立即发帖
筛选:  最新的 推荐的 热门的

RuoYi-Vue-Plus sendMessageWithAttachment 任意文件读取漏洞

RuoYi-Vue-Plus 是一个基于 Vue3 和 Spring Boot 3.x 构建的多租户权限管理系统,具备强大的功能模块,如代码生成器、分布式任务调度、多数据源事务等,支持多种数据库和第三方集成。其在`sendMessageWithAttachment`中存在任意文件读取可能导致敏感信息泄露、权限提升、数据篡改、业务逻辑攻击等多种危害,严重威胁系统的安全性、稳定性和合规性。

  • 0
  • 0
  • xhys
  • 发布于 2025-07-16 09:41:45
  • 阅读 ( 282 )

用友NC saveProDefServlet SQL注入漏洞分析

用友NC系统saveProDefServlet方法存在SQL注入漏洞,攻击者可获取数据库敏感信息。

  • 0
  • 0
  • chobits
  • 发布于 2025-07-16 09:40:36
  • 阅读 ( 115 )

CVE-2025-24964:Vitest 跨站 WebSocket 劫持远程代码执行

Vitest 是由 Vite 驱动的测试框架,在启用 api 选项(如通过 Vitest UI)时,

  • 0
  • 2
  • cipher
  • 发布于 2025-07-15 09:00:00
  • 阅读 ( 391 )

用友NC UserAuthenticationServlet反序列化漏洞分析

## 一、漏洞简介 用友NC系统`UserAuthenticationServlet`方法存在反序列化漏洞,攻击者可执行任意命令,获取敏感信息。 ## 二、影响版本 用友NC6.5 ## 三、漏洞原理分析 漏洞位...

  • 0
  • 0
  • chobits
  • 发布于 2025-07-08 09:39:45
  • 阅读 ( 818 )

【热点】某财务系统远程代码执行漏洞分析

某财务系统远程代码执行漏洞分析

  • 0
  • 1
  • 123彡
  • 发布于 2025-07-04 16:29:18
  • 阅读 ( 1301 )

CVE-2025-27818 Apache Kafka Client LdapLoginModule 配置代码执行漏洞 分析

CVE-2025-27818

  • 1
  • 1
  • hahaha123
  • 发布于 2025-07-03 18:12:31
  • 阅读 ( 942 )

用友NC FormItemServlet方法SQL注入漏洞分析

用友NC系统FormItemServlet方法存在SQL注入漏洞,攻击者可获取数据库敏感信息

  • 1
  • 0
  • chobits
  • 发布于 2025-06-26 09:00:00
  • 阅读 ( 1899 )

用友NC UserQueryServiceServlet反序列化漏洞分析

用友NC系统UserQueryServiceServlet方法存在反序列化漏洞,攻击者可执行任意命令,获取敏感信息

  • 0
  • 0
  • chobits
  • 发布于 2025-06-25 09:00:01
  • 阅读 ( 1521 )

Geoserver未授权XXE(CVE-2025-30220)漏洞代码分析

Geoserver未授权XXE(CVE-2025-30220)漏洞代码分析及复现

  • 0
  • 0
  • follycat
  • 发布于 2025-06-24 09:00:01
  • 阅读 ( 2460 )

用友NC saveXmlToFileServlet任意文件上传漏洞分析

用友NC系统saveXmlToFileServlet方法存在任意文件上传漏洞,攻击者可获取服务器权限,造成敏感信息泄露

  • 3
  • 2
  • chobits
  • 发布于 2025-06-16 10:09:42
  • 阅读 ( 2260 )

全网首发!CVE-2025-27817 Apache Kafka Client 任意文件读取与SSRF 漏洞分析复现

CVE-2025-27817

  • 4
  • 5
  • hahaha123
  • 发布于 2025-06-12 16:11:17
  • 阅读 ( 4510 )

MCMS v5.4.4漏洞挖掘实战

在跟踪分析历史漏洞的基础上跟进项目代码,挖掘新型漏洞,成因是由于对zip压缩包的处理不当,导致了路径穿越进行任意文件上传

  • 1
  • 2
  • leeh
  • 发布于 2025-06-10 17:04:09
  • 阅读 ( 2491 )

vLLM PyNcclPipe pickle反序列化漏洞(CVE-2025-47277)

CVE-2025-47277 是 vLLM 项目中的一个 远程代码执行(RCE)漏洞,源于其使用`PyNcclPipe`模块时,未经验证地反序列化来自网络的数据,攻击者可通过构造恶意 pickle 数据包,在服务器端执行任意代码。该漏洞严重性等级为 Critical。

  • 1
  • 1
  • Werqy3
  • 发布于 2025-06-09 09:00:02
  • 阅读 ( 2476 )

CVE-2025-45529 sscms存在任意文件读取漏洞分析

SSCMS 内容管理系统是基于微软 .NET Core 平台开发,本文将对其CVE-2025-45529分析

  • 1
  • 0
  • kode
  • 发布于 2025-06-05 15:00:01
  • 阅读 ( 3012 )

CVE-2025-32432:Craft CMS 远程代码执行漏洞

近期,网络安全机构监测到针对Craft CMS内容管理系统的高危漏洞(CVE-2025-32432)的大规模攻击活动。攻击者通过远程代码执行(RCE)漏洞,已成功入侵全球数百台服务器,窃取敏感数据并部署后门程序。Craft CMS官方已将该漏洞标记为CVSS 10.0最高风险级别,并确认攻击代码(PoC)已在黑市传播,未修复系统面临极高威胁。

  • 0
  • 1
  • cipher
  • 发布于 2025-06-04 15:00:00
  • 阅读 ( 3343 )

CVE-2025-46731|CraftCMS Twig SSTI 代码执行漏洞分析与复现

Craft 是一个内容管理系统。低于 4.14.13 的 4.x 分支和低于 5.6.16 的 5.x 分支上的 Craft CMS 版本包含通过 Twig SSTI 的潜在远程代码执行漏洞。必须具有管理员访问权限,并且必须启用用“ALLOW_ADMIN_CHANGES”才能正常工作。

  • 0
  • 0
  • reset
  • 发布于 2025-05-28 09:00:02
  • 阅读 ( 3084 )

PPGo_Job定时任务系统漏洞总结

PPGo_Job历史漏洞总结,方便归类学习

  • 0
  • 2
  • 厉飞宇
  • 发布于 2025-05-22 09:00:02
  • 阅读 ( 3569 )

CNVD-2023-04620 金和 OA XXE 漏洞分析复现

参与的众测项目,资产非常难挖掘漏洞,所以只能通过审计的方式,找找漏洞点 资产里相对用的多的 oa,都是用友,泛微,致远等大型 oa,对我这种小菜来说,直接上手有点难度,无意间发现了金和...

  • 0
  • 1
  • 轩公子
  • 发布于 2025-05-20 09:00:00
  • 阅读 ( 3829 )

用友 U8Cloud FileServlet 任意文件读取漏洞分析

U8cloud系统FileServlet接口存在任意文件读取漏洞,攻击者读取系统任意文件,造成敏感信息泄露

  • 2
  • 3
  • chobits
  • 发布于 2025-05-15 09:00:01
  • 阅读 ( 4082 )

CVE-2025-22223 Spring Security EnableMethodSecurity 注解授权绕过分析

使用Spring Security 通过注解的方式来进行用户授权访问控制时,若使用了泛型方法可能导致授权配置失效。本文通过代码审计的方式详细介绍了该漏洞的漏洞成因以及修复方案。

  • 0
  • 0
  • facl0n_leo
  • 发布于 2025-05-14 15:00:00
  • 阅读 ( 3766 )