Craft 是一个内容管理系统。低于 4.14.13 的 4.x 分支和低于 5.6.16 的 5.x 分支上的 Craft CMS 版本包含通过 Twig SSTI 的潜在远程代码执行漏洞。必须具有管理员访问权限,并且必须启用用“ALLOW_ADMIN_CHANGES”才能正常工作。
在某次赚钱的时候,发现出现了这个系统的低版本 搜索了很久相关只找到了一个
CRMEB任意文件下载漏洞分析(CVE-2024-52726)
钟邦科技CRMEB 5.4.0版本中发现一个关键漏洞。PublicController.php文件中的get_image_base64函数会导致反序列化。
CVE-2024-36837CRMEB开源电商系统 /api/products SQL注入漏洞分析
本文分析了 DataGear v5.0.0 中的 SpEL 表达式注入漏洞(CVE-2024-37759),该漏洞允许远程代码执行。文章详细介绍了漏洞原理、复现步骤和修复方案,并强调了 SpEL 表达式漏洞的普遍性,建议开发者谨慎使用相关功能。
CVE-2024-42913:若依管理系统sql注入黑名单绕过漏洞分析
# Craft CMS远程代码执行漏洞 ## 漏洞简介 **漏洞编号:CVE-2023-41892** Craft CMS是一个创建数字体验的平台。这是一种高影响、低复杂性的攻击媒介。建议在 4.4.15 之前运行 Craft 安...
EOVA存在JDBC反序列化漏洞,由于JDBC连接mysql服务器的时候,参数完全可控,可传入恶意配置和恶意mysql服务器地址,导致反序列化漏洞。攻击者可利用该漏洞执行任意命令。
Wookteam是一个支持在线协作管理和沟通的开源平台,后端使用的框架是Laravel7。在wookteam v1.6.6版本中api/users/searchinfo接口存在SQL注入且未对用户身份进行验证!
本文分析了Mtab书签导航程序 SQL注入漏洞的原因以及拓展
OpenMetadata远程命令执行漏洞(CVE-2024-28255)
CVE-2024-38856的主要是*ControlServlet*和*RequestHandler*函数收到了不同的端点来处理,通过路径绕过导致的未授权漏洞
海康威视综合安防管理平台clusters页面文件上传漏洞
SuiteCRM是一个开源的客户关系管理(CRM)软件应用程序。在版本7.14.4和8.6.1之前存在未授权SQL注入漏洞,本文对CVE-2024-36412这个漏洞进行复现和分析,以及注入点的特殊性做了解释。
## Zentao v18.0-v18.3 存在后台命令执行漏洞 ``` POST /zentaopms/www/index.php?m=zahost&f=create HTTP/1.1 Host: xxx.xxx.xxx.xxx User-Agent:Mozilla/5.0(Windows NT 10.0;Win64...
# 极致CMS 后台文件编辑插件 后台任意文件写入漏洞 ## 漏洞描述 极致CMS后台中含有文件编辑插件,通过逻辑漏洞可任意修改文件 ## 漏洞影响 极致CMS ## 网络测绘 icon_hash=&q...
# 极致CMS alipay_return_pay SQL注入漏洞 ## 漏洞描述 极致CMS支付插件中存在SQL注入漏洞,通过漏洞可以获取数据库信息 ## 漏洞影响 极致CMS ## 网络测绘 icon_hash="...
# ZZZCMS parserSearch 远程命令执行漏洞 ## 漏洞描述 ZZZCMS parserSearch 存在模板注入导Seeyon程命令执行漏洞 ## 漏洞影响 ZZZCMS ## 网络测绘 app="zzzcms"...
# 狮子鱼CMS ApiController.class.php SQL注入漏洞 ## 漏洞描述 狮子鱼CMS ApiController.class.php 参数过滤存在不严谨,导致SQL注入漏洞 ## 漏洞影响 狮子鱼CMS ## 网络测绘...