漏洞
未读
泛微E-Cology漏洞曝光:CheckServer.jsp SQL注入危机
泛微e-cology是以移动互联下的组织社交化转型需求为导向,采用轻前端重后端的设计思路,在前端面向用户提供个性化的办公平台,后端引擎帮助企业高效整合既有的IT资源生成符合用户需求的IT应用,并能够与e-mobile、移动集成平台等双剑合璧,帮助企业通过APP、微信、钉钉等多种路径实现移动协同办公,
漏洞
未读
Java反序列化漏洞 | log4j2远程代码执行漏洞原理+漏洞复现
漏洞原理及简介 一、log4j2简介 log4j2是apache下的java应用常见的开源日志库,是一个就Java的日志记录工具。在log4j框架的基础上进行了改进,并引入了丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。
漏洞
未读
AJ-Report 可视化大屏漏洞复现
AJ-Report是全开源的一个BI平台,酷炫大屏展示,能随时随地掌控业务动态,让每个决策都有数据支撑。多数据源支持,内置mysql、elasticsearch、kudu驱动,支持自定义数据集省去数据接口开发,目前已支持30+种大屏组件/图表,不会开发,照着设计稿也可以制作大屏。 漏洞复现 部署完成
漏洞
未读
Zabbix SQL注入漏洞(CVE-2024-42327)
漏洞介绍 Zabbix 是一个开源的、企业级的分布式监控解决方案,用于监控各种 IT 资源,包括服务器、网络设备、应用程序和服务。它提供实时监控、数据收集、可视化、警报和报告功能,帮助用户全面了解其 IT 基础架构的运行状况。Zabbix 前端上具有默认用户角色或任何其他授予 API 访问权限的角色
漏洞
未读
Apache Tomcat条件竞争致远程代码执行漏洞(CVE-2024-50379)
漏洞介绍 Apache Tomcat 中 JSP 编译期间的使用时间 (TOCTOU) 争用条件漏洞允许在启用默认 servlet 写入(非默认配置)时对不区分大小写的文件系统进行 RCE。当默认 Servlet 的 readonly 参数被设置为 false(非默认配置)并允许使用 PUT 方法上
漏洞
未读
Apache OFBiz远程代码执行漏洞(CVE-2024-38856)
漏洞简介 Apache OFBiz 是一个开源的企业资源规划系统,提供了一整套企业管理解决方案,涵盖了许多领域,包括财务管理、供应链管理、客户关系管理、人力资源管理和电子商务等。Apache OFBiz 基于 Java 开发,采用灵活的架构和模块化设计,使其可以根据企业的需求进行定制和扩展,它具有强
漏洞
未读
Apache MINA反序列化漏洞
0x00 漏洞编号 CVE-2024-52046 0x01 危险等级 高危 0x02 漏洞概述 Apache MINA是一个高性能的网络通信框架,旨在帮助开发人员
漏洞
未读
OpenWrt LuCi 任意文件读取
OpenWrt 环境搭建 下载OpenWrt 19.07 镜像、解压并转为镜像文件导入虚拟机。 wget https://downloads.openwrt.org/releases/19.07.0/targets/x86/generic/openwrt-19.07.0-x86-generic-co
漏洞
未读
移动安全框架 (MobSF) 存在存储型XSS漏洞 CVE-2024-53999
漏洞描述 Mobsf允许用户上传带有 filename 参数的脚本文件。因此,恶意用户可以将脚本文件上传到系统。当应用程序中的用户使用“上传&分析”功能时,他们会受到存储型XSS的攻击。 漏洞细节
漏洞
未读
Wordpress ElementorPageBuilder插件存在文件读取漏洞CVE-2024-9935
简介 WordPress是一款免费开源的内容管理系统(CMS),最初是一个博客平台,但后来发展成为一个功能强大的网站建设工具,适用于各种类型的网站,包括个人博客、企业网站、电子商务网站等,并逐步演化成一款内容管理系统软件。Wordpress ElementorPageBuilder插件存在RCE漏洞
漏洞
未读
JeecgBoot SQL注入漏洞CVE-2024-48307
漏洞介绍 JeecgBoot是中国国炬(Jeecg)公司的一个适用于企业 Web 应用程序的 Java 低代码平台。采用前后端分离架构:SpringBoot2.x,Ant Design&Vue,Mybatis-plus,Shiro,JWT。强大的代码生成器让前后端代码一键生成,无需写任何代码。 Je
帆软/view/ReportServer 远程代码执行漏洞
漏洞简介 漏洞描述: FinеRероrt 是帆软自主研发的企业级 Wеb 报表工具。其/view/ReportServer接口存在模版注入漏洞,攻击者可以利用该漏洞执行任意SQL写入Webshell,从而获取服务器权限。 影响范围: 1)JAR包时间在 2024-07-23 之前的FineRepo
海康威视命令执行分析
漏洞介绍 某综合安防管理平台/center/api/installation/detection存在远程命令执行漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码。 漏洞分析 全局搜索路径/detection,定位代码DeployController,大概就是传入json格式的Dete
URL重定向漏洞小技巧
前言 在一些厂商项目中开始接触到一些url任意重定向,虽然是低危,奖金较低,但是一个厂商所有点的url跳转加起来奖金也比较可观,所以将自己挖掘过程中一点点心得分享一下。 经典钓鱼网站 来看个最典型的 <?php$url=$_GET['URL'];header("Location: $url");?>
OA-EXPTOOL漏洞综合利用框架
介绍 OA-EXPTOOL是一款OA综合利用工具,集合将近20款OA漏洞批量扫描 使用方式 第一次使用脚本请运行pip3 install -r requirements.txt 面板是所有参数了致远就输入 zysc