2025-01-25 厉飞雨 阅读(88) 评论(0) 赞(4)

微软周二释出了 2025 年 1 月的例行安全更新，修复了多达 161 个安全漏洞，其中包括 3 个正被利用的 0day。三个 0day 的编号分别为 CVE-2025-21333、CVE-2025-21334 以及 CVE-2025-21335，是连续的三个漏洞，都位于 Windows Hyper-V 中，都属于提权漏洞。修复的漏洞中还有危险等级高达 9.8/10 的，其中之...

2025-01-25 厉飞雨 阅读(87) 评论(0) 赞(7)

好久前偶遇一个站点，前前后后大概挖了三个月才基本测试完毕，出了好多漏洞，也有不少高危，现在对部分高危漏洞进行总结分析。 **nday进后台：** 开局一个登录框： ![](http://static.51tbox.com/static/2025-01-23/col/71e68295fc6497a4cfc060b678855da9/ee1dd44716eb4320a2f39...

2025-01-25 厉飞雨 阅读(123) 评论(0) 赞(6)

在 AdForest WordPress 主题中发现了一个严重的安全漏洞 (CVE-2024-12857)，AdForest WordPress 是一款流行的高级分类广告主题，在全球的销售量超过 8,743 个。该漏洞被评为 CVSS 9.8，允许攻击者完全绕过身份验证机制。 该漏洞由 Wordfence 的安全研究员 Chloe Chamberland 发现，影响 AdFo...

2025-01-25 厉飞雨 阅读(85) 评论(0) 赞(7)

**本文探讨了 Murdoc_Botnet 近期的活动，这是一种针对 AVTECH 和华为易受攻击设备的 Mirai 恶意软件变种。Qualys 威胁研究小组于 2024 年 7 月发现了这一正在进行的活动。** Qualys 威胁研究小组发现了一个始于 2024 年 7 月的 Mirai 僵尸网络活动，该活动部署了一个名为 Murdoc_Botnet 的新僵尸网络。这是 M...

2025-01-25 厉飞雨 阅读(110) 评论(0) 赞(7)

继 Windows LDAP 中名为 CVE-2024-49113 又名 LDAPNightmare 的拒绝服务（DoS）漏洞被披露之后，又一个影响微软产品的高危漏洞出现了。最近修补的 Microsoft Outlook 漏洞被跟踪为 CVE-2025-21298，允许攻击者通过特制的电子邮件在 Windows 设备上执行 RCE，从而构成重大的电子邮件安全风险。 **使用 ...

2025-01-25 厉飞雨 阅读(139) 评论(0) 赞(7)

流行的错误跟踪和性能监控平台 Sentry 最近修补了一个漏洞，该漏洞可能允许攻击者劫持用户账户。 该关键漏洞在 Sentry 的安全断言标记语言 (SAML) 单点登录 (SSO) 实现中被发现，被追踪为 CVE-2025-22146，CVSS 得分为 9.1。利用该漏洞，恶意行为者可以冒充共享 Sentry 实例上的任何用户。 "在 Sentry 的 SAML...

2025-01-25 厉飞雨 阅读(165) 评论(0) 赞(5)

安全研究员Joward发布了针对影响TP-Link TL-WR940N路由器的关键漏洞（追踪为CVE-2024-54887）的深入分析和概念验证（PoC）漏洞。 该漏洞是在设备处理 IPv6 DNS 服务器配置参数时发现的缓冲区溢出漏洞，可能允许攻击者执行任意代码或引发拒绝服务攻击。 Joward 的研究发现，路由器 Web 界面中的两个参数--dnsserver1 和 dn...

2025-01-25 厉飞雨 阅读(86) 评论(0) 赞(6)

流行的文件归档器 7-Zip 中存在一个漏洞，攻击者可能利用这个漏洞将恶意软件从 Windows 的安全防御系统中溜走。 趋势科技零日计划（Trend Micro Zero Day Initiative）的安全研究人员最近发现了广泛使用的文件归档工具 7-Zip 中的一个漏洞。该漏洞被追踪为 CVE-2025-0411，CVSS 得分为 7.0（高），可允许攻击者绕过 Win...

2025-01-25 厉飞雨 阅读(83) 评论(0) 赞(6)

攻击者可以利用工业网络交换机中的关键漏洞获得远程控制，从而入侵自动化系统、物联网设备和监控网络。 Claroty's Team82 在 Planet Technology 制造的 WGS-804HPT 交换机中发现了三个漏洞，这些交换机通常部署在楼宇和家庭自动化网络中。这些设备为物联网系统、IP 监控摄像机和无线局域网应用提供了连接便利，并配备了基于 Web 的管理界...

2025-01-25 厉飞雨 阅读(106) 评论(0) 赞(9)

甲骨文公司发布了2025年1月关键补丁更新预发布公告，提前通知了计划于2025年1月21日星期二发布的关键安全更新。 此次更新预计将解决甲骨文公司各种产品组合中的大量漏洞。 **更新的主要亮点** * **甲骨文数据库服务器** 此次更新为甲骨文数据库服务器引入了五个新的安全补丁，其中两个漏洞无需验证即可远程利用。 最高的CVSS v3.1基本分数为7.5，突显受影响系统...