全网首发!CVE-2025-24813 Tomcat 最新 RCE 分析复现
Tomcat最新RCE(CVE-2025-24813)分析复现
- 4
- 10
- jweny
- 发布于 2025-03-11 18:30:00
- 阅读 ( 18441 )
jweny
lei_sec
CVE-2024-42327:Zabbix SQL注入漏洞分析
Zabbix 是一款开源的网络监控和报警系统,用于监视网络设备、服务器和应用程序的性能和可用性。 Zabbix SQL注入漏洞(CVE-2024-42327),攻击者可以通过API接口,向 user.get API端点发送恶意构造的请求,注入SQL代码,以实现权限提升、数据泄露或系统入侵。
- 0
- 6
- ph0ebus
- 发布于 2024-12-20 10:12:09
- 阅读 ( 6732 )
CVE-2024-42913:若依管理系统sql注入黑名单绕过漏洞分析
CVE-2024-42913:若依管理系统sql注入黑名单绕过漏洞分析
- 0
- 5
- xhys
- 发布于 2024-09-10 09:00:01
- 阅读 ( 11812 )
xhys
CRMEB任意文件下载漏洞分析(CVE-2024-52726)
CRMEB任意文件下载漏洞分析(CVE-2024-52726)
- 0
- 4
- kode
- 发布于 2024-12-11 10:00:00
- 阅读 ( 7149 )
kode
万户OA fileUpload.controller 任意文件上传漏洞分析
万户OA fileUpload.controller 任意文件上传漏洞分析
- 0
- 4
- xhys
- 发布于 2024-10-24 10:00:01
- 阅读 ( 9229 )
万户OA SendFileCheckTemplateEdit-SQL注入
万户OA SendFileCheckTemplateEdit-SQL注入
- 2
- 4
- xhys
- 发布于 2024-09-20 18:05:09
- 阅读 ( 11830 )
SpringFramework CVE-2024-38816 路径穿越浅析
当使用 RouterFunctions 来处理静态资源且资源处理通过 FileSystemResource 进行配置时,攻击者可以通过构造恶意 HTTP 请求,利用路径遍历漏洞获取相关受影响版本文件系统中的任意文件。
- 5
- 4
- tkswifty
- 发布于 2024-09-20 14:46:37
- 阅读 ( 19114 )
tkswifty
某安防管理平台任意文件上传漏洞复现分析
由于代码缺陷未对文件进行合法有效的效验,导致其攻击者可以利用此漏洞上传任意文件,包括但不限于webshell,获取主机交互式shell ## 漏洞细节 废话不多说直接action开整,漏...
- 2
- 4
- zhizhuo
- 发布于 2024-08-02 09:36:17
- 阅读 ( 6655 )
记一次对通天星CMSV6车载视频监控平台的漏洞分析
通天星CMSV6(官网地址:http://www.g-sky.cn/)拥有以位置服务、无线3G/4G视频传输、云存储服务为核心的研发团队,专注于为定位、无线视频终端产品提供平台服务,通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。根据微步在线研究响应中心捕捉到漏洞情报,来对通天星CMSV6车载视频监控平台的漏洞进行分析审计
- 1
- 4
- bmjoker
- 发布于 2024-07-31 10:38:18
- 阅读 ( 7167 )
bmjoker
信呼OA办公系统最新漏洞--uploadAction 存在SQL注入
信呼OA办公系统是一个开源的在线办公系统。 信呼OA办公系统uploadAction存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息
- 1
- 3
- xiao1star
- 发布于 2024-10-30 09:00:02
- 阅读 ( 10372 )
CVE-2024-38821-Spring Security 静态资源权限绕过漏洞分析复现
Spring官方发布了CVE-2024-38821,当WebFlux使用Spring的静态资源支持时,在特定情况下会存在权限绕过的风险。
- 2
- 3
- tkswifty
- 发布于 2024-10-29 10:07:18
- 阅读 ( 10320 )
CVE-2024-6944 CRMEB电商系统 反序列化漏洞分析
钟邦科技CRMEB 5.4.0版本中发现一个关键漏洞。PublicController.php文件中的get_image_base64函数会导致反序列化。
- 2
- 3
- Y0ng
- 发布于 2024-10-23 09:30:02
- 阅读 ( 9401 )
某通UploadFileToCatalog接口SQL注入漏洞分析
某通UploadFileToCatalog接口SQL注入漏洞分析
- 1
- 3
- xiao1star
- 发布于 2024-09-02 11:30:02
- 阅读 ( 11277 )
IP网络广播服务平台remote-upgrade upload接口文件上传漏洞分析
IP网络广播服务平台是采用云计算的模型分布部署实施的广播系统。云广播系统突破了单台服务器性能瓶颈,支持多层次跨地域广播,构建全省乃至全国的IP网络广播系统,可以广泛应用在农村、连锁机构等需要跨地域统一建设的广播系统中。IP网络广播服务平台存在任意文件上传漏洞,攻击者可利用该漏洞上传webshell,获取服务器权限。
- 3
- 3
- afei00123
- 发布于 2024-09-02 10:00:02
- 阅读 ( 10411 )
EOVA未授权反序列化漏洞
EOVA存在JDBC反序列化漏洞,由于JDBC连接mysql服务器的时候,参数完全可控,可传入恶意配置和恶意mysql服务器地址,导致反序列化漏洞。攻击者可利用该漏洞执行任意命令。
- 1
- 3
- Yu9
- 发布于 2024-09-02 09:36:02
- 阅读 ( 11129 )
Yu9
网传"nacos 0day"
这个"nacos 0day"在今天下午(2024.7.15)在各个公众号和群疯传,漏洞作者在GitHub上给出了POC 没接触过nacos,尝试分析
- 2
- 3
- Stree
- 发布于 2024-07-17 09:55:04
- 阅读 ( 8268 )
Stree
CVE-2025-27610 Rack 本地文件包含漏洞分析报告
3月10日,rack爆出一个本地文件包含漏洞,一直没有时间看看是什么情况,今天有时间本地搭建起来分析一下。
- 0
- 2
- 带头小弟。
- 发布于 2025-04-11 09:46:31
- 阅读 ( 2222 )
CVE-2024-36465:Zabbix SQL注入漏洞分析
Zabbix 是一款开源的网络监控和报警系统,用于监视网络设备、服务器和应用程序的性能和可用性。 一个具有 API 访问权限的低权限(常规)Zabbix 用户可以利用 include/classes/api/CApiService.php 中的 SQL 注入漏洞,通过 groupBy 参数执行任意 SQL 命令。
- 0
- 2
- ph0ebus
- 发布于 2025-04-09 10:45:58
- 阅读 ( 2563 )