Apache HertzBeat反序列化
Apache HertzBeat 是开源的实时监控工具,受影响版本中未对用户可控的 Yaml 文件有效过滤,经过身份验证的攻击者可构造恶意 Yaml 文件远程执行任意代码。
- 0
- 1
- 买橘子
- 发布于 2024-10-23 10:00:01
- 阅读 ( 9018 )
买橘子
CVE-2024-37759 DataGear v5.0.0 SpEL 表达式注入漏洞分析与复现
本文分析了 DataGear v5.0.0 中的 SpEL 表达式注入漏洞(CVE-2024-37759),该漏洞允许远程代码执行。文章详细介绍了漏洞原理、复现步骤和修复方案,并强调了 SpEL 表达式漏洞的普遍性,建议开发者谨慎使用相关功能。
- 1
- 1
- coconut
- 发布于 2024-09-14 10:10:26
- 阅读 ( 11542 )
xhys
信呼OA nickName SQL注入漏洞复现(XVE-2024-19304)
信呼OA nickName SQL注入漏洞复现(XVE-2024-19304)
- 0
- 1
- xhys
- 发布于 2024-08-30 09:00:00
- 阅读 ( 8863 )
wookteam协作平台searchinfo接口SQL注入漏洞分析
Wookteam是一个支持在线协作管理和沟通的开源平台,后端使用的框架是Laravel7。在wookteam v1.6.6版本中api/users/searchinfo接口存在SQL注入且未对用户身份进行验证!
- 0
- 1
- Yu9
- 发布于 2024-08-29 14:00:00
- 阅读 ( 7046 )
Yu9
某通-LogDownLoadService-mssql-sql注入漏洞分析
某通-LogDownLoadService-mssql-sql注入漏洞分析
- 0
- 1
- xiao1star
- 发布于 2024-08-29 11:00:00
- 阅读 ( 6855 )
某通新一代电子文档安全管理系统 远程代码执行漏洞(XVE-2024-8758)
某通新一代电子文档安全管理系统 远程代码执行漏洞
- 0
- 1
- xhys
- 发布于 2024-08-29 10:00:02
- 阅读 ( 6162 )
某通电子文档安全管理系统DecryptionApp反序列化漏洞RCE
某通电子文档安全管理系统DecryptionApp反序列化漏洞RCE
- 0
- 1
- xhys
- 发布于 2024-08-23 09:00:01
- 阅读 ( 4480 )
万户graph include.jsp sql注入的漏洞分析
万户graph include.jsp sql注入的漏洞分析
- 0
- 1
- xhys
- 发布于 2024-08-22 09:38:48
- 阅读 ( 4533 )
H3C-iMC智能管理中心autoDeploy.xhtml页面代码执行漏洞分析
H3C-iMC智能管理中心存在远程代码执行漏洞,攻击者利用该漏洞可以在服务器执行远程命令。
- 0
- 1
- la0gke
- 发布于 2024-08-14 10:24:19
- 阅读 ( 4786 )
某管家印章智慧管理平台 listUploadIntelligent接口sql注入漏洞分析与复现
listUploadIntelligent接口存在 SQL 注入漏洞。攻击者可以通过构造特定的 POST 请求注入恶意 SQL 代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息。
- 0
- 1
- dddtest
- 发布于 2024-08-13 11:48:20
- 阅读 ( 6375 )
智慧校园(安校易)管理系统存在文件上传漏洞
# 智慧校园(安校易)管理系统存在文件上传漏洞 ## 一、漏洞简介 智慧校园(安校易)管理系统`/Tool/ReceiveClassVideo.ashx`接口存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件到服务...
- 1
- 1
- WLwl
- 发布于 2024-08-13 09:53:07
- 阅读 ( 4694 )
悦库企业网盘 userlogin.html SQL注入漏洞
悦库企业网盘是一款专为满足企业文件管理,协同办公、文件共享需求而设计的私有部署安全、简单的企业文件管理系统。 登录框接口`/user/login/.html`处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库的数据,还可以写入木马,控制服务器。 ## 二、影响版本
- 0
- 1
- la0gke
- 发布于 2024-08-09 09:55:41
- 阅读 ( 4500 )
Laravel 11.x 反序列化链分析
Laravel 是用 PHP 编写的开源 Web 应用程序框架。Laravel发布了一个反序列化漏洞,分析过程参考https://gitee.com/Q16G/laravel_bug/blob/master/laravelBug.md,分析过后尝试寻找其他的利用链,最终找到两条利用链
- 1
- 1
- kakakakaxi
- 发布于 2024-08-06 09:38:21
- 阅读 ( 5295 )
海康综合安防 installation远程命令执行
- 0
- 1
- 用户102514019
- 发布于 2024-08-01 09:47:54
- 阅读 ( 6120 )
用户102514019
Nacos 0day(derby+源码)分析 + 不出网利用
从derby的sql语句和调用过程,以及nacos的java源码层面分析,外加不出网利用方式
- 1
- 1
- 小惜渗透
- 发布于 2024-07-26 09:43:20
- 阅读 ( 6842 )
小惜渗透
JeecgBoot JimuReport 模板注入导致命令执行漏洞(CVE-2023-4450)
# JeecgBoot JimuReport 模板注入导致命令执行漏洞(CVE-2023-4450) JeecgBoot 是一个开源的低代码开发平台,Jimureport 是低代码报表组件之一。 当前漏洞在 1.6.1 以下的 Jimureport 组...
- 0
- 1
- 带头大哥
- 发布于 2024-07-12 18:50:55
- 阅读 ( 3361 )
磊科 NI360路由器 netcore_loginnetcore_login 认证绕过漏洞
# 磊科 NI360路由器 netcore_loginnetcore_login 认证绕过漏洞 ## 漏洞描述 磊科 NI360路由器 存在认证绕过漏洞,通过添加特定的Cookie字段获取后台权限 ## 漏洞影响 磊科 NI360路...
- 0
- 1
- 带头大哥
- 发布于 2024-07-12 18:50:14
- 阅读 ( 2338 )
飞鱼星 家用智能路由 cookie.cgi 权限绕过
# 飞鱼星 家用智能路由 cookie.cgi 权限绕过 ## 漏洞描述 飞鱼星 家用智能路由存在权限绕过,通过Drop特定的请求包访问未授权的管理员页面 ## 漏洞影响 飞鱼星 家用智能路由 飞...
- 0
- 1
- 带头大哥
- 发布于 2024-07-12 18:50:14
- 阅读 ( 2457 )
用友U8Cloud FileTransportServlet方法GZIP解压数据流反序列化漏洞分析
U8cloud系统FileTransportServlet方法中存在对前端传入内容GZIP解压并反序列化解析,造成反序列化漏洞
- 0
- 0
- chobits
- 发布于 2025-05-09 16:00:00
- 阅读 ( 136 )
chobits