CMS - 文章 - 奇安信攻防社区

某云盘系统 API 端点无限制上传漏洞解析

在某次赚钱的时候,发现出现了这个系统的低版本搜索了很久相关只找到了一个

0
2
Massa
发布于 2025-03-20 10:00:01
阅读 ( 3468 )

CRMEB任意文件下载漏洞分析（CVE-2024-52726）

0
4
kode
发布于 2024-12-11 10:00:00
阅读 ( 7167 )

CVE-2024-6944 CRMEB电商系统反序列化漏洞分析

钟邦科技CRMEB 5.4.0版本中发现一个关键漏洞。PublicController.php文件中的get_image_base64函数会导致反序列化。

2
3
Y0ng
发布于 2024-10-23 09:30:02
阅读 ( 9410 )

CVE-2024-36837CRMEB开源电商系统 /api/products SQL注入漏洞分析

0
2
xhys
发布于 2024-09-20 18:04:23
阅读 ( 11283 )

CVE-2024-37759 DataGear v5.0.0 SpEL 表达式注入漏洞分析与复现

本文分析了 DataGear v5.0.0 中的 SpEL 表达式注入漏洞（CVE-2024-37759），该漏洞允许远程代码执行。文章详细介绍了漏洞原理、复现步骤和修复方案，并强调了 SpEL 表达式漏洞的普遍性，建议开发者谨慎使用相关功能。

1
1
coconut
发布于 2024-09-14 10:10:26
阅读 ( 11521 )

CVE-2024-42913:若依管理系统sql注入黑名单绕过漏洞分析

0
5
xhys
发布于 2024-09-10 09:00:01
阅读 ( 11829 )

Craft CMS远程代码执行漏洞

# Craft CMS远程代码执行漏洞 ## 漏洞简介 **漏洞编号：CVE-2023-41892** Craft CMS是一个创建数字体验的平台。这是一种高影响、低复杂性的攻击媒介。建议在 4.4.15 之前运行 Craft 安...

1
2
rev1ve
发布于 2024-09-10 08:30:02
阅读 ( 10898 )

EOVA未授权反序列化漏洞

EOVA存在JDBC反序列化漏洞，由于JDBC连接mysql服务器的时候，参数完全可控，可传入恶意配置和恶意mysql服务器地址，导致反序列化漏洞。攻击者可利用该漏洞执行任意命令。

1
3
Yu9
发布于 2024-09-02 09:36:02
阅读 ( 11144 )

wookteam协作平台searchinfo接口SQL注入漏洞分析

Wookteam是一个支持在线协作管理和沟通的开源平台，后端使用的框架是Laravel7。在wookteam v1.6.6版本中api/users/searchinfo接口存在SQL注入且未对用户身份进行验证！

0
1
Yu9
发布于 2024-08-29 14:00:00
阅读 ( 7033 )

Mtab书签导航程序 SQL注入漏洞

本文分析了Mtab书签导航程序 SQL注入漏洞的原因以及拓展

0
0
chenshiyi
发布于 2024-08-28 09:50:34
阅读 ( 3731 )

CVE-2024-28255 OpenMetadata远程命令执行漏洞

OpenMetadata远程命令执行漏洞(CVE-2024-28255)

0
0
买橘子
发布于 2024-08-20 09:54:57
阅读 ( 4301 )

Apache OFBiz 远程代码执行漏洞(CVE-2024-38856)

CVE-2024-38856的主要是*ControlServlet*和*RequestHandler*函数收到了不同的端点来处理,通过路径绕过导致的未授权漏洞

0
0
yrf2314
发布于 2024-08-13 09:53:18
阅读 ( 4789 )

海康威视综合安防管理平台clusters页面文件上传漏洞

1
0
买橘子
发布于 2024-08-12 09:55:52
阅读 ( 5125 )

CVE-2024-36412 SuiteCRM未授权sql注入分析

SuiteCRM是一个开源的客户关系管理(CRM)软件应用程序。在版本7.14.4和8.6.1之前存在未授权SQL注入漏洞，本文对CVE-2024-36412这个漏洞进行复现和分析，以及注入点的特殊性做了解释。

1
2
xpjoker
发布于 2024-08-08 09:40:45
阅读 ( 5112 )

极致CMS alipay_return_pay SQL注入漏洞

# 极致CMS alipay_return_pay SQL注入漏洞 ## 漏洞描述极致CMS支付插件中存在SQL注入漏洞，通过漏洞可以获取数据库信息 ## 漏洞影响极致CMS ## 网络测绘 icon_hash="...

0
0
带头大哥
发布于 2024-07-12 18:43:58
阅读 ( 2325 )

Zentao 11.6 api-getModel-editor-save-filePath 任意文件写入漏洞

# Zentao 11.6 api-getModel-editor-save-filePath 任意文件写入漏洞 ## 漏洞描述 Zentao 11.6 版本中对用户接口调用权限过滤不完善，导致调用接口执行SQL语句导致SQL注入 ## 影响版本...

0
0
带头大哥
发布于 2024-07-12 18:43:58
阅读 ( 2367 )

ZZZCMS parserSearch 远程命令执行漏洞

# ZZZCMS parserSearch 远程命令执行漏洞 ## 漏洞描述 ZZZCMS parserSearch 存在模板注入导Seeyon程命令执行漏洞 ## 漏洞影响 ZZZCMS ## 网络测绘 app="zzzcms"...

0
0
带头大哥
发布于 2024-07-12 18:43:58
阅读 ( 2244 )

Zentao v18.0-v18.3 存在后台命令执行漏洞

## Zentao v18.0-v18.3 存在后台命令执行漏洞 ``` POST /zentaopms/www/index.php?m=zahost&f=create HTTP/1.1 Host: xxx.xxx.xxx.xxx User-Agent:Mozilla/5.0(Windows NT 10.0;Win64...

0
0
带头大哥
发布于 2024-07-12 18:43:58
阅读 ( 2292 )

Zentao 16.5 router.class.php SQL注入漏洞

## Zentao 16.5 router.class.php SQL注入漏洞 ``` POST /user-login.html account=admin%27+and+%28select+extractvalue%281%2Cconcat%280x7e%2C%28select+user%28%29%29%2C0x7e%29%29%29%...

0
0
带头大哥
发布于 2024-07-12 18:43:58
阅读 ( 2148 )

Zentao 11.6 api-getModel-api-sql-sql 后台SQL注入漏洞

# Zentao 11.6 api-getModel-api-sql-sql 后台SQL注入漏洞 ## 漏洞描述 Zentao 11.6 版本中对用户接口调用权限过滤不完善，导致调用接口执行SQL语句导致SQL注入 ## 影响版本 Zentao...

0
0
带头大哥
发布于 2024-07-12 18:43:58
阅读 ( 2270 )