立即发帖
筛选:  最新的 推荐的 热门的

金和OA C6系统-JHSoft两处任意文件读取漏洞分析

# 漏洞简介 金和OA C6协同管理平台是以“精确管理思想”为灵魂,围绕以“企业协同四层次理论”为模型,而构建的结构化的、灵活集成的、动态响应的、面向企业运营管理的智慧协同应用管理平台。 该O...

  • 0
  • 0
  • chobits
  • 发布于 2025-02-24 09:00:02
  • 阅读 ( 3234 )

JeecgBoot JimuReport 模板注入导致命令执行漏洞(CVE-2023-4450)

# JeecgBoot JimuReport 模板注入导致命令执行漏洞(CVE-2023-4450) JeecgBoot 是一个开源的低代码开发平台,Jimureport 是低代码报表组件之一。 当前漏洞在 1.6.1 以下的 Jimureport 组...

MinIO集群模式信息泄露漏洞(CVE-2023-28432)

# MinIO集群模式信息泄露漏洞(CVE-2023-28432) MinIO是一个开源对象存储系统。 在其`RELEASE.2023-03-20T20-16-18Z`版本(不含)以前,集群模式部署下存在一处信息泄露漏洞,攻击者可以...

ThinkPHP 多语言本地文件包含漏洞

# ThinkPHP 多语言本地文件包含漏洞 ThinkPHP是一个在中国使用较多的PHP框架。在其6.0.13版本及以前,存在一处本地文件包含漏洞。当多语言特性被开启时,攻击者可以使用`lang`参数来包含任意...

CVE-2024-39503 Linux内核netfilter子系统中竞态条件漏洞分析与利用

CVE-2024-39503是Linux内核ip_set子系统中的一个竞态条件漏洞。该漏洞存在于 net/netfilter/ipset/ip_set_list_set.c 模块,由于垃圾回收机制(GC)与网络命名空间清理操作之间的同步缺陷,导致用户态释放后使用(UAF)漏洞。攻击者可利用该漏洞在内核空间实现任意代码执行,最终获取root权限。

CVE-2022-22978 Spring Security Authorization Bypass in RegexRequestMatcher

# CVE-2022-22978: Spring Security Authorization Bypass in RegexRequestMatcher In Spring Security versions 5.5.6 and 5.6.3 and older unsupported versions, RegexRequestMatcher can...

Weblogic未授权远程代码执行漏洞 (CVE-2023-21839)

# Weblogic未授权远程代码执行漏洞 (CVE-2023-21839) Oracle WebLogic Server是业界领先的应用程序服务器,用于使用Java EE标准构建企业应用程序,并以低拥有成本将其部署在可靠、可扩展的运...

Spring框架Data Binding与JDK 9+导致的远程代码执行漏洞(CVE-2022-22965)

# Spring框架Data Binding与JDK 9+导致的远程代码执行漏洞(CVE-2022-22965) 在JDK 9+上运行的Spring MVC或Spring WebFlux应用程序可能存在通过数据绑定执行远程代码(RCE)的漏洞。 现...

OpenSSL无限循环DOS漏洞(CVE-2022-0778)

# OpenSSL无限循环DOS漏洞(CVE-2022-0778) OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网...

[热点]CVE-2025-30208 Vite开发服务器任意文件读取漏洞分析

Vite 是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力,广泛应用于 Vue.js 项目的开发过程中。Vite 开发服务器在处理特定 URL 请求时,没有对请求的路径进行严格的安全检查和限制,导致攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件

Django Trunc(kind) and Extract(lookup_name) SQL注入漏洞(CVE-2022-34265)

# Django Trunc(kind) and Extract(lookup_name) SQL注入漏洞(CVE-2022-34265) [中文版本(Chinese version)](README.zh-cn.md) Django在2022年7月4日发布了安全更新,修复了在数据库函...

Spring Cloud Gateway表达式注入 远程命令执行漏洞 CVE-2022-22947

# Spring Cloud Gateway表达式注入 远程命令执行漏洞 CVE-2022-22947 ## 漏洞描述 Spring Cloud Gateway 是基于 Spring Framework 和 Spring Boot 构建的 API 网关,它旨在为微服务架构提...

Redis 小于5.0.5 主从复制远程命令执行漏洞

--- Title: Redis 小于5.0.5 主从复制远程命令执行漏洞 --- # Redis 小于5.0.5 主从复制远程命令执行漏洞 ## 漏洞描述 在2019年7月7日结束的WCTF2019 Final上,LC/BC的成员Pavel Top...

Teleport堡垒机 do-login 任意用户登录漏洞

# Teleport堡垒机 do-login 任意用户登录漏洞 ## 漏洞描述 Teleport堡垒机存在任意用户登录漏洞,攻击者通过构造特殊的请求包可以登录堡垒机获取其他系统权限 ## 漏洞影响 Teleport...

iKuai 流控路由 SQL注入漏洞

# iKuai 流控路由 SQL注入漏洞 ## 漏洞描述 iKuai 流控路由 存在SQL注入漏洞,可以通过SQL注入漏洞构造万能密码获取路由器后台管理权限 ## 漏洞影响 iKuai 流控路由 ## 网络测绘...

PHP zerodium后门漏洞

# PHP zerodium后门漏洞 ## 漏洞描述 PHP开发工程师Jake Birchall在对其中一个恶意COMMIT的分析过程中发现,在代码中注入的后门是来自一个PHP代码被劫持的网站上,并且采用了远程代码执...

HiKVISION 综合安防管理平台 report 任意文件上传漏洞

# HiKVISION 综合安防管理平台 report 任意文件上传漏洞 ## 漏洞描述 HiKVISION 综合安防管理平台 report接口存在任意文件上传漏洞,攻击者通过构造特殊的请求包可以上传任意文件,获取服...

Jenkins script 远程命令执行漏洞

--- title: Jenkins script 远程命令执行漏洞 --- # Jenkins script 远程命令执行漏洞 ## 漏洞描述 Jenkins 登录后访问 /script 页面,其中存在命令执行漏洞,当存在未授权的情况时...

YApi NoSQL注入导Seeyon程命令执行漏洞

# YApi NoSQL注入导Seeyon程命令执行漏洞 YApi是一个API管理工具。在其1.12.0版本之前,存在一处NoSQL注入漏洞,通过该漏洞攻击者可以窃取项目Token,并利用这个Token执行任意Mock脚本,获取...

Apache RocketMQ 远程命令执行漏洞(CVE-2023-33246)

# Apache RocketMQ 远程命令执行漏洞(CVE-2023-33246) Apache RocketMQ是一个分布式消息平台。 在其5.1.0版本及以前存在一处命令执行漏洞,攻击者通过向其更新配置相关的功能发送指令即...