CVE-2025-22777 (CVSS 9.8):WordPress | GiveWP 插件的严重漏洞 夜组科技圈 2025-01-13 00:00 公众号现在只对常读和星标的才展示大图推送, 建议大家把 夜组科技圈 设为 星标 ,接收一手资讯! 漏洞描述 GiveWP 插件中发现了一个严重漏洞,该插件是 WordPress 最广泛使用的在线捐赠和筹款工具之一。该漏洞的编号为 CVE-2025-
继续阅读研究人员披露了三星一个现已修复的零点击漏洞的细节 鹏鹏同学 黑猫安全 2025-01-12 23:05 Google Project Zero研究人员披露了三星一个现已修复的零点击漏洞的细节,这个漏洞被追踪为CVE-2024-49415(CVSS分数:8.1),影响三星设备。这是一个libsaped.so prior to SMR Dec-2024 Release 1中的出界写入问题,它允许远程攻
继续阅读什么是重保?期间都做些什么?有哪些重要影响? 原创 洁说安全 网络安全和等保测评 2025-01-12 23:00 重保即重点保障时期,通常是指在一些重大活动、关键敏感时期,为了确保特定范围内的网络安全、信息系统稳定运行、关键基础设施安全等所采取的一系列强化保障措施的阶段。 重保期间所做的主要工作如下: 安全监测方面 1.网络流量监测 利用专业的网络流量分析工具,7×24 小时不间断地对进出网络的
继续阅读记一次某SRC信息管理系统多个漏洞组合Getshell|挖洞技巧 漏洞挖掘 渗透安全HackTwo 2025-01-12 16:00 0x01 前言 记一次某SRC信息管理系统多个漏洞组合Getshell,并已提交至 SRC 平台修复。过程包括发现未授权访问漏洞、利用 SQL 注入获取邮箱账号、爆破弱口令登录后台、利用目录遍历漏洞找到上传路径,并通过条件竞争成功绕过黑名单上传 we
继续阅读网络安全领域研究人员遭遇假PoC专项攻击 BaizeSec 白泽安全实验室 2025-01-12 15:36 一、事件概述 近期,网络安全领域接连曝出针对研究人员的假PoC(概念验证)攻击事件,引发业界高度关注。2024年12月,微软在当月的补丁星期二更新中修复了两个关键的LDAP漏洞,分别是CVE-2024-49112和CVE-2024-49113。其中,CVE-2024-49113是一个拒绝服
继续阅读JeecgBoot passwordChange 任意用户密码重置漏洞 Superhero nday POC 2025-01-12 13:39 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果请自行承担!如文章有侵权烦请及时告知,我们会立
继续阅读【漏洞复现】CVE-2024-50603 混子Hacker 混子Hacker 2025-01-12 12:54 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。 [ 漏洞简介 ] —— 越努力越幸运 —— CVE-2024-50603 Aviatrix Cont
继续阅读蓝凌OA WebService sysFormMainDataInsystemWebservice 任意文件读取漏洞 Superhero nday POC 2025-01-12 11:38 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号nday poc及作者不为此承担任何责任,一旦造成后果
继续阅读「漏洞复现」某源地产ERP Service.asmx X-Forwarded-For注入漏洞 冷漠安全 冷漠安全 2025-01-12 04:51 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,
继续阅读古河大佬发现CVE-2024-49113 被黑客利用,发布恶意 PoC(好害怕发布带毒 poc 啊) 独眼情报 2025-01-12 04:24 GitHub 上针对 CVE-2024-49113(又名“LDAPNightmare”)的欺骗性概念验证 (PoC) 漏洞利用信息窃取恶意软件感染用户,该恶意软件会将敏感数据泄露到外部 FTP 服务器。 这种策略并不新颖,因为在 GitHub 上已经有多
继续阅读区块链 智能合约安全 重入漏洞 原创 zkaq – 君叹 掌控安全EDU 2025-01-12 04:01 扫码领资料 获网安教程 本文由掌控安全学院 – 君叹 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 智能合约安全 在当今数字化浪潮汹涌澎湃的时代,区块链技术无疑是一颗耀眼的明星,正深刻地重塑着众多领域的运作模式。
继续阅读文件包含漏洞等你来看 原创 Caigensec 菜根网络安全杂谈 2025-01-12 02:16 点击标题下「蓝色微信名」可快速关注 免责声明:本文仅用于合法范围的学习交流,若使用者将本文用于非法目的或违反相关法律法规的行为,一切责任由使用者自行承担。请遵守相关法律法规,勿做违法行为!本公众号尊重知识产权,如有侵权请联系我们删除。 01 文件包含漏洞介绍 1、漏洞简介 文件包含漏洞是指由于应用程
继续阅读禅道CMS开源版SQL注入漏洞分析 1629192581190874 神农Sec 2025-01-12 01:00 扫码加圈子 获内部资料 网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。 原文链接:https://xz.aliyun.com/t/16976 作者:1629192581190874 0x1 前言介绍
继续阅读CISA紧急警告:Oracle与Mitel高危漏洞正被攻击者利用,企业需立即修复! Hankzheng 技术修道场 2025-01-12 00:51 近日,美国网络安全和基础设施安全局(CISA)发布紧急警告,提醒美国联邦机构注意Oracle WebLogic Server和Mitel MiCollab系统中的高危漏洞 ,这些漏洞已被攻击者积极利用 ,可能对系统安全造成严重威胁。 CISA已将Mi
继续阅读2024年度上海网络与信息安全测评工程技术研究中心开放课题申请指南 小编 安全学术圈 2025-01-12 00:42 上海网络与信息安全测评工程技术研究中心(以下简称“工程中心”)于2015年依托公安部第三研究所筹建,并于2017年底顺利通过筹建期的项目验收,是依托单位内部的二级机构。本工程中心组建目标是立足上海、辐射全国,围绕安全测评技术研发和验证,基于已有的传统网络信息安全测评基础和测评体系
继续阅读【实战小技巧系列】前端 JS 解密:一次简单高危漏洞案例 flower安全 2025-01-11 18:05 0x01前言 在一次项目中,不出意外的发现一处调用数据的地方,但是请求数据全部加密了,删除cookie后发现可以未授权,但是呢一次性调用也就只有九个,这个和预期的高危相差甚远。直接想办法,看看能不能解密这个请求包。既然前端显示的是明文数据,那么不用说,前端肯定存在解密的函数。或者说加解密都
继续阅读Chrome 扩展程序利用关键字操纵漏洞 原创 很近也很远 网络研究观 2025-01-11 15:56 Wladimir Palant 最近的调查显示,许多 Chrome Web Store 扩展程序利用漏洞,通过使用误导性描述和不相关的关键字来操纵搜索排名。 这种策略用不相关或可疑的扩展程序扰乱搜索结果,而合法扩展程序则被埋没在不相关的列表中。 语言漏洞 这种操纵取决于 Chrome Web
继续阅读【安全产品】堡垒机-安全问题分析-漏洞复现 原创 仇辉 仇辉攻防 2025-01-11 12:39 前言 安全悖论——“守护者的隐忧” 在网络安全的世界里,安全产品本应是抵御攻击的第一道防线,为企业和用户提供可靠的保护。然而,近年来的诸多安全事件表明,安全产品本身并非天衣无缝,它们可能成为攻击者的突破口。攻击者通过利用安全产品的漏洞、设计缺陷或配置不当,不仅能够绕过防护措施,还可能利用这些产品作为
继续阅读【漏洞工具】某路由器任意文件读取漏洞Goby低级模式利用工具 原创 儒道易行 儒道易行 2025-01-11 12:01 能受天磨真铁汉,不遭人嫉是庸才 免责声明 该文章内容仅用于学习交流自查使用,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息、技术或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关,公众号儒道易行及作者不为此
继续阅读【安全圈】Ivanti VPN 零日漏洞正在被黑客利用 安全圈 2025-01-11 11:01 关键词 VPN Ivanti 公开披露了影响 Connect Secure (ICS) VPN 设备的两个关键漏洞:CVE-2025-0282 和 CVE-2025-0283。 网络安全公司 Mandiant 的报告称,CVE-2025-0282 零日漏洞利用活动开始于 2024 年 12 月中旬。这
继续阅读基于大模型(LLM)的黑盒RCE漏洞挖掘 原创 比心皮卡丘 暴暴的皮卡丘 2025-01-11 09:00 简介 远程代码执行(Remote Code Execution,RCE)漏洞是最危险的网络安全漏洞之一,攻击者可以通过此类漏洞远程执行任意代码,进而控制目标系统。由于RCE漏洞的危害性极大,因此发现和修复这些漏洞是网络安全领域的重要任务。传统的漏洞挖掘方法依赖于手动渗透测试和静态分析,效率较
继续阅读「漏洞复现」瑞友天翼应用虚拟化系统 GetPwdPolicy SQL注入漏洞 冷漠安全 冷漠安全 2025-01-11 05:05 0x01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者
继续阅读【已复现】Ivanti Connect Secure 堆栈溢出致远程代码执行漏洞(CVE-2025-0282) 长亭安全应急响应中心 2025-01-11 04:02 Ivanti Connect Secure(ICS) 是 Ivanti 公司旗下的一款企业级 SSL VPN 解决方案,支持远程安全接入、身份验证和访问控制等关键功能。2025 年 1 月,Ivanti 官方发布安全公告,修复了 I
继续阅读Google Project Zero 研究人员发现针对三星设备的零点击漏洞 会杀毒的单反狗 军哥网络安全读报 2025-01-11 01:03 导读 网络安全研究人员详细介绍了目前已修补的安全漏洞,该漏洞影响三星智能手机上的Monkey Audio (APE) 解码器,可能导致代码执行。 该漏洞编号为CVE-2024-49415,CVSS 评分:8.1,影响运行 Android 12、13 和
继续阅读【已复现】大华智能物联综合管理平台 GetClassValue 远程代码执行漏洞 原创 应急团队 长亭安全应急响应中心 2025-01-10 06:35 大华智能物联综合管理平台是一款集设备接入管理、数据分析与应用部署为一体的物联网管理解决方案,广泛应用于安防、交通、工业和零售等领域。2025年1月,互联网披露大华智能物联综合管理平台的 GetClassValue 接口中存在远程代码执行漏洞(RC
继续阅读发现Web API漏洞居然能赚到400w刀 Z2O安全攻防 2025-01-10 04:09 知名网络安全公司HackerOne发布的《2023年黑客力量安全报告》透露,已有30名优秀的白帽子各自获得了超100万美元的奖励,而其中最厉害的白帽奖励超过了400万美元。 HackerOne是全球领先的漏洞赏金平台,自2012年成立以来,HackerOne已向白帽子和漏洞研究人员发放了超过3亿美元的奖励
继续阅读【漏洞预警】Apache OpenMeetings未授权 反序列化漏洞 cexlife 飓风网络安全 2025-01-10 04:06 漏洞描述: Apache OpenMeetings是一个开源的网络会议软件,由TheApache Software Foundation创建并维护。Apache OpenMeetings发布安全公告,披露了一个未授权反序列化漏洞,该漏洞是由于OpenMeeti
继续阅读【漏洞通告】Ivanti 多款产品缓冲区溢出漏洞安全风险通告 嘉诚安全 2025-01-10 03:18 漏洞背景 近日,嘉诚安全监测到Ivanti多款产品中存在缓冲区溢出漏洞,漏洞编号为: CVE-2025-0282。 Ivanti Connect Secure,以前称为Pulse Connect Secure,是一款提供SSL VPN解决方案的产品,允许远程用户通过一个安全的通道访问企业资源,
继续阅读实战 | 攻防演练某x医院内网拿下集权 渗透安全团队 2025-01-10 03:16 前言 医院还是比较好打的 外网打点 通过目标某医院资产发现一个协同办公系统,这样登录界面(厚码保命) 登录没有验证码,admin变种字典爆破启动,经过很快获得正确密码adminxxx 然后找到文件上传设置,增加上传后缀 随便找一个上传点,传上去后访问失败,然后换免杀马,直接报500,随后想到
继续阅读