【漏洞预警】Mattermost MFA绕过漏洞 (CVE-2025-25068)
【漏洞预警】Mattermost MFA绕过漏洞 (CVE-2025-25068) cexlife 飓风网络安全 2025-03-21 21:12 漏洞描述 Mаttеrmоѕt版本10.4.х<=10.4.2,10.3.х<=10.3.3,9.11.х<= 9.11.8,10.5.х<=10.5.0未能在插件端点上强制执行多因素认证(MFA),这允许经过身份验证的攻击者通
继续阅读标签: 复现
渗透测试神器之漏洞利用代理工具Empire
渗透测试神器之漏洞利用代理工具Empire 原创 OneDay一卒的老付 老付话安全 2025-03-21 20:25 点击蓝字 关注我们 始于理论,源于实践,终于实战 老付话安全,每天一点点 激情永无限,进步看得见 严正声明 本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施,发生一切问题由相关个人承担法律责任,其与本号无关。 特此声明
继续阅读万能门店小程序管理系统 dopagefxcount SQL注入漏洞
万能门店小程序管理系统 dopagefxcount SQL注入漏洞 Superhero Nday Poc 2025-03-21 20:24 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 万能门店小程
继续阅读GLPI 中的预认证 SQL 注入到 RCE(CVE-2025-24799/CVE-2025-24801)
GLPI 中的预认证 SQL 注入到 RCE(CVE-2025-24799/CVE-2025-24801) Ots安全 2025-03-21 20:01 在红队交战期间,已经发现了几个GLPI实例。该软件在法语公司中很受欢迎,其中一些公司甚至直接在互联网上公开其实例。众所周知,GLPI 历史上隐藏着多个易于发现的漏洞,而且由于它通常与 Active Directory 相连,因此在红队交战或内部基
继续阅读360入选2024年度移动互联网APP产品安全漏洞治理优秀案例
360入选2024年度移动互联网APP产品安全漏洞治理优秀案例 360数字安全 2025-03-21 18:56 近日,在上级主管部门的指导下,由中国软件评测中心、CAPPVD漏洞库联合主办的“第六期移动互联网APP产品安全漏洞技术沙龙”在海口成功召开,并于现场公布2024年度优秀案例评选结果。360公司凭借“三六零小程序安全合规检测平台”成功入选移动互联网APP产品安全漏洞治理优秀案例。 202
继续阅读风险研究 | AI 安全警钟响起:Manus AI 漏洞暴露的背后真相
风险研究 | AI 安全警钟响起:Manus AI 漏洞暴露的背后真相 安全极客 2025-03-21 18:47 一场泄露引发的风暴 想象一下,你手中的 AI 智能助手突然暴露了自己的“内心秘密”——核心指令、运行代码,甚至可能泄露你的隐私数据。这不是科幻电影,而是刚刚发生在 Manus AI 身上的真实事件。一名用户通过简单操作,就轻松获取了这款 AI 代理的系统提示词,揭开了 AI 安全隐患
继续阅读Cisco智能许可工具漏洞遭利用,内置后门账户曝光
Cisco智能许可工具漏洞遭利用,内置后门账户曝光 FreeBuf 2025-03-21 18:14 近期,攻击者开始针对未修复漏洞的Cisco智能许可工具(Cisco Smart Licensing Utility, CSLU)实例发起攻击,该漏洞暴露了一个内置的后门管理员账户。 Cisco智能许可工具是一款Windows应用程序,允许管理员在本地环境中管理许可证和关联产品,而无需将其连接到Ci
继续阅读Veeam 备份服务器现重大漏洞,速更新补丁!
Veeam 备份服务器现重大漏洞,速更新补丁! 看雪学苑 看雪学苑 2025-03-21 17:59 近期 Veeam Backup & Replication 软件被曝出一项严重的远程代码执行漏洞(CVE-2025-23120),给众多企业和组织的数据安全带来了巨大风险。 据相关报道,该漏洞是由 watchTowr Labs 发现的,主要影响 Veeam Backup & Re
继续阅读Hyper-v虚拟磁盘驱动vhdmp.sys漏洞汇总分析
Hyper-v虚拟磁盘驱动vhdmp.sys漏洞汇总分析 王cb 看雪学苑 2025-03-21 17:59 这篇文章的目的是介绍hyper-v虚拟磁盘驱动vhdmp.sys相关的漏洞CVE-2023-36408,CVE-2025-24048和CVE-2025-24050汇总分析。 文章结合了逆向代码和调试结果分析了hyper-v虚拟磁盘驱动vhdmp.sys相关的漏洞的利用过程和漏洞成因。 复现
继续阅读国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》;IBM AIX曝满分高危漏洞,可导致系统完全沦陷 |牛览
国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》;IBM AIX曝满分高危漏洞,可导致系统完全沦陷 |牛览 安全牛 2025-03-21 17:36 新闻速览 •国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》 •英国NCSC设定2035年为后量子密码迁移最后期限,提出三阶段迁移计划 •警惕新型隐写术恶意软件,利用JPEG文件分发信息窃取程序 •Cisco
继续阅读PHP XXE 注入漏洞允许攻击者访问配置文件和私钥
PHP XXE 注入漏洞允许攻击者访问配置文件和私钥 嘶吼专业版 2025-03-21 11:07 Web 应用程序安全研究员 Aleksandr Zhurnakov 详细揭示了 PHP 中新发现的 XML 外部实体(XXE)注入漏洞。 该漏洞展示了攻击者如何绕过多种安全机制,进而访问敏感配置文件和私钥,凸显了即便在看似安全的实现中,不当的 XML 解析配置也存在巨大风险。 此漏洞利用了 PHP
继续阅读【高危漏洞预警】ollama 0.1.37 ZipSlip远程代码执行漏洞
【高危漏洞预警】ollama 0.1.37 ZipSlip远程代码执行漏洞 cexlife 飓风网络安全 2025-03-20 22:50 漏洞描述: оllаmа/оllаmа版本0.137中存在一个漏洞,允许远程代码执行(RCE),这是由于在处理ziр文件时输入验证不当造成的,这个漏洞被称为ZiрSliр,发生在ѕеrvеr/mоdеl.ɡо中的раrѕеFrоmZiрFilе函数代码没有检查
继续阅读SRC漏洞挖掘之敏感信息泄露漏洞挖掘实战指南
SRC漏洞挖掘之敏感信息泄露漏洞挖掘实战指南 原创 炽汐安全屋 炽汐安全屋 2025-03-20 22:10 SRC漏洞挖掘之敏感信息泄露漏洞挖掘实战指南在Web应用安全中,敏感信息泄露是最常见且危害性最大的漏洞之一。通过敏感信息泄露,攻击者可以获取用户数据、系统配置、源代码甚至数据库信息,从而进一步发起更深层次的攻击。本文将从实战角度出发,详细介绍如何挖掘和利用敏感信息泄露漏洞,并提供防御建议。
继续阅读万能门店小程序管理系统 doPageGuiz SQL注入漏洞
万能门店小程序管理系统 doPageGuiz SQL注入漏洞 Superhero Nday Poc 2025-03-20 20:37 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 万能门店小程序管理
继续阅读XSS漏洞利用工具之BeEF
XSS漏洞利用工具之BeEF 原创 OneDay一卒的老付 老付话安全 2025-03-20 20:26 点击蓝字 关注我们 始于理论,源于实践,终于实战 老付话安全,每天一点点 激情永无限,进步看得见 严正声明 本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施,发生一切问题由相关个人承担法律责任,其与本号无关。 特此声明!!! BeE
继续阅读Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞验证
Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞验证 Ots安全 2025-03-20 19:45 Android 版 Telegram(10.14.4 及更早版本)中 CVE-2024-7014(EvilVideo)漏洞的概念验证。该程序将伪装成视频的恶意文件上传到 Telegram 频道,利用安全漏洞安装恶意软件或重定向
继续阅读更新2节(附课后作业)| 系统0day安全-IOT设备漏洞挖掘(第6期)
更新2节(附课后作业)| 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-03-20 17:59 更新: 第三章 课时8:自动化仿真工具-FAT的介绍与使用 https://www.kanxue.com/book-7-5300.htm 课时9:自动化仿真工具-FirmAE的介绍与使用 https://www.kanxue.com/book-7-5301.htm 自动化
继续阅读用友crm客户关系管理ajax/getufvouchdata.php接口存在SQL注入漏洞 漏洞预警
用友crm客户关系管理ajax/getufvouchdata.php接口存在SQL注入漏洞 漏洞预警 2025-3-19更新 南风漏洞复现文库 2025-03-19 23:15 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友crm
继续阅读【漏洞预警】FortiSOAR代码注入漏洞
【漏洞预警】FortiSOAR代码注入漏洞 cexlife 飓风网络安全 2025-03-19 21:46 漏洞描述: 在FоrtiSOAR Cоnnесtоr FоrtiSOAR中存在一个不当的代码生成控制(“代码注入”)漏洞[CWE-94],影响所有版本的7.4、7.3、7.2、7.0和6.4,可能允许经过身份验证的攻击者通过剧本代码片段在主机上执行任意代码。 攻击场景: 攻击者可能通过上传恶
继续阅读【安全圈】ChatGPT 漏洞遭超一万个 IP 地址主动利用,美国政府机构惨遭攻击
【安全圈】ChatGPT 漏洞遭超一万个 IP 地址主动利用,美国政府机构惨遭攻击 安全圈 2025-03-19 19:01 关键词 攻击者正在积极利用 OpenAI 的 ChatGPT 基础设施中的一个服务器端请求伪造(SSRF)漏洞。该漏洞被标识为 CVE-2024-27564,尽管其被归类为中等严重程度,但已成为一个重大威胁。 根据网络安全公司 Veriti 的研究,这个漏洞已在众多实际攻击
继续阅读专题·漏洞人才培养 | 聚焦漏洞技术研究 探索实战型网安人才培养的实践路径
专题·漏洞人才培养 | 聚焦漏洞技术研究 探索实战型网安人才培养的实践路径 原创 毛丽艳 李跃忠 中国信息安全 2025-03-19 18:06 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 北京天融信教育科技有限公司 毛丽艳 李跃忠 随着信息技术的飞速发展,各行各业都在享受着数字化带来的便捷与高效。然而,网络安全问题日益凸显,成为制约数字化进程的一大
继续阅读【漏洞通告】Windows文件资源管理器欺骗漏洞(CVE-2025-24071)
【漏洞通告】Windows文件资源管理器欺骗漏洞(CVE-2025-24071) 原创 NS-CERT 绿盟科技CERT 2025-03-19 16:24 通告编号:NS-2025-0014 2025-03-19 TAG: Windows、哈希泄露、CVE-2025-24071 漏洞危害: 攻击者利用此漏洞,可获取用户NTLM哈希。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到微软
继续阅读ChatGPT漏洞被超过10000个IP积极利用,攻击美国政府组织
ChatGPT漏洞被超过10000个IP积极利用,攻击美国政府组织 安全客 2025-03-19 16:24 近期,网络安全公司 Veriti 发布的研究报告揭示,黑客正在积极利用OpenAI ChatGPT基础设施中的服务器端请求伪造(SSRF)漏洞(CVE-2024-27564)。尽管该漏洞的严重性被归类为中等,但它已经被大规模武器化,成为全球网络攻击的一个新威胁。更值得注意的是,尽管攻击者正
继续阅读【已复现】Windows 文件资源管理器欺骗漏洞(CVE-2025-24071)安全风险通告
【已复现】Windows 文件资源管理器欺骗漏洞(CVE-2025-24071)安全风险通告 奇安信 CERT 2025-03-19 11:50 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Windows 文件资源管理器欺骗漏洞 漏洞编号 QVD-2025-10439,CVE-2025-24071 公开时间 2025-03-11 影响量级 千万级 奇安信评级 高危 CVSS
继续阅读记一次 RCE 0day 的审计过程
记一次 RCE 0day 的审计过程 原创 Sukali 信安之路 2025-03-19 09:43 大家好,我是 Sukali ,首次在信安之路上投稿,并获得免费加入信安之路知识星球的机会,同时解锁了信安之路成长平台、文库以及 POC 管理系统的使用权限,今天来为大家分享一下自己挖掘的一个 RCE 0day 的审计过程。 RCE 是远程代码执行或者远程命令执行的缩写,在案例讲解之前,先来聊聊 j
继续阅读用友NC-Cloud系统getStaffInfo接口存在SQL注入漏洞 漏洞预警
用友NC-Cloud系统getStaffInfo接口存在SQL注入漏洞 漏洞预警 2025-3-18更新 南风漏洞复现文库 2025-03-18 22:39 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友NC-Cloud系统简介
继续阅读Wazuh RCE漏洞CVE-2025-24016
Wazuh RCE漏洞CVE-2025-24016 爱坤 爱坤sec 2025-03-18 22:06 漏洞批量nuclei验证获取地址在文章末尾 漏洞概述 该漏洞允许具有 API 访问权限的远程攻击者(受感染的仪表板、集群中的 Wazuh 服务器或具有受感染代理的某些配置)在服务器上执行任意代码。 受影响的版本 wazuh-manager版本>= 4.4.0 已修复版本>= 4.9.
继续阅读【安全圈】PHP 遭多重安全漏洞 “围攻”,应用程序风险骤增
【安全圈】PHP 遭多重安全漏洞 “围攻”,应用程序风险骤增 安全圈 2025-03-18 19:02 关键词 安全漏洞 PHP 编程语言中被发现存在一系列安全漏洞,这可能使 Web 应用程序面临一系列攻击风险。这些漏洞影响到 PHP 的 HTTP 流包装器的多个方面,带来从信息泄露到拒绝服务等各种风险。 一个被追踪为 CVE – 2025 – 1861 的关键问题,涉及 HTTP 流包装器对重定
继续阅读【安全圈】Apache Tomcat 漏洞在公开披露后仅 30 小时就被积极利用
【安全圈】Apache Tomcat 漏洞在公开披露后仅 30 小时就被积极利用 安全圈 2025-03-18 19:02 关键词 安全漏洞 最近披露的一个影响 Apache Tomcat 的安全漏洞在公开披露仅 30 小时后就被公开概念验证 (PoC)发布,并遭到广泛利用。 该漏洞编号为CVE-2025-24813,影响以下版本 – – Apache Tomcat 11.
继续阅读CSO说安全 | 张天力:智能安全运营体系探索—分布式多智能体在漏洞修复中的应用与实践
CSO说安全 | 张天力:智能安全运营体系探索—分布式多智能体在漏洞修复中的应用与实践 原创 张天力 安在 2025-03-18 18:30 由安在新媒体联合中国网络安全审查认证和市场监管大数据中心(CCRC)共同举办的第五届“超级CSO研修班”现已圆满结营。在导师引领和课程启发下,学员们均完成极具代表性的毕业论文,是各自相关领域网络安全建设、实践与思考的精华之作。 本着分享交流之精神,我们特别精
继续阅读