- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全技术点滴分享
复现MongoDB(CVE-2025-14847)CVSS8.7漏洞攻击
MongoDB的zlib消息解压缩功能中存在一个缺陷,该缺陷会返回已分配的缓冲区大小而非实际的解压数据长度。这使得攻击者能够读取未初始化的内存,具体方式为:
41710编辑于 2026-01-06 解读CVSS:帮助IT管理者更准确理解漏洞风险
CVSS是什么?CVSS(通用漏洞评分系统)是评估安全漏洞严重程度的标准化系统,现由FIRST组织管理。该标准允许跨厂商比较不同产品的漏洞风险,其规范文档和计算工具均公开可用。 CVSS评估框架基本指标(Base Score)评估漏洞固有特性,包含以下维度:攻击向量(AV) 网络(N):可通过互联网远程攻击(如特制网页触发任意代码执行)邻接(A):需本地子网或蓝牙访问(如Hyper-V Environmental Score)根据实际环境调整:安全需求(CR/IR/AR):评估机密性/完整性/可用性要求缓解措施影响:调整基本指标参数(如防火墙降低攻击向量等级)微软漏洞实践微软安全更新指南现已全面采用CVSS 3.0评分,每个漏洞条目均包含:详细指标参数(如CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)补充说明(如特定攻击场景)可下载的评估标准图解文档
55610编辑于 2025-08-18- 来自专栏网络安全技术点滴分享
高危漏洞预警:Linux CUPS打印系统曝多个远程代码执行漏洞(CVSS 9.9)
仅限会员阅读的故事:Linux CUPS中的多个漏洞 (CVSS 9.9)多个CUPS漏洞 — Linux CUPS中的远程代码执行 (CVE-2024–47076 / CVE-2024–47175 /
15210编辑于 2026-01-20 - 来自专栏网络安全技术点滴分享
CVSS 10分的ErlangOTP SSH漏洞(CVE-2025-32433)复现详细版
CVE-2025-32433,已被披露,该漏洞影响Erlang/OTP中的SSH服务器实现,可实现未经身份验证的远程代码执行。此问题影响众多依赖Erlang/OTP的产品和服务,强烈建议立即采取行动。
39510编辑于 2025-12-30 - 来自专栏红蓝对抗
HPE OneView 缺陷评级 CVSS 10.0 允许未经身份验证的远程代码执行
该严重漏洞的 CVE 标识符为CVE-2025-37164,CVSS 评分为 10.0。HPE OneView是一款 IT 基础架构管理软件,它通过集中式仪表板界面简化 IT 操作并控制所有系统。
18810编辑于 2025-12-22 - 来自专栏网络安全
Redis 重大远程代码执行漏洞(CVE-2025-49844),CVSS 评分 10 分
该漏洞的 CVSS 评分为 10.0 分(注:部分来源显示评分为 9.9 分,具体取决于信息渠道),属于最高严重级别。 Redis 风险倍增此次披露的 Redis 漏洞 RediShell(CVE-2025-49844)获 CVSS 10.0 分 —— 这一评分极为罕见,过去一年全球仅约 300 个漏洞获此评级,同时它也是首个被评为
5.5K330编辑于 2025-10-09 - 来自专栏网络安全技术点滴分享
复现n8n RCE(CVE-2025-68613)CVSS 9.9漏洞利用详细版
n8n工作流自动化平台在其工作流表达式评估系统中存在一个严重的任意代码执行漏洞。已登录n8n的用户,可以通过在创建工作流时植入恶意表达式,利用n8n表达式评估系统的缺陷,在服务器上执行任意代码,最终可能接管服务器。
1.9K10编辑于 2026-01-06 - 来自专栏网络安全技术点滴分享
React2Shell漏洞深度剖析:CVSS 10.0分RCE漏洞威胁Next.js与React SSR应用
这是一个远程代码执行漏洞,其 CVSS v4.0 评分为 10.0(严重)。 执行摘要漏洞: CVE-2025-55182 ("React2Shell")类型: 不安全反序列化导致远程代码执行严重性: 严重 (CVSS 10.0)FINISHEDCSD0tFqvECLokhw9aBeRquhhETqhoIPbvFxWu0gz9y5cTsJodzmGaiZxx8B5Gsw3MA63zJHHUbznPqIIj00QPc7U8ov0KQvITL
22200编辑于 2026-02-23 - 来自专栏网络安全技术点滴分享
React2Shell危机:CVSS 10.0级反序列化漏洞威胁Next.js SSR生产环境
和 React SSR 面临远程代码执行风险作者:Ashish Sharda 阅读时长:4分钟 · 2025年12月17日 2 Listen 分享针对影响服务端水合(Hydration)的 CVSS 这并非 客户端跨站脚本(XSS)问题,而是一个 远程代码执行(RCE) 漏洞,其 CVSS v4.0 评分高达 10.0(严重)。 执行摘要漏洞编号: CVE-2025–55182 (“React2Shell”)漏洞类型: 不安全的反序列化导致 RCE严重等级: 严重 (CVSS…FINISHEDCSD0tFqvECLokhw9aBeRquhhETqhoIPbvFxWu0gz9y5cTsJodzmGaiZxx8B5Gsw3MA63zJHHUbznPqIIj00QPc7U8ov0KQvITL
14300编辑于 2026-02-19 n8n 严重缺陷(CVSS 9.9)允许在数千个实例中执行任意代码
该漏洞编号为CVE-2025-68613,CVSS 评分为 9.9 分(满分 10 分)。安全研究员Fatih Çelik因发现并报告该漏洞而受到赞誉。
23710编辑于 2025-12-25- 来自专栏FreeBuf
CVID:一款功能强大的CVE漏洞信息收集与下载工具
": "MEDIUM", "CVSS2_availabilityImpact": "NONE", "CVSS2_baseScore": "COMPLETE", "CVSS2_baseSeverity CVSS2_impactScore": "null", "CVSS2_integrityImpact": "8.6", "CVSS2_vectorString": "10", "CVSS3_ attackComplexity": "null", "CVSS3_attackVector": "null", "CVSS3_availabilityImpact": "null", "CVSS3 _baseScore": "null", "CVSS3_baseSeverity": "null", "CVSS3_confidentialityImpact": "null", "CVSS3 _exploitabilityScore": "null", "CVSS3_impactScore": "null", "CVSS3_integrityImpact": "null", "CVSS3
2.5K40编辑于 2023-04-09 - 来自专栏网络安全技术点滴分享
2025年10月补丁星期二:172个漏洞分析与关键修复
参考实现漏洞CVE-2025-2884是一个重要的信息泄露漏洞,影响TCG TPM2.0参考实现,CVSS评分为5.3。 -59230是一个重要的权限提升漏洞,影响Windows远程访问连接管理器,CVSS评分为7.8。 图形组件CVE-2025-49708是一个关键的权限提升漏洞,影响Microsoft图形组件,CVSS评分为9.9。 是一个关键的远程代码执行漏洞,影响Windows服务器更新服务(WSUS),CVSS评分为9.8。 :LibTIFFCVE-2016-9535是一个关键的远程代码执行漏洞,影响LibTIFF,CVSS评分为4.0。
43110编辑于 2025-11-03 - 来自专栏零零实验室
Gartner:VPT技术原理 ——如何确定网络攻击面上的风险优先级
许多组织正在使用传统的方法,如常见漏洞评分系统(CVSS)来尝试对修复漏洞进行优先级排序。大多数企业尝试修复所有高分和关键漏洞(CVSS得分7及以上)。 有些企业可能会选择只集中关注关键漏洞(CVSS评分 为9分及以上)。 “CVSS旨在识别漏洞的技术严重性。相反,人们似乎想知道的是,漏洞或缺陷给他们带来的风险,或者是他们面对漏洞应该有如何的反应速度。 这意味着,对于每10万个漏洞,CVSS规定安全团队必须修复其中的5.6万个漏洞。因此,不难看出,如果使用CVSS,工作负荷就会迅速失控,尤其是考虑到大多数大型企业都有数百万个漏洞。 [图1-CVSS将大多数漏洞评分为高漏洞或严重漏洞.png] 更重要的是,CVSS是一种完全无效的漏洞修复优先级参考方法。这是因为CVSS是没有风险属性的。 [图2-基于CVSS基本分数的可利用性分析.png] 更糟糕的是,将近一半具有短期内可被利用性的漏洞(44%),CVSS基本得分低于7(见图2)。
1.2K20发布于 2021-08-04 - 来自专栏Khan安全团队
Moxa MXview 网络管理软件报告的严重安全漏洞
缺陷列表如下—— CVE-2021-38452(CVSS 评分:7.5)- 应用程序中的路径遍历漏洞,允许访问或覆盖用于执行代码的关键文件 CVE-2021-38454(CVSS 分数:10.0)- 允许远程连接到 MQTT 的错误配置服务,从而可以远程交互和使用通信通道 CVE-2021-38456(CVSS 分数:9.8)- 使用硬编码密码 CVE-2021-38458(CVSS 分数:9.8)- 不当中和特殊元素的问题 ,可能导致远程执行未经授权的命令 CVE-2021-38460(CVSS 分数:7.5)- 可能允许攻击者获取凭据的密码泄露案例 上述三个漏洞——CVE-2021-38452、CVE-2021-38454
1K60编辑于 2022-02-15 - 来自专栏FreeBuf
地铁安防门被曝存在多个严重的安全漏洞
安全漏洞列表如下: CVE-2021-21901(CVSS 评分:9.8)、CVE-2021-21903(CVSS 评分:9.8)、CVE-2021-21905和CVE-2021-21906(CVSS CVE-2021-21902(CVSS 分数:7.5)——身份验证绕过漏洞,可以通过发送一系列请求来触发。 CVE-2021-21904(CVSS 评分:9.1)、CVE-2021-21907(CVSS 评分:4.9)、CVE-2021-21908和CVE-2021-21909(CVSS 评分:6.5)——可以通过发送特定的命令进行触发
50250编辑于 2022-01-05 - 来自专栏火绒安全
2022-05微软漏洞通告
Spaces Controller Windows WLAN Auto Config Service 以下漏洞需特别注意 Windows LSA 欺骗漏洞 CVE-2022-26925 严重级别:严重 CVSS Windows 网络文件系统远程执行代码漏洞 CVE-2022-26937 严重级别:高危 CVSS:9.8 被利用级别:很有可能被利用 攻击者可以通过网络利用此漏洞,其通过对网络文件系统 (NFS) Remote Desktop Client远程执行代码漏洞 CVE-2022-22017 严重级别:高危 CVSS:8.8 被利用级别:很有可能被利用 攻击者必须说服用户连接到的恶意 RDP 服务器。 Active Directory 特权提升漏洞 CVE-2022-26923 严重级别:高危 CVSS:8.8 被利用级别:很有可能被利用 当 Active Directory 证书服务在域上运行时, Windows LDAP 远程执行代码漏洞 CVE-2022-22012/CVE-2022-29130 严重级别:严重 CVSS:9.8 被利用级别:很有可能被利用 未经身份验证的攻击者可以向易受攻击的服务器发送特制请求
80020编辑于 2022-05-12 - 来自专栏网络安全技术点滴分享
【漏洞情报】WordPress FindAll Membership插件身份验证绕过漏洞分析
概述 CVE-2025-13539是一个影响WordPress FindAll Membership插件的严重身份验证绕过漏洞,CVSS评分为9.8(严重级别)。 CVSS评分 评分 版本 严重性 向量 可利用性评分 影响评分 来源 9.8 CVSS 3.1 严重 3.9 5.9 security@wordfence.com 解决方案 更新FindAll Membership
24710编辑于 2025-12-24 - 来自专栏火绒安全
2022-07微软漏洞通告
ManagerWindows Server ServiceWindows ShellWindows StorageXBox以下漏洞需特别注意Windows CSRSS 特权提升漏洞CVE-2022-22047严重级别:严重 CVSS Windows Graphics Component 远程代码执行漏洞CVE-2022-30221严重级别:高危 CVSS:8.8被利用级别:有可能被利用攻击者必须诱导用户连接到恶意 RDP 服务器。 Windows 网络文件系统远程执行代码漏洞CVE-2022-22029严重级别:高危 CVSS:8.1被利用级别:有可能被利用攻击复杂度很高,攻击者可以通过网络利用此漏洞,其通过对网络文件系统 (NFS Remote Procedure Call Runtime 远程代码执行漏洞CVE-2022-22038严重级别:高危 CVSS:8.1被利用级别:有可能被利用这是一个 RCE 漏洞,影响所有受支持的 Windows Server Service 篡改漏洞CVE-2022-30216严重级别:严重 CVSS:8.8被利用级别:很有可能被利用经过身份验证的攻击者可以远程将恶意证书上传到受影响的服务器上从而篡改服务
43930编辑于 2022-07-13 - 来自专栏火绒安全
2022-08微软漏洞通告
ControlWindows Win32K以下漏洞需特别注意Microsoft Windows 支持诊断工具 (MSDT)远程代码执行漏洞CVE-2022-34713 / CVE-2022-35743严重级别:严重 CVSS Windows点对点协议(PPP)远程代码执行漏洞CVE-2022-30133 / CVE-2022-35744严重级别:高危 CVSS:9.8被利用级别:有可能被利用未经身份验证的攻击者可以向 RAS SMB 客户端和服务器远程代码执行漏洞CVE-2022-35804严重级别:高危 CVSS:8.8被利用级别:很有可能被利用此漏洞可通过两种不同的载体加以利用,成功利用该漏洞的攻击者可以在目标系统上执行任意代码 Active Directory 域服务特权提升漏洞CVE-2022-34691严重级别:高危 CVSS:8.8被利用级别:有可能被利用当 Active Directory 证书服务在域上运行时,经过身份验证的攻击者可以操纵他们拥有或管理的计算机帐户属性 Windows内核特权提升漏洞CVE-2022-35761严重级别:严重 CVSS:8.4被利用级别:很有可能被利用该漏洞无需用户交互,成功利用此漏洞的攻击者可以获得系统权限。
67520编辑于 2022-08-11 - 来自专栏火绒安全
2022-03微软漏洞通告
- Windows Update Stack - XBox 以下漏洞需特别注意 Microsoft Exchange Server 远程代码执行漏洞 CVE-2022-23277 严重级别:高危 CVSS Windows SMBv3 Client/Server 远程代码执行漏洞 CVE-2022-24508 严重级别:严重 CVSS:8.8 被利用级别:很有可能被利用 经过身份验证的攻击者可以利用该漏洞在客户端 Windows Event Tracing 远程代码执行漏洞 CVE-2022-23294 严重级别:严重 CVSS:8.8 被利用级别:很有可能被利用 经过身份验证的攻击者可能会利用此漏洞对服务器端事件日志的远程过程调用 Windows Remote Desktop Client 远程代码执行漏洞 CVE-2022-21990/CVE-2022-23285 严重级别:严重 CVSS:8.8 被利用级别:很有可能被利用
55420编辑于 2022-03-14
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号