Geoserver未授权XXE(CVE-2025-30220)漏洞代码分析
Geoserver未授权XXE(CVE-2025-30220)漏洞代码分析及复现
- 0
- 0
- follycat
- 发布于 2025-06-24 09:00:01
- 阅读 ( 652 )
follycat
MCMS v5.4.4漏洞挖掘实战
在跟踪分析历史漏洞的基础上跟进项目代码,挖掘新型漏洞,成因是由于对zip压缩包的处理不当,导致了路径穿越进行任意文件上传
- 1
- 2
- leeh
- 发布于 2025-06-10 17:04:09
- 阅读 ( 1420 )
vLLM PyNcclPipe pickle反序列化漏洞(CVE-2025-47277)
CVE-2025-47277 是 vLLM 项目中的一个 远程代码执行(RCE)漏洞,源于其使用`PyNcclPipe`模块时,未经验证地反序列化来自网络的数据,攻击者可通过构造恶意 pickle 数据包,在服务器端执行任意代码。该漏洞严重性等级为 Critical。
- 1
- 1
- Werqy3
- 发布于 2025-06-09 09:00:02
- 阅读 ( 1471 )
CVE-2025-45529 sscms存在任意文件读取漏洞分析
SSCMS 内容管理系统是基于微软 .NET Core 平台开发,本文将对其CVE-2025-45529分析
- 1
- 0
- kode
- 发布于 2025-06-05 15:00:01
- 阅读 ( 1784 )
kode
CVE-2025-32432:Craft CMS 远程代码执行漏洞
近期,网络安全机构监测到针对Craft CMS内容管理系统的高危漏洞(CVE-2025-32432)的大规模攻击活动。攻击者通过远程代码执行(RCE)漏洞,已成功入侵全球数百台服务器,窃取敏感数据并部署后门程序。Craft CMS官方已将该漏洞标记为CVSS 10.0最高风险级别,并确认攻击代码(PoC)已在黑市传播,未修复系统面临极高威胁。
- 0
- 1
- cipher
- 发布于 2025-06-04 15:00:00
- 阅读 ( 2188 )
cipher
CVE-2025-46731|CraftCMS Twig SSTI 代码执行漏洞分析与复现
Craft 是一个内容管理系统。低于 4.14.13 的 4.x 分支和低于 5.6.16 的 5.x 分支上的 Craft CMS 版本包含通过 Twig SSTI 的潜在远程代码执行漏洞。必须具有管理员访问权限,并且必须启用用“ALLOW_ADMIN_CHANGES”才能正常工作。
- 0
- 0
- reset
- 发布于 2025-05-28 09:00:02
- 阅读 ( 2222 )
某云盘系统 API 端点无限制上传漏洞解析
在某次赚钱的时候,发现出现了这个系统的低版本 搜索了很久相关只找到了一个
- 0
- 2
- Massa
- 发布于 2025-03-20 10:00:01
- 阅读 ( 4226 )
CRMEB任意文件下载漏洞分析(CVE-2024-52726)
CRMEB任意文件下载漏洞分析(CVE-2024-52726)
- 0
- 5
- kode
- 发布于 2024-12-11 10:00:00
- 阅读 ( 7879 )
CVE-2024-6944 CRMEB电商系统 反序列化漏洞分析
钟邦科技CRMEB 5.4.0版本中发现一个关键漏洞。PublicController.php文件中的get_image_base64函数会导致反序列化。
- 2
- 3
- Y0ng
- 发布于 2024-10-23 09:30:02
- 阅读 ( 10139 )
CVE-2024-36837CRMEB开源电商系统 /api/products SQL注入漏洞分析
CVE-2024-36837CRMEB开源电商系统 /api/products SQL注入漏洞分析
- 0
- 2
- xhys
- 发布于 2024-09-20 18:04:23
- 阅读 ( 12049 )
xhys
CVE-2024-37759 DataGear v5.0.0 SpEL 表达式注入漏洞分析与复现
本文分析了 DataGear v5.0.0 中的 SpEL 表达式注入漏洞(CVE-2024-37759),该漏洞允许远程代码执行。文章详细介绍了漏洞原理、复现步骤和修复方案,并强调了 SpEL 表达式漏洞的普遍性,建议开发者谨慎使用相关功能。
- 1
- 1
- coconut
- 发布于 2024-09-14 10:10:26
- 阅读 ( 12207 )
CVE-2024-42913:若依管理系统sql注入黑名单绕过漏洞分析
CVE-2024-42913:若依管理系统sql注入黑名单绕过漏洞分析
- 0
- 5
- xhys
- 发布于 2024-09-10 09:00:01
- 阅读 ( 12696 )
Craft CMS远程代码执行漏洞
# Craft CMS远程代码执行漏洞 ## 漏洞简介 **漏洞编号:CVE-2023-41892** Craft CMS是一个创建数字体验的平台。这是一种高影响、低复杂性的攻击媒介。建议在 4.4.15 之前运行 Craft 安...
- 1
- 2
- rev1ve
- 发布于 2024-09-10 08:30:02
- 阅读 ( 11576 )
EOVA未授权反序列化漏洞
EOVA存在JDBC反序列化漏洞,由于JDBC连接mysql服务器的时候,参数完全可控,可传入恶意配置和恶意mysql服务器地址,导致反序列化漏洞。攻击者可利用该漏洞执行任意命令。
- 1
- 3
- Yu9
- 发布于 2024-09-02 09:36:02
- 阅读 ( 11836 )
Yu9
wookteam协作平台searchinfo接口SQL注入漏洞分析
Wookteam是一个支持在线协作管理和沟通的开源平台,后端使用的框架是Laravel7。在wookteam v1.6.6版本中api/users/searchinfo接口存在SQL注入且未对用户身份进行验证!
- 0
- 1
- Yu9
- 发布于 2024-08-29 14:00:00
- 阅读 ( 7464 )
CVE-2024-28255 OpenMetadata远程命令执行漏洞
OpenMetadata远程命令执行漏洞(CVE-2024-28255)
- 0
- 0
- 买橘子
- 发布于 2024-08-20 09:54:57
- 阅读 ( 4777 )
Apache OFBiz 远程代码执行漏洞(CVE-2024-38856)
CVE-2024-38856的主要是*ControlServlet*和*RequestHandler*函数收到了不同的端点来处理,通过路径绕过导致的未授权漏洞
- 0
- 0
- yrf2314
- 发布于 2024-08-13 09:53:18
- 阅读 ( 5284 )
海康威视综合安防管理平台clusters页面文件上传漏洞
海康威视综合安防管理平台clusters页面文件上传漏洞
- 1
- 0
- 买橘子
- 发布于 2024-08-12 09:55:52
- 阅读 ( 5674 )
CVE-2024-36412 SuiteCRM未授权sql注入分析
SuiteCRM是一个开源的客户关系管理(CRM)软件应用程序。在版本7.14.4和8.6.1之前存在未授权SQL注入漏洞,本文对CVE-2024-36412这个漏洞进行复现和分析,以及注入点的特殊性做了解释。
- 1
- 2
- xpjoker
- 发布于 2024-08-08 09:40:45
- 阅读 ( 5615 )