Spring Cloud Data Flow 漏洞分析(CVE-2024-22263|CVE-2024-37084)

Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。SCDF中一个核心组件Spring Cloud Skipper负责处理应用程序的部署、升级和回滚等操作。该系统2.11.4版本以下存在任意文件写入漏洞(CVE-2024-22263)和代码执行漏洞(CVE-2024-37084)

  • 1
  • 0
  • kakakakaxi
  • 发布于 2024-08-15 09:46:19
  • 阅读 ( 3642 )

H3C-iMC智能管理中心autoDeploy.xhtml页面代码执行漏洞分析

H3C-iMC智能管理中心存在远程代码执行漏洞,攻击者利用该漏洞可以在服务器执行远程命令。

积木报表AviatorScript代码注入RCE分析

积木报表软件存在AviatorScript代码注入RCE漏洞。使用接口/jmreport/save处在text中写入AviatorScript表达式。访问/jmreport/show触发AviatorScript解析从而导致命令执行。

  • 2
  • 2
  • Yu9
  • 发布于 2024-08-14 09:36:07
  • 阅读 ( 3352 )

某管家印章智慧管理平台 listUploadIntelligent接口sql注入漏洞分析与复现

listUploadIntelligent接口存在 SQL 注入漏洞。攻击者可以通过构造特定的 POST 请求注入恶意 SQL 代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息。

  • 0
  • 1
  • dddtest
  • 发布于 2024-08-13 11:48:20
  • 阅读 ( 4661 )

Apache OFBiz 远程代码执行漏洞(CVE-2024-38856)

CVE-2024-38856的主要是*ControlServlet*和*RequestHandler*函数收到了不同的端点来处理,通过路径绕过导致的未授权漏洞

  • 0
  • 0
  • yrf2314
  • 发布于 2024-08-13 09:53:18
  • 阅读 ( 3261 )

智慧校园(安校易)管理系统存在文件上传漏洞

# 智慧校园(安校易)管理系统存在文件上传漏洞 ## 一、漏洞简介 智慧校园(安校易)管理系统`/Tool/ReceiveClassVideo.ashx`接口存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件到服务...

  • 1
  • 1
  • WLwl
  • 发布于 2024-08-13 09:53:07
  • 阅读 ( 3256 )

海康威视综合安防管理平台clusters页面文件上传漏洞

海康威视综合安防管理平台clusters页面文件上传漏洞

  • 0
  • 0
  • 买橘子
  • 发布于 2024-08-12 09:55:52
  • 阅读 ( 3563 )

某通文档xxx系统sql注入分析

某通文档xxx系统sql注入分析

  • 3
  • 8
  • lei_sec
  • 发布于 2024-08-09 14:44:43
  • 阅读 ( 3980 )

蓝凌OA WechatLoginHelper.do SQL注入漏洞复现分析

蓝凌OA的wechatLoginHelper.do接口处存在SQL注入漏洞,攻击者可以利用 SQL 注入漏洞获取数据库中的信息(管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。

  • 0
  • 2
  • F82
  • 发布于 2024-08-09 09:56:49
  • 阅读 ( 3820 )

悦库企业网盘 userlogin.html SQL注入漏洞

悦库企业网盘是一款专为满足企业文件管理,协同办公、文件共享需求而设计的私有部署安全、简单的企业文件管理系统。 登录框接口`/user/login/.html`处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库的数据,还可以写入木马,控制服务器。 ## 二、影响版本

CVE-2024-36412 SuiteCRM未授权sql注入分析

SuiteCRM是一个开源的客户关系管理(CRM)软件应用程序。在版本7.14.4和8.6.1之前存在未授权SQL注入漏洞,本文对CVE-2024-36412这个漏洞进行复现和分析,以及注入点的特殊性做了解释。

  • 1
  • 2
  • xpjoker
  • 发布于 2024-08-08 09:40:45
  • 阅读 ( 3570 )

用友NC complainbilldetail SQL注入漏洞

用友NC是用友网络科技股份有限公司开发的一款大型企业数字化平台。它主要用于企业的财务核算、成本管理、资金管理、固定资产管理、应收应付管理等方面的工作,致力于帮助企业建立科学的财务管理体系,提高财务核算的准确性和效率。 用友NC 存在SQL注入漏洞,未授权的攻击者可以通过该漏洞获取数据库敏感信息。

Laravel 11.x 反序列化链分析

Laravel 是用 PHP 编写的开源 Web 应用程序框架。Laravel发布了一个反序列化漏洞,分析过程参考https://gitee.com/Q16G/laravel_bug/blob/master/laravelBug.md,分析过后尝试寻找其他的利用链,最终找到两条利用链

  • 1
  • 1
  • kakakakaxi
  • 发布于 2024-08-06 09:38:21
  • 阅读 ( 3881 )

某安防管理平台任意文件上传漏洞复现分析

由于代码缺陷未对文件进行合法有效的效验,导致其攻击者可以利用此漏洞上传任意文件,包括但不限于webshell,获取主机交互式shell ## 漏洞细节 废话不多说直接action开整,漏...

  • 2
  • 4
  • zhizhuo
  • 发布于 2024-08-02 09:36:17
  • 阅读 ( 5157 )

海康综合安防 installation远程命令执行

记一次对通天星CMSV6车载视频监控平台的漏洞分析

通天星CMSV6(官网地址:http://www.g-sky.cn/)拥有以位置服务、无线3G/4G视频传输、云存储服务为核心的研发团队,专注于为定位、无线视频终端产品提供平台服务,通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。根据微步在线研究响应中心捕捉到漏洞情报,来对通天星CMSV6车载视频监控平台的漏洞进行分析审计

  • 0
  • 4
  • bmjoker
  • 发布于 2024-07-31 10:38:18
  • 阅读 ( 5470 )

某远OA后台RCE constDef.do命令执行漏洞分析

某远OA constDef.do命令执行漏洞分析学习。

  • 0
  • 0
  • fany
  • 发布于 2024-07-30 10:04:15
  • 阅读 ( 4807 )

ngrinder漏洞分析 (CVE-2024-28211|28212|28213)

nGrinder是一个压力测试平台,能够同时执行脚本创建、测试执行、监控和结果报告生成器。 nGrinder 3.5.9之前版本存在安全漏洞,漏洞源于允许接受未经身份验证用户的序列化Java对象,可能允许远程攻击者通过不安全的Java对象反序列化执行任意代码。

  • 0
  • 0
  • kakakakaxi
  • 发布于 2024-07-29 09:40:22
  • 阅读 ( 4156 )

Nacos 0day(derby+源码)分析 + 不出网利用

从derby的sql语句和调用过程,以及nacos的java源码层面分析,外加不出网利用方式

UI for Apache Kafka 远程代码执行漏洞

UI for Apache Kafka 是 Provectus 开源的针对 Apache Kafka 的一款管理界面。kafka-ui 0.4.0版本至0.7.1版本存在安全漏洞,第一个漏洞可执行任意的 Groovy 脚本,第二个漏洞可通过滥用 Kafka UI 连接到恶意 JMX 服务器来利用,从而通过不安全的反序列化导致 RCE。UI for Apache Kafka 默认情况下没有开启认证授权。

  • 1
  • 0
  • Stree
  • 发布于 2024-07-25 09:45:49
  • 阅读 ( 3766 )