Nacos <=2.4.0.1 任意文件读写删
在Nacos<=2.4.0.1版本中集群模式启动下存在名为naming_persistent_service的Group,该Group所使用的Processor为com.alibaba.nacos.naming.consistency.persistent.impl.PersistentServiceProcessor类型Processor,在进行处理过程中会触发其父类`onApply`或`onRequest`方法,这两个方法会分别造成任意文件写入删除和任意文件读取
- 0
- 2
- Stree
- 发布于 2024-08-28 10:19:06
- 阅读 ( 9934 )
Stree
某通电子文档安全管理系统DecryptionApp反序列化漏洞RCE
某通是使用了servlet框架,一般都是先去web.xml寻找相关路由进而确定代码的位置
- 0
- 2
- xhys
- 发布于 2024-08-28 10:14:33
- 阅读 ( 7437 )
xhys
CVE-2024-32002 Git clone远程命令执行
当用户使用管理员权限执行git clone —recursive 克隆一个恶意仓库时,git中存在的漏洞会触发远程代码执行 攻击者可以创建恶意的仓库,诱导使用git的用户clone,从而在客户端执行任意的系统命令
- 0
- 2
- 鼠标猴子爱吃香蕉
- 发布于 2024-08-16 10:03:39
- 阅读 ( 6763 )
鼠标猴子爱吃香蕉
积木报表AviatorScript代码注入RCE分析
积木报表软件存在AviatorScript代码注入RCE漏洞。使用接口/jmreport/save处在text中写入AviatorScript表达式。访问/jmreport/show触发AviatorScript解析从而导致命令执行。
- 3
- 2
- Yu9
- 发布于 2024-08-14 09:36:07
- 阅读 ( 8422 )
Yu9
CVE-2024-36412 SuiteCRM未授权sql注入分析
SuiteCRM是一个开源的客户关系管理(CRM)软件应用程序。在版本7.14.4和8.6.1之前存在未授权SQL注入漏洞,本文对CVE-2024-36412这个漏洞进行复现和分析,以及注入点的特殊性做了解释。
- 1
- 2
- xpjoker
- 发布于 2024-08-08 09:40:45
- 阅读 ( 7766 )
CVE-2025-11001 7-Zip 远程代码执行漏洞 分析与复现
CVE-2025-11001
- 1
- 1
- hahaha123
- 发布于 2025-11-26 09:33:51
- 阅读 ( 6296 )
hahaha123
继CVE-30065和46762的Apache Parquet 1.15.2绕过反序列化命令执行分析
继CVE-30065和46762之后升级到Apache Parquet 1.15.2版本,如果存在"specific" 或 "reflect" 模型读取Parquet 文件的代码,仍然存在危险。
- 0
- 1
- shushu123456
- 发布于 2025-11-24 10:17:19
- 阅读 ( 5428 )
用友U8Cloud NCCloudGatewayServlet命令执行漏洞补丁分析及绕过
## 漏洞分析 官网通告NCCloudGatewayServlet接口存在命令执行漏洞 
CVE-2025-51482 漏洞分析:Letta AI 组件代码注入导致远程命令执行(RCE)
该漏洞允许攻击者通过 `/v1/tools/run` 接口,利用精心构造的 payload 在目标服务器上执行任意 Python 代码或系统命令。系统原设计意图是通过沙箱机制限制工具执行的权限,但此安全机制被绕过。
- 0
- 1
- Gscsed
- 发布于 2025-09-15 15:12:37
- 阅读 ( 12415 )
Gscsed
用友U8 Cloud系统VouchFormulaCopyAction方法SQL注入漏洞分析
用友U8 Cloud系统VouchFormulaCopyAction方法存在SQL注入漏洞,攻击者可获取数据库敏感信息
- 0
- 1
- chobits
- 发布于 2025-09-08 18:05:34
- 阅读 ( 15183 )
chobits
Database 2.10.10 代码审计
两个月前看qax情报中心通报了2.10.9的漏洞,然后顺手挖了下,然后包送给官方,最后成功水到了cve。
- 2
- 1
- Unam4
- 发布于 2025-08-15 10:00:00
- 阅读 ( 13644 )
【热点】CVE-2025-54424 1Panel远程命令执行漏洞详细分析及复现(附利用脚本)
1Panel 是新一代的 Linux 服务器运维管理面板,用户可以通过 Web 界面轻松管理 Linux 服务器,如主机监控、文件管理、数据库管理、容器管理等。其V2版本中引入了节点管理的功能,可以通过添加节点来控制其他的主机,但是用于核心和代理端点之间通信的HTTPS协议在证书验证过程中存在证书验证不完整问题,导致未经授权的接口访问。由于1Panel中存在大量命令执行或高权限接口,可能导致远程代码执行。
- 1
- 1
- xiaoyu007
- 发布于 2025-08-05 16:17:14
- 阅读 ( 15839 )
CNVD-2024-21810 金和C6协同管理平台SaveXmlAjax SQL注入漏洞
金和C6协同管理平台存在SQL注入漏洞,结合未授权访问漏洞攻击者可获取数据库敏感信息
- 0
- 1
- chobits
- 发布于 2025-08-04 09:00:02
- 阅读 ( 16725 )
CVE-2025-0565 ZZCMS index.php SQL注入漏洞分析
专注于招商加盟行业的内容管理系统ZZCMS 2023版本存在前台sql注入
- 2
- 1
- xiaoyu007
- 发布于 2025-07-24 09:40:24
- 阅读 ( 15110 )
某胜物流 /CommMng/Print/UploadMailFile 任意文件上传分析
某胜物流 /CommMng/Print/UploadMailFile 任意文件上传分析
- 2
- 1
- 小肥仔
- 发布于 2025-07-24 09:40:20
- 阅读 ( 14085 )
CVE-2025-27818 Apache Kafka Client LdapLoginModule 配置代码执行漏洞 分析
CVE-2025-27818
- 1
- 1
- hahaha123
- 发布于 2025-07-03 18:12:31
- 阅读 ( 4836 )
用友NC UserQueryServiceServlet反序列化漏洞分析
用友NC系统UserQueryServiceServlet方法存在反序列化漏洞,攻击者可执行任意命令,获取敏感信息
- 0
- 1
- chobits
- 发布于 2025-06-25 09:00:01
- 阅读 ( 7857 )
vLLM PyNcclPipe pickle反序列化漏洞(CVE-2025-47277)
CVE-2025-47277 是 vLLM 项目中的一个 远程代码执行(RCE)漏洞,源于其使用`PyNcclPipe`模块时,未经验证地反序列化来自网络的数据,攻击者可通过构造恶意 pickle 数据包,在服务器端执行任意代码。该漏洞严重性等级为 Critical。
- 1
- 1
- Werqy3
- 发布于 2025-06-09 09:00:02
- 阅读 ( 6640 )