0推荐

190浏览

CVE-2025-22235：Spring Boot EndpointRequest.to() 错误导致认证绕过漏洞分析复现

Spring Boot是一个开放源代码Java框架，用于开发独立、产品等级的Spring应用程序，和节省开发人员工作量。该漏洞涉及 Spring Boot 中 `EndpointRequest.to()` 方法在配置安全规则时可能生成错误的匹配器，导致未暴露的执行器端点路径（如 `/null/**`）的安全保护失效。

0
la0gke 发布于 3天前

0推荐

459浏览

CVE-2025-22228：Spring Security BCryptPasswordEncoder 不强制最大密码长度

Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。 `BCryptPasswordEncoder.matches(CharSequence,String)``true`只要前 72 个字符相同，就会错误地返回大于 72 个字符的密码。

0
la0gke 发布于 2025-04-22 14:35

0推荐

6浏览

CVE-2024-24576 深度剖析：Rust安全神话崩塌背后的系统性工程灾难

Rust安全神话崩塌背后的系统性工程灾难

0
锦忆梦发布于 2025-04-10 13:10

0推荐

3浏览

CVE-2024-24576 漏洞分析：Rust的“安全神话”为何在Windows命令执行中崩塌？

## **▍前置知识：理解漏洞的技术基石** ### **1\. Rust的安全承诺与系统编程的现实困境** （**技术热点**：Rust的所有权模型、跨层攻击面） **Rust语言设计哲学**： - **内存安全...

0
锦忆梦发布于 2025-04-10 13:06

2推荐

1847浏览

CVE-2025-27610 Rack 本地文件包含漏洞分析报告

3月10日，rack爆出一个本地文件包含漏洞，一直没有时间看看是什么情况，今天有时间本地搭建起来分析一下。

0
带头小弟。发布于 2025-04-09 15:49

0推荐

2浏览

如何快速复现/挖掘一个漏洞？CodeAuditAssistant高阶技巧

本文章介绍如何使用CodeAuditAssistant提升你的代码审计效率以及跨线程发现漏洞。

0
SpringKill 发布于 2025-04-08 22:39

0推荐

4浏览

如何快速复现/挖掘一个漏洞？CodeAuditAssistant高阶技巧

本文章介绍如何使用CodeAuditAssistant提升你的代码审计效率以及跨线程发现漏洞。

0
SpringKill 发布于 2025-04-08 22:37

0推荐

8浏览

CVE-2024-36465：Zabbix SQL注入漏洞分析

Zabbix 是一款开源的网络监控和报警系统，用于监视网络设备、服务器和应用程序的性能和可用性。一个具有 API 访问权限的低权限（常规）Zabbix 用户可以利用 include/classes/api/CApiService.php 中的 SQL 注入漏洞，通过 groupBy 参数执行任意 SQL 命令。

0
ph0ebus 发布于 2025-04-04 14:33

2推荐

2156浏览

CVE-2024-36465：Zabbix SQL注入漏洞分析

Zabbix 是一款开源的网络监控和报警系统，用于监视网络设备、服务器和应用程序的性能和可用性。一个具有 API 访问权限的低权限（常规）Zabbix 用户可以利用 include/classes/api/CApiService.php 中的 SQL 注入漏洞，通过 groupBy 参数执行任意 SQL 命令。

0
ph0ebus 发布于 2025-04-04 14:27

1推荐

7浏览

Vite任意文件读取漏洞CVE-202

0
youkill 发布于 2025-04-03 14:59

0推荐

9浏览

XXShop文件上传漏洞修复与绕过思考

漏洞库披露XXShop存在任意文件上传漏洞，XXShop在版本1.1.6中发现了一个严重漏洞。该漏洞影响文件/api/Common/uploadFile的某些未知处理过程。由于参数文件操作不当，导致上传不受限制，攻击者可构造恶意请求上传webshell，执行任意命令,在官方进行修复后的绕过思考。

0
NoneSec 发布于 2025-04-03 11:06

0推荐

3203浏览

IngressNightmare CVE-2025-1974 RCE漏洞复现（超详细）

近期，Ingress-Nginx爆出CVSS评分高达9.8的CVE-2025-1974 RCE漏洞，该漏洞可以和IngressNightmare系列漏洞中的其他模板注入漏洞一起使用达成RCE，本文对其中的3种漏洞组合进行了复现和原理分析。

1
Dubito 发布于 2025-04-01 11:31

0推荐

2103浏览

CVE-2024-56325: Apache Pinot Authentication bypass 漏洞分析

Apache Pinot 是一个实时分布式的 OLAP 数据存储和分析系统。使用它实现低延迟可伸缩的实时分析。Pinot 从离线数据源（包括 Hadoop 和各类文件）和在线数据源（如 Kafka）中攫取数据进行分析。 Apache Pinot 存在身份认证绕过漏洞。如果路径不包含 / 且包含 . 则不需要身份验证。

1
ph0ebus 发布于 2025-03-31 14:52

0推荐

7浏览

Vite任意文件读取与分析复现

0
小小小小白白发布于 2025-03-28 10:43

0推荐

15浏览

CVE-2025-30208 Vite任意文件读取漏洞深度剖析与自动化检测实践

摘要：本文详细分析了 Vite 开发服务器任意文件读取漏洞（CVE-2025-30208)的技术原理、影响范围及利用方式。该漏洞允许攻击者通过构造特殊路径（如 `/@fs/etc/passwd?import&raw??`）读取服务器上的任意文件，导致敏感信息泄露（如系统文件、项目配置等）。文章涵盖以下核心内容： 1. 漏洞原理 2. 自动化检测工具 3. 修复方案关键词：Vite、任意文件读取、CVE-2025-30208、前端安全、漏洞检测

0
Berial 发布于 2025-03-27 19:02

CVE-2025-22235：Spring Boot EndpointRequest.to() 错误导致认证绕过漏洞分析复现

CVE-2025-22228：Spring Security BCryptPasswordEncoder 不强制最大密码长度

CVE-2024-24576 深度剖析：Rust安全神话崩塌背后的系统性工程灾难

CVE-2024-24576 漏洞分析：Rust的“安全神话”为何在Windows命令执行中崩塌？

CVE-2025-27610 Rack 本地文件包含漏洞分析报告

如何快速复现/挖掘一个漏洞？CodeAuditAssistant高阶技巧

如何快速复现/挖掘一个漏洞？CodeAuditAssistant高阶技巧

CVE-2024-36465：Zabbix SQL注入漏洞分析

CVE-2024-36465：Zabbix SQL注入漏洞分析

Vite任意文件读取漏洞CVE-202

XXShop文件上传漏洞修复与绕过思考

IngressNightmare CVE-2025-1974 RCE漏洞复现（超详细）

CVE-2024-56325: Apache Pinot Authentication bypass 漏洞分析

Vite任意文件读取与分析复现

CVE-2025-30208 Vite任意文件读取漏洞深度剖析与自动化检测实践

相关标签

推荐用户