立即发帖
筛选:  最新的 推荐的 热门的

CVE-2024-36401 GeoServer远程代码执行

GeoServer调用的GeoTools库API,在解析特性类型的属性/属性名称时,以不安全的方式将它们传递给commons-jxpath库,当解析XPath表达式时可以执行任意代码。

  • 0
  • 0
  • Stree
  • 发布于 2024-07-24 09:35:46
  • 阅读 ( 3889 )

CVE-2024-36104Apache OFBiz 最新Grovvy代码执行漏洞

爆出了CVE-2024-36104这个漏洞,实际上CVE-2024-32113和新爆出的CVE-2024-36104应该都是基于webtools/control/ProgramExport这个接口所产生的漏洞,该接口用于后台执行groovy代码,攻击者可以通过恶意的groovy代码实现任意命令执行

  • 0
  • 0
  • kakakakaxi
  • 发布于 2024-07-23 10:20:17
  • 阅读 ( 3718 )

CVE-2024-31982 XWiki DatabaseSearch 远程代码执行漏洞分析

XWiki 最近发现存在远程代码执行漏洞,该漏洞源于DatabaseSearch 接口代码设置不当缺陷,导致未经身份验证的远程攻击者可以执行任意Groovy代码或任意系统指令,从而获取服务器权限

  • 0
  • 0
  • Stree
  • 发布于 2024-07-22 10:12:27
  • 阅读 ( 4142 )

网传"nacos 0day"

这个"nacos 0day"在今天下午(2024.7.15)在各个公众号和群疯传,漏洞作者在GitHub上给出了POC 没接触过nacos,尝试分析

  • 2
  • 3
  • Stree
  • 发布于 2024-07-17 09:55:04
  • 阅读 ( 6524 )

Spring框架Data Binding与JDK 9+导致的远程代码执行漏洞(CVE-2022-22965)

# Spring框架Data Binding与JDK 9+导致的远程代码执行漏洞(CVE-2022-22965) 在JDK 9+上运行的Spring MVC或Spring WebFlux应用程序可能存在通过数据绑定执行远程代码(RCE)的漏洞。 现...

CVE-2022-22978 Spring Security Authorization Bypass in RegexRequestMatcher

# CVE-2022-22978: Spring Security Authorization Bypass in RegexRequestMatcher In Spring Security versions 5.5.6 and 5.6.3 and older unsupported versions, RegexRequestMatcher can...

Django Trunc(kind) and Extract(lookup_name) SQL注入漏洞(CVE-2022-34265)

# Django Trunc(kind) and Extract(lookup_name) SQL注入漏洞(CVE-2022-34265) [中文版本(Chinese version)](README.zh-cn.md) Django在2022年7月4日发布了安全更新,修复了在数据库函...

ThinkPHP 多语言本地文件包含漏洞

# ThinkPHP 多语言本地文件包含漏洞 ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当多语言特性被开启时,攻击者可以使用`lang`参数来包含任意...

Redis 小于5.0.5 主从复制远程命令执行漏洞

--- Title: Redis 小于5.0.5 主从复制远程命令执行漏洞 --- # Redis 小于5.0.5 主从复制远程命令执行漏洞 ## 漏洞描述 在2019年7月7日结束的WCTF2019 Final上,LC/BC的成员Pavel Top...

Redis Lua 沙箱绕过 远程命令执行 CVE-2022-0543

# Redis Lua 沙箱绕过 远程命令执行 CVE-2022-0543 ## 漏洞描述 Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。 Debian以及Ubuntu发行版的源在打包Redis时,在...

OpenSSL无限循环DOS漏洞(CVE-2022-0778)

# OpenSSL无限循环DOS漏洞(CVE-2022-0778) OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网...

MinIO集群模式信息泄露漏洞(CVE-2023-28432)

# MinIO集群模式信息泄露漏洞(CVE-2023-28432) MinIO是一个开源对象存储系统。 在其`RELEASE.2023-03-20T20-16-18Z`版本(不含)以前,集群模式部署下存在一处信息泄露漏洞,攻击者可以...

Jetbrains TeamCity 认证绕过导Seeyon程命令执行漏洞(CVE-2023-42793)

# Jetbrains TeamCity 认证绕过导Seeyon程命令执行漏洞(CVE-2023-42793) TeamCity 是 JetBrains 的构建管理和持续集成服务器。 在 TeamCity 2023.05.3 版本及以前,存在一处由于逻辑错...

YApi NoSQL注入导Seeyon程命令执行漏洞

# YApi NoSQL注入导Seeyon程命令执行漏洞 YApi是一个API管理工具。在其1.12.0版本之前,存在一处NoSQL注入漏洞,通过该漏洞攻击者可以窃取项目Token,并利用这个Token执行任意Mock脚本,获取...

librsvg XInclude 文件包含漏洞(CVE-2023-38633)

# librsvg XInclude 文件包含漏洞(CVE-2023-38633) librsvg是一个用于处理SVG图片的开源依赖库。 librsvg支持XML中的XInclude规范,可以用于加载外部内容。在librsvg 2.56.3版本以前,...

Jumpserver随机数种子泄露导致账户劫持漏洞(CVE-2023-42820)

# Jumpserver随机数种子泄露导致账户劫持漏洞(CVE-2023-42820) Jumpserver是一个开源堡垒机系统。在其3.6.4及以下版本中,存在一处账户接管漏洞。攻击者通过第三方库[django-simple-captch...

JeecgBoot JimuReport 模板注入导致命令执行漏洞(CVE-2023-4450)

# JeecgBoot JimuReport 模板注入导致命令执行漏洞(CVE-2023-4450) JeecgBoot 是一个开源的低代码开发平台,Jimureport 是低代码报表组件之一。 当前漏洞在 1.6.1 以下的 Jimureport 组...

ImageMagick任意文件读取漏洞(CVE-2022-44268)

# ImageMagick任意文件读取漏洞(CVE-2022-44268) ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。 在...

GeoServer OGC Filter SQL注入漏洞(CVE-2023-25157)

# GeoServer OGC Filter SQL注入漏洞(CVE-2023-25157) GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插...

Confluence 属性覆盖导致权限绕过漏洞 (CVE-2023-22515)

# Confluence 属性覆盖导致权限绕过漏洞 (CVE-2023-22515) Atlassian Confluence是企业广泛使用的wiki系统。 2023年10月4日,Atlassian官方发布了对于CVE-2023-22515漏洞的补丁。这个漏洞...