SpringFramework CVE-2024-38816 路径穿越浅析
当使用 RouterFunctions 来处理静态资源且资源处理通过 FileSystemResource 进行配置时,攻击者可以通过构造恶意 HTTP 请求,利用路径遍历漏洞获取相关受影响版本文件系统中的任意文件。
- 5
- 4
- tkswifty
- 发布于 2024-09-20 14:46:37
- 阅读 ( 20870 )
tkswifty
CVE-2024-38821-Spring Security 静态资源权限绕过漏洞分析复现
Spring官方发布了CVE-2024-38821,当WebFlux使用Spring的静态资源支持时,在特定情况下会存在权限绕过的风险。
- 2
- 3
- tkswifty
- 发布于 2024-10-29 10:07:18
- 阅读 ( 11353 )
Laravel 11.x 反序列化链分析
Laravel 是用 PHP 编写的开源 Web 应用程序框架。Laravel发布了一个反序列化漏洞,分析过程参考https://gitee.com/Q16G/laravel_bug/blob/master/laravelBug.md,分析过后尝试寻找其他的利用链,最终找到两条利用链
- 1
- 1
- kakakakaxi
- 发布于 2024-08-06 09:38:21
- 阅读 ( 5985 )
kakakakaxi
[热点]CVE-2025-30208 Vite开发服务器任意文件读取漏洞分析
Vite 是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力,广泛应用于 Vue.js 项目的开发过程中。Vite 开发服务器在处理特定 URL 请求时,没有对请求的路径进行严格的安全检查和限制,导致攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件
- 0
- 0
- 吃不饱的崽
- 发布于 2025-03-27 14:22:25
- 阅读 ( 5320 )
[热点]CVE-2025-29927 Next.js 中间件鉴权绕过漏洞分析
Next.js 是一个基于 React 的流行 Web 应用框架,提供服务器端渲染、静态网站生成和集成路由系统等功能。当使用中间件进行身份验证和授权时,Next.js 14.2.25 和 15.2.3 之前的版本存在授权绕过漏洞。
- 0
- 0
- Stree
- 发布于 2025-03-25 10:04:34
- 阅读 ( 4786 )
Stree
全网首发!CVE-2025-27817 Apache Kafka Client 任意文件读取与SSRF 漏洞分析复现
CVE-2025-27817
- 4
- 5
- hahaha123
- 发布于 2025-06-12 16:11:17
- 阅读 ( 4482 )
hahaha123
CVE-2025-27610 Rack 本地文件包含漏洞分析报告
3月10日,rack爆出一个本地文件包含漏洞,一直没有时间看看是什么情况,今天有时间本地搭建起来分析一下。
- 0
- 2
- 带头小弟。
- 发布于 2025-04-11 09:46:31
- 阅读 ( 4433 )
CVE-2025-22235:Spring Boot EndpointRequest.to() 错误导致认证绕过漏洞分析复现
Spring Boot是一个开放源代码Java框架,用于开发独立、产品等级的Spring应用程序,和节省开发人员工作量。 该漏洞涉及 Spring Boot 中 `EndpointRequest.to()` 方法在配置安全规则时可能生成错误的匹配器,导致未暴露的执行器端点路径(如 `/null/**`)的安全保护失效。
- 0
- 0
- la0gke
- 发布于 2025-04-30 09:01:47
- 阅读 ( 4061 )
CVE-2025-22223 Spring Security EnableMethodSecurity 注解授权绕过分析
使用Spring Security 通过注解的方式来进行用户授权访问控制时,若使用了泛型方法可能导致授权配置失效。本文通过代码审计的方式详细介绍了该漏洞的漏洞成因以及修复方案。
- 0
- 0
- facl0n_leo
- 发布于 2025-05-14 15:00:00
- 阅读 ( 3753 )
CVE-2025-27818 Apache Kafka Client LdapLoginModule 配置代码执行漏洞 分析
CVE-2025-27818
- 1
- 1
- hahaha123
- 发布于 2025-07-03 18:12:31
- 阅读 ( 927 )