Kubernetes Ingress-Nginx 控制器中的 CVE-2025-1974 漏洞分析 Kubernetes Ingress-NGINX Controller 存在严重漏洞 CVE-2025-1974，允许未经身份验证的远程代码执行。该漏洞源于准入控制器处理 Ingress 对象时未正确清理输入，导致恶意配置注入。攻击者可利用 `ssl_engine` 指令加载恶意共享库以执行代码。受影响版本为 1.11.x 低于 1.11.5 和更早版本，已修复于 1.12.1 及以上版本或 1.11.5 及以上版本。建议立即升级并实施严格网络策略以缓解风险。... 2025-3-26 13:19:1 | 阅读: 181 | 收藏 | 玄武实验室每日安全 - projectdiscovery.io ingress kubernetes admission malicious 1974

CVE-2025-29927: Next.js Middleware Authorization Bypass - Technical Analysis 这篇文章描述了一个影响Next.js框架的严重安全漏洞（CVE-2025-29927），该漏洞允许攻击者通过添加特定HTTP头绕过中间件授权检查。漏洞影响多个版本的Next.js，并可能导致未经授权访问受保护资源。官方已发布补丁修复问题，自托管应用需手动更新或配置缓解措施以防止攻击。... 2025-3-23 19:39:15 | 阅读: 2 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io security subrequest bypass 29927 nuclei

CVE-2024-53991 - Discourse Backup Disclosure: Rails send_file Quirk 文章探讨了Rack/Rails与Nginx之间的潜在安全漏洞，特别是在使用`send_file`方法和`X-Accel-Redirect`头时，可能导致敏感资源（如Discourse备份文件）泄露的问题。通过分析默认配置和文件命名模式，展示了攻击者如何利用此漏洞获取受限资源，并提供了修复建议和检测工具。... 2025-3-20 11:29:6 | 阅读: 22 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io discourse accel rack backup rails

Introducing Nuclei Templates Labs: A Hands-on Security Testing Playground Nuclei Templates Labs由ProjectDiscovery开发，提供易受攻击环境和Nuclei模板，供安全研究人员和学习者进行实际测试，提升技能。... 2025-3-18 13:22:3 | 阅读: 2 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io security nuclei repository

Amplify automates security testing with ProjectDiscovery’s precision Amplify采用ProjectDiscovery实现高效、可扩展的安全测试，利用定制模板和自动化技术提升效率并减少安全团队负担。通过分摊责任和优化流程，成功应对快速增长的应用组合挑战，并计划进一步扩展应用范围及整合QA团队参与。... 2025-3-11 16:54:39 | 阅读: 4 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io security amplify lin

How ConnectWise streamlined vulnerability detection with ProjectDiscovery ConnectWise通过ProjectDiscovery提升了安全能力，将扫描时间从2天缩短至15分钟，并实现自动化漏洞检测和持续监控。该平台帮助公司快速响应安全事件，提高运营效率，并借助社区驱动的模板应对新兴威胁。... 2025-3-4 18:59:56 | 阅读: 3 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io security connectwise ferguson nuclei

February 2025 Newsletter ProjectDiscovery在二月迎来重要里程碑：GitHub开源项目获得10万颗星，并推出v1版本；Nuclei新增52个模板和修复多个漏洞；感谢社区贡献者支持。... 2025-2-28 18:9:7 | 阅读: 1 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io nuclei security

Reinventing custom detections and vulnerability management Nuclei 是一个开源漏洞扫描工具，通过社区驱动的 YAML 模板实现灵活的安全风险检测。ProjectDiscovery v1 引入了增强的 AI 模板编辑器、支持外部数据源、更大的上下文窗口、全文本搜索功能以及新的 AI CLI 标志 `-ai`，帮助用户快速生成和执行检测模板。此外，Auto-Regressions 功能实现了漏洞生命周期管理的自动化，提升安全团队效率。... 2025-2-13 12:0:11 | 阅读: 1 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io security nuclei regressions detections introducing

Engineering the future of vulnerability detection 文章介绍了ProjectDiscovery Cloud这一现代漏洞扫描工具，强调其云托管、高速扫描、自动化调度、智能警报、一键重测、全面日志记录及实时自动扫描等功能，旨在帮助安全团队快速应对不断变化的威胁环境。... 2025-2-12 12:0:46 | 阅读: 1 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io cloud security attackers

Scaling for the enterprise 文章介绍了ProjectDiscovery Cloud针对大型企业推出的新功能，包括改进的免费体验、简化的入职流程、高级报告工具、精准的资产发现与扫描控制、固定扫描IP以及企业级访问控制等，旨在帮助企业更高效地管理复杂的安全风险和合规需求。... 2025-2-11 12:0:33 | 阅读: 1 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io security onboarding cloud ensuring

The new way to discover your exposure ProjectDiscovery v1 提供智能资产发现、扩展扫描功能、AI分类、截图审查、技术分析和云集成等工具，帮助安全团队高效管理基础设施风险。... 2025-2-10 12:0:41 | 阅读: 1 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io asset security cloud identify

DeepSeek’s Data Breach: Could ProjectDiscovery’s Cloud Have Prevented the Hack? DeepSeek发布开源AI模型R1后因安全漏洞暴露数据,研究人员利用ProjectDiscovery工具发现未授权访问的ClickHouse数据库,导致超百万条日志等敏感信息泄露,ProjectDiscovery Cloud可帮助自动检测并预防此类问题。... 2025-2-6 20:18:20 | 阅读: 4 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io deepseek security clickhouse cloud

Effortless Passive Detection Using Global Matchers in Nuclei Nuclei的全局匹配器是一种强大的功能，允许用户在所有HTTP响应中自动应用预定义的匹配器，从而简化检测流程。通过一次定义即可跨模板复用逻辑，节省时间并减少错误。适用于检测敏感信息、指纹识别系统、捕捉错误和异常行为等场景。... 2025-2-4 08:43:34 | 阅读: 3 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io matchers nuclei workflows extractors

January 2025 Newsletter ProjectDiscovery团队在2025年开局繁忙，发布更新、修复漏洞，并分享了AppSec研究员Dhiyaneshwaran Balasubramaniam在Hack The Box Mumbai活动中的演讲内容。团队接近达成GitHub 10万颗星标的目标，并举办了与Playtika合作的敏捷安全工作坊。此外，Nuclei模板新增52个，并感谢众多新老贡献者的努力。... 2025-1-31 17:35:36 | 阅读: 1 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io security nuclei newsletter

How Paddle Strengthened Its Security Posture with ProjectDiscovery Paddle采用ProjectDiscovery提升安全能力，实现自动化漏洞检测、更快的响应速度、更好的合规性以及与Jira的无缝集成，减少行政任务并提高运营效率。... 2025-1-30 16:55:17 | 阅读: 1 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io paddle security monitoring

Crafting DAST Nuclei Templates for OOB Template Engines Injection: A Practical Guide 文章介绍了新发布的DAST（动态应用安全测试）模板，用于检测多种模板引擎和编程框架中的Out-of-Band（OOB）模板注入漏洞。这些模板帮助识别潜在的安全风险如远程代码执行（RCE）、数据泄露等，并提供自动化测试工具和云平台支持以简化协作流程。... 2025-1-22 07:14:15 | 阅读: 1 | 收藏 | ProjectDiscovery.io | Blog - projectdiscovery.io injection dast oob security payload