立即发帖
筛选:  最新的 推荐的 热门的

万户graph include.jsp sql注入的漏洞分析

万户graph include.jsp sql注入的漏洞分析

  • 0
  • 1
  • xhys
  • 发布于 2024-08-22 09:38:48
  • 阅读 ( 4895 )

H3C-iMC智能管理中心autoDeploy.xhtml页面代码执行漏洞分析

H3C-iMC智能管理中心存在远程代码执行漏洞,攻击者利用该漏洞可以在服务器执行远程命令。

  • 0
  • 1
  • la0gke
  • 发布于 2024-08-14 10:24:19
  • 阅读 ( 5222 )

某管家印章智慧管理平台 listUploadIntelligent接口sql注入漏洞分析与复现

listUploadIntelligent接口存在 SQL 注入漏洞。攻击者可以通过构造特定的 POST 请求注入恶意 SQL 代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息。

  • 0
  • 1
  • dddtest
  • 发布于 2024-08-13 11:48:20
  • 阅读 ( 6798 )

智慧校园(安校易)管理系统存在文件上传漏洞

# 智慧校园(安校易)管理系统存在文件上传漏洞 ## 一、漏洞简介 智慧校园(安校易)管理系统`/Tool/ReceiveClassVideo.ashx`接口存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件到服务...

  • 1
  • 1
  • WLwl
  • 发布于 2024-08-13 09:53:07
  • 阅读 ( 5019 )

悦库企业网盘 userlogin.html SQL注入漏洞

悦库企业网盘是一款专为满足企业文件管理,协同办公、文件共享需求而设计的私有部署安全、简单的企业文件管理系统。 登录框接口`/user/login/.html`处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库的数据,还可以写入木马,控制服务器。 ## 二、影响版本

  • 0
  • 1
  • la0gke
  • 发布于 2024-08-09 09:55:41
  • 阅读 ( 4824 )

Laravel 11.x 反序列化链分析

Laravel 是用 PHP 编写的开源 Web 应用程序框架。Laravel发布了一个反序列化漏洞,分析过程参考https://gitee.com/Q16G/laravel_bug/blob/master/laravelBug.md,分析过后尝试寻找其他的利用链,最终找到两条利用链

  • 1
  • 1
  • kakakakaxi
  • 发布于 2024-08-06 09:38:21
  • 阅读 ( 5678 )

海康综合安防 installation远程命令执行

Nacos 0day(derby+源码)分析 + 不出网利用

从derby的sql语句和调用过程,以及nacos的java源码层面分析,外加不出网利用方式

JeecgBoot JimuReport 模板注入导致命令执行漏洞(CVE-2023-4450)

# JeecgBoot JimuReport 模板注入导致命令执行漏洞(CVE-2023-4450) JeecgBoot 是一个开源的低代码开发平台,Jimureport 是低代码报表组件之一。 当前漏洞在 1.6.1 以下的 Jimureport 组...

磊科 NI360路由器 netcore_loginnetcore_login 认证绕过漏洞

# 磊科 NI360路由器 netcore_loginnetcore_login 认证绕过漏洞 ## 漏洞描述 磊科 NI360路由器 存在认证绕过漏洞,通过添加特定的Cookie字段获取后台权限 ## 漏洞影响 磊科 NI360路...

飞鱼星 家用智能路由 cookie.cgi 权限绕过

# 飞鱼星 家用智能路由 cookie.cgi 权限绕过 ## 漏洞描述 飞鱼星 家用智能路由存在权限绕过,通过Drop特定的请求包访问未授权的管理员页面 ## 漏洞影响 飞鱼星 家用智能路由 飞...

CVE-2025-45529 sscms存在任意文件读取漏洞分析

SSCMS 内容管理系统是基于微软 .NET Core 平台开发,本文将对其CVE-2025-45529分析

  • 1
  • 0
  • kode
  • 发布于 2025-06-05 15:00:01
  • 阅读 ( 1257 )

CVE-2025-46731|CraftCMS Twig SSTI 代码执行漏洞分析与复现

Craft 是一个内容管理系统。低于 4.14.13 的 4.x 分支和低于 5.6.16 的 5.x 分支上的 Craft CMS 版本包含通过 Twig SSTI 的潜在远程代码执行漏洞。必须具有管理员访问权限,并且必须启用用“ALLOW_ADMIN_CHANGES”才能正常工作。

  • 0
  • 0
  • reset
  • 发布于 2025-05-28 09:00:02
  • 阅读 ( 1763 )

CVE-2025-22223 Spring Security EnableMethodSecurity 注解授权绕过分析

使用Spring Security 通过注解的方式来进行用户授权访问控制时,若使用了泛型方法可能导致授权配置失效。本文通过代码审计的方式详细介绍了该漏洞的漏洞成因以及修复方案。

  • 0
  • 0
  • facl0n_leo
  • 发布于 2025-05-14 15:00:00
  • 阅读 ( 2447 )

CNVD-2024-24400 TOTOLINK路由器N200RE存在命令执行漏洞

# 一、漏洞简介 TOTOLINK路由器在其多个版本中存在一个安全漏洞,该漏洞源于其`cgi-web`目录中的文件未对用户输入进行适当的过滤。由于这个问题,攻击者可以通过精心构造恶意请求,利用未过滤...

  • 1
  • 0
  • zhecho
  • 发布于 2025-05-13 15:00:01
  • 阅读 ( 2408 )

用友U8Cloud FileTransportServlet方法GZIP解压数据流反序列化漏洞分析

U8cloud系统FileTransportServlet方法中存在对前端传入内容GZIP解压并反序列化解析,造成反序列化漏洞

  • 0
  • 0
  • chobits
  • 发布于 2025-05-09 16:00:00
  • 阅读 ( 2590 )

CNVD-2024-22977 金和C6协同管理平台文件上传漏洞

北京金和网络股份有限公司金和C6协同管理平台存在文件上传漏洞,攻击者可利用漏洞上传恶意文件,获取服务器权限。

  • 0
  • 0
  • chobits
  • 发布于 2025-05-09 15:00:01
  • 阅读 ( 2764 )

CVE-2025-3248 Langflow RCE漏洞分析复现

CVE-2025-3248是Langflow平台中一个严重程度为高危的远程代码执行(RCE)漏洞。Langflow作为一个开源的AI工作流构建平台,允许用户通过可视化界面创建和管理AI驱动的自动化流程。

  • 0
  • 0
  • 逍遥~
  • 发布于 2025-05-08 09:32:38
  • 阅读 ( 3155 )

CVE-2024-53141 Linux 内核 netfilter子系统中 ipset 组件越界访问漏洞分析与利用

CVE-2024-53141是Linux内核netfilter子系统中ipset组件的一个高危越界访问(OOB)漏洞,CVSS评分为7.8分。该漏洞源于bitmap_ip_uadt函数在处理IPSET_ATTR_CIDR参数时缺少关键的范围检查,攻击者可借此实现本地提权、内核崩溃及造成RCE

CVE-2025-22235:Spring Boot EndpointRequest.to() 错误导致认证绕过漏洞分析复现

Spring Boot是一个开放源代码Java框架,用于开发独立、产品等级的Spring应用程序,和节省开发人员工作量。 该漏洞涉及 Spring Boot 中 `EndpointRequest.to()` 方法在配置安全规则时可能生成错误的匹配器,导致未暴露的执行器端点路径(如 `/null/**`)的安全保护失效。

  • 0
  • 0
  • la0gke
  • 发布于 2025-04-30 09:01:47
  • 阅读 ( 3407 )