竞优软件 商业租赁管理系统 信息泄露漏洞(CNVD-2025-03578)
竞优软件 商业租赁管理系统 信息泄露漏洞(CNVD-2025-03578) Superhero Nday Poc 2025-03-30 16:17 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 00**** 产品简介 竞优
继续阅读标签: 敏感信息
CVE-2025-24813|Apache Tomcat远程代码执行漏洞(POC)
CVE-2025-24813|Apache Tomcat远程代码执行漏洞(POC) alicy 信安百科 2025-03-29 18:01 0x00 前言 Tomcat 是 Apache 软件基金会( Apache Software Foundation )的 Jakarta 项目中的一个核心项目,由 Apache 、 Sun 和其他一些公司及个人共同开发而成。 Tomcat 服务器是一个免费的
继续阅读CVE-2025-30208|Vite任意文件读取漏洞(POC)
CVE-2025-30208|Vite任意文件读取漏洞(POC) alicy 信安百科 2025-03-29 18:01 0x00 前言 Vite 是一个现代化的前端构建工具,旨在通过利用现代浏览器的原生 ES 模块支持,提供快速的开发体验。 广泛应用于Vue.js等项目的开发中。在其开发服务器模式下,Vite提供了@fs 机制,用于访问服务允许范围内的文件。 Vite 由两部分组成: 1、开发服
继续阅读Splunk 高危漏洞:攻击者可通过文件上传执行任意代码
Splunk 高危漏洞:攻击者可通过文件上传执行任意代码 信息安全大事件 2025-03-28 18:02 Splunk 近日发布补丁,修复了影响 Splunk Enterprise 和 Splunk Cloud Platform 的高危远程代码执行(RCE)漏洞。该漏洞编号为 CVE-2025-20229,可能允许低权限用户通过上传恶意文件执行任意代码。 漏洞影响范围 该漏洞存在于以下版本中:
继续阅读安全内参|面向漏洞编程:如何让AI编程助手生成带后门的代码
安全内参|面向漏洞编程:如何让AI编程助手生成带后门的代码 安全内参编译 上汽集团网络安全应急响应中心 2025-03-28 18:01 文章来 源 : 安全内参 研究人员发现,通过在AI编程助手的规则文件中植入不良内容,来诱导Cursor或GitHub Copilot生成不安全的代码,攻击者可以通过在论坛或GitHub分享包含规则文件的代码库来实施软件供应链攻击。 前情回顾·大模型安全动态 &#
继续阅读【霄享·安全】XML外部实体注入(XXE)漏洞简介(总第50期月刊)
【霄享·安全】XML外部实体注入(XXE)漏洞简介(总第50期月刊) 原创 刘宇凡 上汽集团网络安全应急响应中心 2025-03-28 18:01 漏洞描述 XML外部实体注入(XML External Entity Injection,XXE)漏洞是指攻击者通过构造恶意XML数据,利用应用程序未正确配置XML解析器的安全策略,诱导系统执行非授权操作(如文件读取、网络请求、服务端请求伪造等)。 1
继续阅读Vite 任意文件读取漏洞(CVE-2025-30208)全网测绘分析
Vite 任意文件读取漏洞(CVE-2025-30208)全网测绘分析 360Quake空间测绘 360Quake空间测绘 2025-03-28 16:43 一、漏洞概述 CVE-2025-30208 是 Vite 开发服务器中存在的高危任意文件读取漏洞,攻击者可通过构造特定 URL 参数绕过文件访问控制机制,读取服务器上的敏感文件(如 /etc/passwd 、C:\windows\win.in
继续阅读Sitecore几年前的洞CVE-2019-9874:反序列化实现的未经认证的 RCE(CVSS 9.8)
Sitecore几年前的洞CVE-2019-9874:反序列化实现的未经认证的 RCE(CVSS 9.8) 柠檬赏金猎人 2025-03-27 22:30 概述 Sitecore 的CSRF 模块中的两个严重漏洞再次成为活跃威胁,最近CISA将其加入已知被利用漏洞清单 (Known Exploited Vulnerabilities Catalog)。 CVE-2019-9874 是一个影响 Si
继续阅读【漏洞通告】Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974)
【漏洞通告】Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-27 17:28 漏洞名称: Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974) 组件名称: Nginx Ingress Controller 影响范围: Ingress NGINX C
继续阅读【漏洞通告】Vite 访问控制错误漏洞(CVE-2025-30208)
【漏洞通告】Vite 访问控制错误漏洞(CVE-2025-30208) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-27 17:28 漏洞名称: Vite 访问控制错误漏洞(CVE-2025-30208) 组件名称: Vite 影响范围: 6.2.0 ≤ Vite ≤ 6.2.26.1.0 ≤ Vite ≤ 6.1.16.0.0 ≤ Vite ≤ 6.0.115.0.0 ≤ Vite
继续阅读【漏洞预警】Ingress NGINX Controller远程代码执行漏洞(CVE-2025-1974)
【漏洞预警】Ingress NGINX Controller远程代码执行漏洞(CVE-2025-1974) cexlife 飓风网络安全 2025-03-26 22:22 漏洞描述: 该漏洞源于Inɡrеѕѕ NGINX Cоntrоllеr没有充分验证inɡrеѕѕ配置,攻击者可伪造AdmiѕѕiоnRеviеԝ请求加载恶意共享库执行任意代码,访问Kubеrnеtеѕ集群敏感信息等。 该漏洞可
继续阅读【漏洞速递】Google Chrome 沙箱逃逸漏洞(CVE-2025-2783)
【漏洞速递】Google Chrome 沙箱逃逸漏洞(CVE-2025-2783) 安全狐 2025-03-26 21:37 漏洞背景 Google Chrome 是全球使用最广泛的网页浏览器之一,以其快速、安全和稳定的特性著称。Chrome 采用了沙箱机制来隔离网页进程,以防止恶意代码对系统造成危害。2025年3月, 卡巴斯基安全研究人员发现了一个高危漏洞(CVE-2025-2783),该漏洞允
继续阅读【已复现】Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974)安全风险通告
【已复现】Ingress NGINX Controller 远程代码执行漏洞(CVE-2025-1974)安全风险通告 奇安信 CERT 2025-03-26 20:15 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ingress NGINX Controller 远程代码执行漏洞 漏洞编号 QVD-2025-12033,CVE-2025-1974 公开时间 2025-03
继续阅读【已复现】Vite 任意文件读取漏洞(CVE-2025-30208)安全风险通告
【已复现】Vite 任意文件读取漏洞(CVE-2025-30208)安全风险通告 奇安信 CERT 2025-03-26 20:15 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Vite 任意文件读取漏洞 漏洞编号 QVD-2025-12001,CVE-2025-30208 公开时间 2025-03-24 影响量级 十万级 奇安信评级 高危 CVSS 3.1分数 7.5 威
继续阅读漏洞预警 | Next.js 中间件鉴权绕过漏洞 (CVE-2025-29927)
漏洞预警 | Next.js 中间件鉴权绕过漏洞 (CVE-2025-29927) 原创 烽火台实验室 Beacon Tower Lab 2025-03-26 08:59 1 漏洞概述 漏洞类型 鉴权绕过 漏洞等级 高 漏洞编号 CVE-2025-29927 漏洞评分 9.1 利用复杂度 低 影响版本 Next.js 14.2.25 和 15.2.3 之前的版本 利用方式 远程 POC/EXP 已
继续阅读管好IT资产,高效防治漏洞(1)
管好IT资产,高效防治漏洞(1) 原创 Richard 方桥安全漏洞防治中心 2025-03-25 19:19 很难想象IT资产管理做得不好,而安全漏洞防治工作做得很好。 那么,安全漏洞防治需要什么样的IT资产管理? 我们先看看 NIST SPECIAL PUBLICATION 1800-5 IT Asset Management(IT资产管理)里面的这张图。 图1. Asset Lifecycl
继续阅读抖音刷出来的天降漏洞
抖音刷出来的天降漏洞 Z2O安全攻防 2025-03-24 21:22 No.0 前言 刷着抖音,突然发现奇怪的抖音号,学生公寓招层长怎么被我刷着了,这号是不是废了,我刷到的都是美女啊,突然发现学生公寓楼层长,进入主页看看吧 No.1 事情的经过是这样的 进入首页一看,这学工系统,初始密码都出来了 主要是看美女多看了两眼才能发现 从他给的url进去看看 抖音说要DB认证 那现在登录点和密码都有了,
继续阅读上周关注度较高的产品安全漏洞(20250317-20250323)
上周关注度较高的产品安全漏洞(20250317-20250323) 原创 CNVD CNVD漏洞平台 2025-03-24 18:31 一、境外厂商产品漏洞 1、Adobe InDesign堆缓冲区溢出漏洞(CNVD-2025-05246) Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe InDesign存在堆缓冲区溢出漏洞,攻击者可利用该漏洞在当前用
继续阅读白帽SRC百洞事件复盘;业务漏洞应对处理策略| FB甲方群话题讨论
白帽SRC百洞事件复盘;业务漏洞应对处理策略| FB甲方群话题讨论 FreeBuf 2025-03-22 18:01 各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第251期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。 话题抢先看 1、猜测一下某企业SRC事件会被挖到这么多洞,可能的原
继续阅读信息安全漏洞周报【第014期】
信息安全漏洞周报【第014期】 零零捌信安观察 银天信息 2025-03-21 20:58 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读风险研究 | AI 安全警钟响起:Manus AI 漏洞暴露的背后真相
风险研究 | AI 安全警钟响起:Manus AI 漏洞暴露的背后真相 安全极客 2025-03-21 18:47 一场泄露引发的风暴 想象一下,你手中的 AI 智能助手突然暴露了自己的“内心秘密”——核心指令、运行代码,甚至可能泄露你的隐私数据。这不是科幻电影,而是刚刚发生在 Manus AI 身上的真实事件。一名用户通过简单操作,就轻松获取了这款 AI 代理的系统提示词,揭开了 AI 安全隐患
继续阅读SRC漏洞挖掘之敏感信息泄露漏洞挖掘实战指南
SRC漏洞挖掘之敏感信息泄露漏洞挖掘实战指南 原创 炽汐安全屋 炽汐安全屋 2025-03-20 22:10 SRC漏洞挖掘之敏感信息泄露漏洞挖掘实战指南在Web应用安全中,敏感信息泄露是最常见且危害性最大的漏洞之一。通过敏感信息泄露,攻击者可以获取用户数据、系统配置、源代码甚至数据库信息,从而进一步发起更深层次的攻击。本文将从实战角度出发,详细介绍如何挖掘和利用敏感信息泄露漏洞,并提供防御建议。
继续阅读百度对“开盒”事件发布声明,已报案;美国西部联盟银行遭遇第三方供应商零日漏洞攻击,2.2万客户数据遭泄露 | 牛览
百度对“开盒”事件发布声明,已报案;美国西部联盟银行遭遇第三方供应商零日漏洞攻击,2.2万客户数据遭泄露 | 牛览 安全牛 2025-03-20 16:59 新闻速览 •目录 百度对“开盒”事件发布声明,已报案 •通过电子商务骗局获利1400万美元,Click Profit 被封禁 •WhatsApp修复被Paragon间谍软件攻击利用的零点击零日漏洞 •Infosys因第三方数据泄露事件达成17
继续阅读面向漏洞编程:如何让AI编程助手生成带后门的代码
面向漏洞编程:如何让AI编程助手生成带后门的代码 安全内参编译 安全内参 2025-03-20 14:44 关注我们 带你读懂网络安全 研究人员发现,通过在AI编程助手的规则文件中植入不良内容,来诱导Cursor或GitHub Copilot生成不安全的代码,攻击者可以通过在论坛或GitHub分享包含规则文件的代码库来实施软件供应链攻击。 前情回顾·大模型安全动态 – 破解DeepSe
继续阅读【安全圈】ChatGPT 漏洞遭超一万个 IP 地址主动利用,美国政府机构惨遭攻击
【安全圈】ChatGPT 漏洞遭超一万个 IP 地址主动利用,美国政府机构惨遭攻击 安全圈 2025-03-19 19:01 关键词 攻击者正在积极利用 OpenAI 的 ChatGPT 基础设施中的一个服务器端请求伪造(SSRF)漏洞。该漏洞被标识为 CVE-2024-27564,尽管其被归类为中等严重程度,但已成为一个重大威胁。 根据网络安全公司 Veriti 的研究,这个漏洞已在众多实际攻击
继续阅读【高危漏洞】NC importTemplate 接口存在XML实体注入漏洞
【高危漏洞】NC importTemplate 接口存在XML实体注入漏洞 原创 moon 皓月当空w 2025-03-17 22:40 皓月当空,明镜高悬 文末可体验bugSearch系统哦~ 漏洞名称 : NC importTemplate 接口存在XML实体注入漏洞 漏洞出现时间 :2025年3月15日 影响等级 :高危 漏洞说明: portal/pt/portaltemplate/impo
继续阅读SRC漏洞挖掘之未授权漏洞挖掘实战指南
SRC漏洞挖掘之未授权漏洞挖掘实战指南 原创 炽汐安全屋 炽汐安全屋 2025-03-17 20:59 在Web应用安全中,未授权访问漏洞是一个常见且危险的安全问题。它允许攻击者无需合法权限即可访问敏感数据或功能,严重威胁系统的保密性和完整性。本文将详细介绍未授权访问漏洞的基本原理、分类、挖掘方法及防御策略。一、未授权访问漏洞的基本原理未授权访问漏洞通常源于应用程序在验证用户权限时存在疏忽。攻击者
继续阅读上周关注度较高的产品安全漏洞(20250310-20250316)
上周关注度较高的产品安全漏洞(20250310-20250316) 原创 CNVD CNVD漏洞平台 2025-03-17 18:49 一、境外厂商产品漏洞 1、Google Chrome代码执行漏洞(CNVD-2025-05091) Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 132.0.6834.83之前版本存在代码执行漏洞,攻击者可
继续阅读雷神众测漏洞周报2025.3.10-2024.3.16
雷神众测漏洞周报2025.3.10-2024.3.16 原创 雷神众测 雷神众测 2025-03-17 17:45 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读天融信发布《大模型组件漏洞与应用威胁安全研究报告》
天融信发布《大模型组件漏洞与应用威胁安全研究报告》 阿尔法实验室 天融信阿尔法实验室 2025-03-17 13:39 近年来,大模型呈现出蓬勃发展的态势,为人工智能行业的技术进步源源不断地注入创新活力。然而,在大模型开发者致力于提升模型效果、拓展模型能力的同时,大模型的安全性问题也不容忽视,亟待给予高度关注。 随着大模型架构复杂性持续提升,其面临的攻击面不断增多。 究其根本,导致缺陷与漏洞频发
继续阅读