CVE-2025-2563：4.1.2 之前的 WordPress 用户注册和会员插件在启用会员附加组件时，无法阻止用户设置其帐户角色，从而导致权限提升问题，并允许未经身份验证的用户获得管理员权限。

这段视频展示了在真实应用场景中，如何利用**带外（Out-of-Band, OOB）远程代码执行（RCE）**漏洞进行攻击。 与依赖服务器直接响应的传统攻击不同，本次攻击采用了盲注命令执行（Blind Command ...

工具介绍 WG-Win-Check 是一款基于原生 Win32 API 实现的轻量级的 Windows 应急响应辅助工具，目前 64 位版本大小仅 600 余Kb，旨在以轻量便捷的特性，通过多维度的系统常规排查，能够有效帮助...

700GB核心数据遭黑客'撕票'式泄露网络安全事件分析 一、事件概述 2026年2月24日，马年春节假期后的第一个工作日，中国某大型国有汽车制造企业遭遇了一场严重的网络安全事件。新兴的双重勒索黑客...

微软正在扩展 Purview 数据防泄漏（DLP）控制功能，将阻止 Microsoft 365 Copilot 处理所有存储位置（包括本地设备）中带有敏感标签的文件。这项变更旨在弥补企业AI部署中的关键治理空白。 此前...

臭名昭著的网络犯罪组织Scattered LAPSUS$ Hunters（SLH）正通过经济激励手段招募女性实施社会工程攻击。威胁情报公司Dataminr最新报告披露，该组织以每通电话500至1000美元的预付报酬，雇佣女...

FreeBuf  2026年2月4日 18:06 上海 听 Part01 漏洞利用详情 攻击者正在积极利用React Native CLI Metro服务器中的高危漏洞（CVE-2025-11953）。该漏洞存在于React Native CLI的M...

微软正在加速淘汰NTLM（新技术局域网管理器）这一已在Windows系统中存在三十余年的传统身份验证协议。该公司宣布将在未来Windows版本中通过分阶段路线图逐步减少、限制并最终默认禁用NTLM，这标...

攻击者正通过大规模自动化勒索软件活动，持续攻击暴露在互联网上的MongoDB实例。攻击模式高度一致：攻击者扫描公网可访问的未受保护MongoDB数据库，删除存储数据后植入比特币勒索信息。 Part01 ...

AutoPentestX 是一款面向 Linux 系统的开源自动化渗透测试工具包，通过单条命令即可完成全面的安全评估。该工具由 Gowtham Darkseid 开发并于 2025 年 11 月发布，能够生成专业...

FreeBuf  2026年1月17日 18:02 上海 Part01 攻击概括 网络安全专家披露了一项针对美国政府及政策机构的新攻击活动细节，攻击者使用政治主题诱饵投放名为LOTUSLITE的后门程序。该定向...