科拓全智能停车收费系统(漏洞复现)
科拓全智能停车收费系统(漏洞复现) 原创 Advanced Threat 破晓信安 2025-04-22 01:01 免责声明 本文仅用于学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动 ,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失, 均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号 无关 ,本次测试仅供学习使用!!! 系统描述 科拓全智能停车收
继续阅读标签: 复现
Kimsuky APT组织利用 BlueKeep RDP 漏洞对韩国日本发起攻击
Kimsuky APT组织利用 BlueKeep RDP 漏洞对韩国日本发起攻击 会杀毒的单反狗 军哥网络安全读报 2025-04-22 01:00 导读 研究人员发现与曹县关联的 APT 组织 Kimsuky 的攻击活动,该组织利用已修补的 Microsoft 远程桌面服务漏洞来获取初始访问权限。 在调查一起安全漏洞时,韩国安博士实验室安全情报中心 (ASEC) 的研究人员发现了与朝鲜有关联的组
继续阅读实战|小程序渗透记录 通过细节挖掘漏洞的艺术
实战|小程序渗透记录 通过细节挖掘漏洞的艺术 一天要喝八杯水 乌雲安全 2025-04-22 00:50 原文于:https://forum.butian.net/share/4229 原文作者:一天要喝八杯水 如侵权请联系删除。 近期挖掘的几个有意思的支付漏洞逻辑漏洞,记录一下。希望能对师傅们有一点点的思路帮助,欢迎指正及交流学习! 免责声明:本文仅用于网络安全相关知识分享,请严格遵守网络安全相
继续阅读【SRC】某选课小程序任意用户登录漏洞深度剖析
【SRC】某选课小程序任意用户登录漏洞深度剖析 原创 ashui Rot5pider安全团队 2025-04-22 00:35 某小程序任意用户登录漏洞深度剖析 一、漏洞场景复现 (一)漏洞复现 目标系统 :某金融类小程序(版本V2.3.1) 1. 测试工具 :Burp Suite Pro v1.8.4 + WechatDevTools v1.18.0 关键参数 : encryptedData :
继续阅读漏洞预警 | 安科瑞环保用电监管云平台任意文件上传漏洞
漏洞预警 | 安科瑞环保用电监管云平台任意文件上传漏洞 浅安 浅安安全 2025-04-22 00:02 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 安科瑞环保用电监管云平台集成了物联网技术、云计算和大数据分析,通过对企业和工业园区的用电情况实时采集、监测和分析,为环保合规、能耗管理和智能用电提供技术支持。 0x03 漏洞详情 漏洞类
继续阅读内推 | 漏洞挖掘工程师(iot 方向)
内推 | 漏洞挖掘工程师(iot 方向) 助力行业的 李白你好 2025-04-22 00:01 当下,我们所处的行业正面临着不少挑战与变数。经济的不景气、市场的波动,让许多岗位显得摇摇欲坠,人心惶惶。然而,即便是在这个寒冬来袭的时刻,我们并非孤军奋战。李白你好会多发一些内推岗位,帮助更多的粉丝朋友们更快找到适合自己的岗位!共同度过难关!(如需发布岗位,可联系作者) 漏洞挖掘工程师(iot 方向)
继续阅读Github中项目的公开漏洞合集
Github中项目的公开漏洞合集 进击的hack 进击的HACK 2025-04-21 23:49 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢 ! 文章有疑问的,可以公众号发消息问我,或者留言。我每天都会看的。 字数 216,阅读大约需 2 分钟 前言 最近在搜CVE
继续阅读用 AI 自动化渗透测试,PentAGI 打造全新AI安全测试 助力快速发现漏洞与安全隐患|漏洞探测
用 AI 自动化渗透测试,PentAGI 打造全新AI安全测试 助力快速发现漏洞与安全隐患|漏洞探测 原创 CeBain 渗透安全HackTwo 2025-04-21 16:03 0x01 工具介绍 网络安全攻防战已进入白热化阶段,传统手动测试效率低下。PentAGI的横空出世,正在用AGI技术重构安全测试的底层逻辑。VXControl 团队打造的开源工具,凭借自动化、智能化的设计,为安全测试注入
继续阅读Java代码审计之命令执行漏洞详解
Java代码审计之命令执行漏洞详解 船山信安 2025-04-21 16:00 0x01 漏洞简介 在Java代码审计中,命令执行漏洞指应用程序未对用户输入进行严格过滤,直接将外部可控参数拼接到系统命令中执行,导致攻击者可注入恶意命令并获取服务器控制权。其核心原理是开发者误用危险函数执行系统命令时,未对用户输入的参数进行安全校验或转义,导致用户可通过构造特殊字符(如管道符| 、命令分隔符; )或参
继续阅读亿华考勤软件 default.aspx 任意文件上传漏洞
亿华考勤软件 default.aspx 任意文件上传漏洞 Superhero Nday Poc 2025-04-21 13:32 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 亿华考勤软件 default.
继续阅读【漏洞预警】PyTorch反序列化远程代码执行漏洞CVE-2025-32434
【漏洞预警】PyTorch反序列化远程代码执行漏洞CVE-2025-32434 cexlife 飓风网络安全 2025-04-21 13:16 产品简介: PyTorch是一个用于机器学习和深度学习的开源深度学习框架,由Facebook于2016年发布,其主要实现了自动微分功能,并引入动态计算图使模型建立更加灵活。Pytorch可分为前后端两个部分,前端是与用户直接交互的python API,后端
继续阅读速达软件 多款产品 doSavePrintTpl.action Struts2 远程代码执行漏洞
速达软件 多款产品 doSavePrintTpl.action Struts2 远程代码执行漏洞 Superhero Nday Poc 2025-04-21 12:49 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01
继续阅读【JAVA代码审计】启航电商ERP2.0漏洞挖掘
【JAVA代码审计】启航电商ERP2.0漏洞挖掘 原创 星悦 星悦安全 2025-04-21 11:34 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 █ 该文章来自零日防线社区用户投稿 █ 启航电商ERP系统2.0版本是一个完整开箱即用的开源电商ERP系统,经历1.0版本的迭代优化和客户使用验证。开发者可以直接部署即可使用。一个专注核心订单处理业务,主体功能包括:商品库管理(商品、
继续阅读【漏洞速递】PyTorch模型加载远程代码执行漏洞(CVE-2025-32434)
【漏洞速递】PyTorch模型加载远程代码执行漏洞(CVE-2025-32434) 安全狐 2025-04-21 11:31 漏洞背景 PyTorch作为由Meta AI开发的开源深度学习框架,被广泛应用于计算机视觉、自然语言处理等领域。其模型加载机制的安全性问题直接关系到数百万开发者和研究机构的生产环境安全。2025年4月披露的该漏洞颠覆了开发者对weights_only=True 参数的安全认
继续阅读【安全圈】Speedify VPN macOS 漏洞使攻击者能够提升权限
【安全圈】Speedify VPN macOS 漏洞使攻击者能够提升权限 安全圈 2025-04-21 11:00 关键词 安全漏洞 Speedify VPN 的macOS 应用程序中发现了一个重大安全漏洞,编号为 CVE-2025-25364,该漏洞使用户面临本地权限提升和整个系统被入侵的风险。 SecureLayer7 发现的该漏洞存在于特权辅助工具 me.connectify.SMJobB
继续阅读CNVD漏洞周报2025年第15期
CNVD漏洞周报2025年第15期 原创 CNVD CNVD漏洞平台 2025-04-21 10:33 2 0 2 5 年 0 4 月 14 日 – 2 0 2 5 年 0 4 月20 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称 CNVD)本周共收集、整理信息安全漏洞335个,其中高危漏洞 16
继续阅读华硕确认AiCloud路由器存在严重漏洞;敦促用户更新固件
华硕确认AiCloud路由器存在严重漏洞;敦促用户更新固件 走狗是狗哥 安在 2025-04-21 10:24 ASUS(华硕)已披露一个影响启用AiCloud功能的路由器的严重安全漏洞,该漏洞可能会使远程攻击者在易受攻击的设备上执行未经授权的功能。 此漏洞被追踪为CVE-2025-2492,其CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)评分
继续阅读安全热点周报:零日漏洞瞄准 iPhone,苹果紧急发布安全补丁
安全热点周报:零日漏洞瞄准 iPhone,苹果紧急发布安全补丁 奇安信 CERT 2025-04-21 10:12 安全资讯导视 • 六部门联合印发《促进和规范金融业数据跨境流动合规指南》 • 哈尔滨市公安局公开通缉3名美国国家安全局特工 • 超1.4万台Fortinet设备长期被黑客入侵,约1100台位于中国 PART01 漏洞情报 1.Apple iOS与iPadOS多个在野高危漏洞安全风险
继续阅读华硕AiCloud功能现重大安全漏洞
华硕AiCloud功能现重大安全漏洞 看雪学苑 看雪学苑 2025-04-21 09:59 近日,华硕公司发布了一则紧急安全警告,其多款启用AiCloud功能的路由器被发现存在一个严重的身份验证绕过漏洞,该漏洞被追踪为CVE-2025-2492,CVSS v4评分高达9.2,属于“危急”级别。这意味着攻击者无需任何身份验证,仅通过精心构造的网络请求,就可能远程利用该漏洞,在路由器上执行未经授权的操
继续阅读MIPS栈溢出漏洞实战解析:从DVRF题目看ROP链构造
MIPS栈溢出漏洞实战解析:从DVRF题目看ROP链构造 原创 秋名山上的小柠 蚁景网络安全 2025-04-21 09:29 前言 最近导师要搞IOT漏洞挖掘项目,我得找找IOT学习资料,DVRF就适合IOT设备漏洞挖掘从入门到入坟….(bushi 固件分析 Squashfs系统,还是小端序,提取一下文件 有漏洞的程序在pwnable目录下 不过DVRF里面还附带有程序的源码,所以我们先看看源码
继续阅读CVE-2025-22457:基于堆栈的远程缓冲区溢出的POC验证脚本
CVE-2025-22457:基于堆栈的远程缓冲区溢出的POC验证脚本 原创 z1 Z1sec 2025-04-21 05:19 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! CVE-2025-22457介绍: 基于堆栈的远程缓
继续阅读WordPress wpdm-premium-packages SQL注入漏洞(CVE-2025-24659)
WordPress wpdm-premium-packages SQL注入漏洞(CVE-2025-24659) 船山信安 2025-04-21 05:00 插件介绍: Premium Packages 是一款免费的全功能 WordPress 电子商务插件,可轻松销售数字产品。 漏洞描述: Premium Packages – Sell Digital Products Securely
继续阅读Kubernetes CVE-2025-1974 RCE
Kubernetes CVE-2025-1974 RCE TtTeam 2025-04-21 03:29 Kubernetes 中发现了一个安全问题。在某些情况下,未经身份验证且能够访问 Pod 网络的攻击者可以在 ingress-nginx 控制器上下文中执行任意代码。这可能导致控制器可访问的 Secret 信息泄露。(请注意,在默认安装中,控制器可以访问集群范围内的所有 Secret。) 此问
继续阅读DC-1,一台和蔼可亲的靶机。Drupal7,msfcve-2018-7600漏洞利用,隧道建立,SUID提权
DC-1,一台和蔼可亲的靶机。Drupal7,msfcve-2018-7600漏洞利用,隧道建立,SUID提权 原创 泷羽Sec-朝阳 泷羽Sec-朝阳 2025-04-21 03:11 一、信息收集 1、主机探测 arp-scan -l 探测同网段 2、端口扫描 nmap -sS -sV 192.168.66.136 这里三个端口,有个ssh可能会爆出来,80端口访问,先后台扫描目录 3、目录扫
继续阅读漏洞预警 西部数据 NAS ftp_download.php 命令执行漏洞
漏洞预警 西部数据 NAS ftp_download.php 命令执行漏洞 by 融云安全-cas 融云攻防实验室 2025-04-21 02:38 0x01 阅读须知 融云安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和
继续阅读苹果紧急修复两个“极其复杂”的高危零日漏洞
苹果紧急修复两个“极其复杂”的高危零日漏洞 汇能云安全 2025-04-21 01:46 4月21日,星期一,您好!中科汇能与您分享信息安全快讯: 01 Linux中国开源社区官网正式关闭 因为Linux.cn域名因未知原因被冻结 运营超过二十年的Linux中国开源社区(linux.cn)官方网站近日宣告关闭。2025年3月20日起,其主域名被注册商设置为”clientHoldR
继续阅读搭载AiCloud功能的华硕(ASUS)路由器存在身份验证绕过漏洞
搭载AiCloud功能的华硕(ASUS)路由器存在身份验证绕过漏洞 鹏鹏同学 黑猫安全 2025-04-21 01:16 华硕(ASUS)发布安全警告称,其搭载AiCloud功能的路由器存在身份验证绕过漏洞(编号CVE-2025-2492,CVSS v4评分9.2)。远程攻击者可通过构造特殊请求触发该漏洞,在未授权情况下执行设备功能。 华硕产品安全公告指出,”部分华硕路由器固件存在认证
继续阅读分享某EDUSRC漏洞挖掘复盘
分享某EDUSRC漏洞挖掘复盘 原创 神农Sec 神农Sec 2025-04-21 01:02 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 0x1 信息收集 首先我们先确定下目标资产,某某大学站点。 然
继续阅读