飞牛fnOS疑似存在0Day漏洞,未登录状态下可遍历目录并注入恶意文件。官方未及时发布预警,建议用户关闭公网访问、更新至v1.1.15版本,并备份重要数据,等待修复工具。
本文讲述了作者在系统探索中发现的目录遍历和敏感信息泄露案例。通过路径爆破,作者获取了学生通话记录和敏感文件,并成功登录多个系统下载源码,强调了网络安全的重要性和谨慎使用技术信息的必要性。
广泛使用的NPM包tar-fs存在高危漏洞CVE-2025-48387,允许通过恶意tar文件进行目录遍历攻击,影响多个版本。建议用户立即升级至安全版本,无法升级的项目应限制不可信tar文件的解压并监控文件变更。
Laravel框架存在目录遍历漏洞,攻击者可通过未验证的用户输入访问敏感文件。为防止此类攻击,应验证和清理输入、使用白名单路径、限制文件权限,并利用Laravel的安全功能。同时,定期使用安全扫描工具评估应用程序的安全性。
VMware Spring Framework 存在高危目录遍历漏洞,攻击者可通过特定请求读取系统文件。受影响版本为 5.3.0 - 5.3.39 和 6.0.0 - 6.1.12。建议用户尽快升级至最新版本以防护此漏洞。
Django发布了5.0.7和4.2.14版本的安全更新,修复了拒绝服务攻击、用户名枚举和目录遍历等几个安全问题。建议用户尽快升级。
发现客服平台存在RCE漏洞,可以替换私钥连接服务器,经过深入探索,发现8092端口有目录遍历,解包发现IP和密码,连接数据库发现8w多受害者,8094端口有web项目,获取到国内技术嫌疑人IP和经纬度。
完成下面两步后,将自动完成登录并继续当前操作。
