Aggregator

CVE-2026-25049:n8n表达式解构赋值沙箱逃逸后端调用链深度解析

先知技术社区
3 months 1 week ago
漏洞描述N8N 是一个开源的工作流程自动化平台。在1.123.17和2.5.2版本之前,拥有创建或修改工作流权限的认证用户可以滥用工作流参数中的精心设计表达式,在运行n8n的主机上触发非预期的系统命令执行。这个问题已在1.123.17和2.5.2版本中得到修补漏洞影响评分:9.4版本:< 1.123.17; 2.x系列版本 < 2.5.2漏洞分析恶意请求构造后端触发链创建我们的恶意工作

Nullbyte渗透靶场精讲

先知技术社区
3 months 1 week ago
Nullbyte渗透靶场精讲,涉及信息收集,Hydra表单暴力破解,John md5哈希暴力破解,SQL注入多种利用,suid可执行文件利用提权,值得研究和学习。

Researchers Decrypt and Exploit Encrypted Palo Alto Cortex XDR BIOC Rules

Cyber Security News
3 months 1 week ago

Cybersecurity researchers have uncovered a critical evasion flaw in Palo Alto Networks’ Cortex XDR agent that allowed attackers to bypass behavioral detections completely. By reverse-engineering these encrypted rules, the InfoGuard Labs team discovered hardcoded global whitelists that enabled threat actors to execute malicious actions without triggering security alerts.​ Decrypting the Detection Engine Palo Alto Cortex […]

The post Researchers Decrypt and Exploit Encrypted Palo Alto Cortex XDR BIOC Rules appeared first on Cyber Security News.

Abinaya

CVE-2025-30400 | Microsoft Windows up to Server 2025 DWM Core Library use after free (EUVD-2025-14444 / WID-SEC-2025-1050)

Vuldb Updates
3 months 1 week ago
A vulnerability identified as critical has been detected in Microsoft Windows. Impacted is an unknown function of the component DWM Core Library. Performing a manipulation results in use after free. This vulnerability is cataloged as CVE-2025-30400. The attack must be initiated from a local position. Furthermore, there is an exploit available. Applying a patch is the recommended action to fix this issue.
vuldb.com

世界首个藏语大语言模型在拉萨发布

不安全
3 months 1 week ago
好的,我现在需要帮用户总结这篇文章的内容。用户的要求是用中文,控制在100字以内,不需要特定的开头,直接写描述。 首先,我读一下文章内容。文章主要讲的是DeepZang模型的发布,由西藏觉罗数字产业管理有限公司研发,是中国首个完成国家生成式AI备案的藏语大模型。填补了全球的技术空白。支持80多种语言服务,有听、说、译、看、思功能。应用即将落地,形成“智慧+”解决方案矩阵。公司从2018年开始规划,用了四年时间构建了高质量的语料库。 接下来,我需要把这些信息浓缩到100字以内。重点包括:DeepZang是世界首个藏语大模型,在拉萨发布;由中国公司研发;填补全球空白;支持多语种和多模态;实现多种功能;应用即将落地;公司四年的努力构建了语料库。 现在组织语言:拉萨发布DeepZang,世界首个藏语大模型,填补全球空白。支持80多种语言服务,实现听、说、译、看、思功能。应用即将落地形成“智慧+”解决方案矩阵。公司耗时四年构建高质量语料库。 检查字数是否在100字以内,并确保信息准确无误。 拉萨发布DeepZang,世界首个藏语大语言模型填补全球空白。支持80余种语言服务及听、说、译、看、思功能,应用即将落地形成"智慧+"解决方案矩阵。

Palo Alto NetSecAnalys Certification Help

不安全
3 months 1 week ago
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内。用户提供的文章看起来是关于网络安全认证的问题,具体有两个问题。 第一个问题涉及到URL过滤配置文件如何处理特定URL的访问请求。里面提到了防火墙的自定义URL对象、分类以及配置文件中的设置。我需要理解这些设置如何影响最终的访问结果,比如允许、阻止、警告或继续。 第二个问题则是关于日志转发配置,公司需要将特定应用的流量日志发送到合规服务器,同时不影响现有的日志转发。这里需要考虑如何高效地配置NGFW,可能涉及创建新的日志转发配置文件或编辑现有的。 用户的需求是用中文总结文章内容,不需要特定的开头,直接描述即可。因此,我需要将这两个问题的核心内容提炼出来,确保在100字以内清晰明了地表达出来。 总结的时候要注意关键词:网络安全认证、URL过滤配置、合规服务器、日志转发。这样用户一看就能明白文章主要讨论了什么内容。 文章讨论了两个网络安全认证相关的问题:一是分析URL过滤配置文件对特定URL的处理方式;二是探讨如何高效配置NGFW以满足新的日志合规要求。

杰克·伦敦的另一面 | 匪夷所思

不安全
3 months 1 week ago
嗯,用户让我帮忙总结一篇文章的内容,控制在一百个字以内,而且不需要用“文章内容总结”之类的开头。直接写描述就行。 首先,我得仔细阅读这篇文章。看起来主要讲的是杰克·伦敦的一篇科幻小说《史无前例的入侵》。小说里描述了西方国家为了对付中国,研发并投放瘟疫导致中国灭绝的故事。这本小说是1910年写的,收录在《杰克·伦敦科幻小说合集》里。 然后,文章还提到杰克·伦敦作为美国作家,以《野性的呼唤》和《热爱生命》闻名,但没想到他还有极端种族主义的一面。他的创作思想受过马克思、斯宾塞、尼采等影响,后来陷入极端个人主义,40岁就去世了。 用户的需求是总结内容,所以我要抓住关键点:杰克·伦敦的小说内容、他的背景以及他的思想变化。 接下来,控制在100字以内。可能需要简化一些细节,比如不用提到具体的书名或年份太多。 最后,确保语言简洁明了,直接描述内容。 杰克·伦敦的科幻小说《史无前例的入侵》中描述了西方国家通过研发瘟疫灭绝中国的极端情节。这位以《野性的呼唤》闻名的作家晚年陷入极端个人主义和种族主义倾向。

杰克·伦敦的另一面 | 匪夷所思

嘶吼
3 months 1 week ago

刚无意看到某个视频号上提了一句,觉得有点匪夷所思,于是便随手检索验证真伪,结果居然是真的。
在这本《The Jack London Science Fiction Megapack》即《杰克·伦敦科幻小说合集》一书里,收录了这个短篇科幻小说“THE UNPARALLELED INVASION(史无前例的入侵)”的英译版。
快速在线翻译了下,小说里描述了西方国家由于担心中国的强大,于是通过研发特定的瘟疫及投放,最终灭绝中国的故事……。在知乎上早有人注意到这个,并提供了完整翻译:https://zhuanlan.zhihu.com/p/594514920
这篇小说写于1910年。我把其中一段贴出来,大家可以自行翻译体会

作者确实是美国作家杰克•伦敦,对,那个《野性的呼唤》《热爱生命》作者,他的作品还入选了我们的教科书。没想到这样一个“伟大”作家,还是“极端种族主义者”?

在“百度百科”里,写着这样的评价:
他的创作思想较为复杂,受到过马克思、斯宾塞、尼采等多人影响,在他青年时代的作品中,跳动着向资本主义社会挑战的脉搏,成名后逐渐陷入极端个人主义和空虚中。
1916年,杰克·伦敦服用吗啡过量身亡,年仅40岁。所以……这算是被各种思想影响到最终精神失常才写出的科幻小说吗?什么鬼?

RC2反窃密实验室

投票开启|BeatBox 盖板设计实录:用一块透明亚克力,把奇妙灵感凝成实体

不安全
3 months 1 week ago
好,我需要帮用户总结这篇文章。用户要求控制在100字以内,不需要特定的开头,直接描述文章内容。 首先,我通读文章,发现它主要讲的是BeatBox盖板设计大赛的作品。这些设计不仅仅是保护壳,更是创作者审美和生活方式的体现。文章还介绍了参赛者们的灵感来源和创作过程,分为三个维度:科幻、日常、复古。 接下来,我需要提取关键信息:盖板作为连接数字音乐与实体触感的桥梁,参赛者们的创意来源,以及他们如何将想法转化为实际作品。 然后,我将这些信息浓缩成简洁的语言,确保在100字以内,并且直接描述内容,不使用“这篇文章”等开头。 最后,检查字数和流畅度,确保准确传达文章的核心内容。 BeatBox盖板设计大赛展示了创作者如何将生活中的灵感转化为艺术作品。参赛者通过科幻想象、日常观察和复古情怀,在透明盖板上展现了音乐与实体触感的桥梁。他们的设计不仅保护设备,更体现了个人审美与生活方式。

再获认可!梆梆安全蝉联中金联盟 “2025年度优秀会员单位” ,以反诈创新赋能行业实践

不安全
3 months 1 week ago
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内,并且不需要特定的开头。首先,我得仔细阅读文章,抓住主要信息。 文章开头提到梆梆安全再次获评“2025年度优秀会员单位”,这是个重要点。接着,中关村金融科技产业发展联盟召开会议,表彰了积极参与的单位,梆梆安全凭借技术实力和服务能力获奖。 然后,文章详细描述了梆梆安全在2025年的贡献,包括参与技术研讨、产业交流,并将安全能力转化为示范案例。特别是针对电信网络诈骗的解决方案入选优秀案例,这个方案的技术路径和核心能力需要简要提及。 最后,展望2026年,梆梆安全将继续深化合作,推动移动安全技术应用,并与行业伙伴共同构建金融安全新生态。 总结时要涵盖:获奖情况、公司贡献、解决方案及其效果、未来计划。控制在100字以内,用简洁的语言表达。 梆梆安全凭借在金融科技安全领域的技术实力和服务能力,再次获评“2025年度优秀会员单位”。公司积极参与联盟事务,推动移动安全技术与金融场景融合,并推出创新解决方案应对电信网络诈骗等痛点。未来将继续深化合作,助力金融安全发展。

再获认可!梆梆安全蝉联中金联盟 “2025年度优秀会员单位” ,以反诈创新赋能行业实践

嘶吼
3 months 1 week ago

3月12日,中关村金融科技产业发展联盟第二届四次会员大会在京召开。作为联盟年度重点工作之一,会议全面回顾了2025年度联盟工作情况,并对积极参与联盟事务、为行业发展作出突出贡献的会员单位进行表彰。梆梆安全凭借在金融科技安全领域持续深耕的技术实力与扎实的服务能力,再次获评“2025年度优秀会员单位”。这一荣誉不仅体现了联盟对梆梆安全年度工作的高度认可,也进一步彰显公司在移动安全领域的技术积累与行业影响力。

作为联盟的资深成员单位,梆梆安全在2025年持续深度参与联盟各项重点工作。全年中,公司不仅积极参与联盟组织的技术研讨、产业交流等活动,更将一线安全能力转化为行业示范案例,围绕金融科技发展中的安全痛点,特别是在电信网络诈骗手段不断演变的背景下,推动前沿安全理念与金融场景的深度融合,助力构建更加稳健的金融安全防线。

在与联盟全年合作中,梆梆安全“基于‘金融业典型涉诈场景’的移动安全解决方案”凭借创新性与实战成效,成功入选“2025数字金融服务创新与场景应用优秀案例”,并作为行业标杆进行推广。该方案聚焦当前高发的仿冒应用、屏幕共享等典型诈骗场景,提供了一整套涵盖监测、识别与阻断的技术路径,为金融机构构建数智化安全防护体系提供了可行范本。

基于金融业典型涉诈场景的移动安全解决方案

该方案通过在移动应用中植入安全监测探针,采集设备、系统、应用、行为四个维度的运行数据,结合后端大数据平台中的多维度模型规则,实现对移动应用运行时风险的实时监测。同时,服务端提供的威胁数据接口可与用户业务系统无缝对接,助力金融机构建立覆盖事前、事中、事后的移动应用安全态势感知能力。

方案的核心能力体现在以下几个方面:

涉诈场景专项监测针对“银联会议”等冒名诈骗应用及其变种,结合真实诈骗路径分析,建立专项识别规则,有效检测屏幕共享、远程操控等高风险行为,实现涉诈木马与恶意操作的精准发现。

实时风险联动阻断:支持在登录、转账等关键业务节点毫秒级查询设备风险状态,并通过实时弹窗预警、交易拦截等方式,实现事中即时阻断,形成“监测响应处置”闭环。

自适应对抗与持续演进:依托后端大数据平台与动态模型,能够持续跟踪诈骗技术手法更新,及时调整监测策略,协助银行构建可演进的安全对抗能力,应对远程控制工具迭代带来的挑战。

展望2026年,梆梆安全将持续深化与中关村金融科技产业发展联盟的协同合作,进一步推动移动安全技术在金融基础设施数字化转型中的深度应用。公司将继续秉持“稳如泰山,值得托付”的服务理念,以全生命周期安全防护体系为依托,与行业伙伴共同构建智能、可信的金融安全新生态,以切实行动护航产业高质量发展,守护广大用户的资金安全与合法权益。

梆梆安全

Managed ad