4推荐

7109浏览

记一次对通天星CMSV6车载视频监控平台的漏洞分析

通天星CMSV6（官网地址：http://www.g-sky.cn/）拥有以位置服务、无线3G/4G视频传输、云存储服务为核心的研发团队，专注于为定位、无线视频终端产品提供平台服务，通天星CMSV6产品覆盖车载录像机、单兵录像机、网络监控摄像机、行驶记录仪等产品的视频综合平台。根据微步在线研究响应中心捕捉到漏洞情报，来对通天星CMSV6车载视频监控平台的漏洞进行分析审计

1
bmjoker 发布于 2024-07-31 10:38

0推荐

6240浏览

某远OA后台RCE constDef.do命令执行漏洞分析

某远OA constDef.do命令执行漏洞分析学习。

0
fany 发布于 2024-07-30 10:04

0推荐

5562浏览

ngrinder漏洞分析（CVE-2024-28211|28212|28213）

nGrinder是一个压力测试平台，能够同时执行脚本创建、测试执行、监控和结果报告生成器。 nGrinder 3.5.9之前版本存在安全漏洞，漏洞源于允许接受未经身份验证用户的序列化Java对象，可能允许远程攻击者通过不安全的Java对象反序列化执行任意代码。

0
kakakakaxi 发布于 2024-07-29 09:40

1推荐

6760浏览

Nacos 0day（derby+源码）分析 + 不出网利用

从derby的sql语句和调用过程，以及nacos的java源码层面分析，外加不出网利用方式

1
小惜渗透发布于 2024-07-26 09:43

0推荐

5096浏览

UI for Apache Kafka 是 Provectus 开源的针对 Apache Kafka 的一款管理界面。kafka-ui 0.4.0版本至0.7.1版本存在安全漏洞，第一个漏洞可执行任意的 Groovy 脚本，第二个漏洞可通过滥用 Kafka UI 连接到恶意 JMX 服务器来利用，从而通过不安全的反序列化导致 RCE。UI for Apache Kafka 默认情况下没有开启认证授权。

1
Stree 发布于 2024-07-25 09:45

0推荐

5334浏览

CVE-2024-36401 GeoServer远程代码执行

GeoServer调用的GeoTools库API，在解析特性类型的属性/属性名称时，以不安全的方式将它们传递给commons-jxpath库，当解析XPath表达式时可以执行任意代码。

0
Stree 发布于 2024-07-24 09:35

0推荐

4959浏览

CVE-2024-36104Apache OFBiz 最新Grovvy代码执行漏洞

爆出了CVE-2024-36104这个漏洞，实际上CVE-2024-32113和新爆出的CVE-2024-36104应该都是基于webtools/control/ProgramExport这个接口所产生的漏洞，该接口用于后台执行groovy代码，攻击者可以通过恶意的groovy代码实现任意命令执行

0
kakakakaxi 发布于 2024-07-23 10:20

0推荐

5411浏览

CVE-2024-31982 XWiki DatabaseSearch 远程代码执行漏洞分析

XWiki 最近发现存在远程代码执行漏洞，该漏洞源于DatabaseSearch 接口代码设置不当缺陷，导致未经身份验证的远程攻击者可以执行任意Groovy代码或任意系统指令，从而获取服务器权限

0
Stree 发布于 2024-07-22 10:12

3推荐

8220浏览

网传"nacos 0day"

这个"nacos 0day"在今天下午（2024.7.15）在各个公众号和群疯传，漏洞作者在GitHub上给出了POC 没接触过nacos,尝试分析

2
Stree 发布于 2024-07-17 09:55