微软Outlook严重漏洞
微软Outlook严重漏洞 网安百色 2025-02-07 11:50 点击上方 蓝字 关注我们吧~ 该漏洞由 Check Point 漏洞研究员 Haifei Li 发现并跟踪为 CVE-2024-21413,该漏洞是由于使用易受攻击的 Outlook 版本打开带有恶意链接的电子邮件时输入验证不当造成的。 攻击者获得了远程代码执行能力,该漏洞允许绕过受保护视图(该视图应该通过以只读模式打开来阻止
继续阅读标签: 复现
【漏洞预警】Apache Struts2代码注入漏洞
【漏洞预警】Apache Struts2代码注入漏洞 cexlife 飓风网络安全 2025-02-07 11:39 漏洞详情: Nginx官方发布安全公告,披露了Nginx Plus和Nginx Open Source中存在的一处凭证管理不当漏洞,该漏洞是由于当基于名称的虚拟主机配置为使用TLS 1.3和OpenSSL共享相同的IP地址和端口组合时,先前经过身份验证的攻击者可以使用会话恢复来绕过
继续阅读CISA将Microsoft Outlook等漏洞列入已知被利用漏洞目录
CISA将Microsoft Outlook等漏洞列入已知被利用漏洞目录 AI小蜜蜂 FreeBuf 2025-02-07 11:15 美国网络安全与基础设施安全局(CISA)近日将以下漏洞添加至其已知被利用漏洞(KEV)目录中: CVE-2025-0411:7-Zip Mark of the Web 绕过漏洞 CVE-2022-23748:Dante Discovery 进程控制漏洞 CVE-2
继续阅读【安全圈】CISA将Microsoft Outlook、Sophos XG Firewall等漏洞列入已知被利用漏洞目录
【安全圈】CISA将Microsoft Outlook、Sophos XG Firewall等漏洞列入已知被利用漏洞目录 安全圈 2025-02-07 11:00 关键词 安全漏洞 美国网络安全和基础设施安全局 (CISA) 将 Microsoft Outlook、Sophos XG 防火墙和其他漏洞添加到其已知被利用的漏洞目录中。 美国网络安全和基础设施安全局(CISA) 将以下漏洞添加到其已知
继续阅读DeepSeek 相关安全事件分析报告
DeepSeek 相关安全事件分析报告 原创 DRP 鹰眼威胁情报中心 2025-02-07 10:55 一、引言 近期,DeepSeek 作为一家迅速崛起的中国 AI 公司,凭借其先进的 AI 模型吸引了全球关注。然而,随着其知名度的提升,各类安全问题也接踵而至。网络犯罪分子纷纷利用 DeepSeek 的热度,发起多种恶意攻击活动,给用户带来了极大的安全风险。本报告将对近期 DeepSeek 相
继续阅读CVE-2024-6387 OpenSSH 任意代码执行漏洞 PoC 漏洞发布
CVE-2024-6387 OpenSSH 任意代码执行漏洞 PoC 漏洞发布 Ots安全 2025-02-07 10:22 针对严重 OpenSSH 漏洞 CVE-2024-6387(也称为“regreSSHion”)的概念验证 (PoC) 漏洞已发布,引起了整个网络安全社区的警惕。 该漏洞影响全球数百万台 OpenSSH 服务器,允许未经身份验证的远程攻击者在特定条件下以 root 权限执行任
继续阅读微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷
微软示警 ASP.NET 重大安全漏洞,超3000公开密钥恐致服务器沦陷 看雪学苑 看雪学苑 2025-02-07 09:59 微软近期发出重要安全示警,指出攻击者正在利用网上公开的ASP.NET静态密钥,通过ViewState代码注入攻击部署恶意软件。 微软威胁情报专家发现,一些开发者在软件开发中使用了在代码文档和代码库平台上公开的ASP.NET validationKey和decryption
继续阅读本周更新:虚拟机镜像调试 | 系统0day安全(第7期)
本周更新:虚拟机镜像调试 | 系统0day安全(第7期) 看雪课程 看雪学苑 2025-02-07 09:59 本周更新: 3.9 虚拟机镜像调试(1) https://www.kanxue.com/book-140-4993.htm 3.10 虚拟机镜像调试(2) https://www.kanxue.com/book-140-4994.htm 3.11 虚拟机镜像调试(3) https://w
继续阅读Google Project Zero 的 Windows 漏洞研究:通过 IDispatch 访问受困 COM 对象的漏洞模式
Google Project Zero 的 Windows 漏洞研究:通过 IDispatch 访问受困 COM 对象的漏洞模式 James Forshaw securitainment 2025-02-07 08:50 Project Zero Windows Bug Class Accessing Trapped COM Objects with IDispatch 面向对象的远程技术(如 D
继续阅读CISA将Microsoft Outlook、Sophos XG Firewall等漏洞列入已知被利用漏洞目录
CISA将Microsoft Outlook、Sophos XG Firewall等漏洞列入已知被利用漏洞目录 邑安全 2025-02-07 08:27 更多全球网络安全资讯尽在邑安全 美国网络安全与基础设施安全局(CISA)将Microsoft Outlook、Sophos XG Firewall等漏洞列入已知被利用漏洞目录 美国网络安全与基础设施安全局(CISA)近日将以下漏洞添加至其已知被利
继续阅读Ivanti Connect Secure栈溢出漏洞(CVE-2025-0282)分析与复现
Ivanti Connect Secure栈溢出漏洞(CVE-2025-0282)分析与复现 原创 烽火台实验室 Beacon Tower Lab 2025-02-07 07:08 漏洞概述 Ivanti Connect Secure、Ivanti Policy Secure和Ivanti Neurons for ZTA gateways 是Ivanti 公司提供的远程访问和安全连接解决方案,主
继续阅读宏景eHRDisplayFiles存在任意文件读取漏洞
宏景eHRDisplayFiles存在任意文件读取漏洞 原创 骇客安全 骇客安全 2025-02-07 06:53 一、漏洞简介 宏景人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。系统功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考
继续阅读赛诸葛数字化智能中台系统 login SQL注入漏洞
赛诸葛数字化智能中台系统 login SQL注入漏洞 Superhero nday POC 2025-02-07 06:09 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立即删除文章并致歉。
继续阅读某渐变头像合成网站系统存在任意文件上传漏洞(RCE)
某渐变头像合成网站系统存在任意文件上传漏洞(RCE) 原创 Mstir 星悦安全 2025-02-07 04:36 点击上方 蓝字 关注我们 并设为 星标 0x00 前言 源码介绍 : 渐变头像合成网站的操作简单便捷,用户只需上传自己的头像,选择喜欢的头像框,点击一键合成即可生成专属定制头像。网站提供了167种不同风格的头像框供选择,用户也可以自己添加素材。生成后的头像可以直接下载保存到手机上,还
继续阅读上周关注度较高的产品安全漏洞(20250120-20250126)
上周关注度较高的产品安全漏洞(20250120-20250126) 中国电信安全 2025-02-07 04:01 一、境外厂商产品漏洞 1、Adobe InDesign越界读取漏洞**** Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe InDesign存在越界读取漏洞,攻击者可利用该漏洞导致敏感内存泄露。 参考链接: https://www.cnv
继续阅读安科瑞环保用电监管云平台 GetEnterpriseInfoY SQL注入漏洞
安科瑞环保用电监管云平台 GetEnterpriseInfoY SQL注入漏洞 Superhero nday POC 2025-02-07 02:58 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,
继续阅读小技巧 – 文件读取漏洞原来也这么严重
小技巧 – 文件读取漏洞原来也这么严重 原创 Vipersec SecretTeam安全团队 2025-02-07 01:42 朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把 SecretTeam安全团队 “设为星标 ”, 否则可能就看不到了啦! 免责声明 “本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适
继续阅读【漏洞复现】XXL-JOB-Admin 前台api未授权 hessian2反序列化
【漏洞复现】XXL-JOB-Admin 前台api未授权 hessian2反序列化 孤独成诗 Sec探索者 2025-02-07 01:13 点击下方名片,关注公众号,一起探索网络安全技术 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢! 01 漏洞描
继续阅读微软Sysinternals工具中的0day漏洞允许攻击者对Windows 发起 DLL 注入攻击
微软Sysinternals工具中的0day漏洞允许攻击者对Windows 发起 DLL 注入攻击 会杀毒的单反狗 军哥网络安全读报 2025-02-07 01:00 导读 几乎所有 Microsoft Sysinternals 工具中都发现一个严重的 0-Day 漏洞,这对依赖这些实用程序进行系统分析和故障排除的 IT 管理员和开发人员构成了重大风险。 该漏洞概述了攻击者如何利用DLL 注入技术
继续阅读漏洞预警 | Cisco ISE反序列化漏洞
漏洞预警 | Cisco ISE反序列化漏洞 浅安 浅安安全 2025-02-07 00:00 0x00 漏洞编号 – # CVE-2025-20124 0x01 危险等级 – 高危 0x02 漏洞概述 ISE是下一代NAC解决方案,用于在零信任架构内管理终端、用户和设备对网络资源的访问。 0x03 漏洞详情 CVE-2025-20124 漏洞类型: 反序列化 影响: 执行
继续阅读漏洞预警 | 泛微E-Cology信息泄露漏洞
漏洞预警 | 泛微E-Cology信息泄露漏洞 浅安 浅安安全 2025-02-07 00:00 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 中危 0x02 漏洞概述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。 0x03 漏洞
继续阅读01 漏洞从哪里来?——综述
01 漏洞从哪里来?——综述 原创 Richard 方桥安全漏洞防治中心 2025-02-07 00:00 漏洞从哪里来? 漏洞从每一个你想得到和想不到的地方来。 本系列文章拟从 “设计缺陷、编程习惯、认知局限、体系痼疾(制度化)、视而不见(风险偏好)、引狼入室(供应链)、乌合之众(你没错,我没错,咱俩在一起就是错)、技术进步”等8个方面浅析各种导致安全漏洞的直接原因。姑且称为“八方来洞”。 咱们
继续阅读好视通云会议upLoad2.jsp文件任意文件上传漏洞
好视通云会议upLoad2.jsp文件任意文件上传漏洞 原创 骇客安全 骇客安全 2025-02-06 16:03 漏洞复现 1、Fofa body=”images/common/logina_1.gif” id: haoshitong-fm-upload info: name: haoshitong-fm-upload author: m0be1 severi
继续阅读APP渗透测试 — janus漏洞
APP渗透测试 — janus漏洞 Web安全工具库 2025-02-06 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: 链接:https://pan.quark.cn/s/276691239b96 00:00 – 2017年度重大漏洞:在不改变签名的情况下替换APK文件 讨论了一个在2017年引起广泛关注的重大安全漏洞,该漏洞允许攻击者在不改变应用签名
继续阅读【漏洞预警】libxml2代码执行漏洞(CVE-2022-49043)
【漏洞预警】libxml2代码执行漏洞(CVE-2022-49043) cexlife 飓风网络安全 2025-02-06 13:54 漏洞描述: 在libхml22.11.0之前的版本中,хinсludе.с文件中的хmlXInсludеAddNоdе函数存在一个使用后释放(uѕе-аftеr-frее)漏洞。 影响产品: 2.0.0<=libxml2<2.11.0 攻击场景: 攻击
继续阅读思科修补启用 Root CmdExec 和 PrivEsc 的关键 ISE 漏洞
思科修补启用 Root CmdExec 和 PrivEsc 的关键 ISE 漏洞 信息安全大事件 2025-02-06 12:08 Cisco 发布了更新,以解决身份服务引擎 (ISE) 的两个关键安全漏洞,这些漏洞可能允许远程攻击者在易受攻击的设备上执行任意命令并提升权限。 漏洞如下: – CVE-2025-20124(CVSS 评分:9.9)- 思科 ISE API 中存在不安全的
继续阅读思科披露两个严重的身份服务引擎漏洞
思科披露两个严重的身份服务引擎漏洞 跳舞的花栗鼠 FreeBuf 2025-02-06 11:02 思科公司披露了其身份服务引擎(ISE)软件中的两个关键漏洞,CVE-2025-20124和CVE-2025-20125,CVSS评分分别为9.9和9.1,严重性评级极高。这两个漏洞可能允许已认证的攻击者执行以下操作:远程任意命令执行、系统权限提升以及配置参数篡改。 截至目前,思科产品安全事件响应团队
继续阅读HVV实战课程与超值福利
HVV实战课程与超值福利 原创 ZPZ安全团队 ZeroPointZero安全团队 2025-02-06 10:23 P ART.01/ 课程简介 欢迎加入HVV行动实战课程,这是一门为网络安全爱好者和安全从业者量身打造的高端课程,专注于红蓝对抗技能的深入学习和实践应用。无论你是刚刚踏入网络安全领域的初学者,还是经验丰富的专业人士,这门课程都将带你深入探索网络攻防的精髓,为你提供从基础知识到高级技
继续阅读OWASP发布2025十大智能合约安全漏洞
OWASP发布2025十大智能合约安全漏洞 中科天齐软件安全中心 2025-02-06 10:00 点击 蓝字 关注中科天齐 随着去中心化金融(DeFi)和区块链技术的不断发展,智能合约安全的重要性愈发凸显。在此背景下,开放网络应用安全项目(OWASP)发布了备受期待的《2025年智能合约十大漏洞》报告。 这份最新报告反映了不断演变的攻击向量,深入剖析了近年来的常见漏洞及缓解策略。旨在提升Web3
继续阅读基于DeepSeek AI 代码审计漏洞 v1.0上线!可本地ollama调用
基于DeepSeek AI 代码审计漏洞 v1.0上线!可本地ollama调用 谈思实验室 2025-02-06 09:54 点击上方蓝字 谈思实验室 获取更多汽车网络安全资讯 前言 经过相当的一段时间开发和很多通宵的优化修改,内测,这个工具总算可以把1.0版本拿出来给大家了,同时非常感谢lingview师傅让开发得以顺利,zac(点点)师傅给出了idea,并参与到优化中,非常感谢。 工具亮点 结
继续阅读