test - 文章 - 奇安信攻防社区

【热点】CVE-2025-54424 1Panel远程命令执行漏洞详细分析及复现（附利用脚本）

1Panel 是新一代的 Linux 服务器运维管理面板，用户可以通过 Web 界面轻松管理 Linux 服务器，如主机监控、文件管理、数据库管理、容器管理等。其V2版本中引入了节点管理的功能，可以通过添加节点来控制其他的主机，但是用于核心和代理端点之间通信的HTTPS协议在证书验证过程中存在证书验证不完整问题，导致未经授权的接口访问。由于1Panel中存在大量命令执行或高权限接口，可能导致远程代码执行。

1
0
xiaoyu007
发布于 2025-08-05 16:17:14
阅读 ( 1343 )

CNVD-2024-21810 金和C6协同管理平台SaveXmlAjax SQL注入漏洞

金和C6协同管理平台存在SQL注入漏洞，结合未授权访问漏洞攻击者可获取数据库敏感信息

0
0
chobits
发布于 2025-08-04 09:00:02
阅读 ( 745 )

某王某脸通代码审计

对某脸通进行代码审计

0
0
张三一号
发布于 2025-07-30 09:00:02
阅读 ( 1454 )

CVE-2025-53547 helm恶意代码执行漏洞复现&分析

作为k8s的包管理工具，helm近期披露了一个CVSS评分8.5的高危漏洞，可导致恶意代码执行。本文对其进行了漏洞复现和原理分析。

0
0
Dubito
发布于 2025-07-24 18:24:11
阅读 ( 1649 )

CVE-2025-0565 ZZCMS index.php SQL注入漏洞分析

专注于招商加盟行业的内容管理系统ZZCMS 2023版本存在前台sql注入

0
1
xiaoyu007
发布于 2025-07-24 09:40:24
阅读 ( 1344 )

某胜物流 /CommMng/Print/UploadMailFile 任意文件上传分析

0
0
小肥仔
发布于 2025-07-24 09:40:20
阅读 ( 1351 )

蓝凌OA WechatLoginHelper.do SQL注入漏洞复现分析

蓝凌OA的wechatLoginHelper.do接口处存在SQL注入漏洞，攻击者可以利用 SQL 注入漏洞获取数据库中的信息（管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

0
2
F82
发布于 2025-07-23 17:23:57
阅读 ( 7692 )

某监测预警系统2.2 SQL注入漏洞分析

0
0
小肥仔
发布于 2025-07-22 18:21:29
阅读 ( 1439 )

某胜物流软件多处sql注入分析

0
1
123彡
发布于 2025-07-21 15:06:51
阅读 ( 1455 )

【热点】CVE-2025-32463 Linux sudo chroot本地提权漏洞分析复现

Linux sudo chroot 权限提升漏洞(CVE-2025-32463)源于本地低权限用户通过特制的恶意 chroot 环境触发动态库加载，从而以 root 权限执行任意代码。

1
2
Mortalbeings
发布于 2025-07-18 17:41:57
阅读 ( 2243 )

某数AnyShare智能内容管理平台 start_service 存在远程命令执行漏洞分析

某数AnyShare智能内容管理平台 start_service 存在远程命令执行漏洞分析的updateutil.py里的def start_service(self)方法里的exec_command触发命令执行

0
0
123彡
发布于 2025-07-17 18:24:36
阅读 ( 1774 )

用友U8 Cloud系统FilterCondAction方法SQL注入漏洞分析

用友U8 Cloud系统FilterCondAction方法存在SQL注入漏洞，攻击者可获取数据库敏感信息

0
0
chobits
发布于 2025-07-17 09:55:25
阅读 ( 1808 )

RuoYi-Vue-Plus sendMessageWithAttachment 任意文件读取漏洞

RuoYi-Vue-Plus 是一个基于 Vue3 和 Spring Boot 3.x 构建的多租户权限管理系统，具备强大的功能模块，如代码生成器、分布式任务调度、多数据源事务等，支持多种数据库和第三方集成。其在`sendMessageWithAttachment`中存在任意文件读取可能导致敏感信息泄露、权限提升、数据篡改、业务逻辑攻击等多种危害，严重威胁系统的安全性、稳定性和合规性。