2推荐

6313浏览

Nacos <=2.4.0.1 任意文件读写删

在Nacos<=2.4.0.1版本中集群模式启动下存在名为naming_persistent_service的Group，该Group所使用的Processor为com.alibaba.nacos.naming.consistency.persistent.impl.PersistentServiceProcessor类型Processor，在进行处理过程中会触发其父类`onApply`或`onRequest`方法,这两个方法会分别造成任意文件写入删除和任意文件读取

0
Stree 发布于 2024-08-28 10:19

2推荐

4537浏览

某通电子文档安全管理系统DecryptionApp反序列化漏洞RCE

某通是使用了servlet框架，一般都是先去web.xml寻找相关路由进而确定代码的位置

0
xhys 发布于 2024-08-28 10:14

0推荐

4736浏览

Zabbix zbx_auditlog_global_script SQL注入漏洞(CVE-2024-22120)漏洞分析

Zabbix是一个开源的监控解决方案，用于监控网络和应用程序的性能和健康状况。它能够监控IT基础设施，包括服务器、虚拟机、网络设备、Web应用程序等。 Zabbix 服务器可以对配置的脚本执行命令。执行命令后，审计条目将添加到“审计日志”中。由于“clientip”字段未经过清理，因此可以将 SQL 注入“clientip”并利用基于时间的盲 SQL 注入。此漏洞可能导致权限从用户提升到管理员。在某些情况下，SQL 注入会导致 RCE。

1
Harper Scott 发布于 2024-08-27 09:43

0推荐

4239浏览

某宝oa软件两处-ExecuteSqlForSingle注入分析与复现

最近，看到运营小姐姐发了篇某宝的ExecuteSqlForSingle注入漏洞，想着去分析一下，结果一下找到两个同名接口都存在注入。。。。

0
dddtest 发布于 2024-08-26 09:30

1推荐

4196浏览

某通电子文档安全管理系统DecryptionApp反序列化漏洞RCE

0
xhys 发布于 2024-08-23 09:00

1推荐

4259浏览

万户graph include.jsp sql注入的漏洞分析

0
xhys 发布于 2024-08-22 09:38

3推荐

5111浏览

某通电子文档安全管理系统SQL注入漏洞代码分析

0
xhys 发布于 2024-08-21 09:50

0推荐

4357浏览

用友 U8Cloud Actionservlet sQL注入漏洞分析

U8cloud系统MeasureQueryFrameAction接口存在SQL注入漏洞，攻击者未经授权可以访问数据库中的数据，从而盗取用户数据，造成用户信息泄露。

0
Harper Scott 发布于 2024-08-21 09:36

0推荐

3958浏览

CVE-2024-28255 OpenMetadata远程命令执行漏洞

OpenMetadata远程命令执行漏洞(CVE-2024-28255)

0
买橘子发布于 2024-08-20 09:54

0推荐

4144浏览

CVE-2024-38856 Apache OFBiz Authentication Bypass

自去年CVE-2023-51467爆出后，起初我是不太想再看这个系统了，但年初连续的三个权限绕过相关的CVE编号又让我产生了好奇，随着对三个历史漏洞分析的过程中，我也发现这三个漏洞的影响面其实并没有特别严重，但思路值得学习但随着进一步的深入分析，最终找到了一个新的利用方式

0
Y4tacker 发布于 2024-08-20 09:54

0推荐

5790浏览

帆软 FineReport SQL 注入漏洞

通过分析帆软v10的路由特点,利用asm来获取所有可未授权访问的接口,最后快速定位到该漏洞具体位置

1
yrf2314 发布于 2024-08-19 10:08

2推荐

4051浏览

CVE-2024-32002 Git clone远程命令执行

当用户使用管理员权限执行git clone —recursive 克隆一个恶意仓库时，git中存在的漏洞会触发远程代码执行攻击者可以创建恶意的仓库，诱导使用git的用户clone，从而在客户端执行任意的系统命令

0
鼠标猴子爱吃香蕉发布于 2024-08-16 10:03

0推荐

4904浏览

Spring Cloud Data Flow 漏洞分析（CVE-2024-22263|CVE-2024-37084）

Spring Cloud Data Flow（SCDF）是一个基于微服务的工具包，用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。SCDF中一个核心组件Spring Cloud Skipper负责处理应用程序的部署、升级和回滚等操作。该系统2.11.4版本以下存在任意文件写入漏洞（CVE-2024-22263）和代码执行漏洞（CVE-2024-37084）

1
kakakakaxi 发布于 2024-08-15 09:46

1推荐

4474浏览

H3C-iMC智能管理中心autoDeploy.xhtml页面代码执行漏洞分析

H3C-iMC智能管理中心存在远程代码执行漏洞，攻击者利用该漏洞可以在服务器执行远程命令。

0
Harper Scott 发布于 2024-08-14 10:24

2推荐

4645浏览

积木报表AviatorScript代码注入RCE分析

积木报表软件存在AviatorScript代码注入RCE漏洞。使用接口/jmreport/save处在text中写入AviatorScript表达式。访问/jmreport/show触发AviatorScript解析从而导致命令执行。

2
Yu9 发布于 2024-08-14 09:36

Nacos <=2.4.0.1 任意文件读写删

某通电子文档安全管理系统DecryptionApp反序列化漏洞RCE

Zabbix zbx_auditlog_global_script SQL注入漏洞(CVE-2024-22120)漏洞分析

某宝oa软件两处-ExecuteSqlForSingle注入分析与复现

某通电子文档安全管理系统DecryptionApp反序列化漏洞RCE

万户graph include.jsp sql注入的漏洞分析

某通电子文档安全管理系统SQL注入漏洞代码分析

用友 U8Cloud Actionservlet sQL注入漏洞分析

CVE-2024-28255 OpenMetadata远程命令执行漏洞

CVE-2024-38856 Apache OFBiz Authentication Bypass

帆软 FineReport SQL 注入漏洞

CVE-2024-32002 Git clone远程命令执行

Spring Cloud Data Flow 漏洞分析（CVE-2024-22263|CVE-2024-37084）

H3C-iMC智能管理中心autoDeploy.xhtml页面代码执行漏洞分析

积木报表AviatorScript代码注入RCE分析

相关标签

推荐用户