CVE-2024-56325: Apache Pinot Authentication bypass 漏洞分析
Apache Pinot 是一个实时分布式的 OLAP 数据存储和分析系统。使用它实现低延迟可伸缩的实时分析。Pinot 从离线数据源(包括 Hadoop 和各类文件)和在线数据源(如 Kafka)中攫取数据进行分析。 Apache Pinot 存在身份认证绕过漏洞。如果路径不包含 / 且包含 . 则不需要身份验证。
- 1
- 0
- ph0ebus
- 发布于 2025-04-03 10:00:00
- 阅读 ( 5584 )
ph0ebus
用友 U8Cloud MeasureQResultAction SQL注入漏洞分析
U8cloud系统MeasureQResultAction接口存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。
- 0
- 1
- chobits
- 发布于 2025-03-20 09:00:01
- 阅读 ( 5579 )
chobits
CVE-2025-24964:Vitest 跨站 WebSocket 劫持远程代码执行
Vitest 是由 Vite 驱动的测试框架,在启用 api 选项(如通过 Vitest UI)时,
- 0
- 2
- cipher
- 发布于 2025-07-15 09:00:00
- 阅读 ( 5520 )
cipher
CVE-2025-0565 ZZCMS index.php SQL注入漏洞分析
专注于招商加盟行业的内容管理系统ZZCMS 2023版本存在前台sql注入
- 1
- 1
- xiaoyu007
- 发布于 2025-07-24 09:40:24
- 阅读 ( 5459 )
用友U8 Cloud系统FilterCondAction方法SQL注入漏洞分析
用友U8 Cloud系统FilterCondAction方法存在SQL注入漏洞,攻击者可获取数据库敏感信息
- 0
- 0
- chobits
- 发布于 2025-07-17 09:55:25
- 阅读 ( 5458 )
CVE-2025-32433:Erlang/OTP 严重 SSH 漏洞允许未认证的远程代码执行
对最近爆出的CVE-2025-32433进行分析
- 0
- 1
- cipher
- 发布于 2025-05-08 15:00:00
- 阅读 ( 5454 )
某胜物流 /CommMng/Print/UploadMailFile 任意文件上传分析
某胜物流 /CommMng/Print/UploadMailFile 任意文件上传分析
- 1
- 1
- 小肥仔
- 发布于 2025-07-24 09:40:20
- 阅读 ( 5407 )
用友 U8Cloud FileServlet 任意文件读取漏洞分析
U8cloud系统FileServlet接口存在任意文件读取漏洞,攻击者读取系统任意文件,造成敏感信息泄露
- 2
- 3
- chobits
- 发布于 2025-05-15 09:00:01
- 阅读 ( 5399 )
CVE-2025-22235:Spring Boot EndpointRequest.to() 错误导致认证绕过漏洞分析复现
Spring Boot是一个开放源代码Java框架,用于开发独立、产品等级的Spring应用程序,和节省开发人员工作量。 该漏洞涉及 Spring Boot 中 `EndpointRequest.to()` 方法在配置安全规则时可能生成错误的匹配器,导致未暴露的执行器端点路径(如 `/null/**`)的安全保护失效。
- 0
- 0
- la0gke
- 发布于 2025-04-30 09:01:47
- 阅读 ( 5380 )
CVE-2025-27610 Rack 本地文件包含漏洞分析报告
3月10日,rack爆出一个本地文件包含漏洞,一直没有时间看看是什么情况,今天有时间本地搭建起来分析一下。
- 0
- 2
- 带头小弟。
- 发布于 2025-04-11 09:46:31
- 阅读 ( 5343 )
CVE-2025-45529 sscms存在任意文件读取漏洞分析
SSCMS 内容管理系统是基于微软 .NET Core 平台开发,本文将对其CVE-2025-45529分析
- 1
- 0
- kode
- 发布于 2025-06-05 15:00:01
- 阅读 ( 5203 )
kode
CNVD-2024-22977 金和C6协同管理平台文件上传漏洞
北京金和网络股份有限公司金和C6协同管理平台存在文件上传漏洞,攻击者可利用漏洞上传恶意文件,获取服务器权限。
- 0
- 2
- chobits
- 发布于 2025-05-09 15:00:01
- 阅读 ( 5142 )
用友NC saveProDefServlet SQL注入漏洞分析
用友NC系统saveProDefServlet方法存在SQL注入漏洞,攻击者可获取数据库敏感信息。
- 1
- 0
- chobits
- 发布于 2025-07-16 09:40:36
- 阅读 ( 5130 )
用友 U8Cloud NCPortalServlet XXE漏洞分析
U8cloud系统NCPortalServlet接口存在XML注入漏洞,攻击者未经授权可以访问系统文件中的数据,造成敏感信息泄露
- 0
- 1
- chobits
- 发布于 2025-05-13 17:00:01
- 阅读 ( 4989 )
CNVD-2023-04620 金和 OA XXE 漏洞分析复现
参与的众测项目,资产非常难挖掘漏洞,所以只能通过审计的方式,找找漏洞点 资产里相对用的多的 oa,都是用友,泛微,致远等大型 oa,对我这种小菜来说,直接上手有点难度,无意间发现了金和...
- 0
- 1
- 轩公子
- 发布于 2025-05-20 09:00:00
- 阅读 ( 4888 )
【热点】browser-use WebUI pickle 反序列化漏洞分析与复现
browser-use WebUI是基于browser-use的AI Agent应用,存在一个pickle反序列化漏洞,未经授权的远程攻击者可以利用该接口发送恶意的序列化数据,实现在服务端执行任意代码,导致服务器失陷。
- 0
- 1
- reset
- 发布于 2025-05-06 16:25:45
- 阅读 ( 4761 )
CNVD-2024-24400 TOTOLINK路由器N200RE存在命令执行漏洞
# 一、漏洞简介 TOTOLINK路由器在其多个版本中存在一个安全漏洞,该漏洞源于其`cgi-web`目录中的文件未对用户输入进行适当的过滤。由于这个问题,攻击者可以通过精心构造恶意请求,利用未过滤...
- 1
- 0
- zhecho
- 发布于 2025-05-13 15:00:01
- 阅读 ( 4733 )