CVE-2024-42327:Zabbix SQL注入漏洞分析
Zabbix 是一款开源的网络监控和报警系统,用于监视网络设备、服务器和应用程序的性能和可用性。 Zabbix SQL注入漏洞(CVE-2024-42327),攻击者可以通过API接口,向 user.get API端点发送恶意构造的请求,注入SQL代码,以实现权限提升、数据泄露或系统入侵。
- 0
- 1
- ph0ebus
- 发布于 2024-12-20 10:12:09
- 阅读 ( 313 )
ph0ebus
某报表FineVis数据可视化《=2.9 任意文件写入漏洞
finerepor插件文件上传结合目录穿越进行文件写入
- 1
- 1
- Unam4
- 发布于 2024-12-12 09:00:00
- 阅读 ( 1150 )
CRMEB任意文件下载漏洞分析(CVE-2024-52726)
CRMEB任意文件下载漏洞分析(CVE-2024-52726)
- 0
- 0
- kode
- 发布于 2024-12-11 10:00:00
- 阅读 ( 1134 )
kode
用友NC 漏洞分析--cartabletimeline存在SQL注入
用友NC是一款大型erp企业管理系统与电子商务平台;用友网络科技股份有限公司用友NC存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
- 1
- 2
- WLwl
- 发布于 2024-11-27 09:00:01
- 阅读 ( 2661 )
CVE-2024-45216 Apache Solr 身份验证绕过漏洞简析
在目前可得的描述中可以得出这个漏洞主要是因为使用 PKIAuthenticationPlugin 的 Solr 实例(在使用 Solr 身份验证时默认启用)容易受到身份验证绕过的影响,下来着重分析绕过数据的传递过程
- 1
- 1
- 鸣蜩十四
- 发布于 2024-11-19 09:00:02
- 阅读 ( 3052 )
鸣蜩十四
Grafana Post-Auth DuckDB SQL 注入(文件读取)
使用 Grafana(一种开源数据可视化和监控解决方案,可推动明智的决策、提高系统性能并简化故障排除)通过漂亮的仪表板轻松收集、关联和可视化数据。Grafana 实验性 SQL 表达式功能中的一个 DuckDB SQL 注入漏洞。任何经过身份验证的用户都可以通过修改 Grafana 仪表板中的表达式执行任意 DuckDB SQL 查询。
- 1
- 1
- Harper Scott
- 发布于 2024-10-30 10:00:02
- 阅读 ( 4497 )
信呼OA办公系统最新漏洞--uploadAction 存在SQL注入
信呼OA办公系统是一个开源的在线办公系统。 信呼OA办公系统uploadAction存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息
- 1
- 3
- xiao1star
- 发布于 2024-10-30 09:00:02
- 阅读 ( 4818 )
CVE-2024-38821-Spring Security 静态资源权限绕过漏洞分析复现
Spring官方发布了CVE-2024-38821,当WebFlux使用Spring的静态资源支持时,在特定情况下会存在权限绕过的风险。
- 2
- 2
- tkswifty
- 发布于 2024-10-29 10:07:18
- 阅读 ( 4964 )
tkswifty
万户OA fileUpload.controller 任意文件上传漏洞分析
万户OA fileUpload.controller 任意文件上传漏洞分析
- 0
- 3
- xhys
- 发布于 2024-10-24 10:00:01
- 阅读 ( 4636 )
xhys
Apache HertzBeat反序列化
Apache HertzBeat 是开源的实时监控工具,受影响版本中未对用户可控的 Yaml 文件有效过滤,经过身份验证的攻击者可构造恶意 Yaml 文件远程执行任意代码。
- 0
- 1
- 买橘子
- 发布于 2024-10-23 10:00:01
- 阅读 ( 4721 )
CVE-2024-6944 CRMEB电商系统 反序列化漏洞分析
钟邦科技CRMEB 5.4.0版本中发现一个关键漏洞。PublicController.php文件中的get_image_base64函数会导致反序列化。
- 2
- 3
- Y0ng
- 发布于 2024-10-23 09:30:02
- 阅读 ( 4878 )
万户OA SendFileCheckTemplateEdit-SQL注入
万户OA SendFileCheckTemplateEdit-SQL注入
- 2
- 3
- xhys
- 发布于 2024-09-20 18:05:09
- 阅读 ( 7430 )
CVE-2024-36837CRMEB开源电商系统 /api/products SQL注入漏洞分析
CVE-2024-36837CRMEB开源电商系统 /api/products SQL注入漏洞分析
- 0
- 0
- xhys
- 发布于 2024-09-20 18:04:23
- 阅读 ( 7173 )
CVE-2024-6365 WordPress ProductTableByWBW插件 远程代码执行漏洞 分析复现
本文主要分析了CVE-2024-6365的漏洞原理,同时也演示了如何从diff补丁、根据漏洞描述去定位漏洞触发点,从而回溯分析到用户传参入口点的整个漏洞复现过程,以及这个过程中碰到的一些坑。
- 0
- 0
- 晚风
- 发布于 2024-09-20 16:00:00
- 阅读 ( 6796 )
SpringFramework CVE-2024-38816 路径穿越浅析
当使用 RouterFunctions 来处理静态资源且资源处理通过 FileSystemResource 进行配置时,攻击者可以通过构造恶意 HTTP 请求,利用路径遍历漏洞获取相关受影响版本文件系统中的任意文件。
- 4
- 2
- tkswifty
- 发布于 2024-09-20 14:46:37
- 阅读 ( 12358 )
CVE-2024-37759 DataGear v5.0.0 SpEL 表达式注入漏洞分析与复现
本文分析了 DataGear v5.0.0 中的 SpEL 表达式注入漏洞(CVE-2024-37759),该漏洞允许远程代码执行。文章详细介绍了漏洞原理、复现步骤和修复方案,并强调了 SpEL 表达式漏洞的普遍性,建议开发者谨慎使用相关功能。
- 0
- 1
- coconut
- 发布于 2024-09-14 10:10:26
- 阅读 ( 8281 )
ofbiz权限绕过远程执行漏洞(CVE-2024-45195)
在ofbiz的新版本中,对ProgramExport和EntitySQLProcessor添加了权限校验,如果需要造成命令执行,就需要寻找其他的可执行命令点,这里是viewdatafile,该漏洞可是说是对cve-2024-36104的绕过
- 0
- 0
- yrf2314
- 发布于 2024-09-10 10:00:01
- 阅读 ( 8536 )
CVE-2024-42913:若依管理系统sql注入黑名单绕过漏洞分析
CVE-2024-42913:若依管理系统sql注入黑名单绕过漏洞分析
- 0
- 1
- xhys
- 发布于 2024-09-10 09:00:01
- 阅读 ( 8957 )
Craft CMS远程代码执行漏洞
# Craft CMS远程代码执行漏洞 ## 漏洞简介 **漏洞编号:CVE-2023-41892** Craft CMS是一个创建数字体验的平台。这是一种高影响、低复杂性的攻击媒介。建议在 4.4.15 之前运行 Craft 安...
- 1
- 2
- rev1ve
- 发布于 2024-09-10 08:30:02
- 阅读 ( 8437 )