Apache CloudStack 严重漏洞可用于执行权限操作
Apache CloudStack 严重漏洞可用于执行权限操作 Guru Baran 代码卫士 2025-06-12 09:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Apache CloudStack 的热门版本中存在多个严重漏洞,可导致攻击者执行权限操作并攻陷云基础设施系统。 Apache Cloudstack 在6月10日发布安全公告,修复了5个CVE漏洞,其中两个是严重级别
继续阅读标签: 复现
突发!奔驰车载系统大面积崩溃;首个已知AI零点击漏洞细节曝光 | 牛览
突发!奔驰车载系统大面积崩溃;首个已知AI零点击漏洞细节曝光 | 牛览 安全牛 2025-06-12 09:40 新闻速览 •突发!奔驰车载系统大面积崩溃 •内存泄漏漏洞意外曝光MaaS组织DanaBot内部运作 •650个IP联合暴力攻击瞄准Apache Tomcat管理面板 •Erie保险确认遭受网络攻击,导致业务中断 •Salesforce Industry Cloud曝出20个安全漏洞,包
继续阅读工业自动化PROFINET协议库P-Net 高危漏洞预警
工业自动化PROFINET协议库P-Net 高危漏洞预警 原创 xubeining 山石网科安全技术研究院 2025-06-12 09:30 攻击者只需网络访问权限,即可让工业设备宕机、CPU100%满载,甚至完全失控! 工业自动化领域广泛使用的PROFINET协议库P-Net被曝存在10个高危漏洞!Nozomi Networks Labs最新研究发现,这些漏洞可导致设备拒绝服务、内存破坏甚至完全
继续阅读【已复现】契约锁电子签章系统远程代码执行漏洞(QVD-2025-23408)安全风险通告
【已复现】契约锁电子签章系统远程代码执行漏洞(QVD-2025-23408)安全风险通告 奇安信 CERT 2025-06-12 09:30 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 契约锁电子签章系统远程代码执行漏洞 漏洞编号 QVD-2025-23408 公开时间 2025-06-11 影响量级 万级 奇安信评级 高危 CVSS 3.1分数 9.8 威胁类型 代码执行
继续阅读创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测
创宇安全智脑 | DataEase 身份认证绕过(CVE-2025-49001)等81个漏洞可检测 原创 创宇安全智脑 创宇安全智脑 2025-06-12 09:02 创宇安全智脑 是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台。平台拥有海量真实攻防数据和安全大数据持续生产能力;结合面向多个实战场景的AI智能模型,持续汇聚、萃取和分析,实时输出高
继续阅读CVE-2025-24071 – Windows 文件资源管理器欺骗漏洞
CVE-2025-24071 – Windows 文件资源管理器欺骗漏洞 TtTeam 2025-06-12 09:01 该漏洞源于.library-msWindows资源管理器中文件的隐式信任和自动文件解析行为。未经身份验证的攻击者可以通过构建包含恶意SMB路径的RAR/ZIP文件来利用此漏洞。解压后,该文件会触发SMB身份验证请求,从而可能泄露用户的NTLM哈希值。目前,该漏洞的P
继续阅读国外某数据库管理系统存在前台任意文件上传漏洞 (CVE-2025-5840)
国外某数据库管理系统存在前台任意文件上传漏洞 (CVE-2025-5840) 原创 XingYue404 星悦安全 2025-06-12 07:10 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 客户数据库管理系统 (CDMS) 是一种功能强大且必不可少的工具,旨在 *以集中和结构化的方式存储、管理和组织客户*或客户信息**。该系统使企业能够有效地处理客户数据,包括联系方式、交易历史、通
继续阅读CVE-2024-23897 Jenkins CLI接口 任意文件读取漏洞
CVE-2024-23897 Jenkins CLI接口 任意文件读取漏洞 海狼风暴团队 2025-06-12 04:06 漏洞简述 在 Jenkins 的 CLI 接口 (jenkins-cli.jar)中,攻击者可通过在命令行参数中插入以“@”开头的路径,使 Jenkins 读取指定文件内容,进而实现任意文件读取。 受影响版本 Jenkins ≤2.441,LTS ≤2.426.2 知识拓展
继续阅读韩国VPN供应链遭M国APT植入后门!新型木马「SlowStepper」监听半导体巨头,跨境安全危机升级
韩国VPN供应链遭M国APT植入后门!新型木马「SlowStepper」监听半导体巨头,跨境安全危机升级 原创 紫队 紫队安全研究 2025-06-12 03:59 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标
继续阅读CVE-2025-33053,Stealth Falcon 和 Horus:中东网络间谍活动传奇
CVE-2025-33053,Stealth Falcon 和 Horus:中东网络间谍活动传奇 Ots安全 2025-06-12 03:57 本文深入探讨了Stealth Falcon高级持续性威胁(APT)组织近期发起的网络间谍活动。该活动利用了微软WebDAV协议中的零日漏洞(CVE-2025-33053),通过精心伪装的.url文件从受控服务器执行恶意软件。Check Point Rese
继续阅读CVE-2025-32717 Microsoft Word 远程代码执行漏洞
CVE-2025-32717 Microsoft Word 远程代码执行漏洞 Ots安全 2025-06-12 03:57 微软近期披露了一个影响 Microsoft Word 的严重安全漏洞,编号为 CVE-2025-32717。该漏洞允许远程代码执行 (RCE),攻击者可以通过诱骗受害者打开经特殊设计的 Word 文档,在受害者系统上执行任意代码。鉴于 Microsoft Word 在个人和专
继续阅读谷歌账户恢复漏洞致攻击者可获取任意用户手机号:赏金5000美元
谷歌账户恢复漏洞致攻击者可获取任意用户手机号:赏金5000美元 ni’m 黑曜网安实验室 2025-06-12 03:30 根据BruteCat安全研究人员本周披露的报告,谷歌账户恢复系统中存在一个高危漏洞,攻击者可通过精心设计的暴力破解攻击获取任意谷歌用户的手机号码。该漏洞现已被修复,其利用谷歌的无JavaScript(No-JS)用户名恢复表单绕过安全防护机制,窃取敏感个人信息。
继续阅读【安全更新】微软6月安全更新多个产品高危漏洞通告
【安全更新】微软6月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2025-06-12 03:02 通告编号:NS-2025-0033 2025-06-12 TAG: 安全更新、Windows、Microsoft Office、Azure、Microsoft Visual Studio 漏洞危害: 攻击者利用本次安全更新中的漏洞,可造成权限提升、远程代码执行等 版本: 1.
继续阅读【漏洞复现】Kafka Connect任意文件读取漏洞(CVE-2025-27817)
【漏洞复现】Kafka Connect任意文件读取漏洞(CVE-2025-27817) PokerSec PokerSec 2025-06-12 02:43 先关注,不迷路. 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞介绍 Apac
继续阅读三汇 SMG网关管理软件 9-13pcap.php 任意文件读取漏洞
三汇 SMG网关管理软件 9-13pcap.php 任意文件读取漏洞 Superhero Nday Poc 2025-06-12 02:37 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 三汇 SMG网关管
继续阅读漏洞预警 |Kafka Connect存在任意文件读取漏洞(CVE-2025-27817)
漏洞预警 |Kafka Connect存在任意文件读取漏洞(CVE-2025-27817) 原创 烽火台实验室 Beacon Tower Lab 2025-06-12 02:13 一、漏洞概述 漏洞类型 任意文件读取 漏洞等级 高 漏洞编号 CVE-2025-27817 漏洞评分 7.5 利用复杂度 低 影响版本 3.1.0 – 3.9.0 利用方式 远程 POC/EXP 未公开 近日
继续阅读Salesforce PaaS平台大规模宕机超6小时,众多网站功能受损
Salesforce PaaS平台大规模宕机超6小时,众多网站功能受损 汇能云安全 2025-06-12 01:59 6月12日,星期四,您好!中科汇能与您分享信息安全快讯: 01 Salesforce PaaS平台大规模宕机超6小时,众多网站功能受损 Salesforce旗下的平台即服务(PaaS)提供商Heroku正经历一场持续超过六小时的广泛宕机,导致开发者无法登录平台并破坏了网站功能。 H
继续阅读随着Roundcube RCE漏洞被快速利用,超过80,000台服务器受到影响
随着Roundcube RCE漏洞被快速利用,超过80,000台服务器受到影响 鹏鹏同学 黑猫安全 2025-06-12 01:20 威胁攻击者在Roundcube关键远程代码执行漏洞(CVE-2025-49113)补丁发布数日后便发起大规模利用,已波及超80,000台服务器。 Roundcube作为主流网页邮件平台,长期被APT28、Winter Vivern等高级威胁组织盯上。历史攻击案例显示
继续阅读漏洞可能导致与任意谷歌账户关联的手机号码遭泄露
漏洞可能导致与任意谷歌账户关联的手机号码遭泄露 鹏鹏同学 黑猫安全 2025-06-12 01:20 化名”brutecat”的安全研究员发现,通过滥用谷歌账户恢复功能漏洞,可暴力破解任意谷歌账户关联的手机号码。该漏洞存在于谷歌已停用的无JavaScript支持的用户名找回页面,该版本缺乏防滥用保护机制。 数月前,研究员在浏览器禁用JavaScript测试谷歌服务兼容性时,
继续阅读Roundcube RCE 漏洞被迅速利用,超过 8 万台服务器受到影响
Roundcube RCE 漏洞被迅速利用,超过 8 万台服务器受到影响 会杀毒的单反狗 军哥网络安全读报 2025-06-12 01:01 导读 Roundcube 中的一个严重远程代码执行 (RCE) 漏洞在修补几天后被利用,影响了超过 80,000 台服务器。 补丁发布几天后,威胁组织就利用了 Roundcube 中一个严重远程代码执行 (RCE) 漏洞(CVE-2025-49113 ),攻
继续阅读【复现】契约锁远程代码执行漏洞风险通告
【复现】契约锁远程代码执行漏洞风险通告 赛博昆仑CERT 2025-06-12 01:01 赛博昆仑漏洞 安全风险通告 契约锁远程代码执行漏洞 风险通告 漏洞描述 契约锁,是一个电子签章及印章管控平台,提供的电子文件具有与纸质文件一样的法律效力。平台上签署大体的流程是:由合同发起方上传需签署的合同文档,文档会进入“契约锁”的数据库,以加密形式存储;选择好所发对象后,会通过包含链接的短信、微信等方式
继续阅读深度剖析JSONP注入漏洞:JavaScript回调函数引发的会话弹窗劫持
深度剖析JSONP注入漏洞:JavaScript回调函数引发的会话弹窗劫持 tangkaixing 开心网安 2025-06-12 00:58 免责声明 由于传播、利用本公众号开心网安所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号开心网安 及作者不为此 承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢! 1 概述 在Web应用安全领域
继续阅读【PHP代审】记一次某海外酒店管理系统漏洞复现分析+0day挖掘
【PHP代审】记一次某海外酒店管理系统漏洞复现分析+0day挖掘 原创 C@ig0 菜狗安全 2025-06-12 00:31 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由 使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 文章目录 前言 漏洞复现(
继续阅读DNSLog 平台克隆版(自定义域名支持)便于内网渗透测试与痕迹收集,同时绕过部分安全设备对 dnslog.cn 的拦截。
DNSLog 平台克隆版(自定义域名支持)便于内网渗透测试与痕迹收集,同时绕过部分安全设备对 dnslog.cn 的拦截。 Secur1ty0 夜组安全 2025-06-12 00:01 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉
继续阅读【漏洞复现】九思oa漏洞之SQL注入
【漏洞复现】九思oa漏洞之SQL注入 原创 跟着斯叔唠安全 跟着斯叔唠安全 2025-06-11 23:00 免责声明 : 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1 Start 指纹 body="/jsoa/login.jsp&qu
继续阅读流行iClicker 网站遭黑客攻击,通过伪造的 CAPTCHA 向学生发送恶意软件
流行iClicker 网站遭黑客攻击,通过伪造的 CAPTCHA 向学生发送恶意软件 Rhinoer 犀牛安全 2025-06-11 16:06 流行的学生参与平台 iClicker 的网站在一次 ClickFix 攻击中遭到入侵,该攻击使用虚假的 CAPTCHA 提示诱骗学生和教师在其设备上安装恶意软件。 iClicker 是麦克米伦的子公司,是一款数字课堂工具,允许教师点名、实时提问或进行调查
继续阅读漏洞预警:用友NC loadDoc.ajax接口存在任意文件读取漏洞 附POC
漏洞预警:用友NC loadDoc.ajax接口存在任意文件读取漏洞 附POC 2025-6-11更新 南风漏洞复现文库 2025-06-11 15:36 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友NC简介 微信公众号搜索:南
继续阅读一个$1,337的漏洞
一个$1,337的漏洞 迪哥讲事 2025-06-11 12:30 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4434 **不想错过任何消息?设置星标↓ ↓ ↓ 前言 几个月前,国外白帽小哥在浏览器上禁用
继续阅读【安全圈】微软警告:Windows远程桌面服务重大漏洞(CVE-2025-32710)可被远程执行代码,影响多版本服务器系统
【安全圈】微软警告:Windows远程桌面服务重大漏洞(CVE-2025-32710)可被远程执行代码,影响多版本服务器系统 安全圈 2025-06-11 11:02 关键词 Windows 微软近日披露,Windows远程桌面服务中存在一个严重的安全漏洞(CVE-2025-32710),攻击者无需身份验证即可远程执行任意代码。该漏洞于2025年6月10日公开,CVSS评分为8.1,危害等级为“高
继续阅读安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第23期,总第41期]
安钥®「漏洞防治标准作业程序(SOP)」征文启示 [2025年第23期,总第41期] 原创 安钥 方桥安全漏洞防治中心 2025-06-11 10:00 感谢所有参与漏洞处置SOP征文活动的每一个人, 为我们共同推动漏洞处置标准化进程注入了强大的动力。 【 活 动 主 题 】 数字时代浪潮奔涌而来,网络安全已成为国家、企业和个人必须重视的工作。 每个漏洞都可能成为网络攻击的突破口。 修补漏洞的过程
继续阅读