2025年4月企业必修安全漏洞清单
2025年4月企业必修安全漏洞清单 腾讯安全 2025-05-19 10:15 前言 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,
继续阅读标签: 访问控制
黑客眼中的NFC:Mifare安全漏洞大揭秘
黑客眼中的NFC:Mifare安全漏洞大揭秘 原创 T10Ng7_7 山石网科安全技术研究院 2025-05-19 08:46 你以为手中的门禁卡安全无虞?黑客告诉你,Mifare系统的漏洞可能让你的隐私和安全暴露无遗! 如今,NFC(近场通信)技术已经广泛应用于我们的生活,从门禁卡到公共交通卡,再到各种会员卡,Mifare作为其中的重要品牌,被广泛认为是安全可靠的解决方案。然而,黑客们却发现了隐
继续阅读Linux 内核补丁管理:漏洞防御新策略
Linux 内核补丁管理:漏洞防御新策略 信息安全大事件 2025-05-19 08:00 随着Linux内核持续支撑从云基础设施到嵌入式设备的各类系统,其安全性始终至关重要。2025年,补丁策略面临前所未有的挑战:自2024年以来CVE漏洞数量同比增长3529%,针对虚拟化子系统的复杂利用技术层出不穷,能够绕过传统安全模块的内核级攻击日益猖獗。本文将探讨企业如何调整补丁管理实践以应对这些威胁,同
继续阅读【漏洞通告】Tornado日志解析器拒绝服务漏洞安全风险通告
【漏洞通告】Tornado日志解析器拒绝服务漏洞安全风险通告 嘉诚安全 2025-05-19 02:03 漏洞背景 近日,嘉诚安全 监测到 Tornado日志解析器拒绝服务漏洞,漏洞编号为: CVE-2025-47287 。 Tornado是一个高性能的Web框架和异步网络库,专为处理大规模并发连接设计。它支持非阻塞I/O,能够处理成千上万的连接,适用于实时Web应用程序。Tornado提供了一个
继续阅读【漏洞通告】FortiOS TACACS+身份认证绕过漏洞安全风险通告
【漏洞通告】FortiOS TACACS+身份认证绕过漏洞安全风险通告 嘉诚安全 2025-05-19 02:03 漏洞背景 近日,嘉诚安全 监测到 FortiOS TACACS+身份认证绕过漏洞,漏洞编号为: CVE-2025-22252 。 FortiOS是Fortinet提供的操作系统,用于其安全设备(如防火墙)。FortiProxy是FortiOS的一个组件,主要用于代理服务,提供反向代理
继续阅读三星MagicINFO严重漏洞CVE-2025-4632:从路径遍历到Mirai部署的技术细节与企业应对之道
三星MagicINFO严重漏洞CVE-2025-4632:从路径遍历到Mirai部署的技术细节与企业应对之道 原创 Hankzheng 技术修道场 2025-05-18 23:41 前言: 企业级内容管理系统三星MagicINFO 9 Server近日爆出高危安全漏洞CVE-2025-4632,CVSS评分高达9.8。该漏洞不仅是对先前补丁的绕过,且已证实被用于实际攻击,包括部署Mirai僵尸网
继续阅读工具集:Fiora【漏洞PoC框架图形版的Nuclei】
工具集:Fiora【漏洞PoC框架图形版的Nuclei】 原创 白帽学子 白帽学子 2025-05-18 00:11 之前我用Nuclei这个工具的时候,就觉得它功能挺强大的,但用起来有时候还是不够方便,尤其是在找PoC和执行命令方面。不过后来我发现了一款基于Nuclei的图形版工具,它可帮了我大忙了。 这个工具能快捷搜索PoC,只要一键就能运行Nuclei。它既可以作为独立程序运行,也能当成bu
继续阅读2025年Linux内核补丁管理:漏洞防御新策略
2025年Linux内核补丁管理:漏洞防御新策略 FreeBuf 2025-05-17 10:01 随着Linux内核持续支撑从云基础设施到嵌入式设备的各类系统,其安全性始终至关重要。2025年,补丁策略面临前所未有的挑战:自2024年以来CVE漏洞数量同比增长3529%,针对虚拟化子系统的复杂利用技术层出不穷,能够绕过传统安全模块的内核级攻击日益猖獗。本文将探讨企业如何调整补丁管理实践以应对这些
继续阅读WordPress前台任意文件读取漏洞POC(CVE-2025-2294)
WordPress前台任意文件读取漏洞POC(CVE-2025-2294) 原创 a1batr0ss 天翁安全 2025-05-17 01:00 免责声明: 本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权,严禁将公
继续阅读信息安全漏洞周报【第022期】
信息安全漏洞周报【第022期】 零零捌信安观察 银天信息 2025-05-16 15:14 点击蓝字 关注我们 零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。 目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关
继续阅读2025微软漏洞报告:数量再创纪录,应对更复杂
2025微软漏洞报告:数量再创纪录,应对更复杂 Morey J. Haber 虎符智库 2025-05-16 10:08 本文 4165 字 阅读约需 12 分钟 《微软漏洞报告》(简称《报告》)一直是评估软件生态系统安全性的重要晴雨表。近年来,《报告》显示“身份”已成为攻击链的核心部分,现代的入侵行动常常要结合传统漏洞和基于凭证的攻击路径。 企业、政府机构和关键基础设施日常运营都会遇到微软
继续阅读【漏洞通告】Tornado日志解析器拒绝服务漏洞 (CVE-2025-47287)
【漏洞通告】Tornado日志解析器拒绝服务漏洞 (CVE-2025-47287) 启明星辰安全简讯 2025-05-16 08:59 一、漏洞概述 漏洞名称 Tornado日志解析器拒绝服务漏洞 CVE ID CVE-2025-47287 漏洞类型 拒绝服务 发现时间 2025-05-16 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 不需要 PoC/E
继续阅读【漏洞通告】FortiOS TACACS+身份认证绕过漏洞(CVE-2025-22252)
【漏洞通告】FortiOS TACACS+身份认证绕过漏洞(CVE-2025-22252) 启明星辰安全简讯 2025-05-16 08:59 一、漏洞概述 漏洞名称 FortiOS TACACS+身份认证绕过漏洞 CVE ID CVE-2025-22252 漏洞类型 身份认证绕过 发现时间 2025-05-16 漏洞评分 9.0 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交
继续阅读【漏洞通告】Ivanti EPMM 未授权远程代码执行(CVE-2025-4428)
【漏洞通告】Ivanti EPMM 未授权远程代码执行(CVE-2025-4428) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-05-16 07:02 漏洞名称: Ivanti EPMM 未授权远程代码执行(CVE-2025-4428) 组件名称: Ivanti-Endpoint-Manager-Mobile 影响范围: 11.0.0.0 ≤ Ivanti EPMM < 11.12
继续阅读Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃
Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃 邑安科技 邑安全 2025-05-16 02:23 更多全球网络安全资讯尽在邑安全 Node.js团队近日发布重要安全公告,针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。 异步加密操作可能导致进程崩溃(CVE-2025-23166) 最严重的是一个被评定为
继续阅读发现网络攻击后立即关闭系统?错!| Bitpixie漏洞攻击路径曝光,5分钟即可绕过BitLocker加密
发现网络攻击后立即关闭系统?错!| Bitpixie漏洞攻击路径曝光,5分钟即可绕过BitLocker加密 e安在线 e安在线 2025-05-16 02:22 发现网络攻击后立即关闭系统?错! 当网络安全攻击发生时,许多组织的本能反应是关闭所有系统,期望如此来抑制攻击,减少损失。 然而,虽然这种反应可以理解,但并非总是最佳行动方案。当代网络攻击已经演变成精心编排的多阶段行动,而非简单的数字入侵。
继续阅读【漏洞预警】Google Chrome 访问控制不当漏洞(CVE-2025-4664)
【漏洞预警】Google Chrome 访问控制不当漏洞(CVE-2025-4664) 原创 聚焦网络安全情报 安全聚 2025-05-15 10:00 中 危 公 告 近日,安全聚实验室监测到 Google Chrome 存在访问控制不当漏洞 ,编号为:CVE-2025-4664,CVSS:4.3 攻击者可构造恶意网站诱导用户访问,导致泄露跨域数据。 01 漏洞描述 VULNERABILITY
继续阅读Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃
Node.js 高危漏洞警报(CVE-2025-23166):可导致远程系统崩溃 中科天齐软件安全中心 2025-05-15 10:00 点击 蓝字 关注中科天齐 Node.js团队近日发布重要安全公告,针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。 异步加密操作可能导致进程崩溃(CVE-2025-23166) 最严重的是一个被评定为&
继续阅读【漏洞预警】Google Chrome访问控制不当漏洞
【漏洞预警】Google Chrome访问控制不当漏洞 cexlife 飓风网络安全 2025-05-15 09:06 漏洞描述: Google Chrome发布新版本,修复了4个安全漏洞其中包括一个访问控制不当漏洞,该漏洞的存在是由于Loader的策略实施不足,远程攻击者可以诱骗受害者访问一个特别设计的网站,最终导致受害者浏览器信息泄露或任意代码执行,该漏洞存在在野利用。Google官方已经在新
继续阅读【漏洞通告】Apache IoTDB UDF远程代码执行漏洞 (CVE-2024-24780)
【漏洞通告】Apache IoTDB UDF远程代码执行漏洞 (CVE-2024-24780) 启明星辰安全简讯 2025-05-15 07:22 一、漏洞概述 漏洞名称 Apache IoTDB UDF远程代码执行漏洞 CVE ID CVE-2024-24780 漏洞类型 RCE 发现时间 2025-05-15 漏洞评分 9.8 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交
继续阅读腾讯云安全中心推出2025年4月必修安全漏洞清单
腾讯云安全中心推出2025年4月必修安全漏洞清单 原创 腾讯云安全中心 安全攻防团队 2025-05-15 02:00 所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。 腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险
继续阅读信息安全漏洞周报(2025年第19期)
信息安全漏洞周报(2025年第19期) 原创 CNNVD CNNVD安全动态 2025-05-14 08:02 点击蓝字 关注我们 漏洞情况 根据国家信息安全漏洞库(CNNVD)统计,本周(2025年5月5日至2025年5月11日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞921个。 接报漏洞情况 本周CNNVD接报漏洞6920个,其中信息技术产品漏洞(通用型漏洞)226个,网络
继续阅读swagger-api未授权访问漏洞及防治方法
swagger-api未授权访问漏洞及防治方法 原创 EBCloud EBCloud 2025-05-14 08:00 Swagger是一款开源软件框架,专门用于设计、构建、文档化以及使用RESTful风格的Web服务。它通过提供交互式文档页面,极大地便利了开发者查看和测试API接口。然而,Swagger的这种便捷性也可能带来安全隐患,未经授权的访问可能会导致安全漏洞。本文将详细介绍如何解决Swa
继续阅读【漏洞通告】微软5月多个安全漏洞
【漏洞通告】微软5月多个安全漏洞 启明星辰安全简讯 2025-05-14 06:48 一、漏洞概述 2025年 5 月 14 日,启明星辰集团VSRC监测到微软发布了 5 月安全更新,本次更新修复了 78 个漏洞,涵盖权限提升、远程代码执行、安全功能绕过等多种漏洞类型。漏洞级别分布如下: 11 个严重级别漏洞, 66 个重要级别漏洞, 1 个 低危 级别漏洞( 漏洞 级别依据微软官方数据)。 其中
继续阅读CNVD漏洞周报2025年第17期
CNVD漏洞周报2025年第17期 原创 CNVD CNVD漏洞平台 2025-05-12 09:38 2 0 2 5 年 0 4 月 28 日 – 2 0 2 5 年 0 5 月11 日 本周漏洞态势研判情况 本 周 信 息 安 全 漏 洞 威 胁 整 体 评 价 级 别 为中 。 国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞536个,其中高危漏洞272个
继续阅读赏金故事 | 挖掘Netflix Dispatch中的管理员账户接管漏洞
赏金故事 | 挖掘Netflix Dispatch中的管理员账户接管漏洞 白帽子左一 白帽子左一 2025-05-12 04:03 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 引言 在暂停参与 Netflix 漏洞赏金计划一段时间后,我决定再次尝试一次。 我在 Netflix 的 Dispatch 项目中发现了一个有趣的
继续阅读【高危漏洞预警】F5OS身份认证绕过漏洞(CVE-2025-46265)
【高危漏洞预警】F5OS身份认证绕过漏洞(CVE-2025-46265) cexlife 飓风网络安全 2025-05-09 04:53 漏洞描述: 在F5OS上存在一个授权不当的漏洞,远程认证用户(LDAP、RADIUS、TACACS+)可能被授权更高的F5OS角色 注意:已达到技术支援终止(EоTS)的软件版本未进行评估。 攻击场景: 攻击者可能通过远程认证用户(LDAP、RADIUS、TAC
继续阅读SRC漏洞案例之祝你生日快乐
SRC漏洞案例之祝你生日快乐 原创 地图大师挖漏洞 地图大师的漏洞追踪指南 2025-05-08 07:47 希望能做你挖洞之路的导航地图 🗺️ 前言:从一个小提示开始说起 在SRC的世界里,新手常会问:“我没学过太多代码,能挖洞吗?” 我经常回答:“只要你知道一件事就够了:做系统不让你做的事,做成了,它就是漏洞。 ” 今天要分享的这个小案例,算是业务逻辑漏洞里非常适合新手练手的那种类型。我给它起
继续阅读通过代理实现代码执行 – DLL劫持的另一种方式
通过代理实现代码执行 – DLL劫持的另一种方式 Khan安全团队 2025-05-08 07:42 在不断发展的网络安全格局中,攻击者不断设计出新的方法来利用终端中的漏洞执行恶意代码。DLL 劫持是最近越来越流行的一种方法。虽然 DLL 劫持攻击有多种形式,但本文将探讨一种称为 DLL 代理的特定攻击类型,深入分析其工作原理、潜在风险,并简要介绍发现这些易受攻击的 DLL 的方法。这
继续阅读【漏洞通告】Kibana原型污染导致任意代码执行漏洞安全风险通告
【漏洞通告】Kibana原型污染导致任意代码执行漏洞安全风险通告 嘉诚安全 2025-05-08 00:44 漏洞背景 近日,嘉诚安全 监测到 Kibana原型污染导致任意代码执行漏洞,漏洞编号为: CVE-2025-25014 。 ElasticKibana是一个开源数据可视化和分析平台,专为与Elasticsearch配合使用而设计。它允许用户通过图形界面直观地展示和探索数据,支持实时数据分析
继续阅读