某通电子文档安全管理系统DecryptionApp反序列化漏洞RCE
某通是使用了servlet框架,一般都是先去web.xml寻找相关路由进而确定代码的位置
- 0
- 2
- xhys
- 发布于 2024-08-28 10:14:33
- 阅读 ( 6842 )
xhys
CVE-2024-32002 Git clone远程命令执行
当用户使用管理员权限执行git clone —recursive 克隆一个恶意仓库时,git中存在的漏洞会触发远程代码执行 攻击者可以创建恶意的仓库,诱导使用git的用户clone,从而在客户端执行任意的系统命令
- 0
- 2
- 鼠标猴子爱吃香蕉
- 发布于 2024-08-16 10:03:39
- 阅读 ( 6196 )
鼠标猴子爱吃香蕉
积木报表AviatorScript代码注入RCE分析
积木报表软件存在AviatorScript代码注入RCE漏洞。使用接口/jmreport/save处在text中写入AviatorScript表达式。访问/jmreport/show触发AviatorScript解析从而导致命令执行。
- 3
- 2
- Yu9
- 发布于 2024-08-14 09:36:07
- 阅读 ( 7574 )
Yu9
CVE-2024-36412 SuiteCRM未授权sql注入分析
SuiteCRM是一个开源的客户关系管理(CRM)软件应用程序。在版本7.14.4和8.6.1之前存在未授权SQL注入漏洞,本文对CVE-2024-36412这个漏洞进行复现和分析,以及注入点的特殊性做了解释。
- 1
- 2
- xpjoker
- 发布于 2024-08-08 09:40:45
- 阅读 ( 7114 )
用友U8Cloud NCCloudGatewayServlet命令执行漏洞补丁分析及绕过
## 漏洞分析 官网通告NCCloudGatewayServlet接口存在命令执行漏洞 
CVE-2025-51482 漏洞分析:Letta AI 组件代码注入导致远程命令执行(RCE)
该漏洞允许攻击者通过 `/v1/tools/run` 接口,利用精心构造的 payload 在目标服务器上执行任意 Python 代码或系统命令。系统原设计意图是通过沙箱机制限制工具执行的权限,但此安全机制被绕过。
- 0
- 1
- Gscsed
- 发布于 2025-09-15 15:12:37
- 阅读 ( 7136 )
Gscsed
用友U8 Cloud系统VouchFormulaCopyAction方法SQL注入漏洞分析
用友U8 Cloud系统VouchFormulaCopyAction方法存在SQL注入漏洞,攻击者可获取数据库敏感信息
- 0
- 1
- chobits
- 发布于 2025-09-08 18:05:34
- 阅读 ( 8313 )
chobits
Database 2.10.10 代码审计
两个月前看qax情报中心通报了2.10.9的漏洞,然后顺手挖了下,然后包送给官方,最后成功水到了cve。
- 1
- 1
- Unam4
- 发布于 2025-08-15 10:00:00
- 阅读 ( 8396 )
【热点】CVE-2025-54424 1Panel远程命令执行漏洞详细分析及复现(附利用脚本)
1Panel 是新一代的 Linux 服务器运维管理面板,用户可以通过 Web 界面轻松管理 Linux 服务器,如主机监控、文件管理、数据库管理、容器管理等。其V2版本中引入了节点管理的功能,可以通过添加节点来控制其他的主机,但是用于核心和代理端点之间通信的HTTPS协议在证书验证过程中存在证书验证不完整问题,导致未经授权的接口访问。由于1Panel中存在大量命令执行或高权限接口,可能导致远程代码执行。
- 1
- 1
- xiaoyu007
- 发布于 2025-08-05 16:17:14
- 阅读 ( 10117 )
CNVD-2024-21810 金和C6协同管理平台SaveXmlAjax SQL注入漏洞
金和C6协同管理平台存在SQL注入漏洞,结合未授权访问漏洞攻击者可获取数据库敏感信息
- 0
- 1
- chobits
- 发布于 2025-08-04 09:00:02
- 阅读 ( 9947 )
CVE-2025-0565 ZZCMS index.php SQL注入漏洞分析
专注于招商加盟行业的内容管理系统ZZCMS 2023版本存在前台sql注入
- 2
- 1
- xiaoyu007
- 发布于 2025-07-24 09:40:24
- 阅读 ( 9147 )
某胜物流 /CommMng/Print/UploadMailFile 任意文件上传分析
某胜物流 /CommMng/Print/UploadMailFile 任意文件上传分析
- 1
- 1
- 小肥仔
- 发布于 2025-07-24 09:40:20
- 阅读 ( 8939 )
CVE-2025-27818 Apache Kafka Client LdapLoginModule 配置代码执行漏洞 分析
CVE-2025-27818
- 1
- 1
- hahaha123
- 发布于 2025-07-03 18:12:31
- 阅读 ( 4051 )
hahaha123
用友NC UserQueryServiceServlet反序列化漏洞分析
用友NC系统UserQueryServiceServlet方法存在反序列化漏洞,攻击者可执行任意命令,获取敏感信息
- 0
- 1
- chobits
- 发布于 2025-06-25 09:00:01
- 阅读 ( 6083 )
vLLM PyNcclPipe pickle反序列化漏洞(CVE-2025-47277)
CVE-2025-47277 是 vLLM 项目中的一个 远程代码执行(RCE)漏洞,源于其使用`PyNcclPipe`模块时,未经验证地反序列化来自网络的数据,攻击者可通过构造恶意 pickle 数据包,在服务器端执行任意代码。该漏洞严重性等级为 Critical。
- 1
- 1
- Werqy3
- 发布于 2025-06-09 09:00:02
- 阅读 ( 5136 )
CVE-2025-32432:Craft CMS 远程代码执行漏洞
近期,网络安全机构监测到针对Craft CMS内容管理系统的高危漏洞(CVE-2025-32432)的大规模攻击活动。攻击者通过远程代码执行(RCE)漏洞,已成功入侵全球数百台服务器,窃取敏感数据并部署后门程序。Craft CMS官方已将该漏洞标记为CVSS 10.0最高风险级别,并确认攻击代码(PoC)已在黑市传播,未修复系统面临极高威胁。
- 0
- 1
- cipher
- 发布于 2025-06-04 15:00:00
- 阅读 ( 6432 )
cipher
CNVD-2023-04620 金和 OA XXE 漏洞分析复现
参与的众测项目,资产非常难挖掘漏洞,所以只能通过审计的方式,找找漏洞点 资产里相对用的多的 oa,都是用友,泛微,致远等大型 oa,对我这种小菜来说,直接上手有点难度,无意间发现了金和...
- 0
- 1
- 轩公子
- 发布于 2025-05-20 09:00:00
- 阅读 ( 5452 )
用友 U8Cloud NCPortalServlet XXE漏洞分析
U8cloud系统NCPortalServlet接口存在XML注入漏洞,攻击者未经授权可以访问系统文件中的数据,造成敏感信息泄露
- 0
- 1
- chobits
- 发布于 2025-05-13 17:00:01
- 阅读 ( 7227 )