CVE-2025-21756:Linux 内核漏洞如何导致完全 root 权限利用,PoC 发布 Ots安全 2025-04-29 11:14 在最近的分析中,安全研究员 Michael Hoefler 揭露了 CVE-2025-21756 的完整细节,这是一个影响 Linux 内核 vsock 子系统的释放后使用 (UAF) 漏洞。最初只是简单的代码调整——修改了几行 vsock_remove_
继续阅读CVE-2025-23016:严重的 FastCGI 堆溢出威胁嵌入式设备,PoC 发布 Ots安全 2025-04-29 11:14 Synacktiv 的安全研究员 Baptiste Mayaud 披露了 FastCGI 库中的一个高危漏洞,编号为 CVE-2025-23016(CVSS 9.4)。该漏洞源于对参数长度的不当处理,可能导致可利用的堆溢出,尤其会影响摄像头和嵌入式系统等低功耗设备
继续阅读Linux 内核高危漏洞致系统面临权限提升攻击 原创 铸盾安全 河南等级保护测评 2025-04-29 10:42 系统管理员应优先修补受影响的系统以减轻这种威胁。 Linux 内核的虚拟套接字 (vsock) 实现中存在一个严重漏洞,编号为 CVE-2025-21756,该漏洞可能允许本地攻击者将权限提升到 root 级别。 安全研究人员已确认,该漏洞的 CVSS v3.1 基本评分为 7.8
继续阅读速升级!Apache Tomcat高危漏洞可致DoS和规则绕过 看雪学苑 看雪学苑 2025-04-29 09:59 近期,Apache 软件基金会披露了 Apache Tomcat 的一项重大安全漏洞 ——CVE-2025-31650。该漏洞属于高危漏洞,其 CVSS 3.1 评分为 7.5,攻击者可利用漏洞绕过安全规则并触发拒绝服务(DoS)条件,对使用该 Java 应用服务器的组织构成严重威
继续阅读最新报告:2024 年网络攻击总量达 3110 亿次,AI API 漏洞成“罪魁祸首” 数世咨询 2025-04-29 08:00 根据 Akamai 的最新报告, 2024 年 Web 攻击增加了 33% ,其中 API 成为主要攻击目标。这一增长主要是由于人工智能应用的快速普及,导致了攻击面的扩大。 新数据显示, 2024 年 Web 攻击增加了 33% , API 逐渐成为网络
继续阅读【论文速读】| MOS:通过混合专家调优大语言模型实现有效的智能合约漏洞检测 原创 知识分享者 安全极客 2025-04-29 07:32 基本信息 原文标题:MOS: Towards Effective Smart Contract Vulnerability Detection through Mixture-of-Experts Tuning of Large Language Models
继续阅读OttoKit WordPress 插件管理员创建漏洞 CVE-2025-3102 TtTeam 2025-04-29 07:27 一、漏洞核心信息与威胁等级 2025 年 4 月,WordPress 自动化插件 OttoKit(原 SureTriggers)被披露存在高严重性安全漏洞(CVE-2025-3102,CVSS v3.1 评分 8.1)。该漏洞为授权绕过漏洞 ,允许未经身份验证的攻击者
继续阅读Clash Verge 提取漏洞分析与复现 原创 Garck3h pentest 2025-04-29 06:49 免责声明 文章中涉及的内容可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 前言 前两天看到了其它公众号发的一个漏洞预警:“Clash Verge rev存在提权漏洞,在Mac、Linux和Windows
继续阅读实战攻防之Nacos漏洞 zm 亿人安全 2025-04-29 06:30 前言 实战nacos漏洞复现记录一下,大佬勿喷。 小白可以直接收藏下来学习一下很多poc我都直接给出来了,基本就是我的笔记。 如果,有不对的可以指正一下,一起学习。 nacos介绍 Nacos 开放的端口 资产收集 下面可以看到icon图标,除了开始我们上面的一种,下面还有好几个,可以点击ico图标进一步扩大信息收集面 针
继续阅读漏洞通告 | SAP NetWeaver Visual Composer Development Server 远程代码执行漏洞 原创 微步情报局 微步在线研究响应中心 2025-04-29 05:28 漏洞概况 SAP NetWeaver Visual Composer 是SAP NetWeaver平台中的一个图形化建模环境,用于快速开发和部署复合应用程序。 微步情报局获取到SAP NetWea
继续阅读漏洞赏金故事 | 通过已删除的文件赚到 6.4 万$ 白帽子左一 白帽子左一 2025-04-29 04:00 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 在漏洞赏金领域,很多研究人员都会寻找泄露的密钥,通常是扫描 GitHub 仓库中暴露的凭证。这种方法并不新颖,但我想尝试另一个角度——从已删除的文件中恢复密钥。开发者
继续阅读【PoC】0-Click NTLM 身份验证绕过 Microsoft Telnet 服务器 0day,无补丁 独眼情报 2025-04-29 02:27 一项影响 Microsoft Telnet 服务器的严重漏洞已被发现,允许远程攻击者完全绕过身份验证并获得管理员访问权限,而无需有效的凭据。Hacker Fantastic 的报告详细介绍了该漏洞——涉及 Microsoft Telnet 身份验
继续阅读万户 ezOFFICE selectCommentField.jsp sql注入漏洞 Superhero Nday Poc 2025-04-29 02:23 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 万
继续阅读第一季度159个CVE遭到野外利用,近三成漏洞24小时内被武器化 汇能云安全 2025-04-29 02:13 4月29日,星期二,您好!中科汇能与您分享信息安全快讯: 01 教育云遭遇重创:黑客利用AzureChecker部署加密货币挖矿容器 微软威胁情报团队近日披露,威胁行为者Storm-1977在过去一年中对教育领域的云租户实施了密码喷洒攻击,部署容器进行非法加密货币挖矿活动。 攻击者主要使
继续阅读浅谈常见edu漏洞,逻辑漏洞,越权,接管到getshell,小白如何快速找准漏洞 黑白之道 2025-04-29 02:02 文章首发:奇安信攻防社区 https://forum.butian.net/share/4291 之前闲来无事承接了一个高校的渗透测试,测试过程中没有什么复杂的漏洞,是一些基础的edu常见漏洞,适合基础学习,于是整理一下和师傅们分享。 今年对某高校进行了渗透测试,发现了一些
继续阅读PoC级Rootkit”Curing”突破传统Linux检测机制 鹏鹏同学 黑猫安全 2025-04-29 01:29 该概念验证型Rootkit利用Linux异步I/O机制io_uring实现无系统调用攻击,成功规避主流安全监测方案。研究团队在GitHub披露:”Curing通过io_uring执行各类操作而无需触发系统调用,使依赖syscall监控的安全工具
继续阅读工具篇 | 超绝!漏洞盒子一键自动提交脚本,效率飞升秘籍 原创 零日安全实验室 零日安全实验室 2025-04-29 01:08 免责声明! 本 公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。 大 纲 前言 怎么使用? 使用效果 1 前言 在我们挖掘漏洞的时候如果手上有几百个几十个相同类型的漏洞,假设现在有50个未授
继续阅读【漏洞复现】Erlang/OTP SSH远程代码执行漏洞(CVE-2025-32433)环境搭建与POC使用指南 云梦DC 云梦安全 2025-04-29 01:03 漏洞简介 CVE-2025-32433 是近日披露的一个高危漏洞,影响到了 Erlang/OTP 的 SSH 服务器组件。 攻击者可以通过特制的 SSH 消息,在无需认证 的情况下直接触发远程代码执行(RCE)! 受影响版本: O
继续阅读漏洞预警 | NetMizer日志管理系统远程代码执行漏洞 浅安 浅安安全 2025-04-29 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 NetMizer日志管理系统是一款可以记录流经设备的所有会话日志并将其传送到外部的管理中心上的系统。 0x03 漏洞详情 漏洞类型: 代码执行 影响: 执行任意代码 简述: NetM
继续阅读【吾好梦中测站】一次资金盘渗透的源码爬取与0day挖掘实录 原创 菜狗安全 菜狗安全 2025-04-29 00:00 点击上方蓝字·关注我们 免责声明 由于传播、利用本公众号 菜狗安全 所提供的信息而造成的任何直接或者间接的后果及损失,均由 使用者本人负责,公众号 菜狗安全 及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,会立即删除并致歉。 文章目录 前言:一场离奇的梦中渗透
继续阅读漏洞预警 | 昂捷CRM SQL注入漏洞 浅安 浅安安全 2025-04-29 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 昂捷CRM是深圳市昂捷信息技术股份有限公司提供的一款专注于零售行业客户关系管理的系统。 0x03 漏洞详情 漏洞类型: SQL注入 影响: 获取敏感信息 简述: 昂捷 CRM 的/EnjoyRMIS_
继续阅读漏洞预警 | 红帆HFOffice SQL注入漏洞 浅安 浅安安全 2025-04-29 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 红帆HFOffice是广州红帆科技有限公司研发的新一代医院智慧管理云平台,它采用了一系列红帆HFOffice是广州红帆科技有限公司研发的新一代医院智慧管理云平台。 0x03 漏洞详情 漏洞类
继续阅读Kimsuky 利用 BlueKeep RDP 漏洞入侵韩国和日本系统 Rhinoer 犀牛安全 2025-04-28 16:00 网络安全研究人员发现了一项新的恶意活动,该活动与朝鲜国家支持的威胁行为者Kimsuky有关,该行为者利用影响 Microsoft 远程桌面服务的现已修补的漏洞来获取初始访问权限。 该活动被AhnLab 安全情报中心 (ASEC)命名为Larva-24005 。 这家韩
继续阅读XWiki SolrSearch接口存在远程命令执行漏洞CVE-2025-24893 附POC 2025-4-28更新 南风漏洞复现文库 2025-04-28 15:28 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. XWiki简介
继续阅读【漏洞预警】SAP NetWeaver Visual Composer远程代码执行漏洞CVE-2025-31324 cexlife 飓风网络安全 2025-04-28 13:20 漏洞描述: SAP NetWeaver Visual Composer (VC) 是SAP NetWeaver平台中的一个图形化建模环境,用于快速开发和部署复合应用程序(Composite Applications),它
继续阅读福建科立讯指挥调度管理平台send_fax远程命令执行漏洞 原创 SXdysq 南街老友 2025-04-28 12:14 字数 319,阅读大约需 2 分钟 产品介绍 福建科立讯通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度和管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、维护
继续阅读安全热点周报:黑客精心设计 Craft CMS 漏洞链,用于零日攻击窃取数据 奇安信 CERT 2025-04-28 10:01 安全资讯导视 • 金融监管总局拟制定《银行业保险业网络安全管理办法》 • 远程控制、窃密、挖矿!我国境内捕获“银狐”木马病毒变种 • 马来西亚多家券商系统遭境外攻击,大量交易账户被操纵买卖股票 PART01 新增在野利用 1.Craft CMS 远程代码执行漏洞(CV
继续阅读限时开放注册-Ai网络安全智能助手 – 漏洞检索、攻防技巧、CVE知识库、代码审计、应急响应 、聊天机器人、安全基础知识等 原创 渗透测试 渗透测试 2025-04-28 10:00 Ai网络安全智能助手 – 漏洞检索、攻防技巧、CVE知识库、代码审计、应急响应 、聊天机器人、安全基础知识等 Ai 功能。 Ai网络安全智能助手:https://chat.iis.cm 在线注
继续阅读CrushFTP身份认证绕过漏洞(CVE-2025-2825) YuanQiu安全 2025-04-28 09:43 免责声明 由于传播、 本公众号 所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任! 一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即删除并致歉,谢谢! 一、前言 1. 漏洞简介 CrushFTP 是由 CrushFTP L
继续阅读【漏洞通告】Craft CMS 远程代码执行漏洞(CVE-2025-32432) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-28 09:42 漏洞名称: Craft CMS 远程代码执行漏洞(CVE-2025-32432) 组件名称: Pixel & Tonic-Craft CMS 影响范围: 3.0.0-RC1 ≤ Craft CMS < 3.9.15 4.0.0-
继续阅读