【已复现】Apache Tomcat存在远程代码执行漏洞(CVE-2025-24813) 安恒研究院 安恒信息CERT 2025-03-11 18:40 漏洞概述 漏洞名称 Apache Tomcat存在远程代码执行漏洞(CVE-2025-24813) 安恒CERT评级 2级 CVSS3.1评分 8.1(安恒自评) CVE编号 CVE-2025-24813 CNVD编号 未分配 CNNVD编号 未
继续阅读【已复现】Apache Tomcat Partial PUT远程代码执行漏洞(CVE-2025-24813) 长亭安全应急响应中心 2025-03-11 18:27 Apache Tomcat 是一个开源的 Java Servlet 容器和 Web 服务器,支持运行 Java Servlet、JavaServer Pages (JSP) 和其他基于 Java 的 Web 应用程序,广泛用于开发和部
继续阅读CNNVD | 关于Apache Tomcat安全漏洞的通报 中国信息安全 2025-03-11 17:47 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况** 近日,国家信息安全漏洞库(CNNVD)收到关于Apache Tomcat安全漏洞(CNNVD-202503-1068、CVE-2025-24813)情况的报送。未授权的攻击者能够利用漏洞远程执
继续阅读【已复现】Apache Tomcat远程代码执行漏洞(CVE-2025-24813) 原创 NS-CERT 绿盟科技CERT 2025-03-11 17:12 通告编号:NS-2025-0012 2025-03-11 TAG: Tomcat、远程代码执行、CVE-2025-24813 漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到A
继续阅读漏洞研究和漏洞利用技术领域的本质演变 原创 天御 天御攻防实验室 2025-03-11 14:39 现代漏洞研究与攻防演变分析 现代漏洞研究和漏洞利用技术领域正经历着本质性的演变,反映了网络安全攻防间的”进化竞赛”。本文从多个维度分析这一动态发展过程。(备注:基于漏洞研究员之间的对话整理) 现实世界中的漏洞开发的一个关键特征是独特性,基于难度(漏洞真的很难发现)成为一个因素
继续阅读【安全圈】PHP-CGI RCE 漏洞被用于攻击日本科技、电信和电子商务领域 安全圈 2025-03-10 19:01 关键词 安全漏洞 自 2025 年 1 月以来,来源不明的威胁行为者被归咎于主要针对日本组织的恶意活动。 思科 Talos 研究员 Chetan Raghuprasad在周四发布的技术报告中表示:“攻击者利用了漏洞CVE-2024-4577,这是 Windows 上 PHP 的
继续阅读多个政府机构和企事业单位门户网站遭攻击,工信部漏洞平台发布预警 安全内参 2025-03-10 17:38 关注我们 带你读懂网络安全 多个政府机构和企事业单位门户网站网页遭受攻击、篡改代码。 近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,多个政府机构和企事业单位门户网站网页遭受攻击、篡改代码,导致违法违规信息传播、恶意链接推广、SEO(搜索引擎优化)劫持和钓鱼攻击等严
继续阅读上周关注度较高的产品安全漏洞(20250303-20250309) 原创 CNVD CNVD漏洞平台 2025-03-10 17:32 一、境外厂商产品漏洞 1、Microsoft Excel代码执行漏洞(CNVD-2025-04194) Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞,攻
继续阅读Apache OFBiz 服务端模板注入漏洞(CVE-2025-26865)安全风险通告 奇安信 CERT 2025-03-10 14:52 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Apache OFBiz 服务端模板注入漏洞 漏洞编号 QVD-2025-10061,CVE-2025-26865 公开时间 2025-03-07 影响量级 万级 奇安信评级 高危 CVSS
继续阅读Sitecore 曝零日漏洞,可执行任意代码攻击 FreeBuf 商密君 2025-03-09 23:55 近日披露的 Sitecore 体验平台关键漏洞(CVE-2025-27218)允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。 该漏洞源于不安全的数据反序列化操作,影响Sitecore 体验管理器(XM)和体验平台(XP)8.2至10.4版本,这些版本在安装补丁KB1002844之前
继续阅读Linux 内核越界写入漏洞(CVE-2024-53104) 网安百色 2025-03-09 19:24 点击上方 蓝字 关注我们吧~ 近日,一个针对 Linux 内核的高危 越界写入(out-of-bounds write) 漏洞(CVE-2024-53104)的概念验证(PoC)漏洞利用代码已被公开。该漏洞存在于 USB 视频类(UVC)驱动程序 中,可能导致 权限提升(Privilege E
继续阅读一次0Day漏洞Rce审计流程 WK安全 2025-03-08 20:36 **免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 本次仅仅是记录一下自己审计一个相关0day漏洞rce的过程,并无指纹,poc,以及其余信息,看poc、指纹什么的师傅可以滑走啦。(本文会厚马) 二、
继续阅读【安全圈】紧急预警|Elastic Kibana 高危漏洞,可远程执行代码,速修复 安全圈 2025-03-08 19:00 关键词 漏洞 漏洞背景 近日,Elastic 官方紧急发布安全更新,修复了 Kibana(Elasticsearch 数据可视化平台) 中一个 CVSS 评分9.9 的严重漏洞(CVE-2025-25012)。该漏洞源于 原型污染缺陷,攻击者可通过构造恶意文件上传和特制 H
继续阅读FreeBuf周报 | 谷歌收集用户数据且无需打开应用;近5万访问管理系统存严重漏洞 Zicheng FreeBuf 2025-03-08 18:29 各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、一周好文,保证大家不错过本周的每一个重点! 热点资讯 1. 最新黑产技术曝光,只需19分钟即可劫持AI大模型 最新研究表明,网络攻击者正在利用泄露的云凭证在
继续阅读VNCTF-2025-赛后复现 周bosh 看雪学苑 2025-03-08 18:02 PWN 签到 日常检查一下: llq@llq-virtual-machine:~$ checksec pwn [*] ‘/home/llq/pwn’ Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE
继续阅读金盘移动图书馆系统download.jsp存在任意文件读取漏洞 Superhero Nday Poc 2025-03-08 17:19 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文
继续阅读记录一次JAVA前台漏洞审计 知名小朋友 进击安全 2025-03-08 16:37 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 好久没有进行自己更新相关的文章了,今天来更新一篇对学员的一个JAVA源码的审计过程,并且成功审计出来漏洞的一个案例。 二、事情过程 某天晚上,
继续阅读Elber-Wayber模拟数字音频密码重置漏洞 Superhero Nday Poc 2025-03-08 16:35 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉。谢谢
继续阅读【0day】某礼品卡电子券收卡系统存在前台任意文件删除漏洞 原创 Mstir 星悦安全 2025-03-08 13:26 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 一个先进、稳定、功能完善的回收交易平台, 通过技术对接,全面实现线上回收各类虚拟卡。销卡速度快,到账稳定。 解决浪费:直接面对用户回收 出户即可提交卡号卡密完成回收交易 解决每年上十亿礼品卡闲置的问题。 资金回流:让企业闲
继续阅读Microsoft Windows KDC 代理中的 RCE Ots安全 2025-03-08 12:54 在趋势科技漏洞研究服务漏洞报告的摘录中, 趋势科技研究团队的 Simon Humbert 和 Guy Lederfein 详细介绍了 Microsoft Windows 密钥分发中心 (KDC) 代理中最近修补的代码执行漏洞。该漏洞最初由 Cyber KunLun 的昆仑实验室的 k0shl
继续阅读JavaSecLab 综合Java漏洞平台搭建 原创 moonsec moonsec 2025-03-08 12:32 一、介绍 JavaSecLab是一款综合型Java漏洞平台,提供相关漏洞缺陷代码、修复代码、漏洞场景、审计SINK点、安全编码规范,覆盖多种漏洞场景,友好用户交互UI…… 支持漏洞模块 跨站脚本攻击、跨站请求伪造、CORS、JSONP、URL重定向、XFF伪造、拒绝服务、XPAT
继续阅读苹果设备的“锁屏漏洞”:CVE-2025-24200如何被攻击者利用? HSCERT 山石网科安全技术研究院 2025-03-08 09:01 苹果设备的USB限制模式被绕过,你的隐私还安全吗? 在当今数字化时代,智能手机的安全性已经成为我们生活中不可或缺的一部分。苹果公司一直以其严格的安全机制著称,但最近一个名为CVE-2025-24200的漏洞却引发了广泛关注。接下来以一篇深度文章[1],带你
继续阅读VMware ESXi 报告新漏洞,波兰航天局遭受网络攻击 | 一周特辑 威努特安全网络 2025-03-08 07:59 VMware ESXi 漏洞 增加勒索攻击的风险 前段时间,VMware 所有者 Broadcom 通知 ESXi、Workstation 和 Fusion 客户,他们已为目前可被利用的三个0day漏洞提供了补丁。 这些漏洞被跟踪为 CVE-2025-22224、CVE-20
继续阅读全球近5W个访问管理系统存在严重安全漏洞 FreeBuf 2025-03-07 19:53 荷兰IT安全咨询公司Modat发现,全球范围内部署的约49,000个访问管理系统(AMS)存在严重的安全漏洞。这些系统本应通过密码、生物识别和多因素认证等身份验证方法控制建筑物访问,然而却因关键配置错误导致敏感数据暴露,使设施面临未经授权进入的风险。 此次发现暴露了一个跨越多个领域的重大全球性安全威胁,涉及
继续阅读当风云卫拥抱DeepSeek发生了哪些? –从漏洞验证到自动修复的优化之路 原创 创新研究院 绿盟科技研究通讯 2025-03-07 19:28 一. 前言 近期,Deepseek-R1[1]凭借在多项核心评测基准中的优异表现,尤其是在代码层面,展现出了强大的推理能力和高效的性能,能够有效支持开发者完成复杂的编程任务。那么,Deepseek-R1是否会给代码审计带来智能化变革呢? 本
继续阅读vulnhub靶场渗透之Stapler 8000字详解,多种方式任你挑选,sql注入、隧道建立、hadry爆破、内核漏洞利用。 原创 泷羽Sec-zhao’y 泷羽Sec-朝阳 2025-03-07 19:10 vulnhub靶场渗透之Stapler 8000字详解,多种方式任你挑选,sql注入、隧道建立、hadry爆破、内核漏洞利用。 一、信息收集 1、首先拿到靶场先扫一下ip ar
继续阅读专题·漏洞人才培养 | 知攻善防,内外兼修,网络安全实战人才培养的实践之道 原创 杨坤 余慧英 袁胜 中国信息安全 2025-03-07 17:39 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 文 | 北京长亭科技有限公司 杨坤 余慧英 袁胜 习近平总书记指出,“网络空间的竞争,归根结底是人才竞争”。面对当前日益严峻的网络空间安全态势,高水平高质量的专业网络
继续阅读公安部网安局提醒:警惕5种个税汇算骗局;新型勒索团伙SecP0出新招:威胁公开未披露软件漏洞 | 牛览 安全牛 2025-03-07 15:48 点击蓝字·关注我们 / aqniu 新闻速览 •公安部网安局提醒:警惕5种个税汇算骗局 •工信部CSTIS提醒:防范针对DeepSeek本地化部署实施网络攻击的风险 •NIST发布《评估差分隐私保证指南》 •5欧元二手硬盘藏15GB敏感医疗记录,数据
继续阅读2025上半年最需要关注的80+高危漏洞! 原创 微步情报局 微步在线研究响应中心 2025-03-07 08:29 当2025的阳光爬上机房的玻璃窗,攻击者的漏洞同样追着光登场。 微步情报局从 漏洞活跃程度、利用难易度、影响面、实网攻击行为情况 等多个维度,梳理出2025年 80+最需要各位师傅关注的高危漏洞 ,涵盖 应用系统、中间件、数据库、操作系统,大模型、安全产品 等关键对象,99%都是R
继续阅读专题·漏洞人才培养 | 以CTF学科竞赛为抓手的漏洞人才培养探索与实践 CNNVD安全动态 2025-03-06 21:33 文 | 武汉大学国家网络安全学院 赵磊 鄢炜 文贝西 在我国深入推进网络强国战略的进程中,网络安全人才的短缺已成为制约网络安全产业发展的主要问题之一,尤其是实战型人才的匮乏。据统计,高达92%的企业信息部门和安全部门负责人认为其团队“缺乏攻防实战能力”。漏洞的挖掘、分析、利
继续阅读