unSafe.sh - 不安全
我的收藏
今日热榜
公众号文章
导航
Github CVE
Github Tools
编码/解码
文件传输
Twitter Bot
Telegram Bot
Search
Rss
黑夜模式
Web框架Fastify @fastifyview 模板渲染致远程代码执行漏洞(CVE-2025-47240)
Fastify 是一个高性能 Web 开发框架,其 @fastify/view 插件因未警告危险行为导致远程代码执行漏洞。该漏洞影响 fastify/point-of-view < v11.1.0 版本,利用 EJS 和不受信任输入可触发攻击。...
2025-6-17 13:46:31 | 阅读: 6 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
fastify
漏洞
所知
误导
FreeBuf早报 | OpenAI获五角大楼2亿美元合同;MCP Inspector漏洞威胁开发环境安全
全球网安事件涵盖AI军事应用探索、严重RCE漏洞威胁AI环境安全及大规模数据泄露等;优质文章推荐涉及Burp插件开发与JAVA代码审计;漏洞情报揭示多个高危安全问题及其修复建议。...
2025-6-17 09:52:26 | 阅读: 6 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
漏洞
安全
攻击
攻击者
数据
谷歌Gerrit代码平台漏洞致18个项目遭入侵,含ChromiumOS等核心系统
高危供应链漏洞"GerriScary"(CVE-2025-1568)影响谷歌18个核心项目,包括ChromiumOS、Dart和Bazel等。该漏洞利用Gerrit平台配置缺陷和三重攻击链实现未授权代码注入。尽管谷歌已修复相关问题,但其他使用Gerrit的组织仍面临供应链安全风险。...
2025-6-17 09:29:48 | 阅读: 0 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
谷歌
gerrit
漏洞
chromiumos
攻击者操纵谷歌搜索结果,实施新型SEO投毒攻击
研究人员发现新型SEO投毒攻击利用被黑网站提升恶意内容排名。攻击者通过Hacklink平台注入隐形链接操纵搜索结果,并针对土耳其等地区扩大攻击规模。此类攻击威胁金融、医疗等多个领域安全。...
2025-6-17 08:30:37 | 阅读: 4 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
攻击
网络
攻击者
邮件服务商Cock.li遭入侵,100万名用户数据泄露
邮件托管服务商Cock[.]li遭遇安全事件,超百万用户数据泄露,涉及电子邮件地址等信息。核心数据未受影响。公司已采取措施应对,并归因于SQL注入漏洞。...
2025-6-17 07:44:0 | 阅读: 0 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
数据
cock
roundcube
漏洞
研究人员发现Outlook登录页面被植入键盘记录器
Positive Technologies研究人员发现未知攻击者入侵全球多个政府和企业Microsoft Exchange服务器,在OWA登录页面植入键盘记录器窃取凭证。攻击途径不明,部分利用旧漏洞,部分可能采用其他方法。受影响服务器分布广泛,主要涉及政府机构和企业。用户无法察觉恶意代码,组织需检查并重置密码。...
2025-6-17 07:35:6 | 阅读: 0 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
入侵
攻击者
攻击
漏洞
2025网安行业优质播客精选集⑦
文章探讨了CTF竞赛从技术试炼场到商业化产业链的演变过程,揭示了参赛者在技术追求中面临的现实挑战与利益分配问题,并指出当前竞赛生态的模板化、工业化趋势导致深度研究者被边缘化的现象。...
2025-6-17 07:7:47 | 阅读: 13 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
攻防
网络
参赛者
人工智能代理时代的安全、风险与合规治理
文章探讨了AI代理在企业中的广泛应用及其带来的安全挑战。这些智能系统在提升效率的同时也引入了数据泄露、推理错误等风险。作者提出了全生命周期治理框架和重构安全原则以应对这些威胁。...
2025-6-17 06:12:0 | 阅读: 0 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
代理
数据
风险
模型
美国CISA将苹果产品及TP-Link路由器漏洞列入已知被利用漏洞目录
美国网络安全机构CISA将苹果产品漏洞CVE-2025-43200和TP-Link路由器漏洞CVE-2023-33538纳入已知被利用漏洞目录。苹果修复了iMessage零点击漏洞,并向部分用户发出间谍软件攻击警报。TP-Link多款路由器存在命令注入漏洞,CISA要求联邦机构在7月7日前完成修复以应对相关攻击风险。...
2025-6-17 05:15:31 | 阅读: 3 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
漏洞
安全
苹果
攻击
间谍
XDSpy组织利用Windows LNK零日漏洞窃取敏感信息
XDSpy黑客组织利用Windows快捷方式文件中的零日漏洞(ZDI-CAN-25373)实施网络间谍活动,主要针对东欧和俄罗斯政府机构。该漏洞通过填充空白字符隐藏恶意命令,并结合多阶段载荷窃取敏感信息。...
2025-6-17 02:31:33 | 阅读: 0 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
漏洞
windows
攻击
网络
攻击者滥用Windows运行提示框执行恶意命令并部署DeerStealer窃密木马
研究人员发现一起复杂的恶意软件攻击活动,攻击者利用Windows内置的"运行"提示框传播DeerStealer信息窃取程序。该恶意软件通过钓鱼页面诱骗用户执行PowerShell命令,并采用高级混淆技术和隐藏基础设施架构规避检测。DeerStealer可窃取加密货币钱包、浏览器凭证及敏感数据,并在暗网以订阅制模式出售。...
2025-6-16 23:43:36 | 阅读: 3 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
攻击
windows
数据
规模化应用生成式AI前,需先绘制LLM使用与风险图谱
生成式AI扩展企业应用规模的同时带来提示注入、数据泄露等风险。企业需清点LLM使用情况、净化输入输出、加强微调安全,并采用红队测试工具和CI/CD管道控制以降低漏洞利用可能性。...
2025-6-16 21:30:33 | 阅读: 3 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
模型
数据
llm
生成式
微软因安全漏洞禁用黑暗环境下的Windows Hello面部识别功能
微软因安全漏洞禁用Windows Hello的黑暗环境面部识别功能,该漏洞源于对抗性输入处理不足,用户需改用指纹或PIN码认证。...
2025-6-16 18:15:49 | 阅读: 8 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
漏洞
面部
windows
黑暗
OpenAI获五角大楼2亿美元合同 探索国防领域AI应用
OpenAI与美国国防部合作开发前沿AI能力以应对国家安全挑战,并将获得最高2亿美元经费。该项目旨在探索AI在国防部行政和网络防御中的应用潜力,并强调技术使用遵循政策禁止武器化。...
2025-6-16 17:27:48 | 阅读: 4 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
openai
美国
网络
palantir
CVE-2025-49596:MCP Inspector 严重远程代码执行漏洞威胁AI开发环境安全
研究人员发现用于调试机器上下文协议(MCP)服务器的工具MCP Inspector存在严重漏洞(CVE-2025-49596),CVSS v4评分为9.4。该漏洞可能导致未经认证的远程代码执行(RCE)。MCP协议作为AI领域的关键组件,在未实施身份验证的情况下易受攻击。修复建议升级至最新版本并检查暴露风险。...
2025-6-16 16:35:13 | 阅读: 24 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
mcp
漏洞
inspector
数据
PoCGen:基于大语言模型的npm漏洞利用代码自动生成工具
一款名为PoCGen的工具由斯图加特大学团队开发,结合大语言模型与静态/动态分析技术,自动为npm漏洞生成概念验证代码。该工具已成功应用于多个案例,在SecBench.js和CWEBench.js测试中表现优异。...
2025-6-16 16:12:42 | 阅读: 12 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
漏洞
pocgen
数据
攻击者泄露740万巴拉圭公民个人信息,索要人均1美元赎金
巴拉圭近740万公民数据被泄露至暗网并勒索赎金;涉及身份证号、医疗记录等敏感信息;攻击者使用特定化名和种子文件传播;Resecurity指出攻击可能源于凭证窃取而非技术漏洞;存在地缘政治关联;威胁组织已攻击多国;政府未采取有效应对措施。...
2025-6-16 16:8:12 | 阅读: 8 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
数据
网络
攻击
巴拉
反序列化不是魔法,而是漏洞:Java 反序列化攻击流程详解
文章全面解析Java反序列化漏洞的原理、利用方式及防护措施,涵盖常见库如Commons Collections、Fastjson等的漏洞案例,并提供工具如Ysoserial生成Payload,强调使用类白名单和升级依赖的重要性。...
2025-6-16 11:27:26 | 阅读: 0 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
payload
攻击
漏洞
数据
jndi
FreeBuf早报 | 恶意PyPI包伪装成Chimera模块;新型钓鱼应用绕过谷歌应用商店审核
全球网络安全事件频发:恶意软件伪装模块窃取数据;钓鱼应用绕过商店审核;AI技术栈安全风险突出;隐蔽脚本关联APT攻击;IBM备份服务漏洞威胁系统安全;Blink路由器曝高危漏洞;libxml2内存破坏与远程代码执行威胁;勒索软件兼具加密与数据擦除双重威胁;新型MaaS恶意软件窃取敏感数据;虚拟绑架诈骗利用AI技术伪造信息实施犯罪。...
2025-6-16 09:50:28 | 阅读: 9 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
漏洞
攻击
数据
安全
信息
谷歌云服务大规模中断事件溯源,API管理系统故障引发全球瘫痪
2025年6月12日谷歌云发生严重服务中断,因API管理系统故障导致全球数十项服务瘫痪七小时。故障源于服务控制二进制文件的空指针异常,影响数百万用户。经过紧急处理后大部分恢复。...
2025-6-16 00:20:19 | 阅读: 0 |
收藏
|
FreeBuf网络安全行业门户 - www.freebuf.com
安全
控制
谷歌
数据
二进制
Previous
13
14
15
16
17
18
19
20
Next