0推荐

1202浏览

用友U8 Cloud系统FilterCondAction方法SQL注入漏洞分析

用友U8 Cloud系统FilterCondAction方法存在SQL注入漏洞，攻击者可获取数据库敏感信息

0
chobits 发布于 2025-07-02 22:38

0推荐

1053浏览

用友NC saveProDefServlet SQL注入漏洞分析

用友NC系统saveProDefServlet方法存在SQL注入漏洞，攻击者可获取数据库敏感信息。

1
chobits 发布于 2025-07-01 22:35

0推荐

1662浏览

用友NC UserAuthenticationServlet反序列化漏洞分析

## 一、漏洞简介用友NC系统`UserAuthenticationServlet`方法存在反序列化漏洞，攻击者可执行任意命令，获取敏感信息。 ## 二、影响版本用友NC6.5 ## 三、漏洞原理分析漏洞位...

0
chobits 发布于 2025-06-22 21:42

3推荐

4318浏览

用友 U8Cloud FileServlet 任意文件读取漏洞分析

U8cloud系统FileServlet接口存在任意文件读取漏洞，攻击者读取系统任意文件，造成敏感信息泄露

2
chobits 发布于 2025-05-12 16:12

1推荐

4022浏览

用友 U8Cloud NCPortalServlet XXE漏洞分析

U8cloud系统NCPortalServlet接口存在XML注入漏洞，攻击者未经授权可以访问系统文件中的数据，造成敏感信息泄露

0
chobits 发布于 2025-05-08 16:10

0推荐

39浏览

求一个大S，渗透测试一个网站，有偿

详细可以私聊我，如没回复，可V我13940185952，需要一个国外网站的后台地址+账号+密码。如果不信我，我可以立刻飞到你身边，面聊。

0
LANLANLAN 发布于 2025-05-08 13:35

0推荐

3869浏览

CNVD-2024-24400 TOTOLINK路由器N200RE存在命令执行漏洞

# 一、漏洞简介 TOTOLINK路由器在其多个版本中存在一个安全漏洞，该漏洞源于其`cgi-web`目录中的文件未对用户输入进行适当的过滤。由于这个问题，攻击者可以通过精心构造恶意请求，利用未过滤...

1
zhecho 发布于 2025-05-08 13:30

1推荐

3760浏览

【热点】browser-use WebUI pickle 反序列化漏洞分析与复现

browser-use WebUI是基于browser-use的AI Agent应用，存在一个pickle反序列化漏洞，未经授权的远程攻击者可以利用该接口发送恶意的序列化数据，实现在服务端执行任意代码，导致服务器失陷。

0
reset 发布于 2025-04-30 15:50

1推荐

4163浏览

CNVD-2024-22977 金和C6协同管理平台文件上传漏洞

北京金和网络股份有限公司金和C6协同管理平台存在文件上传漏洞，攻击者可利用漏洞上传恶意文件，获取服务器权限。

0
chobits 发布于 2025-04-29 13:43

0推荐

45浏览

用友NC expertschedule SQL注入漏洞分析

**一、前言** 前两天看到一个用友NC漏洞预警 ![image.png](https://cdn-yg-zzbm.yun.qianxin.com/attack-forum/2025/04/attach-36132258bd4145b90b121ba3715020ace69f9a2c.png) 发现24...

0
WLwl 发布于 2025-04-27 23:04

0推荐

61浏览

未上线小程序，啥都没有？

之前接到了一个项目，对一个未上线的小程序进行测试，后来发现这个小程序啥都没有，啥交互功能都没，那有什么思路可以测一测呢？

0
薛定谔不喜欢猫发布于 2025-04-19 19:10

0推荐

3453浏览

用友U8Cloud getReportIdsByTaskId方法-多处SQL注入漏洞分析

## 一、漏洞简介 U8cloud系统`getReportIdsByTaskId`方法存在SQL注入漏洞，未经权限校验调用该方法的服务就会存在SQL注入漏洞，攻击者未经授权可以访问数据库中的数据，从而盗取用户数据，造...

0
chobits 发布于 2025-04-14 10:38

0推荐

57浏览

CVE-2025-32375 | Windows下复现 BentoML runner 服务器远程命令执行漏洞

CVE-2025-32375，BentoML runner 服务器远程命令执行漏洞。该漏洞是BentoML 的 runner 服务器中存在不安全的反序列化，攻击者可以通过在 POST 请求中设置特定的标头和参数，可以在服务器上执行任何未经授权的任意代码，这将授予攻击者在服务器上进行初始访问和信息泄露的权限。

0
reset 发布于 2025-04-11 22:50

0推荐

63浏览

CVE-2025-30208 Vite任意文件读取漏洞深度剖析与自动化检测实践

摘要：本文详细分析了 Vite 开发服务器任意文件读取漏洞（CVE-2025-30208)的技术原理、影响范围及利用方式。该漏洞允许攻击者通过构造特殊路径（如 `/@fs/etc/passwd?import&raw??`）读取服务器上的任意文件，导致敏感信息泄露（如系统文件、项目配置等）。文章涵盖以下核心内容： 1. 漏洞原理 2. 自动化检测工具 3. 修复方案关键词：Vite、任意文件读取、CVE-2025-30208、前端安全、漏洞检测

0
Berial 发布于 2025-03-27 19:02

0推荐