码,微软紧急应对 CVE-2025-47176 安全圈 2025-06-11 11:02 关键词 outlook 微软邮件客户端 Outlook 曝出重大安全漏洞,编号为 CVE-2025-47176,公布于 2025 年 6 月 10 日,CVSS 评分为 7.8,危害级别“重要”。该漏洞允许攻击者在目标系统上远程执行任意代码,尽
继续阅读契约锁电子签章系统RCE简单分析
契约锁电子签章系统RCE简单分析 原创 Ha1ey 安全白白 2025-06-11 10:53 契约锁电子签章系统RCE简单分析 Ha1ey@深蓝攻防实验室 本文章仅供学习交流使用,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 前言 写一下近期契约锁修复的一个漏洞 分析 契约锁分为三块服务:电子签约签署平台、电子签约管理控
继续阅读Ivanti Workspace Control硬编码密钥漏洞暴露 SQL 凭据
Ivanti Workspace Control硬编码密钥漏洞暴露 SQL 凭据 Sergiu Gatlan 代码卫士 2025-06-11 10:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Ivanti 公司发布安全更新,修复了位于该公司 Workspace Control (IWC) 解决方案中的三个高危硬编码密钥漏洞。 IWC 助力企业管理员管理桌面和应用程序,是操作系统和用
继续阅读Windows WebDAV 零日远程代码执行漏洞遭野外利用
Windows WebDAV 零日远程代码执行漏洞遭野外利用 信息安全大事件 2025-06-11 10:01 微软已确认其Web分布式创作和版本控制(WebDAV)实现中存在一个严重的零日漏洞正遭攻击者野外利用,这促使微软在2025年6月的补丁星期二发布紧急安全更新。 该漏洞编号为CVE-2025-33053,属于严重的远程代码执行(RCE)缺陷,允许未经授权的攻击者通过外部控制WebDAV中的
继续阅读Microsoft Outlook 曝高危漏洞,仅需低权限就能实施攻击
Microsoft Outlook 曝高危漏洞,仅需低权限就能实施攻击 看雪学苑 看雪学苑 2025-06-11 09:59 2025年6月10日,Microsoft Outlook 被曝出 CVE-2025-47176 高危漏洞,攻击者可借此远程执行任意代码。 此漏洞 编号为 CVE-2025-47176,被评定为 “重要” 级别,CVSS 评分高达 7.8 分,属于高风险漏洞范畴。该漏洞使得攻
继续阅读涉及66个重要漏洞!微软发布2025年6月补丁日安全通告
涉及66个重要漏洞!微软发布2025年6月补丁日安全通告 你信任的 亚信安全 2025-06-11 09:47 近日,亚信安全CERT监测到微软2025年6月补丁日发布了针对66个漏洞的修复补丁,另外有3个漏洞为第三方发布,现已包含在Microsoft 发布列表中。 其中,有 10个漏洞 被评为 紧急,57个漏洞 被评为 重要,1个漏洞 被评为 高危,1个漏洞 被评为 中危。其中共包括: 27个远
继续阅读【论文速读】| SV-TrustEval-C:评估大语言模型中的结构和语义推理以进行源代码漏洞分析
【论文速读】| SV-TrustEval-C:评估大语言模型中的结构和语义推理以进行源代码漏洞分析 原创 知识分享者 安全极客 2025-06-11 09:19 基本信息 原文标题:SV-TrustEval-C: Evaluating Structure and Semantic Reasoning in Large Language Models for Source Code Vulnerab
继续阅读警惕AI扒手:Pickai后门正通过ComfyUI漏洞传播
警惕AI扒手:Pickai后门正通过ComfyUI漏洞传播 原创 奇安信X实验室 奇安信XLab 2025-06-11 08:39 背景 目前已有境外黑客组织利用ComfyUI漏洞对我网络资产实施网络攻击,伺机窃取重要敏感数据 — 来自 国家网络安全通报中心 2025年5月27日,国家网络安全通报中心发布预警 ,指出ComfyUI存在数个高危漏洞,且已被黑客组织利用,要求企业采取防护
继续阅读CVE-2025-33073 : 反射式 Kerberos 中继攻击
CVE-2025-33073 : 反射式 Kerberos 中继攻击 独眼情报 2025-06-11 08:37 漏洞补丁日值得关注的漏洞。详细报告已上传至 github. https://github.com/mayfly42/ThreatReport/blob/main/2025-06-11-Reflective-Kerberos-Relay-Attack_RedTeam-Pentesting
继续阅读FOXCMS黔狐内容管理 命令执行漏洞 CVE-2025-29306
FOXCMS黔狐内容管理 命令执行漏洞 CVE-2025-29306 Superhero Nday Poc 2025-06-11 06:07 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 FOXCMS 接口
继续阅读等保测评十大高频漏洞:SQL 注入竟不是第一名?
等保测评十大高频漏洞:SQL 注入竟不是第一名? 原创 牛叫瘦 HACK之道 2025-06-11 02:34 在网络安全领域,等保测评(网络安全等级保护测评)是企业和机构确保信息系统合规性与安全性的重要手段。随着网络攻击技术的不断演进,传统认知中的 “高危漏洞之王” SQL 注入,在近年的等保测评中已不再稳居榜首。这一变化不仅反映了安全防护技术的进步,也揭示了新型攻击手段的崛起。本文将基于最新等
继续阅读Druid 未授权访问漏洞利用
Druid 未授权访问漏洞利用 徐志洋 玄武盾网络技术实验室 2025-06-11 02:19 免责声明:本文仅供安全研究与学习之用,严禁用于非法用途,违者后果自负。 0x00 前言 在近期的渗透测试实践中,发现某目标系统存在 Druid 监控平台的未授权访问漏洞。基于漏洞利用的常规思路,尝试通过获取有效会话凭证(Session)实现后台访问,并进一步探索系统命令执行权限的可能性。以下是漏洞发现与
继续阅读建行分行因存在多项网络安全问题被罚 | “取个快递”损失数十万 | 黑客利用iMessage零点击漏洞攻击iPhone用户
建行分行因存在多项网络安全问题被罚 | “取个快递”损失数十万 | 黑客利用iMessage零点击漏洞攻击iPhone用户 e安在线 e安在线 2025-06-11 02:01 建行分行因存在多项网络安全问题被罚 未按照规定履行客户身份识别义务;违反安全管理要求;部分机器未采取防计算机病毒的技术措施;未制定网络安全事件应急预案;未按规定办理网络安全等级保护定级、备案等9项违法行为。 《银行科技研究
继续阅读Stealth Falcon威胁组织利用微软WebDAV 0day漏洞开展间谍活动
Stealth Falcon威胁组织利用微软WebDAV 0day漏洞开展间谍活动 会杀毒的单反狗 军哥网络安全读报 2025-06-11 01:03 导读 Check Point 研究人员发现 Stealth Falcon 威胁组织利用微软零日漏洞开展网络间谍活动。 此次行动部署了一套复杂的自定义加载器和植入程序,旨在规避检测、阻碍分析,并选择性地仅在有价值的目标上激活。 2025年3月,Che
继续阅读AWS re:Inforce 2025 应用安全议题
AWS re:Inforce 2025 应用安全议题 原创 tonghuaroot RedTeam 2025-06-10 13:50 AWS re:Inforce 2025 将于6月16-18日在费城举办,主要聚焦云安全、合规性、身份管理和隐私保护。从技术议程来看,今年的应用安全(AppSec) track 内容相当丰富,涵盖了从组织层面的安全策略到具体的技术实现。 会议结构概览 本次大会包含多种
继续阅读Redis未授权漏洞复现汇总
Redis未授权漏洞复现汇总 网安探索员 网安探索员 2025-06-10 12:00 原文链接: https://www.freebuf.com/articles/web/433079.html Redis介绍 Redis是现在最受欢迎的NoSQL数据库之一,Redis是一个使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数据库,其具备如下特性: 基于内存
继续阅读【成功复现】Roundcube Webmail代码执行漏洞(CVE-2025-49113)
【成功复现】Roundcube Webmail代码执行漏洞(CVE-2025-49113) 弥天安全实验室 弥天安全实验室 2025-06-10 11:10 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 Roundcube Webmail是一款流行的开源Web邮件客户端,旨在提供用户友好的界面和强大的功能
继续阅读【漏洞通告】Apache Kafka Connect LDAP远程代码执行漏洞(CVE-2025-27818)
【漏洞通告】Apache Kafka Connect LDAP远程代码执行漏洞(CVE-2025-27818) 启明星辰安全简讯 2025-06-10 10:17 一、漏洞概述 漏洞名称 Apache Kafka Connect LDAP远程代码执行漏洞 CVE ID CVE-2025-27818 漏洞类型 RCE 发现时间 2025-06-10 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所
继续阅读【论文速读】| VADER:漏洞评估、检测、解释和修复的人工评估基准
【论文速读】| VADER:漏洞评估、检测、解释和修复的人工评估基准 原创 知识分享者 安全极客 2025-06-10 10:08 基本信息 原文标题: VADER:AHuman-EvaluatedBenchmarkforVulnerabilityAssessment,Detection,Explanation,andRemediation 原文作者: EthanTS.Liu,AustinWang
继续阅读干货 | 内网入侵溯源实战案例
干货 | 内网入侵溯源实战案例 点击关注👉 马哥网络安全 2025-06-10 09:01 1.1、入侵告警 1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着 2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功 3、测试目标网站存在shiro反序列化漏洞 1.2、上机排查 1、上机将CS木马下载下来,丢到云沙箱中运行,发现外联IP 2、根据态感的告警时间
继续阅读实战讲解 Java代码审计之 FreeMarker模版注入漏洞
实战讲解 Java代码审计之 FreeMarker模版注入漏洞 闪石星曜CyberSecurity 2025-06-10 08:38 本篇为代码审计系列SSTI服务器端模板注入漏洞理论篇-FreeMarker第八篇,看完本篇你将掌握关于FreeMarker模版注入漏洞的代码视角原理剖析、基础挖掘漏洞核心能力,看完如有技术错误欢迎评论区指正。 文章引用了FreeMarker官方介绍:http://f
继续阅读CVE-2025-49113 漏洞分析与利用方式
CVE-2025-49113 漏洞分析与利用方式 原创 4uuu Nya 奇安信天工实验室 2025-06-10 07:06 目 录 一、前 言 二、版本diff 三、复现环境 四、漏洞分析 五、总 结 一 前 言 2025年6月2日公开了一个RoundCube邮件系统中的一个RCE漏洞,信息如下: 影响版 本<1.5.10 <1.6.11 , 虽 然 是一个认证后才可以触发的漏
继续阅读利用Reverge自动化工具:提升漏洞赏金 hunting 的速度与效率
利用Reverge自动化工具:提升漏洞赏金 hunting 的速度与效率 Ots安全 2025-06-10 06:26 本文深入探讨了如何通过利用自动化工具“reverge”显著提升漏洞赏金(bug bounty) hunting的效率与成功率,特别针对当前网络安全领域日益增长的需求和挑战。文章以作者的亲身实践为基础,详细讲解了从漏洞的证明概念(PoC,例如近期在Fortinet产品中被利用的CV
继续阅读ms017-010漏洞扫描及安全检查
ms017-010漏洞扫描及安全检查 原创 simeon的文章 小兵搞安全 2025-06-10 04:05 1.1ms017-010简介 MS17-010是微软于2017年3月发布的重要安全补丁,修复了SMBv1协议中一个严重远程代码执行漏洞,MS17-010被微软评为Critical(严重)级别。2017年4月,影子经纪人(Shadow Brokers)泄露的NSA武器库中包含该漏洞利用工具“
继续阅读最新分析 | Mirai 利用 CVE-2024-3721 攻击 TBK DVR 设备
最新分析 | Mirai 利用 CVE-2024-3721 攻击 TBK DVR 设备 白帽子左一 白帽子左一 2025-06-10 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 滥用已知的安全漏洞在易受攻击的系统上部署机器人是一种广为人知的问题。许多自动化机器人会持续扫描互联网上的服务器和设备,寻找已知漏洞,
继续阅读