FortiOS、FortiWeb 和 FortiProxy 漏洞允许攻击者绕过 FortiCloud 单点登录身份验证
Fortinet 发布了一项紧急安全公告,指出其FortiOS、FortiWeb、FortiProxy 和 FortiSwitchManager 产品线存在严重漏洞。该安全漏洞被认定为加密签名验证不当(CWE-347),可能允许未经身份验证的攻击者绕过 FortiCloud 单点登录 (SSO) 登录身份验证。该漏洞源于设备未能正确验证 SAML 消息中的签名。如果被利用,攻击者可以 ...
新型GhostFrame超隐蔽钓鱼工具包攻击全球数百万用户
一种名为 GhostFrame 的复杂新型网络钓鱼工具包已被用于发起超过 100 万次攻击。该隐蔽工具最早由 Barracuda 的安全研究人员于 2025 年 9 月发现,代表了网络钓鱼即服务技术的危险演变。GhostFrame 最令人担忧的地方在于它的简单性和有效性。与传统的钓鱼工具包不同,GhostFrame 使用一个看似无害的 HTML 文件,将所有恶意 ...
LockBit 5.0 基础设施因新的服务器、IP 和域名泄露而暴露
LockBit 5.0 的关键基础设施被曝光,IP 地址为 205.185.116.233,域名 karma0.xyz 托管了该勒索软件组织的最新泄露网站。据研究员 Rakesh Krishnan 称,该服务器托管在 AS53667(PONYNET,由 FranTech Solutions 运营)下,该网络经常被滥用于非法活动。该服务器显示了一个带有“LOCKBITS.5.0”标识的 DDoS 防护页面,证实 ...
React和Next.js出现远程代码执行漏洞 Cloudflare已部署规则进行防御
谷歌旗下网络安全公司 Wiz 日前发布报告透露 React 和 Next.js 中存在的高危安全漏洞,该漏洞属于未经身份验证的远程代码执行漏洞,只需要构建特殊的 HTTP 请求即可触发漏洞,并且成功率接近 100%。漏洞编号分别是 React CVE-2025-55182 和 Next.js CVE-2025-66478,漏洞位于 React 服务器组件 Flight 协议中,由于默认配置 ...
专访simeon:攻防深处,薪火相传【T00ls人物专访第二十期】
### 自我介绍simeon,前阿里巴巴集团安全部高级安全专家,曾就职于北京公安局网安总队,20余年网络攻防实战经验,在业内享有盛名,目前就职于国内金融行业某科技公司,主要研究方向红蓝对抗,内网渗透及企业安全建设。其2018年受DEFON GROUP 010(https://www.anquanke.com/post/id/101477)邀请在上海黑客沙龙做《内网渗透 ...
GitHub Actions 中的提示注入漏洞影响财富 500 强企业
网络安全公司 Aikido Security 发现了一种名为“PromptPwnd”的新型提示注入漏洞。这些漏洞会影响集成了人工智能代理(包括谷歌的Gemini CLI、Claude Code和OpenAI Codex)的GitHub Actions和GitLab CI/CD流水线。目前已确认至少有五家财富500强企业受到影响,且有证据表明该问题影响范围广泛。最早发现并披露此漏洞模式的 ...
Multiple Vulnerabilities in phpMyAdmin
Author: Janek Vind "waraxe" Date: 25. April 2013 Location: Estonia, Tartu Web: [url]http://www.waraxe.us/advisory-103.html[/url] Description of vulnerable software: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ phpMyAdmin is a free software tool written in PHP, intended to handle the administration of MySQL over the World Wi ...
T00ls.Com版权所有。T00ls所有原创文章未经管理团队许可,禁止一切形式的转载。当前正在使用CDN加速。
Copyright © 2008 - 2025 T00ls All Rights Reserved.