2025年5月企业必修安全漏洞清单
2025年5月企业必修安全漏洞清单 云鼎实验室 2025-06-10 01:34 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全
继续阅读标签: 命令执行
神州数码云科信息 DCN 防火墙后台 Ping 命令执行漏洞
神州数码云科信息 DCN 防火墙后台 Ping 命令执行漏洞 HK安全小屋 2025-06-09 15:05添加文章 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 神州数码DCN系统是一种网络交换机系统,具有高性能和可靠性。它采
继续阅读记一次实战日穿整个系统getshell-共九个漏洞
记一次实战日穿整个系统getshell-共九个漏洞 原创 猎洞时刻 猎洞时刻 2025-06-09 12:12 免责声明 本课程旨在培养具备合法合规网络安全技能的白帽子安全研究人员,专注于网络安全漏洞挖掘与防护技术。任何参与本课程的学员,均需承诺遵守国家法律法规,严格遵守网络安全行业的道德规范。 严禁黑灰产及违法行为:本课程严禁任何从事黑
继续阅读CVE-2025-26319:FlowiseAI未授权任意文件写入漏洞
CVE-2025-26319:FlowiseAI未授权任意文件写入漏洞 白帽子 2025-06-09 10:35 关注我们❤️,添加星标🌟,一起学安全! 作者:Howell@Timeline Sec 本文字数:4617 阅读时长:3~5mins 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负。 0x01 简介 FlowiseAI 是一款开源的低代码/无代码工具,用于快速构建基于大语言模
继续阅读APT-C-56(透明部落)针对Linux系统的DISGOMOJI变体攻击活动分析
APT-C-56(透明部落)针对Linux系统的DISGOMOJI变体攻击活动分析 原创 高级威胁研究院 360威胁情报中心 2025-06-09 10:17 APT-C-56 透明部落 APT-C-56(#透明部落 )(即Transparent Tribe),又称APT36、ProjectM或C-Major,是一家源自南亚的高级持续性威胁(APT)组织。该组织的主要攻击区域集中于印度及其周边国家
继续阅读DataEase 远程代码执行漏洞分析
DataEase 远程代码执行漏洞分析 重生之成为赛博女保安 2025-06-09 09:55 漏洞描述 DataEase 是一款开源的数据可视化分析工具,旨在帮助用户快速分析数据并洞察业务趋势,从而实现业务的改进与优化。 漏洞影响版本: DataEase < 2.10.10 漏洞详情: 在过滤H2 JDBC连接字符串时存在大小写绕过,攻击者可配合JWT鉴权逻辑缺陷,构造特定的JDBC
继续阅读上周关注度较高的产品安全漏洞(20250602-20250608)
上周关注度较高的产品安全漏洞(20250602-20250608) 原创 CNVD CNVD漏洞平台 2025-06-09 09:41 一、境外厂商产品漏洞 1、Google Chrome越界读写漏洞 Google Chrome是由谷歌公司开发的网页浏览器。Google Chrome存在越界读写漏洞,该漏洞源于V8引擎中的越界读写问题,攻击者可利用漏洞通过恶意网页触发漏洞,绕过沙箱防护实现远程代码
继续阅读CNVD漏洞周报2025年第21期
CNVD漏洞周报2025年第21期 原创 CNVD CNVD漏洞平台 2025-06-09 09:41 2 0 2 5 年 06 月02日 – 2 0 2 5 年 0 6 月08 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 中。 国家信息安全漏 洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞488个,其中高危漏洞219个、中
继续阅读安全热点周报:Google 修复了在攻击中被利用的新 Chrome 零日漏洞
安全热点周报:Google 修复了在攻击中被利用的新 Chrome 零日漏洞 奇安信 CERT 2025-06-09 09:32 安全资讯导视 • 李强签署国务院令,公布《政务数据共享条例》 • 阿里云核心域名遭“劫持”,域名安全引担忧 • 国家安全部:境外间谍对我实施网络攻击窃密愈演愈烈 PART01 漏洞情报 1.Roundcube Webmail后台代码执行漏洞安全风险通告 6月6日,奇安
继续阅读Java FreeMarker 模板引擎注入深入分析
Java FreeMarker 模板引擎注入深入分析 蚁景网安 2025-06-09 08:59 温馨提示:图片有点多,请耐心阅读哦 0x01 前言 最近和 F1or 大师傅一起挖洞的时候发现一处某 CMS SSTI 的 0day,之前自己在复现 jpress 的一些漏洞的时候也发现了 SSTI 这个洞杀伤力之大。今天来好好系统学习一手。 – • 有三个最重要的模板,其实模板引擎本
继续阅读trojan管理平台任意重置管理员密码+命令执行组合漏洞
trojan管理平台任意重置管理员密码+命令执行组合漏洞 原创 zangcc Eureka安全 2025-06-09 08:51 需要明确的是,此次研究和分享基于技术研究和提升安全意识的目的。我们旨在通过对此漏洞的 分析,帮助广大安全从业者更好地了解漏洞的成因、存在的风险,以及如何有效进行防范。 我们在 此郑重声明,本文的读者应当是出于合法、合规的目的来阅读和使用这些信息。任何未经授权使用 本文内
继续阅读代码审计之 XXE漏洞场景,及实战讲解!
代码审计之 XXE漏洞场景,及实战讲解! 闪石星曜CyberSecurity 2025-06-09 08:08 声明:文章涉及网络安全技术仅作为学习,从事非法活动与作者无关! 本篇为代码审计系列XXE漏洞理论篇第六篇,看完本篇你将掌握关于XXE漏洞的代码视角原理剖析、基础挖掘漏洞核心能力,看完如有技术错误欢迎评论区指正。 – 基本概念 XML概念 DTD概念 DOCTYPE概念 业务视
继续阅读MS12-020漏洞利用及复现
MS12-020漏洞利用及复现 原创 simeon的文章 小兵搞安全 2025-06-09 05:51 1.1MS12-020简介 MS12-020 漏洞是微软在2012年发布的一个安全更新所修复的漏洞,它涉及到Windows操作系统的远程桌面协议(RDP)。该漏洞编号为CVE-2012-0003,属于远程代码执行(RCE)类型,允许未经认证的攻击者通过发送特制的RDP数据包到开启了RDP服务的目
继续阅读突破常规!文件上传漏洞的6大隐蔽攻击面(多个高危场景剖析)|挖洞技巧
突破常规!文件上传漏洞的6大隐蔽攻击面(多个高危场景剖析)|挖洞技巧 黑白之道 2025-06-09 01:54 0x01 前言 本文系统梳理文件上传相关漏洞挖掘思路,从下载、读取、上传到导出,覆盖各类攻击场景,帮助安全研究者快速定位并利用这些漏洞,包括任意文件读取、路径穿越、XXE等高危场景,并提供实用的测试方法和绕过技巧。 参考文章: https://xz.aliyun.com/news/18
继续阅读xxl-job漏洞综合利用工具
xxl-job漏洞综合利用工具 黑白之道 2025-06-09 01:54 工具介绍 xxl-job漏洞综合利用工具 检测漏洞 1、默认口令 2、api接口未授权Hessian反序列化(只检测是否存在接口,是否存在漏洞需要打内存马验证) 3、Executor未授权命令执行 4、默认accessToken身份绕过 关于内存马 1、内存马使用了xslt,为了提高可用性提供了冰蝎Filter和Vagen
继续阅读“取个快递”,损失数十万!已接连有人中招;|黑客利用iMessage零点击漏洞攻击iPhone用户
“取个快递”,损失数十万!已接连有人中招;|黑客利用iMessage零点击漏洞攻击iPhone用户 黑白之道 2025-06-09 01:54 “取个快递”,损失数十万!已接连有人中招; “618”促销活动正在火热进行中,又到了频繁收快递的时候。如果您接到取件短信却找不到快递,或接到快递因派件不成功而被收回的短信通知,千万要提高警惕! 近日有两起电诈案例, 当事人都是在接到取快递的短信后,因没找到
继续阅读Roundcube Mail后台代码执行漏洞复现(CVE-2025-49113)及POC
Roundcube Mail后台代码执行漏洞复现(CVE-2025-49113)及POC 原创 a1batr0ss 天翁安全 2025-06-09 01:00 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面
继续阅读文件上传操作漏洞场景挖掘思路
文件上传操作漏洞场景挖掘思路 富贵安全 2025-06-09 00:00 下载读取 文件可疑ID遍历/注入 下载接口出现铭感信息的(自己独有的东西)有用户的汇集的地方就很可能存在漏洞 出现数字 ID 遍历,越权下载其他人文件, GET“POST 皆切换尝试,利用 IDOR 越权,但是有鉴权字段就无效了 userId=19230239023923232 NickName =2321932
继续阅读云安全 – k8s ingress漏洞进一步探索引发的源码层面的文件漏洞利用特性分析(golang、java、php)
云安全 – k8s ingress漏洞进一步探索引发的源码层面的文件漏洞利用特性分析(golang、java、php) 原创 lufeisec lufeisec 2025-06-09 00:00 一、前言 之前讨论过IngressNightmare,但是需要利用起来并不是那么成功,需要猜对应的nginx进程的fd,能否有一个更好用的PoC呢? IngressNightmare可以查看之
继续阅读漏洞预警 | 汉王e脸通智慧园区管理平台任意文件读取漏洞
漏洞预警 | 汉王e脸通智慧园区管理平台任意文件读取漏洞 浅安 浅安安全 2025-06-08 23:50 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 汉王e脸通综合管理平台是一个集生物识别、大数据、NFC射频、计算机网络、自动控制等技术于一体,通过“人脸卡”及关联信息实现多种功能智能管理,打造从云端到终端一体化应用,广泛应用于智慧园
继续阅读《LLM大模型越狱攻击预防与框架》第10章:未尽探索 (Unexplored Mist)
《LLM大模型越狱攻击预防与框架》第10章:未尽探索 (Unexplored Mist) 原创 李滨 锐安全 2025-06-08 23:07 《深度研究 》栏目文章 为了安全更闪耀 本文 9220 字,阅读时长约 30 分钟 导读 接上文,继续探讨 LLM大模型越狱攻击预防之道 第10章 未尽探索 (Unexplored Mist) 尽管针对大语言模型( LLM )的越狱攻击与防御技术在近年来取
继续阅读0041.我是如何接管 Vercel 子域名的
0041.我是如何接管 Vercel 子域名的 Joel I Patrick Rsec 2025-06-08 15:06 本文章仅用网络安全研究学习,请勿使用相关技术进行违法犯罪活动。 声明:本文搬运自互联网,如你是原作者,请联系我们! 标签:子域名接管 图1:封面 各位安全爱好者和漏洞赏金猎人,大家好! 我是 Joel,想分享一个关键却经常被忽视的安全问题。这次,我们将探讨一个虽然小众却至关重要
继续阅读【安全圈】黑客团伙冒充IT技术支持人员入侵Salesforce与Okta平台
【安全圈】黑客团伙冒充IT技术支持人员入侵Salesforce与Okta平台 安全圈 2025-06-08 11:00 关键词 黑客 谷歌披露新型云端攻击链:黑客团伙伪装IT支持实施语音钓鱼,瞄准欧美零售、酒店及教育行业 攻击手法升级:利用Salesforce工具+社会工程学窃取数据 谷歌威胁情报团队周三发布报告指出,一个自称“The Community ”(简称Com )的青少年黑客组织正通过语
继续阅读一款以Web与全版本服务漏洞检测为核心的辅助性主、被动扫描工具
一款以Web与全版本服务漏洞检测为核心的辅助性主、被动扫描工具 黑白之道 2025-06-08 10:24 工具介绍 一款以Web与全版本服务漏洞检测为核心的辅助性主、被动扫描工具. 1. WAF判断、指纹信息与插件扫描的联动 能够解析伪静态、XML等复杂格式中的潜在参数(Beta) 以SQLite3提供扫描记录等数据储存支持 基于Python3开源并提供全平台支持 支持IPV6解析域名(Beta
继续阅读【成功复现】vBulletin远程代码执行漏洞(CVE-2025-48827&CVE-2025-48828)
【成功复现】vBulletin远程代码执行漏洞(CVE-2025-48827&CVE-2025-48828) 原创 弥天安全实验室 弥天安全实验室 2025-06-08 00:01 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 Internet Brands vBulletin是Internet
继续阅读潜伏十年的严重漏洞:CVE-2025-49113 Roundcube 反序列化漏洞原理与 gadget 构造深度分析
潜伏十年的严重漏洞:CVE-2025-49113 Roundcube 反序列化漏洞原理与 gadget 构造深度分析 原创 KCyber 自在安全 2025-06-07 23:30 漏洞概述 近日官方披露 Roundcube 邮件系统中存在一个潜伏了10 年之久的严重漏洞,虽然只有认证后才能触发,但CVSS 评分仍然高达9.9 分。由于Roundcube 自定义的session 序列化与反序列化函
继续阅读网络安全人士必知的 AWVS 漏洞扫描工具
网络安全人士必知的 AWVS 漏洞扫描工具 原创 承影 兰花豆说网络安全 2025-06-07 15:51 随着网络攻击手段的日益复杂,网站安全成为信息安全防护的重要一环。Web 应用作为企业对外开放的重要窗口,也是攻击者的重点目标。SQL 注入、跨站脚本(XSS)、文件包含、命令执行等常见漏洞频频出现在安全事件中。因此,选择一款高效、全面的 Web 漏洞扫描工具对安全人员来说至关重要。AWVS(
继续阅读赚取50000美元的5个顶级 XSS PoC
赚取50000美元的5个顶级 XSS PoC Z2O安全攻防 2025-06-07 14:39 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 通过 5 个顶级 PoC 学习精英白帽寻找 XSS 的方法与技巧。 PoC1:文件上传+CSRF 寻找易受攻击的端点 在支持聊天功能的窗口拦截文
继续阅读【攻防实战】phpmyadmin-RCE集锦
【攻防实战】phpmyadmin-RCE集锦 原创 平凡安全 平凡安全 2025-06-07 12:00 「phpmyadmin反序列化漏洞」 「漏洞描述」 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码。 「影响范围」 2.x 「实战过程」 访问 http://x.x.x 抓包,修改发送如下数据包,即可读取/etc/passwd: POS
继续阅读CVE-2025-48827|vBulletin远程代码执行漏洞(POC)
CVE-2025-48827|vBulletin远程代码执行漏洞(POC) alicy 信安百科 2025-06-07 10:50 0x00 前言 vBulletin是一个强大,灵活并可完全根据自己的需要定制的商业论坛程序(非开源),它使用PHP脚本语言编写,并且基于以高效和高速著称的数据库引擎MySQL。 0x01 漏洞描述 调用受保护的API控制器 replaceAdTemplat 执行未授权
继续阅读