漏洞预警 | 傲发办公通信专家系统任意文件上传漏洞
漏洞预警 | 傲发办公通信专家系统任意文件上传漏洞 浅安 浅安安全 2025-06-04 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 傲发办公通信专家系统是由深圳市傲发科技有限公司推出的,集协同办公、通信管理、客户管理等多种功能于一体,为中小企业提供一站式融合通信服务,助力企业提升办公效率、降低通信成本的综合办公通信解决方
继续阅读标签: 复现
潜伏十年!Roundcube Webmail高危漏洞让黑客随意操控你的邮箱
潜伏十年!Roundcube Webmail高危漏洞让黑客随意操控你的邮箱 原创 道玄安全 道玄网安驿站 2025-06-03 23:00 “ webmail漏洞。” PS:有内网web自动化需求可以私信 01 — 导语 2024年10月,网络安全研究人员曝光了一个潜伏长达十年的Roundcube Webmail安全漏洞。这个被标识为 CVE-2024-37383 的严重安全缺陷,影响了全球
继续阅读SRC凭什么要为“废物”白帽子的真实漏洞付费?
SRC凭什么要为“废物”白帽子的真实漏洞付费? 原创 一个不正经的黑客 一个不正经的黑客 2025-06-03 13:23 今天刷到一个瓜,某个白帽子参加了某SRC的专项漏洞活动,这个活动也非常专业哈! 一些主流大厂比如美团、腾讯、阿里这些大型SRC举办过此类似活动。 般来说,举办这类专项活动的厂商其实偏少,但通常都有一个非常明显的特征: 主办厂商会为本次活动准备非常充裕的资金支持,目的就是聚焦挖
继续阅读vBulletin replaceAdTemplate 远程代码执行漏洞 (CVE-2025-48827)
vBulletin replaceAdTemplate 远程代码执行漏洞 (CVE-2025-48827) Superhero Nday Poc 2025-06-03 12:24 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担
继续阅读SRC漏洞挖掘:别再盯着那些烂大街的姿势了!
SRC漏洞挖掘:别再盯着那些烂大街的姿势了! 龙哥网络安全 龙哥网络安全 2025-06-03 12:22 0x1 开场白:SRC挖洞,菜鸟的春天在哪儿? 别跟我说你还在死磕SQL注入、XSS那一套!大佬们早就把肉啃完了,汤都没给你剩。想在SRC或者渗透测试里混口饭吃,光靠教科书上的招式,怕是连门都摸不着。这篇文章,咱不讲高深的理论,就聊聊那些容易被忽略,但小白也能轻松上手的“冷门”漏洞。当然,别
继续阅读【风险通告】Roundcube Webmail存在反序列化漏洞(CVE-2025-49113)
【风险通告】Roundcube Webmail存在反序列化漏洞(CVE-2025-49113) 安恒研究院 安恒信息CERT 2025-06-03 10:36 漏洞概述 漏洞名称 Roundcube Webmail存在反序列化漏洞(CVE-2025-49113) 安恒CERT评级 1级 CVSS3.1评分 9.9 CVE编号 CVE-2025-49113 CNVD编号 未分配 CNNVD编号 未分
继续阅读CVSS10分!vBulletin远程代码执行漏洞安全风险通告
CVSS10分!vBulletin远程代码执行漏洞安全风险通告 应急响应中心 亚信安全 2025-06-03 10:03 今日,亚信安全CERT监控到安全社区研究人员发布安全通告,vBulletin 存在两个远程代码执行漏洞,编号为 CVE-2025-48827和CVE-2025-48828。 这两个漏洞虽然在原理上有所不同,但都可以导致执行任意代码,并允许攻击者通过发送特制的请求进行利用。具体而
继续阅读CNVD漏洞周报2025年第20期
CNVD漏洞周报2025年第20期 国家互联网应急中心CNCERT 2025-06-03 09:27 2 0 2 5 年 0 5 月26 日 – 2 0 2 5 年 0 6 月01 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为 高。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞425个,其中高危漏洞251个、中
继续阅读上周关注度较高的产品安全漏洞(20250526-20250601)
上周关注度较高的产品安全漏洞(20250526-20250601) 原创 CNVD CNVD漏洞平台 2025-06-03 09:13 一、境外厂商产品漏洞 1、NETGEAR RAX30缓冲区溢出漏洞 NETGEAR RAX30是美国网件(NETGEAR)公司的一个双频无线路由器。NETGEAR RAX30存 在缓冲区溢出漏洞,该漏洞源于缺乏对用户提供的数据长度进行验证,攻击者可利用该漏洞执行任
继续阅读群晖DiskStation漏洞利用:从CVE-2024-10442到远程代码执行
群晖DiskStation漏洞利用:从CVE-2024-10442到远程代码执行 原创 GKDf1sh 山石网科安全技术研究院 2025-06-03 09:11 如何从简单的空字节写入漏洞演变为远程代码执行的致命攻击? 在网络安全领域,每一个新发现的漏洞都可能成为攻击者手中的利刃。2024年10月,安全研究人员在群晖科技(Synology)的DiskStation DS1823xs+型号设备上发现
继续阅读漏洞通告 | llama_Index SQL注入漏洞
漏洞通告 | llama_Index SQL注入漏洞 原创 微步情报局 微步在线研究响应中心 2025-06-03 08:49 漏洞概况 llama_Index是一个用于构建基于数据的LLM驱动代理的领先框架。 微步情报局获取到llama_Index SQL注入漏洞(CVE-2025-1750)。该漏洞由于llama_Index的DuckDBVectorStore组件中的ref_doc_id参数直
继续阅读粉丝福利*3《攻击网络协议:协议漏洞的发现+利用+保护》
粉丝福利*3《攻击网络协议:协议漏洞的发现+利用+保护》 异步图书 亿人安全 2025-06-03 08:12 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜不能寐的“漏洞莫扎特”——用
继续阅读当漏洞成为“数字战争”的弹药,谁能改写攻防规则?(文末赠书)
当漏洞成为“数字战争”的弹药,谁能改写攻防规则?(文末赠书) 0x6270安全团队 0x6270安全团队 2025-06-03 08:00 在虚拟与现实交织的数字战场,一次协议漏洞的触发,可能会让银行系统沦陷、电网瘫痪、国家机密泄露;而一个顶尖漏洞猎人的发现,却能让攻击链在萌芽时被斩断,让亿万用户免于暴露在暗处的屠刀之下。 这不是科幻电影的剧情,而是James Forshaw——一位让微软工程师夜
继续阅读【漏洞预警】Google Chrome 越界读写漏洞(CVE-2025-5419)
【漏洞预警】Google Chrome 越界读写漏洞(CVE-2025-5419) 原创 聚焦网络安全情报 安全聚 2025-06-03 05:29 高 危 公 告 近日,安全聚实验室监测到 Google Chrome 存在越界读写漏洞 ,编号为:CVE-2025-5419,CVSS:8.8 攻击者可构造特定代码触发内存越界访问,从而读取或写入超出预期范围的内存区域,绕过 Chrome 的沙箱隔
继续阅读【CVE-2025-20188】思科 RCE 漏洞分析
【CVE-2025-20188】思科 RCE 漏洞分析 原创 骨哥说事 骨哥说事 2025-06-03 03:02 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 ****# 防走失:https://gugesay.com/archives/4395 **不想错过任何消息?设置星标↓ ↓
继续阅读分享一款图形化的 .DS_Store文件泄露、.git目录泄露、.svn目录泄露漏洞利用工具
分享一款图形化的 .DS_Store文件泄露、.git目录泄露、.svn目录泄露漏洞利用工具 原创 白帽学子 白帽学子 2025-06-03 00:11 之前hvv期间我差点被甲方的运维经理追着跑——他们内网某台服务器突然暴露了.git历史记录,源码里连数据库密码都明文挂着。这种低级错误在红蓝对抗里可是要扣双倍分的,所以上线前我总要拿个扫雷工具过两遍。 图形化界面看着比命令行顺眼多了。上周给某电商
继续阅读专家发布了关于思科IOS XE WLC漏洞CVE-2025-20188的详细分析
专家发布了关于思科IOS XE WLC漏洞CVE-2025-20188的详细分析 鹏鹏同学 黑猫安全 2025-06-02 23:00 关于思科IOS XE WLC重大漏洞CVE-2025-20188的细节现已公开, exploitation(利用)风险随之升高。 5月初,思科发布软件更新修复了这个CVSS评分达10分的漏洞。未经身份验证的远程攻击者可利用该漏洞向受影响系统上传任意文件。 攻击者通
继续阅读vBulletin论坛软件曝出两大漏洞正遭活跃攻击
vBulletin论坛软件曝出两大漏洞正遭活跃攻击 鹏鹏同学 黑猫安全 2025-06-02 23:00 vBulletin曝出两大高危漏洞(CVE-2025-48827/CVE-2025-48828)正遭野外利用 未认证攻击者可实现API滥用与远程代码执行,全球论坛系统面临重大威胁 漏洞核心信息 CVE-2025-48827(CVSS 10.0) 影响范围 :运行于PHP 8.1+环境的vBul
继续阅读漏洞预警 | PrestaShop tshirtecommerce SQL注入漏洞
漏洞预警 | PrestaShop tshirtecommerce SQL注入漏洞 浅安 浅安安全 2025-06-02 23:00 0x00 漏洞编号 – # CVE-2023-27637 0x01 危险等级 – 高危 0x02 漏洞概述 PrestaShop是一款功能丰富、基于PHP和MySQL的开源电子商务平台,而PrestaShop tshirtecommerce是
继续阅读国产 Web 框架 Solon v2.5.11 RCE && nginxWebUI RCE
国产 Web 框架 Solon v2.5.11 RCE && nginxWebUI RCE HK安全小屋 2025-06-02 15:54 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 国产 Web 开发框架 S
继续阅读WordPress suretriggers 权限绕过漏洞 (CVE-2025-3102) 附POC
WordPress suretriggers 权限绕过漏洞 (CVE-2025-3102) 附POC Superhero Nday Poc 2025-06-02 13:13 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 0
继续阅读【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇)
【两万字原创长文】完全零基础入门Fastjson系列漏洞(基础篇) 安全有术 2025-06-02 12:26 零、前言与目录 我在学习Java漏洞的时候,感觉很痛苦,不知道从何学起,因为我的Java基础实在是太烂了,而且网上的关于这方面的文章,要么就给我这个初学者一种高深莫测、没多少基础就没法理解的感觉,要么就是写的实在是太过简略,没有系统性强、通俗易懂、小白友好的文章,于是我决
继续阅读关键 Linux 漏洞暴露了全球数百万个 Linux 系统上的密码哈希
关键 Linux 漏洞暴露了全球数百万个 Linux 系统上的密码哈希 网安百色 2025-06-02 11:29 两个严重的本地信息泄露漏洞影响着全球数百万个 Linux 系统,可能允许攻击者通过核心转储纵来提取敏感的密码数据。 Qualys 威胁研究部门 (TRU) 披露了两个针对主要 Linux 发行版上的核心转储处理程序的争用条件漏洞。第一个漏洞 CVE-2025-5054 影响 Ubun
继续阅读严重Linux漏洞致全球数百万系统密码哈希值泄露
严重Linux漏洞致全球数百万系统密码哈希值泄露 FreeBuf 2025-06-02 10:01 全球数百万Linux系统受到两个严重的本地信息泄露漏洞影响,攻击者可能通过操控核心转储(core dump)获取敏感密码数据。Qualys威胁研究部门(TRU)披露了这两个针对主流Linux发行版核心转储处理程序的竞争条件漏洞: – CVE-2025-5054: 影响Ubuntu的App
继续阅读AI 安全 近日大模型推理引擎 vLLM 暴出CVSS 9.8高危rce
AI 安全 近日大模型推理引擎 vLLM 暴出CVSS 9.8高危rce K1T0 InXSec 2025-06-02 09:53 一、CVE-2025-47277 近日 vllm的通信组件pyncclpipe 被爆出存在相关高危rce漏洞,cvss评分高达9.8分。vLLM 是一个基于 高效注意力算法(如 PagedAttention) 构建的高性能语言模型推理引擎。它专为大规模语言模型(L
继续阅读Evertz SDVN 上的远程代码执行 (CVE-2025-4009)
Evertz SDVN 上的远程代码执行 (CVE-2025-4009) Ots安全 2025-06-02 06:28 EVERTZ SDVN是一种基于IP的架构,旨在帮助广播设施、内容提供商和服务提供商构建灵活、可扩展且格式无关的基础设施。它通过软件定义网络(SDN)的理念,将视频、音频和数据的传输从传统的硬件依赖转向更灵活的IP网络。这种技术能够支持从标清(SD)、高清(HD)、3G到超高清(
继续阅读新的 Linux 漏洞允许通过 Ubuntu、RHEL、Fedora 中的核心内存转储窃取密码哈希值
新的 Linux 漏洞允许通过 Ubuntu、RHEL、Fedora 中的核心内存转储窃取密码哈希值 会杀毒的单反狗 军哥网络安全读报 2025-06-02 02:15 导读 据 Qualys 威胁研究部门 (TRU) 称,Ubuntu、Red Hat Enterprise Linux 和 Fedora 中的核心转储处理程序apport和systemd-coredump中发现了两个信息泄露漏洞。
继续阅读量子安全警钟:外国研究者披露墨子号卫星激光同步漏洞
量子安全警钟:外国研究者披露墨子号卫星激光同步漏洞 原创 网空闲话 网空闲话plus 2025-06-02 00:05 2025年6月1日,南华早报和有有趣工程网站均报道了科学家发现中国墨子号卫星存在漏洞这一消息。报道称,量子通信被誉为“无条件安全”的信息传输方式,中国2016年发射的墨子号量子科学卫星更是这一领域的里程碑。然而,新加坡国立大学物理系研究员亚历山大·米勒(Alexander Mil
继续阅读紧急预警!Linux核心转存漏洞曝光,Ubuntu、红帽系统密码哈希可被窃取
紧急预警!Linux核心转存漏洞曝光,Ubuntu、红帽系统密码哈希可被窃取 原创 道玄安全 道玄网安驿站 2025-06-01 23:00 “ 条件竞争。” PS:有内网web自动化需求可以私信 01 — 导语 国家网络安全机构近日监测到新型高危漏洞威胁: 多个主流Linux发行版的核心转存(core dump)机制存在严重安全缺陷 ,攻击者可借此 窃取系统密码哈希、加密密钥等敏感内存数据 。
继续阅读CVE-2025-5277:AWS MCP 服务器中的命令注入漏洞
CVE-2025-5277:AWS MCP 服务器中的命令注入漏洞 Ots安全 2025-06-01 07:29 漏洞描述 :AWS MCP 服务器(可能与 Amazon Q Developer CLI 相关)存在一个命令注入漏洞,允许客户端通过 CLI 提示(prompt)在 AWS 主机系统上执行任意命令。 影响范围 :目标是 AWS MCP 服务器,可能影响使用该服务器的 AI 应用或代理(
继续阅读