高版本jdk下jndi攻击案例 apache-hertzbeat CVE-2024-45505
今年我在补天白帽大会分享了我和springkill的研究成果《JNDI新攻击面探索》,这里以apache-hertzbeat CVE-2024-45505做一个列子,详细分析高版本jdk下的jndi利用。
- 0
- 0
- Unam4
- 发布于 2025-01-07 10:03:29
- 阅读 ( 8353 )
Unam4
用友NC saveProDefServlet SQL注入漏洞分析
用友NC系统saveProDefServlet方法存在SQL注入漏洞,攻击者可获取数据库敏感信息。
- 1
- 0
- chobits
- 发布于 2025-07-16 09:40:36
- 阅读 ( 8296 )
chobits
某数AnyShare智能内容管理平台 start_service 存在远程命令执行漏洞分析
某数AnyShare智能内容管理平台 start_service 存在远程命令执行漏洞分析的updateutil.py里的def start_service(self)方法里的exec_command触发命令执行
- 0
- 0
- 123彡
- 发布于 2025-07-17 18:24:36
- 阅读 ( 8254 )
CVE-2024-48990 needrestart权限提升漏洞分析
needrestart 是Ubuntu 和其他基于 Debian 的 Linux 发行版中常用的一个工具,主要用于检测系统中是否有需要重启的服务或内核模块。它在软件包更新后运行,帮助管理员识别哪些服务或进程需要重新启动以使更新生效。
- 0
- 0
- cike_y
- 发布于 2024-12-31 08:00:02
- 阅读 ( 8209 )
CVE-2025-0565 ZZCMS index.php SQL注入漏洞分析
专注于招商加盟行业的内容管理系统ZZCMS 2023版本存在前台sql注入
- 1
- 1
- xiaoyu007
- 发布于 2025-07-24 09:40:24
- 阅读 ( 8109 )
全网首发!CVE-2025-27817 Apache Kafka Client 任意文件读取与SSRF 漏洞分析复现
CVE-2025-27817
- 4
- 5
- hahaha123
- 发布于 2025-06-12 16:11:17
- 阅读 ( 7960 )
hahaha123
某胜物流 /CommMng/Print/UploadMailFile 任意文件上传分析
某胜物流 /CommMng/Print/UploadMailFile 任意文件上传分析
- 1
- 1
- 小肥仔
- 发布于 2025-07-24 09:40:20
- 阅读 ( 7946 )
CVE-2024-52046 Apache mina 反序列化漏洞简单分析
最近披露了一个新的apache下述产品mina的CVE-2024-52046反序列化漏洞,这个产品mina之前没有接触过,好奇心驱使之下准备一下并记录一下学习的过程
- 0
- 0
- 鸣蜩十四
- 发布于 2025-02-11 10:00:02
- 阅读 ( 7541 )
鸣蜩十四
用友 U8Cloud FileServlet 任意文件读取漏洞分析
U8cloud系统FileServlet接口存在任意文件读取漏洞,攻击者读取系统任意文件,造成敏感信息泄露
- 2
- 3
- chobits
- 发布于 2025-05-15 09:00:01
- 阅读 ( 7481 )
Database 2.10.10 代码审计
两个月前看qax情报中心通报了2.10.9的漏洞,然后顺手挖了下,然后包送给官方,最后成功水到了cve。
- 1
- 1
- Unam4
- 发布于 2025-08-15 10:00:00
- 阅读 ( 7339 )
用友U8 Cloud系统VouchFormulaCopyAction方法SQL注入漏洞分析
用友U8 Cloud系统VouchFormulaCopyAction方法存在SQL注入漏洞,攻击者可获取数据库敏感信息
- 0
- 1
- chobits
- 发布于 2025-09-08 18:05:34
- 阅读 ( 7244 )
CNVD-2024-22977 金和C6协同管理平台文件上传漏洞
北京金和网络股份有限公司金和C6协同管理平台存在文件上传漏洞,攻击者可利用漏洞上传恶意文件,获取服务器权限。
- 0
- 2
- chobits
- 发布于 2025-05-09 15:00:01
- 阅读 ( 7205 )
金和OA C6系统-JHSoft两处任意文件读取漏洞分析
# 漏洞简介 金和OA C6协同管理平台是以“精确管理思想”为灵魂,围绕以“企业协同四层次理论”为模型,而构建的结构化的、灵活集成的、动态响应的、面向企业运营管理的智慧协同应用管理平台。 该O...
- 0
- 0
- chobits
- 发布于 2025-02-24 09:00:02
- 阅读 ( 7157 )
用友 U8Cloud NCPortalServlet XXE漏洞分析
U8cloud系统NCPortalServlet接口存在XML注入漏洞,攻击者未经授权可以访问系统文件中的数据,造成敏感信息泄露
- 0
- 1
- chobits
- 发布于 2025-05-13 17:00:01
- 阅读 ( 7058 )
[热点]CVE-2025-30208 Vite开发服务器任意文件读取漏洞分析
Vite 是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力,广泛应用于 Vue.js 项目的开发过程中。Vite 开发服务器在处理特定 URL 请求时,没有对请求的路径进行严格的安全检查和限制,导致攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件
- 0
- 0
- 吃不饱的崽
- 发布于 2025-03-27 14:22:25
- 阅读 ( 7041 )
某天OA-renameService-SQL注入漏洞分析
# 漏洞描述 某天OA系统是一个以技术领先著称的协同软件产品,具有极为突出的实用性、易用性和高性价比,实施简便,使用灵便。该系统renameService接口中的传参可以导致HQL语句闭合造成SQL注入...
- 1
- 0
- chobits
- 发布于 2025-02-21 10:00:02
- 阅读 ( 6860 )
【热点】browser-use WebUI pickle 反序列化漏洞分析与复现
browser-use WebUI是基于browser-use的AI Agent应用,存在一个pickle反序列化漏洞,未经授权的远程攻击者可以利用该接口发送恶意的序列化数据,实现在服务端执行任意代码,导致服务器失陷。
- 0
- 1
- reset
- 发布于 2025-05-06 16:25:45
- 阅读 ( 6826 )
用友 U8Cloud ExportUfoFormatAction SQL注入漏洞分析
U8cloud系统ExportUfoFormatAction接口存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。
- 0
- 0
- Werqy3
- 发布于 2025-08-19 09:00:01
- 阅读 ( 6808 )