先知技术社区

如何防止模型滥用？如何避免隐私泄露和偏见传播？如何评估模型在安全性和可靠性上的表现？这些问题不仅关系到技术的可持续发展，更关乎社会的公平与安全。 为了更好的理解这些问题，对于大模型开展安全测评是至关重要的。

漏洞描述CVE-2025-55182 是 Next.js 中因 React Flight 反序列化机制未校验对象属性访问路径（如 __proto__、constructor）导致的高危 RCE 漏洞：攻击者可通过构造恶意 multipart 表单，利用 $B 引用结合可控的 _response._prefix 和被劫持为 Function 的 _formData.get，动态生成包含任意系统命令的

环境搭建源码：https://gitee.com/y_project/RuoYi/tree/v4.8.1环境：mysql+IDEA新建数据库ry，导入ry_20250416.sql与quartz.sql文件，修改配置文件application-druid.yml账号密码本地环境搭建POCshiro利用漏洞点位置：com/ruoyi/web/controller/monitor/CacheContr

cve-2025-55182 漏洞分析

分享一次护网中通过测试从而造成大量信息泄露案例,针对有价值入口点可以多深度利用一下往往会有意想不到的惊喜

堆喷你就喷吧，一喷一个不吱声

无

、

使用了大量携带正常数字签名（含国内数字签名）的文件进行木马传播、使用了多种反沙箱/反调试技术进行安全技术对坑、外联亚马逊的AWS S3存储桶下载并执行最新恶意载荷

2025四川省赛-Java题目see反编译 jar 包，只有一个 index 路由提示 debug log，再看依赖，log4j2 版本为 2.14.1，这个版本是存在 CVE-2021-44228 漏洞的但是不知道哪里注入点，先运行 jar 包，不断 fuzz 发现 cookie 引发的报错记录到了日志中，所以这里构造 poc成功弹出计算机不过这个只能打一次，因为这个错误只会记录一次。snake

多个多内合法数字签名、trycloudflare隧道通信

本文对MSRSCI组件进行了系统性逆向分析与行为研究，涵盖其文件结构、加密机制、启动流程、核心功能及网络行为。研究发现，MSRSCI.jar是一个经过加密保护的远控程序，通过start-svc.exe启动并与远程服务器建立持久连接。组件具备插件加载、配置管理、文件操作、数据库读写、内网穿透及远程指令执行等功能，其行为高度隐蔽且具备较强的对抗分析能力。文章通过动态调试、内存转储、密钥提取与文件解密等

Hessian 反序列化链汇总

分析ipTIME AX2004M路由器固件漏洞，揭示基于逻辑错误的未授权访问与RCE利用链。

在ISCTF中出现了getter但黑名单许多常见的依赖都给禁用掉了，我们又该如何利用呢？

1、前言趁热热乎的，快来上一口昨日爆出的 CVE-2025-55182，CVSS 10.0 满分严重漏洞，影响 React 19 及所有 Next.js 15/16 项目。 核心问题是 React Server Components 的 Flight 协议存在不安全反序列化，无需任何认证，攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求，即可实现远程代码

漏洞描述Apache Tika 的 tika-core (1.13-3.2.1)、tika-pdf-module (2.0.0-3.2.1) 和 tika-parsers (1.13-1.28.5) 模块在所有平台上存在严重 XXE 漏洞，攻击者可利用此漏洞通过在 PDF 文件中嵌入精心构造的 XFA 文件来实施 XML 外部实体注入。此 CVE 漏洞与 CVE-2025-54988 漏洞相同。然

分析dewu官网的sign签名逻辑，并通过JSRPC+Flask+autoDecoder进行对抗，实现无感渗透

apk分析，发现登录口存在codeSign值签名校验，无法进行账号密码爆破操作，通过反编译apk文件再配合hook来分析加密构成逻辑，再配合加密脚本实现自动更新codeSign值实现账号密码爆破。

基于 Next.js Server Actions 原型污染的内存马与 Webshell 实现