Craft CMS零日漏洞CVE-2025-32432现可通过公开Metasploit模块利用 安全研究人员发现Craft CMS和Yii框架中的两个零日漏洞被用于入侵服务器并窃取敏感数据。攻击者通过结合CVE-2025-32432（CVSS 10分）和CVE-2024-58136漏洞发送恶意请求和JSON载荷，在受感染服务器上执行PHP代码并安装文件管理器以获取完全控制权。目前两个漏洞均已修复，管理员需采取紧急措施应对潜在威胁。... 2025-4-27 16:55:46 | 阅读: 17 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 craft 漏洞 攻击者

Linux安全盲区曝光：io_uring机制可绕过主流检测工具 文章揭示Linux运行时安全工具的重大缺陷：io_uring机制使rootkit可绕过传统监控。主流工具如Falco、Tetragon和Microsoft Defender均无法检测基于该机制的攻击。研究团队开发Curing rootkit验证威胁，并提出改进策略以应对内核特性变化带来的安全挑战。... 2025-4-27 16:45:39 | 阅读: 6 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 监控 armo lsm 机制

CVE-2025-23016：FastCGI堆溢出高危漏洞威胁嵌入式设备，PoC已公开 FastCGI库被发现高危堆溢出漏洞（CVE-2025-23016），CVSS评分9.4分。该漏洞源于参数长度处理不当，在32位系统上可能导致内存分配错误，引发堆溢出问题。攻击者可利用此漏洞在受影响设备上执行任意代码。建议用户升级至FastCGI 2.4.5或更高版本修复此缺陷。... 2025-4-27 16:26:27 | 阅读: 3 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 fastcgi 嵌入 overflow

打靶日记--mhz_c1f 文章描述了一次渗透测试过程：通过端口扫描发现目标网站仅开放22和80端口；利用dirsearch和dirb进行目录爆破后发现notes.txt文件；提取其中的凭据成功登录SSH并获取初始立足点；随后通过隐写技术提取额外凭据并成功提权。... 2025-4-27 10:55:32 | 阅读: 23 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 信息 ssh 端口 remb

FreeBuf早报 | 新型越狱攻击可突破主流AI服务防护；朝鲜APT组织针对韩国发起攻击 文章综述了全球网络安全事件及技术动态，涵盖AI服务越狱攻击、朝鲜Lazarus APT组织供应链攻击、网络钓鱼工具包Darcula引入AI技术、Commvault严重漏洞CVE-2025-34028等议题，并介绍了RSAC 2025大会亮点及XDR技术在渗透测试中的应用。... 2025-4-27 06:0:44 | 阅读: 12 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 漏洞 安全 攻击 网络 朝鲜

APISandbox | 4ASystem： 4A认证系统下的API平行越权 文章讨论了4A认证系统下的API平行越权漏洞，攻击者通过弱口令爆破进入Web1后，利用未验证新密码的API调用越权更改其他应用的密码。... 2025-4-27 03:31:33 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 web1 4a username 新密码

【前瞻技术布局】打破"沙漏“现象→提高生成式搜索推荐的上限 文章探讨了生成式搜索/推荐中基于残差量化的语义标识符（RQ-SID）面临的“沙漏”现象，即中间层码本令牌过于集中，导致路径稀疏和长尾分布。研究分析了该现象的成因，并提出移除第二层或自适应调整令牌分布的解决方案，实验结果表明这些方法有效提升了模型性能。... 2025-4-27 03:20:42 | 阅读: 23 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 长尾 沙漏 模型 第二层 rq

网络安全周报：MITRE ATT&CK v17.0发布，Erlang/OTP SSH漏洞验证代码公开 主站 分类 云安全 AI安全 开发安全... 2025-4-27 00:0:25 | 阅读: 27 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 攻击 网络 数据

[Meachines] [Medium] Seal Nginx-tomcat-Misconfig+ln+TRP00F+ansible-playbook+SKBD 文章描述了一次针对IP地址10.10.10.250的渗透测试过程，包括扫描发现开放端口（22、443、8080），识别服务版本（OpenSSH、Nginx、HTTP代理），并通过漏洞利用获取系统权限的过程。... 2025-4-26 15:35:43 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com sf seal 8859 x20text node0

Nacos漏洞汇总复现 文章记录了Nacos的多个安全漏洞复现过程，包括默认口令访问、未授权访问用户信息、User-Agent权限绕过、JWT密钥绕过鉴权、Derby数据库未授权访问等高危漏洞，并提供了详细的POC代码和复现步骤。... 2025-4-26 14:56:47 | 阅读: 0 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com nacos 漏洞 8848 端口 信息

DragonForce与Anubis推出新型合作模式，勒索软件“加盟制”威胁升级 勒索软件在2025年展现出强大的适应能力。两个主要组织——龙之力量和阿努比斯——通过创新的合作模式扩大影响力。龙之力量转向分布式模式，允许合作伙伴创建定制品牌；阿努比斯则提供三种不同的勒索选项，并采用多样化利润分成模式。这些变化可能导致更复杂和持久的攻击活动。... 2025-4-26 05:31:23 | 阅读: 16 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 勒索 受害者 受害 比斯

新型"电力寄生虫"网络钓鱼攻击瞄准能源企业与知名品牌 本周发布的综合威胁报告显示，自2024年以来，“电力寄生虫”网络钓鱼活动持续针对全球能源巨头和知名品牌展开攻击。该活动通过投资骗局和虚假招聘信息冒用知名企业名称，并建立超150个活跃域名用于冒充合法企业。攻击者主要针对亚洲国家个人用户，并通过多渠道接触受害者。采用“广撒网”策略并滥用多个品牌名称以扩大受害者接触面。... 2025-4-26 04:54:50 | 阅读: 18 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 攻击者 受害 招聘

XDR在渗透测试中的应用：利用高级检测技术发现漏洞 扩展检测与响应（XDR）整合多层安全数据，通过跨域可见性和高级分析提升威胁检测能力。应用于渗透测试中，XDR可识别传统方法难以发现的漏洞，并验证安全控制的有效性。... 2025-4-26 02:48:40 | 阅读: 16 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 渗透 攻击 漏洞 威胁

虚假安全补丁攻击WooCommerce管理员以劫持网站 大规模钓鱼攻击针对WooCommerce用户，伪造安全警报诱骗下载恶意补丁。该补丁创建隐藏管理员账户并植入后门程序。攻击利用同形异义字技术仿冒官网，并通过混淆载荷实现持久性访问。研究人员建议检查特定指标以识别潜在威胁。... 2025-4-26 02:9:19 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 woocommerce 攻击 patchstack 漏洞

2025年CISO必须应对的五大网络安全风险 随着2025年的到来，首席信息安全官（CISO）需应对五大网络安全风险：影子AI与非结构化数据漏洞、人为错误与社会工程、勒索软件演变、供应链漏洞及高级网络欺诈。CISO角色已从技术守护者转变为战略领导者，需平衡安全需求与业务目标，并具备跨职能治理与组织韧性能力。... 2025-4-25 22:51:35 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 网络 ciso 风险 攻击

PoC攻击暴露Linux安全工具缺陷，以色列厂商称过度依赖eBPF埋隐患 以色列云安全公司Armo开发的Curing rootkit利用Linux内核接口io_uring成功绕过三款主流Linux安全工具（Falco、Tetragon、微软Defender），揭示基于eBPF代理技术的安全产品局限性。厂商回应不一，开源项目积极改进，微软未回应。... 2025-4-25 13:35:30 | 阅读: 3 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 armo curing 绕过 tetragon

Commvault 严重漏洞可导致系统完全沦陷 Commvault Command Center发现严重漏洞CVE-2025-34028（CVSS 9.0），允许攻击者远程执行代码并完全控制系统。该漏洞由watchTowr Labs的研究员发现，并已发布补丁修复。专家建议企业立即修补以防范勒索软件和数据丢失威胁。... 2025-4-25 12:33:37 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 漏洞 攻击 commvault 攻击者

新型越狱攻击可突破ChatGPT、DeepSeek等主流AI服务防护 研究人员发现两项越狱技术可绕过主流生成式AI服务的安全防护，如ChatGPT等。这些技术利用AI设计特性生成非法内容。厂商正在调查和更新防御机制以应对系统性安全风险。... 2025-4-25 07:27:51 | 阅读: 1 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 攻击 越狱 攻击者 inception

FreeBuf早报 | 2025年第一季度159个CVE漏洞遭利用；解读2024年网络攻击趋势 全球网安形势严峻：多起重大漏洞被迅速利用引发数据泄露；金融业成主要目标；Linux Rootkit绕过安全检测；钓鱼平台引入AI降低犯罪门槛；微软悬赏征集AI系统漏洞；医疗行业数据泄露频发；供应链攻击威胁加剧；零信任方案助力防御；朝鲜黑客活跃；OAuth认证遭滥用。... 2025-4-25 07:10:39 | 阅读: 4 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 漏洞 安全 攻击 网络 钓鱼

美国防部正式授权名为“软件快速通道”的新软件审批流程 美国国防部推出"软件快速通道"（SWIFT）新流程，取代传统操作授权和风险管理框架，采用AI工具缩短审批时间，并要求供应商提供SBOM和第三方认证。... 2025-4-25 05:10:10 | 阅读: 20 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 安全 网络 阿灵顿 凯蒂