技术栈
漏洞
独角鲸网络安全实验室
7 小时前
数据库
·
网络安全
·
oracle
·
漏洞
·
ebs
·
cve-2025-61882
·
xml 注入
CVE-2025-61882深度分析:Oracle Concurrent Processing BI Publisher集成远程接管漏洞的技术原理与防御策略
Oracle Concurrent Processing(并发处理)作为Oracle E-Business Suite(EBS)的核心组件,负责调度企业级批量任务(如财务报表生成、订单数据同步),而其与BI Publisher(商业智能发布器)的集成模块,则是企业生成可视化报表、传递关键业务数据的关键通道。2025年披露的CVE-2025-61882漏洞,正是存在于这一集成模块的接口层,攻击者可通过未授权访问+远程代码执行(RCE) 组合攻击,在30秒内突破Oracle EBS防护,获取服务器最高控制权,
白帽子凯哥哥
9 天前
数据库
·
sql
·
学习
·
漏洞
·
xss
2026零基础如何参与护网行动?(非常详细)
护网行动是国家层面组织的网络安全攻防演练,对于零基础的你来说,参与其中并非遥不可及。关键在于找准定位、用对方法。下面这份指南将为你清晰地描绘出从“小白”到参与者的路径。
白帽子凯哥哥
14 天前
sql
·
学习
·
漏洞
·
xss
在学习SQL注入或XSS这类具体漏洞时,如何设计一个高效的“理论+实践”学习循环?
建立高效的“理论+实践”循环,正是能否真正掌握SQL注入或XSS这类Web安全核心漏洞的分水岭。下面这个框架,希望能帮助您将知识转化为真实的攻防能力。
独角鲸网络安全实验室
18 天前
运维
·
前端
·
react.js
·
网络安全
·
企业安全
·
漏洞
·
cve-2025-11953
高危预警!React核心组件曝CVSS 9.8漏洞,数百万开发者面临远程代码执行风险
2025年11月4日,软件供应链安全企业JFrog披露React生态的一个critical级漏洞,其CVSS评分高达9.8,可能导致全球数百万开发者的开发环境遭远程代码执行攻击。该漏洞存在于React Native核心依赖组件中,每周下载量超200万次,覆盖Windows、macOS、Linux多系统,需立即采取应急措施。
独角鲸网络安全实验室
18 天前
前端
·
react.js
·
网络安全
·
前端框架
·
漏洞
·
rce
·
cve-2025-55182
高危预警!React CVE-2025-55182 突破 RSC 防护,未授权 RCE 威胁 39% 云应用
React Server Components(RSC)的核心特性“Server Actions”,本是为实现“客户端触发服务端函数”设计,正常流程为:
网络研究院
24 天前
网络
·
安全
·
漏洞
·
风险
·
监管
监管要求不统一暴露了移动安全方面的漏洞
移动网络承载着全球大量的数字活动,这使得运营商成为网络攻击的常见目标。全球移动通信系统协会(GSMA)发布的一项研究显示,运营商每年在核心网络安全功能上的支出在150亿至190亿美元之间。到2030年,这一支出可能超过400亿美元。这些数字还不包括与网络弹性、培训或治理相关的支出。
至善迎风
1 个月前
网络安全
·
react
·
数据安全
·
漏洞
·
next
·
rsc
·
cve-2025-55182
React2Shell(CVE-2025-55182)漏洞服务器排查完整指南
更新时间: 2025年12月8日 漏洞严重程度: CVSS 10.0 (最高级别)2025年12月3日,React官方披露了一个极其严重的安全漏洞CVE-2025-55182,被安全社区命名为"React2Shell"。这个漏洞影响React Server Components(RSC),允许未经认证的攻击者通过精心构造的HTTP请求实现远程代码执行(RCE)。
奔跑吧邓邓子
3 个月前
c++
·
安全
·
实战
·
漏洞
【C++实战(75)】筑牢安全防线,攻克漏洞难题
缓冲区溢出是指程序向缓冲区写入的数据超出了缓冲区的容量,导致数据覆盖了相邻的内存区域。这就好比你有一个杯子,它的容量是 100 毫升,但你却试图往里面倒入 150 毫升的水,那么多余的水就会溢出来,可能会损坏周围的物品。在程序中,缓冲区溢出可能导致程序崩溃、数据损坏,甚至被攻击者利用来执行恶意代码。
黑客思维者
3 个月前
notepad++
·
漏洞
·
dll劫持
Notepad++中高危DLL劫持漏洞深度剖析
近期,知名文本编辑器Notepad++被披露存在中高危DLL劫持漏洞(CVE-2025-56383),CVSS评分为6.5分,攻击者可借此劫持程序的DLL加载过程执行任意恶意代码,给全球数百万用户带来系统 compromise、数据窃取等安全风险。作为程序员常用的开源编辑工具,该漏洞的影响覆盖个人开发者与企业场景,亟需深入解读其技术细节与防护方案。
李白你好
4 个月前
漏洞
CVE-2025-2502 / CNVD-2025-16450 联想电脑管家权限提升漏洞
在联想电脑管家的任意版本中,联想电脑管家的工具都存在权限缺陷,只要是下载的工具,普通用户拥有 F 权限(完全权限)
网络研究院
4 个月前
网络
·
安全
·
漏洞
·
威胁
Citrix 零日漏洞自五月起遭积极利用
安全研究员 Kevin Beaumont 披露了有关 CVE-2025-6543 的惊人细节,这是一个严重的 Citrix NetScaler 漏洞,在该公司发布补丁之前的几个月里,该漏洞被积极利用作为零日攻击。
网络研究院
5 个月前
macos
·
攻击
·
漏洞
·
用户
新的 SHAMOS MacOS 窃取程序利用单行终端命令攻击用户
2025 年 6 月至 8 月期间,针对 macOS 用户的广泛恶意广告活动试图传播一种名为 SHAMOS 的新型恶意软件。
IT 青年
5 个月前
漏洞
CVE-2014-6271(bash破壳漏洞 )
CVE-2014-6271是GNU Bash shell的远程代码执行漏洞,因Bash在解析环境变量时错误处理函数定义,导致攻击者可注入恶意命令。具体表现为:
网络研究院
5 个月前
网络
·
网络协议
·
安全
·
http
·
攻击
·
漏洞
新的“MadeYouReset”方法利用 HTTP/2 进行隐秘的 DoS 攻击
安全研究人员发现了一种针对 HTTP/2 实现的新型拒绝服务 (DoS) 技术,称为“MadeYouReset”(CVE-2025-8671)。
IT 青年
5 个月前
漏洞
CVE-2020-24557
CVE-2020-24557 是 D-Link 路由器(如 DIR-816L2) 中存在的一个 命令注入(Command Injection) 漏洞,其核心原理为:
第十六年盛夏.
5 个月前
网络安全
·
漏洞
【网络安全】不安全的反序列化漏洞
在网络安全的江湖中,反序列化漏洞可谓是相当棘手的存在。今天,咱们就来唠唠 Top10 不安全的反序列化漏洞,用最通俗的话,配上有趣例子,让大伙一看就懂!
IT 青年
5 个月前
漏洞
CVE-2021-21148
CVE-2021-21148 是 Google Chrome 浏览器中 V8 引擎的一个 类型混淆(Type Confusion) 漏洞,属于 0day(零日)漏洞,即在公开前已被攻击者利用。其核心机制如下:
远方235
6 个月前
android
·
安全
·
文件
·
漏洞
·
目录
·
权限
Android无需授权直接访问Android/data目录漏洞
从android11开始,访问/sdcard/Android/data目录需要URI授权,而从更高的版本开始甚至URI权限也被收回,返回“无法使用此文件夹”的提示,这里提供一种方法,可以越权强制访问data目录,当然也包括obb、media等目录,方法就是利用andoird文件提权漏洞。
浮江雾
6 个月前
xml
·
安全
·
web安全
·
漏洞
·
xxe
XXE漏洞1-XXE 漏洞简介-XML 语法-DTD 讲解-外部实体讲解
XXE(XML External Entity)漏洞是一种基于XML解析的安全漏洞,攻击者通过构造恶意的
IT 青年
6 个月前
漏洞
Windows 用户账户控制(UAC)绕过漏洞
CVE-2021-31199 是一个 Windows 用户账户控制(UAC)绕过漏洞,CVSS 3.1 评分 7.8(高危)。其核心原理如下: