Broadcom released Spring Boot 4.1 on June 10, 2026, to deliver gRPC auto-configuration, HTTP-client SSRF mitigation, and upgrades to Kotlin 2.3. It also brings lazy datasource connections,...

Apache Kafka 存在任意文件读取漏洞（CVE-2025-27817），攻击者可通过恶意配置读取敏感信息。受影响版本为 3.1.0 至 3.9.0，建议用户及时升级至 3.9.1 以上版本以防护。可采取临时措施，如拦截请求和限制访问。

OpenAI的ChatGPT被发现存在服务器端请求伪造（SSRF）漏洞，攻击者可借此访问内部云元数据，导致Azure凭据泄露。研究人员指出该漏洞可能导致云环境完全入侵，OpenAI已迅速修复此问题。

SSRF漏洞（服务端请求伪造）允许攻击者诱导服务器向意外位置发起请求，主要针对内网系统。常见攻击场景包括社交分享、转码服务和在线翻译。攻击者可利用此漏洞探测内网服务、扫描端口或读取本地文件。修复措施包括限制URL协议和使用白名单。

Apache软件基金会发布公告，开源OLAP引擎Apache Kylin在4.0.0至5.0.2版本中存在三处安全漏洞，已在5.0.3版本中修复。高危漏洞CVE-2025-61733允许攻击者绕过认证，低危漏洞CVE-2025-61734和CVE-2025-61735涉及文件读取和服务端请求伪造。建议用户升级至5.0.3版本。

DNS外带原理通过将数据嵌入DNS请求实现信息传输，攻击者可利用此技术绕过网络安全进行恶意操作，检测服务器漏洞，如SSRF和SQL注入。

本文介绍了通过网络扫描和API请求进行信息收集的方法，包括使用nmap和masscan工具扫描开放端口，以及通过curl和Python脚本与API交互获取状态和服务器列表。还讨论了LDAP认证、SSRF漏洞利用和文件传输等技术细节。

本周「FreeBuf周报」总结了网络隐私、Windows漏洞、ChatGPT攻击、谷歌收购Wiz及Linux内核漏洞等热点，强调网络安全的重要性及市场增长趋势。

网络安全公司Veriti报告称，攻击者利用ChatGPT中的SSRF漏洞（CVE-2024-27564）对美国金融和政府机构发起攻击。该漏洞源于pictureproxy.php文件的url参数验证不足，攻击者可注入URL发起任意请求。Veriti在一周内观察到超过1万次攻击尝试，主要针对美国政府机构。报告警示，忽视中等严重性漏洞可能导致严重后果，安全团队应重视所有漏洞。

本文从java代码审计的角度去认识SSRF

GreyNoise警告称，近期出现针对多个平台的服务器端请求伪造（SSRF）漏洞的协同攻击，至少400个IP同时利用多个漏洞，主要目标为美国、德国和新加坡等国。建议用户及时更新补丁、限制外部连接并监控可疑请求。

本文介绍了如何使用Python编写HTTP服务器，通过SSRF漏洞实现特权提升。首先，利用nmap和masscan扫描目标IP的开放端口，然后构造HTTP请求触发OMI漏洞，最终获取目标系统的用户信息。文章还强调了安全测试中的注意事项和免责声明。

本文介绍了对IP地址10.10.10.239进行端口扫描和漏洞利用的过程，包括使用nmap和masscan工具检测开放端口、分析服务版本，以及利用投票系统的文件上传漏洞进行远程代码执行。此外，文中提到Windows注册表设置可能带来的安全风险，攻击者可利用这些漏洞进行攻击。

本文将深入探讨Next.js中的图像优化组件以及与其相关的SSRF漏洞，并解释如何将其转化为易于理解的内容。

本文探讨了通过Redis进行SSRF测试的过程，利用Docker环境执行Lua脚本读取特定文件（/readflag）以获取flag。分析了两种方法：一种是将main.lua写入Redis，另一种是写入visit.script，最终实现提权和读取flag。