专题·漏洞人才培养 | 实战化漏洞安全人才培养 为新质生产力保驾护航
专题·漏洞人才培养 | 实战化漏洞安全人才培养 为新质生产力保驾护航 CNNVD安全动态 2025-03-06 21:33 文 | 中国移动网络与信息安全管理部 徐一 随着数字化进程的持续推进,各类信息系统和数字资产的大规模建设与广泛应用,带来了日益增多的漏洞安全风险。当前,网络安全形势日趋严峻,外部环境的不确定性进一步加剧,对各类系统应用的安全构成了持续威胁。漏洞作为攻击入侵的重要突破口,同时也
继续阅读标签: 复现
金和OA-C6系统接口IncentivePlanFulfillAppprove.aspx存在SQL注入漏洞
金和OA-C6系统接口IncentivePlanFulfillAppprove.aspx存在SQL注入漏洞 Superhero Nday Poc 2025-03-06 21:13 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担
继续阅读【安全圈】Windows KDC 代理 RCE 漏洞让攻击者远程控制服务器
【安全圈】Windows KDC 代理 RCE 漏洞让攻击者远程控制服务器 安全圈 2025-03-06 19:00 关键词 安全漏洞 安全研究人员发现微软 Windows 密钥分发中心 (KDC) 代理中存在一个严重的远程代码执行漏洞,该漏洞可能允许攻击者完全控制受影响的服务器。 该漏洞编号为CVE-2024-43639,是由于 KDC 代理服务中缺少对 Kerberos 响应长度的检查而导致的
继续阅读【安全圈】CISA 警告 VMware 漏洞正被积极利用,并敦促立即修补
【安全圈】CISA 警告 VMware 漏洞正被积极利用,并敦促立即修补 安全圈 2025-03-06 19:00 关键词 安全漏洞 美国网络安全和基础设施安全局 (CISA) 于 2025 年 3 月 4 日发布紧急警报,在确认存在野外利用后,将三个严重的 VMware 漏洞添加到其已知利用漏洞 (KEV) 目录中。 漏洞CVE-2025-22224、CVE-2025-22225 和 CVE-2
继续阅读逾10亿美元Bybit被盗加密货币已初步进行洗钱,引发全球追踪;WordPress插件RCE漏洞曝光,威胁超10万网站 | 牛览
逾10亿美元Bybit被盗加密货币已初步进行洗钱,引发全球追踪;WordPress插件RCE漏洞曝光,威胁超10万网站 | 牛览 安全牛 2025-03-06 17:42 点击蓝字·关注我们 / aqniu 新闻速览 •合规压力过大,金融机构敦促CISA修订网络事件报告规则 •暗网Nemesis管理员遭美国财政部制裁 •逾10亿美元Bybit被盗加密货币已初步进行洗钱,引发全球追踪 •AI伪造
继续阅读Elastic Kibana 原型污染致任意代码执行漏洞(CVE-2025-25012)安全风险通告
Elastic Kibana 原型污染致任意代码执行漏洞(CVE-2025-25012)安全风险通告 奇安信 CERT 2025-03-06 16:05 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Elastic Kibana 原型污染致任意代码执行漏洞 漏洞编号 QVD-2025-9842,CVE-2025-25012 公开时间 2025-03-06 影响量级 十万级 奇
继续阅读车载Android系统破解工具和漏洞挖掘浅析
车载Android系统破解工具和漏洞挖掘浅析 sec0nd安全 2025-03-05 22:19 鸿蒙APP逆向分析工具和方法 Root检测绕过(文件系统虚拟化) DeepSeek辅助研究魔改LSPosed Hook框架 车载Android系统破解工具和漏洞挖掘方法 针对车载Android系统破解工具及漏洞挖掘方法的系统性总结,结合当前主流技术实践与安全研究,分工具分类、漏洞挖掘方法及风险注意事项
继续阅读【安全圈】全球 49,000 多个门禁管理系统存在巨大安全漏洞
【安全圈】全球 49,000 多个门禁管理系统存在巨大安全漏洞 安全圈 2025-03-05 19:01 关键词 安全漏洞 荷兰 IT 安全咨询公司 Modat 发现全球部署的约 49,000 个访问管理系统 (AMS) 存在令人震惊的安全漏洞。 这些系统旨在通过密码、生物识别和多因素身份验证等身份验证方法来控制建筑物访问,但被发现存在严重的配置错误,导致敏感数据暴露且设施容易受到未经授权的进入。
继续阅读【已支持识别检测】Ollama配置不当未授权访问漏洞(CNVD-2025-04094)
【已支持识别检测】Ollama配置不当未授权访问漏洞(CNVD-2025-04094) 原创 NS-CERT 绿盟科技CERT 2025-03-05 17:26 通告编号:NS-2025-0010 2025-03-04 TAG: Ollama、未授权访问、CNVD-2025-04094 漏洞危害: 攻击者利用此漏洞,可实现未授权访问。 版本: 1.0 1 漏洞概述 近日,绿盟科技监测到网上披露了O
继续阅读工信部CSTIS提醒:防范Murdoc_Botnet僵尸网络的风险;谷歌修复两个已被利用的Android零日漏洞 | 牛览
工信部CSTIS提醒:防范Murdoc_Botnet僵尸网络的风险;谷歌修复两个已被利用的Android零日漏洞 | 牛览 安全牛 2025-03-05 17:22 点击蓝字·关注我们 / aqniu 新闻速览 •工信部CSTIS提醒:防范Murdoc_Botnet僵尸网络的风险 •波兰航天局遭遇网络攻击后,系统仍处于离线状态 •编码问题引发微软365服务大面积中断,身份验证等功能一度中断 •
继续阅读Ollama未授权访问,白嫖AI服务 附POC
Ollama未授权访问,白嫖AI服务 附POC 2025-3-4更新 南风漏洞复现文库 2025-03-04 23:55 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. Ollama未授权访简介 微信公众号搜索:南风漏洞复现文库 该文章
继续阅读记某大学智慧云平台存在弱口令爆破/水平越权信息泄露/Wx_SessionKey篡改 任意用户登录漏洞
记某大学智慧云平台存在弱口令爆破/水平越权信息泄露/Wx_SessionKey篡改 任意用户登录漏洞 sec0nd安全 2025-03-04 22:33 扫码领资料 获网安教程 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 加内部圈子,文末有彩蛋 (知识星球 优惠卷)。
继续阅读【安全圈】WordPress 第三方表单插件 Everest Forms 曝远程代码执行漏洞
【安全圈】WordPress 第三方表单插件 Everest Forms 曝远程代码执行漏洞 安全圈 2025-03-04 19:01 关键词 漏洞 据外媒 Wordfence 报道,安全人员 Arkadiusz Hydzik 向其报告一款名为 Everest Forms 的 WordPress 插件存在严重漏洞 CVE-2025-1128,黑客可利用漏洞将任意文件上传至 WordPress 网站
继续阅读【安全圈】苹果 macOS 虚拟机应用 Parallels Desktop 曝漏洞未修补完全
【安全圈】苹果 macOS 虚拟机应用 Parallels Desktop 曝漏洞未修补完全 安全圈 2025-03-04 19:01 关键词 漏洞 安全研究员 Mykola Grymalyuk 去年曝光苹果 macOS 平台广受好评的 Parallels Desktop 虚拟机软件存在一项编号为 CVE-2024-34331 的提权漏洞。 尽管 Parallels 在当年 4 月便已着手处理,并
继续阅读ECDSA 签名中的私钥泄露:elliptic 库畸形输入漏洞分析
ECDSA 签名中的私钥泄露:elliptic 库畸形输入漏洞分析 原创 慢雾安全团队 慢雾科技 2025-03-04 18:33 作者:enze 编辑:Liz 引言 近期,JavaScript 生态中广泛使用的 elliptic 加密库被发现存在严重安全漏洞(GHSA-vjh7-7g9h-fjfh)。攻击者可以通过构造特定输入,在仅签名一次的情况下提取私钥,从而完全掌控受害者的数字资产或身份凭证
继续阅读CISA漏洞目录竟成勒索攻击“灵感”?28%漏洞被利用;新型网络钓鱼活动滥用微软SharePoint部署Havoc后门 | 牛览
CISA漏洞目录竟成勒索攻击“灵感”?28%漏洞被利用;新型网络钓鱼活动滥用微软SharePoint部署Havoc后门 | 牛览 安全牛 2025-03-04 18:07 点击蓝字·关注我们 / aqniu 新闻速览 •TikTok和Reddit等社交平台在英国受调查,涉嫌侵犯儿童隐私 •CISA漏洞目录竟成勒索攻击“灵感”?28%漏洞被利用 •CISA警告:思科小型企业路由器漏洞遭在野利用
继续阅读CISA 提醒注意已遭利用的 Windows 和思科漏洞
CISA 提醒注意已遭利用的 Windows 和思科漏洞 Sergiu Gatlan 代码卫士 2025-03-04 17:31 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA 提醒美国联邦机构保护系统免受利用思科和Windows 系统漏洞的攻击。 CISA 已将这些漏洞标记为已遭在野利用,不过尚未提供关于该恶意活动及其幕后黑手的具体详情。 第一个漏洞 (CVE-2023-2011
继续阅读CNCERT:关于Ollama存在未授权访问漏洞的安全公告
CNCERT:关于Ollama存在未授权访问漏洞的安全公告 安全内参 2025-03-04 16:04 安全公告编号 :CNTA-2025-0003 近日,国家信息安全漏洞共享平台(CNVD)收录了Ollama未授权访问漏洞(CNVD-2025-04094)。未经授权的攻击者可以远程访问Ollama服务接口执行敏感资产获取、虚假信息投喂、拒绝服务等恶意操作。CNVD建议受影响的单位和用户立即采取措
继续阅读地图大师SRC漏洞挖掘课程学员突破800人!感恩回馈,免费再加一套DLC课程,助你挖洞无忧!
地图大师SRC漏洞挖掘课程学员突破800人!感恩回馈,免费再加一套DLC课程,助你挖洞无忧! 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2025-03-03 22:13 01**** 突破 时间飞逝,转眼间我们已经有800位师傅一起共同进步。当初说过,学会了大师的技术就要把大师拍在沙滩上,如今许多人已经做到了,这让我无比骄傲。感谢大家的信任与支持,作为回馈,我决定免费追加一门DLC课程,继续陪
继续阅读CNNVD | 关于Ollama安全漏洞的通报
CNNVD | 关于Ollama安全漏洞的通报 中国信息安全 2025-03-03 18:17 扫码订阅《中国信息安全》 邮发代号 2-786 征订热线:010-82341063 漏洞情况** 近日,国家信息安全漏洞库(CNNVD)收到关于Ollama安全漏洞(CNNVD-202503-081)情况的报送。未经授权的攻击者可在远程条件下调用Ollama服务接口,执行包括但不限于敏感模型资产窃取、虚
继续阅读双倍奖金!X 春日漏洞悬赏计划启动!
双倍奖金!X 春日漏洞悬赏计划启动! X 微步在线研究响应中心 2025-03-03 11:50 奖励计划 活动时间 2025/2/26-2025/3/18 奖励计划 活动亮点 🎯 超高奖励 :重点系统漏洞奖金翻2倍 ,提供本地环境再加20% ⚡ 极速审核 :重点系统当天提交当天审 ,常规系统3~5个工作日内完成审核 💰 快速结算 : 审核通过即可获得50%奖励,重点系统 0day 30天内全额结
继续阅读(0day)漏洞预警 | 资产管理运营系统任意文件上传漏洞
(0day)漏洞预警 | 资产管理运营系统任意文件上传漏洞 原创 深潜sec安全团队 深潜sec安全团队 2025-03-03 00:32 0x01 漏洞编号 • 暂无 0x02 危险等级 • 高危 0x03 漏洞概述 百易云资产管理运营系统,是专门针对企业不动产资产管理和运营需求而设计的一套综合解决方案。该系统能够覆盖资产的全生命周期管理,包括资产的登记、盘点、评估、处置等多个环节,同时提供强大
继续阅读vulnhub靶场之【digitalworld.local系列】的bravery靶机
vulnhub靶场之【digitalworld.local系列】的bravery靶机 原创 whitehe 泷羽sec-何生安全 2025-03-03 00:30 前言 靶机:digitalworld.local-bravery ,IP地址为192.168.10.8 攻击:kali ,IP地址为192.168.10.6 kali 采用VMware 虚拟机,靶机采用virtualbox 虚拟机,网卡
继续阅读漏洞预警 | DocsGPT远程代码执行漏洞
漏洞预警 | DocsGPT远程代码执行漏洞 浅安 浅安安全 2025-03-03 00:01 0x00 漏洞编号 – # CVE-2025-0868 0x01 危险等级 – 高危 0x02 漏洞概述 DocsGPT是一个AI驱动的文档助手,基于GPT技术,用于智能搜索和解析技术文档,帮助开发者快速获取API说明、代码示例和问题解答。 0x03 漏洞详情 CVE-2025-
继续阅读漏洞预警 | 竞优商业租赁管理系统信息泄露漏洞
漏洞预警 | 竞优商业租赁管理系统信息泄露漏洞 浅安 浅安安全 2025-03-03 00:01 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 竞优商业租赁管理系统是一款面向商业地产、购物中心、写字楼、市场摊位、工业园区等行业的租赁管理软件,集成了合同管理、租金计算、财务结算、商户管理、资产管理等功能,帮助企业提升租赁管理效率,优化租金
继续阅读【漏洞复现】 Ollama未授权访问漏洞
【漏洞复现】 Ollama未授权访问漏洞 g3m 无尽藏攻防实验室 2025-03-03 00:00 网络安全为人民 师傅们好👋:本公众号现在已开启对常读和星标的公众号展示大图推送,为了不错过我们的网络安全干货,请星标🌟我们。这样,您就能快速掌握最新动态,与我们共同守护网络空间!感谢您的关注和支持!💖 Ollma Ollama 是一个开源的大语言模型(LLM)运行环境和工具集,旨在帮助开发者轻松部
继续阅读EatPoc – 简单的POC捕获工具
EatPoc – 简单的POC捕获工具 LemonSec 2025-03-02 16:00 又到每年大小考的时候了,很多非开源扫描器会集中再这段时间疯狂推送新的POC。大秀肌肉。 有时候不想启用mitmproxy去精细化抓取流量,只想批量保存POC。所以做了这么一个脚本去完成需求。 该工具保存下载的流量(request),可以再用大模型修改格式,比如改成Nuclei支持的格式。 项目地
继续阅读PingAM Java存在未经授权的访问权限漏洞CVE-2025-20059
PingAM Java存在未经授权的访问权限漏洞CVE-2025-20059 网安百色 2025-03-02 11:31 点击上方 蓝字 关注我们吧~ Ping Identity 针对其 PingAM Java 代理发布了紧急安全公告,揭示了一个严重性为极高的漏洞 (CVE-2025-20059),该漏洞使攻击者能够绕过策略实施机制并未经授权访问受保护的资源。 该漏洞被归类为相对路径遍历弱点 (C
继续阅读关于Ollama存在未授权访问漏洞的安全公告
关于Ollama存在未授权访问漏洞的安全公告 网安百色 2025-03-02 11:31 安全公告编号 :CNTA-2025-0003 近日,国家信息安全漏洞共享平台(CNVD)收录了Ollama未授权访问漏洞(CNVD-2025-04094)。未经授权的攻击者可以远程访问Ollama服务接口执行敏感资产获取、虚假信息投喂、拒绝服务等恶意操作。CNVD建议受影响的单位和用户立即采取措施防范漏洞攻击
继续阅读应用安全不仅仅是漏洞
应用安全不仅仅是漏洞 原创 tonghuaroot RedTeam 2025-03-02 10:36 应用安全不仅仅是漏洞,漏洞是驱动应用安全建设的有效抓手。 代码天生易错 核心理念:以系统可靠性为核心目标,兼顾控制验证与安全保障、安全漏洞治理的双重诉求。 应用开发天生具有复杂性。没有不存在漏洞的应用 。这些漏洞可能源自需求分析、设计阶段,也可能出现在实现及后续维护过程中,不同阶段的安全漏洞会引发
继续阅读