蓝凌OA WechatLoginHelper.do SQL注入漏洞复现分析
蓝凌OA的wechatLoginHelper.do接口处存在SQL注入漏洞,攻击者可以利用 SQL 注入漏洞获取数据库中的信息(管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
- 0
- 2
- F82
- 发布于 2025-07-23 17:23:57
- 阅读 ( 6267 )
F82
【热点】CVE-2025-32463 Linux sudo chroot本地提权漏洞分析复现
Linux sudo chroot 权限提升漏洞(CVE-2025-32463)源于本地低权限用户通过特制的恶意 chroot 环境触发动态库加载,从而以 root 权限执行任意代码。
- 1
- 2
- Mortalbeings
- 发布于 2025-07-18 17:41:57
- 阅读 ( 893 )
Mortalbeings
某数AnyShare智能内容管理平台 start_service 存在远程命令执行漏洞分析
某数AnyShare智能内容管理平台 start_service 存在远程命令执行漏洞分析的updateutil.py里的def start_service(self)方法里的exec_command触发命令执行
- 0
- 0
- 123彡
- 发布于 2025-07-17 18:24:36
- 阅读 ( 574 )
用友U8 Cloud系统FilterCondAction方法SQL注入漏洞分析
用友U8 Cloud系统FilterCondAction方法存在SQL注入漏洞,攻击者可获取数据库敏感信息
- 0
- 0
- chobits
- 发布于 2025-07-17 09:55:25
- 阅读 ( 656 )
chobits
RuoYi-Vue-Plus sendMessageWithAttachment 任意文件读取漏洞
RuoYi-Vue-Plus 是一个基于 Vue3 和 Spring Boot 3.x 构建的多租户权限管理系统,具备强大的功能模块,如代码生成器、分布式任务调度、多数据源事务等,支持多种数据库和第三方集成。其在`sendMessageWithAttachment`中存在任意文件读取可能导致敏感信息泄露、权限提升、数据篡改、业务逻辑攻击等多种危害,严重威胁系统的安全性、稳定性和合规性。
- 0
- 0
- xhys
- 发布于 2025-07-16 09:41:45
- 阅读 ( 1148 )
xhys
用友NC saveProDefServlet SQL注入漏洞分析
用友NC系统saveProDefServlet方法存在SQL注入漏洞,攻击者可获取数据库敏感信息。
- 1
- 0
- chobits
- 发布于 2025-07-16 09:40:36
- 阅读 ( 570 )
CVE-2025-24964:Vitest 跨站 WebSocket 劫持远程代码执行
Vitest 是由 Vite 驱动的测试框架,在启用 api 选项(如通过 Vitest UI)时,
- 0
- 2
- cipher
- 发布于 2025-07-15 09:00:00
- 阅读 ( 927 )
cipher
用友NC UserAuthenticationServlet反序列化漏洞分析
## 一、漏洞简介 用友NC系统`UserAuthenticationServlet`方法存在反序列化漏洞,攻击者可执行任意命令,获取敏感信息。 ## 二、影响版本 用友NC6.5 ## 三、漏洞原理分析 漏洞位...
- 0
- 0
- chobits
- 发布于 2025-07-08 09:39:45
- 阅读 ( 1226 )
CVE-2025-27818 Apache Kafka Client LdapLoginModule 配置代码执行漏洞 分析
CVE-2025-27818
- 1
- 1
- hahaha123
- 发布于 2025-07-03 18:12:31
- 阅读 ( 1325 )
hahaha123
用友NC FormItemServlet方法SQL注入漏洞分析
用友NC系统FormItemServlet方法存在SQL注入漏洞,攻击者可获取数据库敏感信息
- 1
- 0
- chobits
- 发布于 2025-06-26 09:00:00
- 阅读 ( 2320 )
用友NC UserQueryServiceServlet反序列化漏洞分析
用友NC系统UserQueryServiceServlet方法存在反序列化漏洞,攻击者可执行任意命令,获取敏感信息
- 0
- 0
- chobits
- 发布于 2025-06-25 09:00:01
- 阅读 ( 1880 )
Geoserver未授权XXE(CVE-2025-30220)漏洞代码分析
Geoserver未授权XXE(CVE-2025-30220)漏洞代码分析及复现
- 0
- 0
- follycat
- 发布于 2025-06-24 09:00:01
- 阅读 ( 3059 )
用友NC saveXmlToFileServlet任意文件上传漏洞分析
用友NC系统saveXmlToFileServlet方法存在任意文件上传漏洞,攻击者可获取服务器权限,造成敏感信息泄露
- 3
- 2
- chobits
- 发布于 2025-06-16 10:09:42
- 阅读 ( 2612 )
全网首发!CVE-2025-27817 Apache Kafka Client 任意文件读取与SSRF 漏洞分析复现
CVE-2025-27817
- 4
- 5
- hahaha123
- 发布于 2025-06-12 16:11:17
- 阅读 ( 5092 )
MCMS v5.4.4漏洞挖掘实战
在跟踪分析历史漏洞的基础上跟进项目代码,挖掘新型漏洞,成因是由于对zip压缩包的处理不当,导致了路径穿越进行任意文件上传
- 1
- 2
- leeh
- 发布于 2025-06-10 17:04:09
- 阅读 ( 2836 )
vLLM PyNcclPipe pickle反序列化漏洞(CVE-2025-47277)
CVE-2025-47277 是 vLLM 项目中的一个 远程代码执行(RCE)漏洞,源于其使用`PyNcclPipe`模块时,未经验证地反序列化来自网络的数据,攻击者可通过构造恶意 pickle 数据包,在服务器端执行任意代码。该漏洞严重性等级为 Critical。
- 1
- 1
- Werqy3
- 发布于 2025-06-09 09:00:02
- 阅读 ( 2871 )
CVE-2025-45529 sscms存在任意文件读取漏洞分析
SSCMS 内容管理系统是基于微软 .NET Core 平台开发,本文将对其CVE-2025-45529分析
- 1
- 0
- kode
- 发布于 2025-06-05 15:00:01
- 阅读 ( 3446 )
kode