网传"nacos 0day"
这个"nacos 0day"在今天下午(2024.7.15)在各个公众号和群疯传,漏洞作者在GitHub上给出了POC 没接触过nacos,尝试分析
- 1
- 3
- Stree
- 发布于 2024-07-17 09:55:04
- 阅读 ( 5974 )
Stree
CVE-2024-43044 Jenkins Remoting远程代码执行漏洞分析
Jenkins是一个开源软件项目,是基于java开发的一种持续集成工具,用于监控持续重复的工作。而在此过程中,Agent执行机就是其中关键的一部分,负责执行构建和部署任务。简单来说Agent 就是一个独立的进程或者节点,可以是独立的服务器、虚拟机或者是本地机器,用来执行构建和部署任务,当Jenkins主服务器连接到Agent的时候,就可以在该节点上运行相应的任务
- 0
- 0
- kakakakaxi
- 发布于 2024-08-29 15:00:02
- 阅读 ( 5776 )
kakakakaxi
记一次对通天星CMSV6车载视频监控平台的漏洞分析
通天星CMSV6(官网地址:http://www.g-sky.cn/)拥有以位置服务、无线3G/4G视频传输、云存储服务为核心的研发团队,专注于为定位、无线视频终端产品提供平台服务,通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。根据微步在线研究响应中心捕捉到漏洞情报,来对通天星CMSV6车载视频监控平台的漏洞进行分析审计
- 0
- 4
- bmjoker
- 发布于 2024-07-31 10:38:18
- 阅读 ( 5171 )
bmjoker
EOVA未授权反序列化漏洞
EOVA存在JDBC反序列化漏洞,由于JDBC连接mysql服务器的时候,参数完全可控,可传入恶意配置和恶意mysql服务器地址,导致反序列化漏洞。攻击者可利用该漏洞执行任意命令。
- 1
- 2
- Yu9
- 发布于 2024-09-02 09:36:02
- 阅读 ( 5045 )
Yu9
某通-LogDownLoadService-mssql-sql注入漏洞分析
某通-LogDownLoadService-mssql-sql注入漏洞分析
- 0
- 1
- xiao1star
- 发布于 2024-08-29 11:00:00
- 阅读 ( 4936 )
某通UploadFileToCatalog接口SQL注入漏洞分析
某通UploadFileToCatalog接口SQL注入漏洞分析
- 1
- 1
- xiao1star
- 发布于 2024-09-02 11:30:02
- 阅读 ( 4928 )
某通电子文档管理系统 SecretKeyService SQL注入漏洞
某通电子文档管理系统 SecretKeyService SQL注入漏洞
- 0
- 1
- xhys
- 发布于 2024-08-29 09:33:34
- 阅读 ( 4926 )
xhys
某安防管理平台任意文件上传漏洞复现分析
由于代码缺陷未对文件进行合法有效的效验,导致其攻击者可以利用此漏洞上传任意文件,包括但不限于webshell,获取主机交互式shell ## 漏洞细节 废话不多说直接action开整,漏...
- 2
- 4
- zhizhuo
- 发布于 2024-08-02 09:36:17
- 阅读 ( 4877 )
CVE-2024-30188 Apache DolphinScheduler 任意文件读写漏洞分析
Apache Dolphinscheduler 是开源的分布式任务调度系统。受影响版本中,由于资源管理功能未对 currentDir 参数进行有效校验,经过身份验证的攻击者可以通过构造恶意的路径参数,绕过目录限制在服务器端读取或写入任意文件。
- 0
- 0
- kakakakaxi
- 发布于 2024-08-30 08:00:02
- 阅读 ( 4864 )
wookteam协作平台searchinfo接口SQL注入漏洞分析
Wookteam是一个支持在线协作管理和沟通的开源平台,后端使用的框架是Laravel7。在wookteam v1.6.6版本中api/users/searchinfo接口存在SQL注入且未对用户身份进行验证!
- 0
- 1
- Yu9
- 发布于 2024-08-29 14:00:00
- 阅读 ( 4799 )
信呼OA nickName SQL注入漏洞复现(XVE-2024-19304)
信呼OA nickName SQL注入漏洞复现(XVE-2024-19304)
- 0
- 0
- xhys
- 发布于 2024-08-30 09:00:00
- 阅读 ( 4784 )
IP网络广播服务平台remote-upgrade upload接口文件上传漏洞分析
IP网络广播服务平台是采用云计算的模型分布部署实施的广播系统。云广播系统突破了单台服务器性能瓶颈,支持多层次跨地域广播,构建全省乃至全国的IP网络广播系统,可以广泛应用在农村、连锁机构等需要跨地域统一建设的广播系统中。IP网络广播服务平台存在任意文件上传漏洞,攻击者可利用该漏洞上传webshell,获取服务器权限。
- 2
- 1
- afei00123
- 发布于 2024-09-02 10:00:02
- 阅读 ( 4712 )
Nacos 0day(derby+源码)分析 + 不出网利用
从derby的sql语句和调用过程,以及nacos的java源码层面分析,外加不出网利用方式
- 1
- 1
- 小惜渗透
- 发布于 2024-07-26 09:43:20
- 阅读 ( 4690 )
小惜渗透
某远OA后台RCE constDef.do命令执行漏洞分析
某远OA constDef.do命令执行漏洞分析学习。
- 0
- 0
- fany
- 发布于 2024-07-30 10:04:15
- 阅读 ( 4594 )
海康综合安防 installation远程命令执行
- 0
- 1
- 用户102514019
- 发布于 2024-08-01 09:47:54
- 阅读 ( 4505 )
用户102514019
某管家印章智慧管理平台 listUploadIntelligent接口sql注入漏洞分析与复现
listUploadIntelligent接口存在 SQL 注入漏洞。攻击者可以通过构造特定的 POST 请求注入恶意 SQL 代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息。
- 0
- 1
- dddtest
- 发布于 2024-08-13 11:48:20
- 阅读 ( 4408 )
Nacos <=2.4.0.1 任意文件读写删
在Nacos<=2.4.0.1版本中集群模式启动下存在名为naming_persistent_service的Group,该Group所使用的Processor为com.alibaba.nacos.naming.consistency.persistent.impl.PersistentServiceProcessor类型Processor,在进行处理过程中会触发其父类`onApply`或`onRequest`方法,这两个方法会分别造成任意文件写入删除和任意文件读取
- 0
- 2
- Stree
- 发布于 2024-08-28 10:19:06
- 阅读 ( 4338 )
CVE-2024-42913:若依管理系统sql注入黑名单绕过漏洞分析
CVE-2024-42913:若依管理系统sql注入黑名单绕过漏洞分析
- 0
- 1
- xhys
- 发布于 2024-09-10 09:00:01
- 阅读 ( 4215 )
某通新一代电子文档安全管理系统 远程代码执行漏洞(XVE-2024-8758)
某通新一代电子文档安全管理系统 远程代码执行漏洞
- 0
- 1
- xhys
- 发布于 2024-08-29 10:00:02
- 阅读 ( 4132 )