立即发帖
筛选:  最新的 推荐的 热门的

积木报表AviatorScript代码注入RCE分析

积木报表软件存在AviatorScript代码注入RCE漏洞。使用接口/jmreport/save处在text中写入AviatorScript表达式。访问/jmreport/show触发AviatorScript解析从而导致命令执行。

  • 2
  • 2
  • Yu9
  • 发布于 2024-08-14 09:36:07
  • 阅读 ( 5912 )

CVE-2024-36412 SuiteCRM未授权sql注入分析

SuiteCRM是一个开源的客户关系管理(CRM)软件应用程序。在版本7.14.4和8.6.1之前存在未授权SQL注入漏洞,本文对CVE-2024-36412这个漏洞进行复现和分析,以及注入点的特殊性做了解释。

  • 1
  • 2
  • xpjoker
  • 发布于 2024-08-08 09:40:45
  • 阅读 ( 5923 )

CVE-2025-0565 ZZCMS index.php SQL注入漏洞分析

专注于招商加盟行业的内容管理系统ZZCMS 2023版本存在前台sql注入

  • 0
  • 1
  • xiaoyu007
  • 发布于 2025-07-24 09:40:24
  • 阅读 ( 163 )

某胜物流软件多处sql注入分析

某胜物流软件多处sql注入分析

  • 0
  • 1
  • 123彡
  • 发布于 2025-07-21 15:06:51
  • 阅读 ( 500 )

【热点】某财务系统远程代码执行漏洞分析

某财务系统远程代码执行漏洞分析

  • 0
  • 1
  • 123彡
  • 发布于 2025-07-04 16:29:18
  • 阅读 ( 1893 )

CVE-2025-27818 Apache Kafka Client LdapLoginModule 配置代码执行漏洞 分析

CVE-2025-27818

  • 1
  • 1
  • hahaha123
  • 发布于 2025-07-03 18:12:31
  • 阅读 ( 1405 )

vLLM PyNcclPipe pickle反序列化漏洞(CVE-2025-47277)

CVE-2025-47277 是 vLLM 项目中的一个 远程代码执行(RCE)漏洞,源于其使用`PyNcclPipe`模块时,未经验证地反序列化来自网络的数据,攻击者可通过构造恶意 pickle 数据包,在服务器端执行任意代码。该漏洞严重性等级为 Critical。

  • 1
  • 1
  • Werqy3
  • 发布于 2025-06-09 09:00:02
  • 阅读 ( 2923 )

CVE-2025-32432:Craft CMS 远程代码执行漏洞

近期,网络安全机构监测到针对Craft CMS内容管理系统的高危漏洞(CVE-2025-32432)的大规模攻击活动。攻击者通过远程代码执行(RCE)漏洞,已成功入侵全球数百台服务器,窃取敏感数据并部署后门程序。Craft CMS官方已将该漏洞标记为CVSS 10.0最高风险级别,并确认攻击代码(PoC)已在黑市传播,未修复系统面临极高威胁。

  • 0
  • 1
  • cipher
  • 发布于 2025-06-04 15:00:00
  • 阅读 ( 3776 )

CNVD-2023-04620 金和 OA XXE 漏洞分析复现

参与的众测项目,资产非常难挖掘漏洞,所以只能通过审计的方式,找找漏洞点 资产里相对用的多的 oa,都是用友,泛微,致远等大型 oa,对我这种小菜来说,直接上手有点难度,无意间发现了金和...

  • 0
  • 1
  • 轩公子
  • 发布于 2025-05-20 09:00:00
  • 阅读 ( 3976 )

用友 U8Cloud NCPortalServlet XXE漏洞分析

U8cloud系统NCPortalServlet接口存在XML注入漏洞,攻击者未经授权可以访问系统文件中的数据,造成敏感信息泄露

  • 0
  • 1
  • chobits
  • 发布于 2025-05-13 17:00:01
  • 阅读 ( 3939 )

CVE-2025-32375 | BentoML runner服务器远程代码执行漏洞

BentoML 的 runner 服务器中存在不安全的反序列化,攻击者可以通过在 POST 请求中设置特定的标头和参数,可以在服务器上执行任何未经授权的任意代码,这将授予攻击者在服务器上进行初始访问和信息泄露的权限。

  • 0
  • 1
  • reset
  • 发布于 2025-05-12 10:13:59
  • 阅读 ( 3829 )

CNVD-2024-22977 金和C6协同管理平台文件上传漏洞

北京金和网络股份有限公司金和C6协同管理平台存在文件上传漏洞,攻击者可利用漏洞上传恶意文件,获取服务器权限。

  • 0
  • 1
  • chobits
  • 发布于 2025-05-09 15:00:01
  • 阅读 ( 4089 )

CVE-2025-32433:Erlang/OTP 严重 SSH 漏洞允许未认证的远程代码执行

对最近爆出的CVE-2025-32433进行分析

  • 0
  • 1
  • cipher
  • 发布于 2025-05-08 15:00:00
  • 阅读 ( 4174 )

【热点】browser-use WebUI pickle 反序列化漏洞分析与复现

browser-use WebUI是基于browser-use的AI Agent应用,存在一个pickle反序列化漏洞,未经授权的远程攻击者可以利用该接口发送恶意的序列化数据,实现在服务端执行任意代码,导致服务器失陷。

  • 0
  • 1
  • reset
  • 发布于 2025-05-06 16:25:45
  • 阅读 ( 3680 )

IngressNightmare CVE-2025-1974 RCE漏洞复现(超详细)

近期,Ingress-Nginx爆出CVSS评分高达9.8的CVE-2025-1974 RCE漏洞,该漏洞可以和IngressNightmare系列漏洞中的其他模板注入漏洞一起使用达成RCE,本文对其中的3种漏洞组合进行了复现和原理分析。

  • 1
  • 1
  • Dubito
  • 发布于 2025-04-03 09:00:01
  • 阅读 ( 7316 )

用友 U8Cloud MeasureQResultAction SQL注入漏洞分析

U8cloud系统MeasureQResultAction接口存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。

  • 0
  • 1
  • chobits
  • 发布于 2025-03-20 09:00:01
  • 阅读 ( 4489 )

禅道20.2版本以下SQL注入到RCE漏洞分析

禅道20.2版本以下在个性化设置功能上存在一个未授权sql注入,这注入通过堆叠注入到数据库zt_config表中,将添加后台管理员到zt_user和注入命令执行的定时任务到zt_queue表中,最终实现未授权RCE的效果。

  • 0
  • 1
  • 0aspir1ng0
  • 发布于 2025-01-15 10:00:00
  • 阅读 ( 9520 )

Apache Tomcat 条件竞争致远程代码执行漏洞(CVE-2024-50379)

Apache Tomcat的默认servlet在处理文件上传时的TOCTOU条件竞争问题。当默认servlet被配置为允许写入(即readonly初始化参数被设置为非默认值false),在不区分大小写的文件系统上,攻击者可以利用并发读取和上传同一个文件的机会,绕过Tomcat的大小写敏感性检查,导致上传的文件被错误地当作JSP文件处理,从而可能触发远程代码执行。

  • 2
  • 1
  • 菜鸡小z
  • 发布于 2025-01-13 10:03:43
  • 阅读 ( 7427 )

某报表FineVis数据可视化《=2.9 任意文件写入漏洞

finerepor插件文件上传结合目录穿越进行文件写入

  • 2
  • 1
  • Unam4
  • 发布于 2024-12-12 09:00:00
  • 阅读 ( 7813 )

Apache HertzBeat反序列化

Apache HertzBeat 是开源的实时监控工具,受影响版本中未对用户可控的 Yaml 文件有效过滤,经过身份验证的攻击者可构造恶意 Yaml 文件远程执行任意代码。

  • 0
  • 1
  • 买橘子
  • 发布于 2024-10-23 10:00:01
  • 阅读 ( 9852 )