全部 - 热门的文章 - 第28页 - 奇安信攻防社区

SpiderFlow save 远程命令执行漏洞

# SpiderFlow save 远程命令执行漏洞 ## 漏洞描述 SpiderFlow 平台以流程图的⽅式定义爬⾍,是⼀个⾼度灵活可配置的爬⾍平台官⽹：https://www.spiderflow.org/ ## 漏洞影响 Sp...

0
0
带头大哥
发布于 2024-07-12 18:47:36
阅读 ( 2082 )

Hexmeet 登录绕过漏洞

# Hexmeet 登录绕过漏洞 ## 漏洞描述 Hexmeet存在登陆绕过漏洞，通过拦截特定的请求包并修改即可获取后台权限 ## 漏洞影响 Hexmeet ## 网络测绘 body="/him/api/rest/v1...

0
0
带头大哥
发布于 2024-07-12 18:46:05
阅读 ( 2082 )

Sangfor 行为感知系统 c.php 远程命令执行漏洞

# Sangfor 行为感知系统 c.php 远程命令执行漏洞 ## 漏洞描述 Sangfor 行为感知系统 c.php 远程命令执行漏洞，使用与EDR相同模板和部分文件导致命令执行 ## 漏洞影响 Sangfor 行...

0
0
带头大哥
发布于 2024-07-12 18:47:23
阅读 ( 2081 )

Realor 应用虚拟化系统 GetBSAppUrl SQL注入漏洞

# Realor 应用虚拟化系统 GetBSAppUrl SQL注入漏洞 ## 漏洞描述 Realor 应用虚拟化系统 GetBSAppUrl方法存在SQL注入漏洞，由于参数传入没有进行过滤导致存在SQL注入，攻击者通过漏洞可以...

0
0
带头大哥
发布于 2024-07-12 18:47:23
阅读 ( 2080 )

WeaverOA E-Bridge saveYZJFile 任意文件读取漏洞

# WeaverOA E-Bridge saveYZJFile 任意文件读取漏洞 ## 漏洞描述 Weaver云桥（e-Bridge）是上海Weaver公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集...

0
0
带头大哥
发布于 2024-07-12 18:44:46
阅读 ( 2079 )

Nsfocus BAS日志数据安全性分析系统 accountmanage 未授权访问漏洞

# Nsfocus BAS日志数据安全性分析系统 accountmanage 未授权访问漏洞 ## 漏洞描述 Nsfocus BAS日志数据安全性分析系统存在未授权访问漏洞，通过漏洞可以添加任意账户登录平台获取敏感信息...

0
0
带头大哥
发布于 2024-07-12 18:46:31
阅读 ( 2077 )

CNVD-2024-22977 金和C6协同管理平台文件上传漏洞

北京金和网络股份有限公司金和C6协同管理平台存在文件上传漏洞，攻击者可利用漏洞上传恶意文件，获取服务器权限。

0
0
chobits
发布于 2025-05-09 15:00:01
阅读 ( 2071 )

Sinogrid WiseGrid慧敏应用交付网关 sysadmin_action.php 后台命令执行漏洞

# Sinogrid WiseGrid慧敏应用交付网关 sysadmin_action.php 后台命令执行漏洞 ## 漏洞描述 Sinogrid WiseGrid慧敏应用交付网关 sysadmin_action.php 对应的ping功能存在后台命令执行漏洞...

0
0
带头大哥
发布于 2024-07-12 18:47:36
阅读 ( 2071 )

SeeyonOA A6 initDataAssess.jsp 用户敏感信息泄露

# SeeyonOA A6 initDataAssess.jsp 用户敏感信息泄露 ## 漏洞描述 SeeyonOA A6 initDataAssess.jsp 存在用户敏感信息泄露可以通过得到的用户名爆破用户密码进入后台进一步攻击 ##...

0
0
带头大哥
发布于 2024-07-12 18:44:25
阅读 ( 2067 )

Wantit ERP comboxstore.action 远程命令执行漏洞

## Wantit ERP comboxstore.action 远程命令执行漏洞 ``` POST /mainFunctions/comboxstore.action HTTP/1.1 Content-Type: application/x-www-form-urlencoded Host: xxx.xxx.xxx.xxx...

0
0
带头大哥
发布于 2024-07-12 18:47:49
阅读 ( 2065 )

Yonyou ERP-NC NCFindWeb 目录遍历漏洞

# Yonyou ERP-NC NCFindWeb 目录遍历漏洞 ## 漏洞描述 YonyouERP-NC 存在目录遍历漏洞，攻击者可以通过目录遍历获取敏感文件信息 ## 漏洞影响 YonyouERP-NC ## 网络测绘 app=...

0
0
带头大哥
发布于 2024-07-12 18:45:01
阅读 ( 2038 )

Nsfocus UTS综合威胁探针信息泄露登陆绕过漏洞

# Nsfocus UTS综合威胁探针信息泄露登陆绕过漏洞 ## 漏洞描述 Nsfocus UTS综合威胁探针某个接口未做授权导致未授权漏洞 ## 漏洞影响 Nsfocus UTS综合威胁探针 ## 网络测绘...

0
0
带头大哥
发布于 2024-07-12 18:47:23
阅读 ( 2030 )

Thams档案管理系统 upload.html 后台文件上传漏洞

# Thams档案管理系统 upload.html 后台文件上传漏洞 ## 漏洞描述 Thams软件系统有限公司（以下简称“Thams软件”）是中国领先的行业解决方案和IT服务提供商。 Thams电子档案管理系统后台存...

0
0
带头大哥
发布于 2024-07-12 18:47:36
阅读 ( 2017 )

用友 U8Cloud FileServlet 任意文件读取漏洞分析

U8cloud系统FileServlet接口存在任意文件读取漏洞，攻击者读取系统任意文件，造成敏感信息泄露

2
3
chobits
发布于 2025-05-15 09:00:01
阅读 ( 1979 )

用友U8Cloud FileTransportServlet方法GZIP解压数据流反序列化漏洞分析

U8cloud系统FileTransportServlet方法中存在对前端传入内容GZIP解压并反序列化解析，造成反序列化漏洞

0
0
chobits
发布于 2025-05-09 16:00:00
阅读 ( 1937 )

CVE-2025-32375 | BentoML runner服务器远程代码执行漏洞

BentoML 的 runner 服务器中存在不安全的反序列化，攻击者可以通过在 POST 请求中设置特定的标头和参数，可以在服务器上执行任何未经授权的任意代码，这将授予攻击者在服务器上进行初始访问和信息泄露的权限。

0
1
reset
发布于 2025-05-12 10:13:59
阅读 ( 1840 )

用友 U8Cloud NCPortalServlet XXE漏洞分析

U8cloud系统NCPortalServlet接口存在XML注入漏洞，攻击者未经授权可以访问系统文件中的数据，造成敏感信息泄露

0
1
chobits
发布于 2025-05-13 17:00:01
阅读 ( 1831 )

CVE-2025-22223 Spring Security EnableMethodSecurity 注解授权绕过分析

使用Spring Security 通过注解的方式来进行用户授权访问控制时，若使用了泛型方法可能导致授权配置失效。本文通过代码审计的方式详细介绍了该漏洞的漏洞成因以及修复方案。

0
0
facl0n_leo
发布于 2025-05-14 15:00:00
阅读 ( 1759 )

CNVD-2024-24400 TOTOLINK路由器N200RE存在命令执行漏洞

# 一、漏洞简介 TOTOLINK路由器在其多个版本中存在一个安全漏洞，该漏洞源于其`cgi-web`目录中的文件未对用户输入进行适当的过滤。由于这个问题，攻击者可以通过精心构造恶意请求，利用未过滤...

1
0
zhecho
发布于 2025-05-13 15:00:01
阅读 ( 1739 )

CNVD-2023-04620 金和 OA XXE 漏洞分析复现

参与的众测项目，资产非常难挖掘漏洞，所以只能通过审计的方式，找找漏洞点资产里相对用的多的 oa，都是用友，泛微，致远等大型 oa，对我这种小菜来说，直接上手有点难度，无意间发现了金和...

0
1
轩公子
发布于 2025-05-20 09:00:00
阅读 ( 1695 )