蜂信物联 FastBee 物联网系统 download 文件下载漏洞
蜂信物联 FastBee 物联网系统 download 文件下载漏洞 HK安全小屋 2025-06-08 08:56 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 蜂信物联(FastBee)物联网平台download存在任意文件
继续阅读标签: 漏洞
某日志管理系统前台注入(0day)
某日志管理系统前台注入(0day) 原创 知名小朋友 进击安全 2025-06-08 07:33 免责申明 本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。 一、前言 学习一下这个审计流程,在审计过程当中遇到了重重防护最终找到注入点。 二、审计流程 查看文件目录结构可以看出来不是框架类型的,我们找
继续阅读当系统崩盘,Busybox 如何成为你的“诺亚方舟”?漏洞排查的另类视角
当系统崩盘,Busybox 如何成为你的“诺亚方舟”?漏洞排查的另类视角 龙哥网络安全 龙哥网络安全 2025-06-08 03:00 一、Busybox:小身材,大能量?应急响应的“瑞士军刀” 静态编译:不只是“硬汉”,更是安全基石 别小看“静态编译”这四个字,在安全圈里,它可是关键先生。想象一下,你的服务器被黑客攻破,动态链接库被动了手脚,那些常用的命令,比如ls 、ps ,全成了“伪君子”,
继续阅读小米:车联网安全漏洞挖掘
小米:车联网安全漏洞挖掘 GRCC IoVSecurity 2025-06-08 02:17 点击上方 蓝色字体 ,关注我们 / 技术交流群/ 添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群、 投融资 合作群… 相关文章 汽车信息安全 漏洞 扫描及模糊测试工具介绍 汽车.工控和 物联网 行业的.0
继续阅读【漏洞】PHP代码审计篇 – 信呼OA 前台分析SQL注入
【漏洞】PHP代码审计篇 – 信呼OA 前台分析SQL注入 CrayonXiaoxin 神农Sec 2025-06-08 01:01 扫码加圈子 获内部资料 网络安全领域各种资源,EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章,以及工具分享、前沿信息分享、POC、EXP分享。 不定期分享各种好玩的项目及好用的工具,欢迎关注。加内部圈子,文末有彩蛋(知识星球优惠卷)。 文章作者:
继续阅读LazyHunter:自动漏洞扫描的工具
LazyHunter:自动漏洞扫描的工具 原创 白帽学子 白帽学子 2025-06-08 00:11 之前hvv演练那阵子,咱们团队天天跟甲方资产清单较劲。你懂的,那些动不动就上万IP的扫描任务,光是端口服务识别就得折腾大半天。上周测试新工具的时候,LazyHunter倒是给我省了不少事。 记得上个月给某金融客户做安全加固,他们给的资产列表里混杂着测试环境和生产环境。用这工具批量导入IP段后,Sh
继续阅读【成功复现】vBulletin远程代码执行漏洞(CVE-2025-48827&CVE-2025-48828)
【成功复现】vBulletin远程代码执行漏洞(CVE-2025-48827&CVE-2025-48828) 原创 弥天安全实验室 弥天安全实验室 2025-06-08 00:01 网安引领时代,弥天点亮未来 0x00写在前面 本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责! 0x01漏洞介绍 Internet Brands vBulletin是Internet
继续阅读潜伏十年的严重漏洞:CVE-2025-49113 Roundcube 反序列化漏洞原理与 gadget 构造深度分析
潜伏十年的严重漏洞:CVE-2025-49113 Roundcube 反序列化漏洞原理与 gadget 构造深度分析 原创 KCyber 自在安全 2025-06-07 23:30 漏洞概述 近日官方披露 Roundcube 邮件系统中存在一个潜伏了10 年之久的严重漏洞,虽然只有认证后才能触发,但CVSS 评分仍然高达9.9 分。由于Roundcube 自定义的session 序列化与反序列化函
继续阅读网络安全人士必知的 AWVS 漏洞扫描工具
网络安全人士必知的 AWVS 漏洞扫描工具 原创 承影 兰花豆说网络安全 2025-06-07 15:51 随着网络攻击手段的日益复杂,网站安全成为信息安全防护的重要一环。Web 应用作为企业对外开放的重要窗口,也是攻击者的重点目标。SQL 注入、跨站脚本(XSS)、文件包含、命令执行等常见漏洞频频出现在安全事件中。因此,选择一款高效、全面的 Web 漏洞扫描工具对安全人员来说至关重要。AWVS(
继续阅读【JAVA代审】从0到实战:超全Java SQL注入漏洞全解析与防御指南
【JAVA代审】从0到实战:超全Java SQL注入漏洞全解析与防御指南 The One安全 2025-06-07 15:00 sql注入 我们要先明确,java是强类型语言,实战我想我们也遇到不少尝试sql注入但是遇到java强制类型要求,参数只能是integer类型的java报错,这种是不存在sql注入的,所以只有变量是String类型的时候,才会存在sql注入。 现在就来看看常规的可以执行s
继续阅读赚取50000美元的5个顶级 XSS PoC
赚取50000美元的5个顶级 XSS PoC Z2O安全攻防 2025-06-07 14:39 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 通过 5 个顶级 PoC 学习精英白帽寻找 XSS 的方法与技巧。 PoC1:文件上传+CSRF 寻找易受攻击的端点 在支持聊天功能的窗口拦截文
继续阅读智联云采 SRM2.0系统接口 autologin 身份认证绕过漏洞
智联云采 SRM2.0系统接口 autologin 身份认证绕过漏洞 HK安全小屋 2025-06-07 14:01 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 漏洞描述: 由于智联云采 SRM2.0 autologin 接口代码逻辑存在
继续阅读【攻防实战】phpmyadmin-RCE集锦
【攻防实战】phpmyadmin-RCE集锦 原创 平凡安全 平凡安全 2025-06-07 12:00 「phpmyadmin反序列化漏洞」 「漏洞描述」 phpmyadmin 2.x版本中存在一处反序列化漏洞,通过该漏洞,攻击者可以读取任意文件或执行任意代码。 「影响范围」 2.x 「实战过程」 访问 http://x.x.x 抓包,修改发送如下数据包,即可读取/etc/passwd: POS
继续阅读【安全圈】热门 Chrome 扩展陷 HTTP 和硬编码密钥双重漏洞
【安全圈】热门 Chrome 扩展陷 HTTP 和硬编码密钥双重漏洞 安全圈 2025-06-07 11:00 关键词 漏洞 网络安全研究人员发现多款热门谷歌Chrome扩展存在严重安全隐患:通过HTTP明文传输数据并在代码中硬编码密钥,导致用户隐私与安全面临风险。 赛门铁克安全技术响应团队研究员指出:“数款广泛使用的扩展通过未加密的HTTP协议传输敏感数据,以明文形式暴露浏览域名、设备ID、操作
继续阅读CVE-2025-48827|vBulletin远程代码执行漏洞(POC)
CVE-2025-48827|vBulletin远程代码执行漏洞(POC) alicy 信安百科 2025-06-07 10:50 0x00 前言 vBulletin是一个强大,灵活并可完全根据自己的需要定制的商业论坛程序(非开源),它使用PHP脚本语言编写,并且基于以高效和高速著称的数据库引擎MySQL。 0x01 漏洞描述 调用受保护的API控制器 replaceAdTemplat 执行未授权
继续阅读CVE-2025-49113|Roundcube Webmail反序列化漏洞(POC)
CVE-2025-49113|Roundcube Webmail反序列化漏洞(POC) alicy 信安百科 2025-06-07 10:50 0x00 前言 Roundcube Webmail是一个开源的基于web的电子邮件客户端,旨在提供用户友好的界面和强大的功能,使用户能够通过web浏览器方便地访问和管理他们的电子邮件。 Roundcube支持标准的邮件协议(如IMAP和SMTP),并提供了
继续阅读2025 HVV必修高危漏洞集合3
2025 HVV必修高危漏洞集合3 计算机与网络安全 2025-06-07 09:57 本次高危漏洞自查列表 漏洞名称 漏洞类型 所属厂商 影响版本 OpenSSH Server 远程代码执行漏洞 远程代码执行漏洞 OpenSSH 5.3.0 <= Apache Solr < 8.11.4 9.0.0 <= Apache Solr < 9.7.0 PHP CGI
继续阅读杭州新威数字信息-SMG网关管理软件 9-12ping.php 命令执行漏洞 (CVE-2025-1448)
杭州新威数字信息-SMG网关管理软件 9-12ping.php 命令执行漏洞 (CVE-2025-1448) Superhero Nday Poc 2025-06-07 09:15 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承
继续阅读【已复现】Dataease JWT 认证绕过漏洞/远程代码执行(CVE-2025-49001/CVE-2025-49002)
【已复现】Dataease JWT 认证绕过漏洞/远程代码执行(CVE-2025-49001/CVE-2025-49002) 原创 安全探索者 安全探索者 2025-06-07 09:03 ↑点击关注,获取更多漏洞预警,技术分享 0x01 组件介绍 DataEase 是一款开源的数据分析平台,提供丰富的数据可视化和分析功能,帮助用户轻松地进行数据探索和决策支持。 搜索语句: title==
继续阅读电商网站 SSTI 漏洞利用:专业攻略
电商网站 SSTI 漏洞利用:专业攻略 红云谈安全 红云谈安全 2025-06-07 07:46 免责声明 由于传播、利用本公众号红云谈安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号红云谈安全及作者不为此 承担任何责任,一旦造成后果请自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢!请在授权的站点测试,遵守网络安全法! 仅供 学习使用,如若非法他用,与平台
继续阅读Anthropic MCP 中的漏洞:全模式中毒 + 机密泄露工具攻击(内含 PoC)
Anthropic MCP 中的漏洞:全模式中毒 + 机密泄露工具攻击(内含 PoC) Ots安全 2025-06-07 06:38 近年来,大型语言模型(LLM)通过与外部工具的交互,显著扩展了其在现实世界中的应用场景。Anthropic 推出的模型上下文协议(Model Context Protocol, MCP)作为一项开源标准,旨在简化 LLM 与工具(如 API 或文件系统)的集成,提供
继续阅读【已复现】Roundcube Webmail 代码执行漏洞(CVE-2025-49113)
【已复现】Roundcube Webmail 代码执行漏洞(CVE-2025-49113) 原创 聚焦网络安全情报 安全聚 2025-06-07 02:00 严 重 预 警 近日,安全聚实验室监测到 Roundcube Webmail 存在代码执行漏洞,编号为:CVE-2025-49113,CVSS:9.9 该漏洞因反序列化函数对特定分隔符处理不当,使得认证后的攻击者可通过构造恶意文件名触发反序
继续阅读iMessage 零点击漏洞针对美国和欧盟的关键人物
iMessage 零点击漏洞针对美国和欧盟的关键人物 会杀毒的单反狗 军哥网络安全读报 2025-06-07 01:00 导读 移动 EDR 安全平台iVerify 的研究人员发现一个 iMessage 零点击漏洞,该漏洞被利用来针对美国和欧盟的高价值目标(包括政治人物、媒体专业人士和人工智能公司的高管)进行有针对性的攻击。 该漏洞名为 NICKNAME,可在无需任何用户交互的情况下入侵 iP
继续阅读高通GPU漏洞威胁安卓生态,撞库攻击致北面资料外泄|一周特辑
高通GPU漏洞威胁安卓生态,撞库攻击致北面资料外泄|一周特辑 威努特安全网络 2025-06-06 23:59 高通紧急修补Adreno GPU高危漏洞 安卓用户面临针对性攻击风险 移动芯片巨头高通公司近日发布紧急安全补丁,修复其Adreno GPU驱动程序中的 三个关键0day漏洞(编号:CVE-2025-21479、CVE-2025-21480、CVE-2025-27038)。这些漏洞正被攻击
继续阅读vBulletin replaceAdTemplate 远程代码执行漏洞(CVE-2025-48827)
vBulletin replaceAdTemplate 远程代码执行漏洞(CVE-2025-48827) 原创 SXdysq 南街老友 2025-06-06 16:06 字数 284,阅读大约需 2 分钟 vBulletin介绍 vBulletin 是一个强大、灵活且可高度定制的商业论坛程序,广泛用于创建用户友好的论坛网站。它使用 PHP 脚本语言编写,并基于 MySQL 数据库,这使得它在性能
继续阅读xxl-job漏洞综合利用工具 — xxl-job-attack(6月3日更新)
xxl-job漏洞综合利用工具 — xxl-job-attack(6月3日更新) pureqh Web安全工具库 2025-06-06 16:02 暗月渗透测试29红队攻击指南 隧道应用合集下载 链接:https://pan.quark.cn/s/d124a139ca8f =================================== 免责声明 请勿利用文章内的相关技术从事非法
继续阅读Apple 的 iOS 激活允许注入未经身份验证的 XML 负载漏洞
Apple 的 iOS 激活允许注入未经身份验证的 XML 负载漏洞 网安百色 2025-06-06 11:44 在 Apple 的 iOS 激活基础设施中发现了一个严重的安全漏洞,该漏洞允许攻击者在设备设置阶段注入未经身份验证的 XML 负载。 此缺陷会影响截至 2025 年 5 月的最新 iOS 18.5 稳定版本,使数百万台 Apple 设备面临潜在的激活前篡改和持续配置作,而无需任何形式的
继续阅读VMware NSX XSS 漏洞使系统面临恶意代码注入
VMware NSX XSS 漏洞使系统面临恶意代码注入 网安百色 2025-06-06 11:44 Broadcom 发布了针对 VMware NSX 的高严重性安全公告 (VMSA-2025-0012),解决了三个新发现的存储跨站点脚本 (XSS) 漏洞:CVE-2025-22243、CVE-2025-22244 和 CVE-2025-22245。 这些漏洞会影响 NSX Manager UI
继续阅读Redis漏洞分析,ACL篇
Redis漏洞分析,ACL篇 fuxxcss 看雪学苑 2025-06-06 09:59 Redis是一个开源的高性能内存数据库,并且开启了安全策略,针对8.0.x\7.4.x、7.2.x和6.2.x及以上版本的Redis漏洞进行公开披露[1]。 《Redis漏洞分析》对其中的Moderate、High级别漏洞进行分析,同时根据Redis的攻击面进行分篇,本篇是ACL篇。 分析流程 对Redis漏
继续阅读【高危漏洞预警】FreeFloat FTP服务器缓冲区溢出漏洞CVE-2025-5596
【高危漏洞预警】FreeFloat FTP服务器缓冲区溢出漏洞CVE-2025-5596 cexlife 飓风网络安全 2025-06-06 09:27 漏洞描述: FreeFloat FTP Server是FreeFloat公司的一个FTP服务,在FreeFloat FTP Server 1.0中发现漏洞,受影响的是未知功能的组件:REGET Command Handler会导致缓冲区溢出可以远
继续阅读