【安全圈】Adobe 修复了 11 个 ColdFusion 严重漏洞,共发现 30 个漏洞 安全圈 2025-04-09 19:01 关键词 安全漏洞 Adobe发布了安全更新来修复一系列新的安全漏洞,包括 ColdFusion 版本 2025、2023 和 2021 中的多个严重漏洞,这些漏洞可能导致任意文件读取和代码执行。 该产品的 30 个缺陷中,有 11 个严重程 度被评为“ 高危 ”
继续阅读FortiSwitch 严重漏洞可用于越权修改密码 Ravie Lakshmanan 代码卫士 2025-04-09 17:49 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Fortinet 公司已发布安全更新,修复了影响FortiSwitch 的一个严重漏洞CVE-2024-48887,它可导致攻击者越权修改密码。 该漏洞的CVSS评分为9.3。Fortinet 公司发布安全公告提到
继续阅读国家级黑客瞄准公用事业基础设施,致命漏洞潜伏70%水系统 安全客 2025-04-09 16:41 近年来,黑客将攻击重点转向了水、能源和医疗保健系统等基本公用事业。据Semperis数据显示,过去一年62%的公用事业运营商遭受过网络攻击 ,其中80%遭遇多次攻击,更有54%的运营商面临数据与系统永久损坏的严重后果。 公用事业网络攻击态势加剧 黑客组织对水务、电力等关键基础设施的高频攻击,暴露出三
继续阅读滥用WooCommerce API的梳理工具在PyPI上下载了34000次 胡金鱼 嘶吼专业版 2025-04-09 14:01 一个新发现的名为“disgrasya”的恶意PyPi包,滥用合法的WooCommerce商店来验证被盗的信用卡,已从开源包平台下载超过34000次。 该脚本专门针对使用CyberSource支付网关的WooCommerce商店来验证卡,这是梳理参与者的关键步骤,他们需要
继续阅读用友crm客户关系管理borrowout/ajaxgetborrowdata.php接口存在SQL注入漏洞 附POC 2025-4-8更新 南风漏洞复现文库 2025-04-08 23:07 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1
继续阅读一行代码引发的灾难:PHP文件包含漏洞全面剖析与防御 原创 VlangCN HW安全之路 2025-04-08 20:21 在Web安全领域,文件包含漏洞(File Inclusion)是一种常见但危害严重的安全缺陷。今天我们深入浅出地讲解本地文件包含漏洞(LFI)的原理、利用方式和防御措施,帮助开发者构建更安全的应用程序。 什么是LFI漏洞? LFI(Local File Inclusion),
继续阅读【漏洞预警】pgAdmin 远程代码执行漏洞(CVE-2025-2945) 原创 聚焦网络安全情报 安全聚 2025-04-08 20:03 严 重 公 告 近日,安全聚实验室监测到 pgAdmin 存在远程代码执行漏洞 ,编号为:CVE-2025-2945,CVSS:10 由于 high_availability 参数被不安全地传递给 eval() 函数,低权限攻击者可以利用该漏洞注入恶意代码
继续阅读【安全圈】Dell PowerProtect 系统漏洞可让远程攻击者执行任意命令 安全圈 2025-04-08 19:01 关键词 安全漏洞 已发现 Dell Technologies PowerProtect Data Domain 系统存在一个重大安全漏洞,该漏洞可能使已认证用户能够以 root 权限执行任意命令,从而有可能危及关键的数据保护基础设施。 Dell 已发布修复补丁,以解决这一严重
继续阅读雷神众测漏洞周报2025.4.1-2025.4.6 雷神众测 雷神众测 2025-04-08 16:54 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减
继续阅读【漏洞通告】Vite 任意文件读取漏洞(CVE-2025-31486) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-04-08 15:13 漏洞名称: Vite 任意文件读取漏洞(CVE-2025-31486) 组件名称: Vite 影响范围: Vite ≤ 4.5.11 5.0.0 ≤ Vite ≤ 5.4.16 6.0.0 ≤ Vite ≤ 6.0.13 6.1.0 ≤ Vite ≤
继续阅读Emlog index.php接口的存在SQL注入漏洞 附POC 2025-4-7更新 南风漏洞复现文库 2025-04-07 23:44 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Emlog 简介 微信公众号搜索:南风漏洞复现文
继续阅读Metasploitable2-Linux。关于老师给了任务,一位彦祖返回家无私奉献,打穿靶场的故事。手搓+msf提权漏洞利用 原创 泷羽Sec-朝阳 泷羽Sec-朝阳 2025-04-07 23:25 Metasploitable2-Linux 1、主机发现 首先打开靶机就是这个界面,你没看错,通常情况下你是不可能知道账户密码的,所以老老实实去做 arp-scan -l 主机探测,由于你开的靶机
继续阅读Crushftp存在未授权访问漏洞CVE-2025-2825 附POC 2025-4-7更新 南风漏洞复现文库 2025-04-07 22:03 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Crushftp简介 微信公众号搜索:南风
继续阅读赏金$10000的漏洞 迪哥讲事 2025-04-07 21:47 背景 本次分享一个最近认为非常有趣的漏洞,该漏洞最终获得10000刀换算为人民币大概7w多的现金奖励。 漏洞原理并不复杂,胜在细心,You Do You can 的水平。 正文 前段时间,我在寻找 Google 的研究目标时,翻阅了内部 People API(Staging)发现文档,直到注意到一些有趣的内容: "
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-31486) 附POC 原创 聚焦网络安全情报 安全聚 2025-04-07 20:52 中 危 预 警 近日,安全聚实验室监测到 Vite 存在任意文件读取漏洞 ,编号为:CVE-2025-31486,CVSS:5.3 由于没有对请求的路径进行严格的安全检查和限制,攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。 01 漏洞描述
继续阅读Crushftp 认证绕过漏洞(CVE-2025-2825) Superhero Nday Poc 2025-04-07 20:34 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 攻击者构造一个伪造的 Cr
继续阅读【原创漏洞】Vite任意文件读取漏洞(CVE-2025-31486) 原创 NS-CERT 绿盟科技CERT 2025-04-07 18:32 通告编号:NS-2025-0021 2025-04-07 TAG: Vite、任意文件读取、CVE-2025-31486 漏洞危害: 攻击者利用此漏洞,可实现任意文件读取。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到Vite发布安全公告,修
继续阅读直播课时更新-系统0day安全(第7期) 看雪课程 看雪学苑 2025-04-07 18:00 直播课更新: 直播课8:httpd通用中间件框架逆向分析思路及漏洞案例分析-2 https://www.kanxue.com/book-140-5320.htm 近些年来不论是HVV行动还是各种红蓝对抗中,边界设备或者企业级网络设备被当作是进入内网的最快目标,因此对于这些类型的设备安全问题开始越来越被广
继续阅读5分钟造出假护照!ChatGPT-4o暴露KYC系统致命漏洞 看雪学苑 看雪学苑 2025-04-07 18:00 4月1日,波兰研究员Borys Musielak在社交媒体X上公布了一则消息,声称自己利用ChatGPT-4o,仅用5分钟就生成了一本与真实护照几乎无异的假护照。 这本假护照不仅在视觉效果上以假乱真,更令人震惊的是,它成功通过了多个知名金融科技平台的KYC(Know Your Cus
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-31486)安全风险通告 奇安信 CERT 2025-04-07 17:44 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-14036,CVE-2025-31486 公开时间 2025-04-03 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读安全热点周报:Apache Tomcat RCE 漏洞遭两步利用 奇安信 CERT 2025-04-07 17:44 安全资讯导视 • 《关键信息基础设施安全测评要求》公安行业标准发布 • 哈尔滨亚冬会赛事信息系统遭境外网络攻击超27万次,攻击源大部来自美国 • 俄乌黑客展开铁路大战,运营系统瘫痪殃及百万民众 PART01 漏洞情报 1.Zabbix groupBy SQL注入漏洞安全风险通告
继续阅读上周关注度较高的产品安全漏洞(20250331-20250406) 原创 CNVD CNVD漏洞平台 2025-04-07 17:32 一、境外厂商产品漏洞 1、IBM Security Verify Access信息泄露漏洞(CNVD-2025-06210) IBM Security Verify Access(ISAM)是美国国际商业机器(IBM)公司的一款提高用户访问安全的服务。该服务通过使
继续阅读Sante PACS 服务器漏洞可使远程攻击者下载任意文件 山卡拉 嘶吼专业版 2025-04-07 13:52 最近,在 Sante PACS Server 4.1.0 版本中发现了几个严重漏洞,这使得该版本极易遭受严重的安全威胁。 这些漏洞(CVE – 2025 – 2263、CVE – 2025 – 2264、CVE – 2025
继续阅读漏洞利用 第二集 – 进入矩阵 Dennis Goodlett securitainment 2025-04-06 23:38 !exploitable Episode Two – Enter the Matrix 引言 如果你刚刚开始关注,Doyensec 团队正在地中海的一艘游轮上度假。放松身心,与同事交流,享受乐趣。 第一部分 讲述了我们在 IoT ARM 漏洞利用
继续阅读CVE-2025-29927:Next.js中间件绕过漏洞POC 原创 z1 Z1sec 2025-04-06 22:50 免责声明: 由于传播、利用本公众号Z1sec所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 漏洞介绍: Next.js使用内部标头x-middlewa
继续阅读Apache Parquet 允许远程执行代码漏洞 网安百色 2025-04-06 19:25 点击上方 蓝字 关注我们吧~ 已在 Apache Parquet Java 库中发现了一个严重漏洞,特别是在其 parquet-avro 模块中。 此漏洞被跟踪为 CVE-2025-30065,使系统面临潜在的远程代码执行 (RCE) 攻击。 它被评为严重,CVSS 评分为 10.0,表示严重性最高。根
继续阅读漏洞挖掘之从开发者视角解析Gin框架中的逻辑漏洞与越权问题 黑白之道 2025-04-05 21:41 原文首发在:奇安信攻防社区 https://forum.butian.net/share/4164 以go的gin后端框架为例子,详细剖析了各种逻辑越权漏洞的成因已经对应防范手段,也为白帽子提供挖掘思路 并发漏洞 原理 例如这是一段简单的go商城的示例代码 package handlersimp
继续阅读Miaoo朋友圈程序存在前台SQL注入漏洞 C4安全团队 2025-04-05 20:14 0x00 前言 █ 该文章来自零日防线社区用户投稿 █ 前台一键发布图文,视频,音乐。发布内容支持定位或自定义位置信息。支持将发布内容设为广告模式消息站内通知或邮件通知。支持其他用户注册,支持其他用户发布文章,管理自己的文章。 Fofa语句:”./assets/img/thumbnail.s
继续阅读CISA将Apache Tomcat路径等效漏洞列入已知被利用漏洞目录 FreeBuf 2025-04-05 18:03 美国网络安全和基础设施安全局(CISA)已将Apache Tomcat路径等效漏洞(编号CVE-2025-24813)列入其已知被利用漏洞(KEV)目录。该漏洞在公开概念验证(PoC)代码发布仅30小时后即遭活跃利用。 技术细节 该漏洞属于Apache Tomcat路径等效缺陷
继续阅读