CVE-2025-22223 Spring Security EnableMethodSecurity 注解授权绕过分析
使用Spring Security 通过注解的方式来进行用户授权访问控制时,若使用了泛型方法可能导致授权配置失效。本文通过代码审计的方式详细介绍了该漏洞的漏洞成因以及修复方案。
- 0
- 0
- facl0n_leo
- 发布于 2025-05-14 15:00:00
- 阅读 ( 6165 )
facl0n_leo
用友U8Cloud FileTransportServlet方法GZIP解压数据流反序列化漏洞分析
U8cloud系统FileTransportServlet方法中存在对前端传入内容GZIP解压并反序列化解析,造成反序列化漏洞
- 0
- 0
- chobits
- 发布于 2025-05-09 16:00:00
- 阅读 ( 6114 )
chobits
CVE-2025-32375 | BentoML runner服务器远程代码执行漏洞
BentoML 的 runner 服务器中存在不安全的反序列化,攻击者可以通过在 POST 请求中设置特定的标头和参数,可以在服务器上执行任何未经授权的任意代码,这将授予攻击者在服务器上进行初始访问和信息泄露的权限。
- 0
- 1
- reset
- 发布于 2025-05-12 10:13:59
- 阅读 ( 6044 )
CVE-2025-22228:Spring Security BCryptPasswordEncoder 不强制最大密码长度
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。 `BCryptPasswordEncoder.matches(CharSequence,String)``true`只要前 72 个字符相同,就会错误地返回大于 72 个字符的密码。
- 0
- 0
- la0gke
- 发布于 2025-04-27 15:05:00
- 阅读 ( 6032 )
CVE-2024-53141 Linux 内核 netfilter子系统中 ipset 组件越界访问漏洞分析与利用
CVE-2024-53141是Linux内核netfilter子系统中ipset组件的一个高危越界访问(OOB)漏洞,CVSS评分为7.8分。该漏洞源于bitmap_ip_uadt函数在处理IPSET_ATTR_CIDR参数时缺少关键的范围检查,攻击者可借此实现本地提权、内核崩溃及造成RCE
- 0
- 0
- 吃不饱的崽
- 发布于 2025-05-06 09:00:03
- 阅读 ( 6014 )
厉飞宇
用友NC FormItemServlet方法SQL注入漏洞分析
用友NC系统FormItemServlet方法存在SQL注入漏洞,攻击者可获取数据库敏感信息
- 1
- 0
- chobits
- 发布于 2025-06-26 09:00:00
- 阅读 ( 5731 )
用友NC saveXmlToFileServlet任意文件上传漏洞分析
用友NC系统saveXmlToFileServlet方法存在任意文件上传漏洞,攻击者可获取服务器权限,造成敏感信息泄露
- 3
- 2
- chobits
- 发布于 2025-06-16 10:09:42
- 阅读 ( 5380 )
CVE-2025-27818 Apache Kafka Client LdapLoginModule 配置代码执行漏洞 分析
CVE-2025-27818
- 1
- 1
- hahaha123
- 发布于 2025-07-03 18:12:31
- 阅读 ( 5055 )
hahaha123