Google Chrome 零日漏洞正遭野外活跃利用
谷歌已为其 Chrome 网络浏览器发布紧急安全更新,以修复一个正在被积极在野利用的高危零日漏洞。谷歌强烈建议用户立即更新浏览器以防范潜在攻击。该漏洞编号为 CVE-2025-10585,是今年 Chrome 浏览器中发现并修复的一系列零日漏洞中的最新案例。新版稳定通道版本已更新至:Windows 和 Mac 系统为140.0.7339.185/.186,Linux ...
FileFix 变种通过多语言钓鱼网站传播 StealC 恶意软件
网络安全研究人员警告称,一项新的活动正在利用FileFix社会工程策略的变体来传播StealC信息窃取恶意软件。Acronis 安全研究员 Eliad Kimhy在与 The Hacker News 分享的一份报告中表示: “观察到的攻击活动使用了一个极具说服力的多语言网络钓鱼网站(例如,虚假的 Facebook 安全页面),并采用反分析技术和高级混淆技术来 ...
Case Theme User - WP插件漏洞使攻击者可通过社交登录绕过身份验证
Case Theme User - WordPress 插件存在一个严重的身份验证绕过漏洞,允许攻击者未经认证通过社交登录功能(提供给终端用户SSO登录功能,可以使用Facebook等社交网络登录信息访问网站)该漏洞该漏洞编号为 CVE-2025-5821,CVSS 评分高达 9.8 分,影响该插件 1.0.3 及之前的所有版本,全球范围内约 12,000 个活跃安装站点面临 ...
CISA警告有人积极利用达索RCE漏洞
美国网络安全和基础设施安全局(CISA)警告,黑客正利用法国达索系统(Dassault Systèmes)制造运营管理(MOM)与执行(MES)解决方案DELMIA Apriso中的关键远程代码执行漏洞发起攻击。该漏洞编号CVE-2025-5086,评级为严重(CVSS v3:9.0),已被纳入CISA已知被利用漏洞(KEV)列表。DELMIA Apriso广泛应用于生产流程数字 ...
LangchainGo 通过提示词中+SSTI访问敏感文件
LangChainGo(流行的 LLM 编排框架 LangChain 的 Go 语言实现)中发现了一个高危漏洞。该漏洞被追踪为 CVE-2025-9556,允许未认证攻击者通过精心构造的提示模板实现任意文件读取,无需直接系统访问即可暴露服务器敏感文件。### SSTILangChainGo 依赖 Gonja 模板引擎(Python Jinja2 的 Go 移植版本)来解析和渲染动态提示。 ...
安全团队需要立即防范的 6 种基于浏览器的攻击
近年来,针对网络浏览器用户的攻击空前增多。本文将探讨什么是“基于浏览器的攻击”,以及它们为何如此有效。什么是基于浏览器的攻击?#首先,确定基于浏览器的攻击是什么很重要。在大多数情况下,攻击者并不认为自己是在攻击您的 Web 浏览器。他们的最终目标是入侵您的业务应用和数据。这意味着他们会攻击目前已成为企业 I ...
xss到获取cookie入门级大佬勿喷
TCV 新手写第一次写不足还请大佬多多指教,图片上传太麻烦了有的图片上传的位置估计不对,还请大家多多海量通过对Tips的读取我们明白了这题是一道存储型XSS偷取cookie的题目。(因为flag在cookie中,XSS BOT每10秒就带着有flag的cookie去访问查看留言的页面)既然是存储型XSS,那么我们先用弹窗去尝试那么就开始插入<script>alert(\'HQDGG\')</script>把能插的地方都放了一遍因为我们不知道 ...
T00ls.Com版权所有。T00ls所有原创文章未经管理团队许可,禁止一切形式的转载。当前正在使用CDN加速。
Copyright © 2008 - 2025 T00ls All Rights Reserved.