立即发帖
筛选:  最新的 推荐的 热门的

CVE-2025-22228:Spring Security BCryptPasswordEncoder 不强制最大密码长度

Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。 `BCryptPasswordEncoder.matches(CharSequence,String)``true`只要前 72 个字符相同,就会错误地返回大于 72 个字符的密码。

  • 0
  • 0
  • la0gke
  • 发布于 2025-04-27 15:05:00
  • 阅读 ( 3978 )

用友U8Cloud getReportIdsByTaskId方法-多处SQL注入漏洞分析

## 一、漏洞简介 U8cloud系统`getReportIdsByTaskId`方法存在SQL注入漏洞,未经权限校验调用该方法的服务就会存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造...

  • 0
  • 0
  • chobits
  • 发布于 2025-04-28 10:00:00
  • 阅读 ( 3910 )

vLLM PyNcclPipe pickle反序列化漏洞(CVE-2025-47277)

CVE-2025-47277 是 vLLM 项目中的一个 远程代码执行(RCE)漏洞,源于其使用`PyNcclPipe`模块时,未经验证地反序列化来自网络的数据,攻击者可通过构造恶意 pickle 数据包,在服务器端执行任意代码。该漏洞严重性等级为 Critical。

  • 1
  • 1
  • Werqy3
  • 发布于 2025-06-09 09:00:02
  • 阅读 ( 3844 )

用友NC saveXmlToFileServlet任意文件上传漏洞分析

用友NC系统saveXmlToFileServlet方法存在任意文件上传漏洞,攻击者可获取服务器权限,造成敏感信息泄露

  • 3
  • 2
  • chobits
  • 发布于 2025-06-16 10:09:42
  • 阅读 ( 3787 )

用友NC FormItemServlet方法SQL注入漏洞分析

用友NC系统FormItemServlet方法存在SQL注入漏洞,攻击者可获取数据库敏感信息

  • 1
  • 0
  • chobits
  • 发布于 2025-06-26 09:00:00
  • 阅读 ( 3785 )

用友NC UserAuthenticationServlet反序列化漏洞分析

## 一、漏洞简介 用友NC系统`UserAuthenticationServlet`方法存在反序列化漏洞,攻击者可执行任意命令,获取敏感信息。 ## 二、影响版本 用友NC6.5 ## 三、漏洞原理分析 漏洞位...

  • 0
  • 0
  • chobits
  • 发布于 2025-07-08 09:39:45
  • 阅读 ( 3708 )

【热点】CVE-2025-54424 1Panel远程命令执行漏洞详细分析及复现(附利用脚本)

1Panel 是新一代的 Linux 服务器运维管理面板,用户可以通过 Web 界面轻松管理 Linux 服务器,如主机监控、文件管理、数据库管理、容器管理等。其V2版本中引入了节点管理的功能,可以通过添加节点来控制其他的主机,但是用于核心和代理端点之间通信的HTTPS协议在证书验证过程中存在证书验证不完整问题,导致未经授权的接口访问。由于1Panel中存在大量命令执行或高权限接口,可能导致远程代码执行。

  • 1
  • 1
  • xiaoyu007
  • 发布于 2025-08-05 16:17:14
  • 阅读 ( 3668 )

MCMS v5.4.4漏洞挖掘实战

在跟踪分析历史漏洞的基础上跟进项目代码,挖掘新型漏洞,成因是由于对zip压缩包的处理不当,导致了路径穿越进行任意文件上传

  • 1
  • 2
  • leeh
  • 发布于 2025-06-10 17:04:09
  • 阅读 ( 3660 )

CVE-2025-53547 helm恶意代码执行漏洞复现&分析

作为k8s的包管理工具,helm近期披露了一个CVSS评分8.5的高危漏洞,可导致恶意代码执行。本文对其进行了漏洞复现和原理分析。

  • 0
  • 0
  • Dubito
  • 发布于 2025-07-24 18:24:11
  • 阅读 ( 3586 )

CVE-2025-24964:Vitest 跨站 WebSocket 劫持远程代码执行

Vitest 是由 Vite 驱动的测试框架,在启用 api 选项(如通过 Vitest UI)时,

  • 0
  • 2
  • cipher
  • 发布于 2025-07-15 09:00:00
  • 阅读 ( 3490 )

某数AnyShare智能内容管理平台 start_service 存在远程命令执行漏洞分析

某数AnyShare智能内容管理平台 start_service 存在远程命令执行漏洞分析的updateutil.py里的def start_service(self)方法里的exec_command触发命令执行

  • 0
  • 0
  • 123彡
  • 发布于 2025-07-17 18:24:36
  • 阅读 ( 3454 )

某王某脸通代码审计

对某脸通进行代码审计

用友U8 Cloud系统FilterCondAction方法SQL注入漏洞分析

用友U8 Cloud系统FilterCondAction方法存在SQL注入漏洞,攻击者可获取数据库敏感信息

  • 0
  • 0
  • chobits
  • 发布于 2025-07-17 09:55:25
  • 阅读 ( 3428 )

某监测预警系统2.2 SQL注入漏洞分析

某监测预警系统2.2 SQL注入漏洞分析

  • 0
  • 0
  • 小肥仔
  • 发布于 2025-07-22 18:21:29
  • 阅读 ( 3278 )

某胜物流软件多处sql注入分析

某胜物流软件多处sql注入分析

  • 0
  • 1
  • 123彡
  • 发布于 2025-07-21 15:06:51
  • 阅读 ( 3267 )

用友NC UserQueryServiceServlet反序列化漏洞分析

用友NC系统UserQueryServiceServlet方法存在反序列化漏洞,攻击者可执行任意命令,获取敏感信息

  • 0
  • 1
  • chobits
  • 发布于 2025-06-25 09:00:01
  • 阅读 ( 3234 )

CVE-2025-0565 ZZCMS index.php SQL注入漏洞分析

专注于招商加盟行业的内容管理系统ZZCMS 2023版本存在前台sql注入

  • 1
  • 1
  • xiaoyu007
  • 发布于 2025-07-24 09:40:24
  • 阅读 ( 3227 )

某胜物流 /CommMng/Print/UploadMailFile 任意文件上传分析

某胜物流 /CommMng/Print/UploadMailFile 任意文件上传分析

  • 0
  • 0
  • 小肥仔
  • 发布于 2025-07-24 09:40:20
  • 阅读 ( 3165 )

用友NC saveProDefServlet SQL注入漏洞分析

用友NC系统saveProDefServlet方法存在SQL注入漏洞,攻击者可获取数据库敏感信息。

  • 1
  • 0
  • chobits
  • 发布于 2025-07-16 09:40:36
  • 阅读 ( 3133 )

CVE-2025-27818 Apache Kafka Client LdapLoginModule 配置代码执行漏洞 分析

CVE-2025-27818

  • 1
  • 1
  • hahaha123
  • 发布于 2025-07-03 18:12:31
  • 阅读 ( 2938 )