漏洞

独角鲸网络安全实验室

WhisperPair漏洞突袭：谷歌Fast Pair协议失守，数亿蓝牙设备陷静默劫持危机蓝牙设备的便捷性正被一场隐秘的安全危机打破——比利时荷语鲁汶大学团队披露的WhisperPair高危漏洞（CVE-2025-36911），直指谷歌Fast Pair快速配对协议的核心设计缺陷，导致全球数亿款支持该协议的无线耳机、蓝牙音箱等设备面临被静默劫持的风险。攻击者仅需在15米蓝牙覆盖范围内，通过树莓派、普通智能手机等廉价设备，10-15秒内即可完成无交互、无验证的非法配对，实现对设备的完全控制，进而实施窃听、音频劫持、位置追踪等恶意操作。此次漏洞波及索尼、谷歌、小米、JBL等10家主流厂商的17款热

白帽子凯哥哥

网络安全Web基础完全指南：从小白到入门安全测试在数字化转型的今天，Web应用已成为网络攻击的主要目标。根据2024年统计，超过70%的网络攻击都是针对Web应用的。无论你是开发者、运维人员还是安全爱好者，掌握Web安全基础都是必备技能。

独角鲸网络安全实验室

本地信任成“致命漏洞”：数千Clawdbot Agent公网裸奔，供应链与内网安全告急近日，安全社区曝出Clawdbot存在严重的“本地主机”信任机制漏洞，经全球网络空间扫描发现，公网中暴露的Clawdbot网关实例超千个，其中300余个未做任何身份认证防护，可被攻击者直接接管。该漏洞并非传统的代码逻辑缺陷，而是由默认本地信任设计与用户部署配置失误叠加引发的复合型安全风险，一旦被利用，攻击者可实现身份认证绕过、敏感数据窃取、远程命令执行，甚至以此为跳板横向渗透企业内网、污染数字供应链，波及个人终端、企业服务器、协作平台等多类场景，成为网络空间中又一隐蔽且危害深远的安全隐患。

【GaussDB】合入原生PG的PR来修复CVE-2025-1094漏洞后产生的严重隐患注意：本文篇幅很长,请预留好充足的阅读时间近期有应用开发人员发现，自己编写的C程序使用GaussDB 506.0SPC0100的libpq往GaussDB数据库插入数据时，原本有值，但是到了数据库里就变成了null。经过多方排查后，定位到可能与GaussDB 506.0SPC0100版本合入了原生PG的一个漏洞修复导致，漏洞编号为CVE-2025-1094 https://www.postgresql.org/support/security/CVE-2025-1094/

SQL 注入、文件上传绕过、MySQL UDF 提权、SUID 提权、Docker 逃逸，以及 APT 持久化技术渗透测试全流程第二次思路一.解题具体过程1.打开这个web2的机器同样的nmap扫端口。Dirsearch扫目录，使用漏扫工具扫一下，发现mysl以及80端口，和目录，我们登进去发现只有一个可以进去，还有一个文件上传，有一个那不能进去的我们提权进去后看看到底隐藏什么不让我看

Apache Struts XWork 组件 XXE 漏洞(CVE-2025-68493)[已复现]Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。

【成长笔记】【web安全】深入Web安全与PHP底层：四天实战课程笔记本文整理自为期四天的网络安全实战课程，涵盖PHP底层原理、文件包含漏洞利用、HTTPS加密原理以及源码级调试技术。

独角鲸网络安全实验室

CVE-2025-61882深度分析：Oracle Concurrent Processing BI Publisher集成远程接管漏洞的技术原理与防御策略Oracle Concurrent Processing（并发处理）作为Oracle E-Business Suite（EBS）的核心组件，负责调度企业级批量任务（如财务报表生成、订单数据同步），而其与BI Publisher（商业智能发布器）的集成模块，则是企业生成可视化报表、传递关键业务数据的关键通道。2025年披露的CVE-2025-61882漏洞，正是存在于这一集成模块的接口层，攻击者可通过未授权访问+远程代码执行（RCE）组合攻击，在30秒内突破Oracle EBS防护，获取服务器最高控制权，

白帽子凯哥哥

2026零基础如何参与护网行动？（非常详细）护网行动是国家层面组织的网络安全攻防演练，对于零基础的你来说，参与其中并非遥不可及。关键在于找准定位、用对方法。下面这份指南将为你清晰地描绘出从“小白”到参与者的路径。

白帽子凯哥哥

在学习SQL注入或XSS这类具体漏洞时，如何设计一个高效的“理论+实践”学习循环？建立高效的“理论+实践”循环，正是能否真正掌握SQL注入或XSS这类Web安全核心漏洞的分水岭。下面这个框架，希望能帮助您将知识转化为真实的攻防能力。

独角鲸网络安全实验室

高危预警！React核心组件曝CVSS 9.8漏洞，数百万开发者面临远程代码执行风险2025年11月4日，软件供应链安全企业JFrog披露React生态的一个critical级漏洞，其CVSS评分高达9.8，可能导致全球数百万开发者的开发环境遭远程代码执行攻击。该漏洞存在于React Native核心依赖组件中，每周下载量超200万次，覆盖Windows、macOS、Linux多系统，需立即采取应急措施。

独角鲸网络安全实验室

高危预警！React CVE-2025-55182 突破 RSC 防护，未授权 RCE 威胁 39% 云应用React Server Components（RSC）的核心特性“Server Actions”，本是为实现“客户端触发服务端函数”设计，正常流程为：

网络研究院

监管要求不统一暴露了移动安全方面的漏洞移动网络承载着全球大量的数字活动，这使得运营商成为网络攻击的常见目标。全球移动通信系统协会（GSMA）发布的一项研究显示，运营商每年在核心网络安全功能上的支出在150亿至190亿美元之间。到2030年，这一支出可能超过400亿美元。这些数字还不包括与网络弹性、培训或治理相关的支出。

React2Shell(CVE-2025-55182)漏洞服务器排查完整指南更新时间: 2025年12月8日漏洞严重程度: CVSS 10.0 (最高级别)2025年12月3日,React官方披露了一个极其严重的安全漏洞CVE-2025-55182,被安全社区命名为"React2Shell"。这个漏洞影响React Server Components(RSC),允许未经认证的攻击者通过精心构造的HTTP请求实现远程代码执行(RCE)。

奔跑吧邓邓子

【C++实战(75)】筑牢安全防线，攻克漏洞难题缓冲区溢出是指程序向缓冲区写入的数据超出了缓冲区的容量，导致数据覆盖了相邻的内存区域。这就好比你有一个杯子，它的容量是 100 毫升，但你却试图往里面倒入 150 毫升的水，那么多余的水就会溢出来，可能会损坏周围的物品。在程序中，缓冲区溢出可能导致程序崩溃、数据损坏，甚至被攻击者利用来执行恶意代码。

黑客思维者

Notepad++中高危DLL劫持漏洞深度剖析近期，知名文本编辑器Notepad++被披露存在中高危DLL劫持漏洞（CVE-2025-56383），CVSS评分为6.5分，攻击者可借此劫持程序的DLL加载过程执行任意恶意代码，给全球数百万用户带来系统 compromise、数据窃取等安全风险。作为程序员常用的开源编辑工具，该漏洞的影响覆盖个人开发者与企业场景，亟需深入解读其技术细节与防护方案。

CVE-2025-2502 / CNVD-2025-16450 联想电脑管家权限提升漏洞在联想电脑管家的任意版本中，联想电脑管家的工具都存在权限缺陷，只要是下载的工具，普通用户拥有 F 权限（完全权限）

网络研究院

Citrix 零日漏洞自五月起遭积极利用安全研究员 Kevin Beaumont 披露了有关 CVE-2025-6543 的惊人细节，这是一个严重的 Citrix NetScaler 漏洞，在该公司发布补丁之前的几个月里，该漏洞被积极利用作为零日攻击。

网络研究院

新的 SHAMOS MacOS 窃取程序利用单行终端命令攻击用户2025 年 6 月至 8 月期间，针对 macOS 用户的广泛恶意广告活动试图传播一种名为 SHAMOS 的新型恶意软件。

CVE-2014-6271（bash破壳漏洞）CVE-2014-6271是GNU Bash shell的远程代码执行漏洞，因Bash在解析环境变量时错误处理函数定义，导致攻击者可注入恶意命令。具体表现为：