使用 Grafana（一种开源数据可视化和监控解决方案，可推动明智的决策、提高系统性能并简化故障排除）通过漂亮的仪表板轻松收集、关联和可视化数据。Grafana 实验性 SQL 表达式功能中的一个 DuckDB SQL 注入漏洞。任何经过身份验证的用户都可以通过修改 Grafana 仪表板中的表达式执行任意 DuckDB SQL 查询。

2
la0gke 发布于 2024-10-21 17:03

0推荐

68浏览

记一次某CMS反序列化任意文件删除的审计过程

一开始心血来潮想审计PHP系统，于是网上找了找一些开源比较知名的系统，于是找到了某CMS最新版，通过观察最近好像没出过什么大洞，于是想审计一下，跟随之前大佬挖漏洞的思路，尝试挖掘一下最新版的漏洞。其中会涉及到一些漏洞基础原理，关键部分会进行模糊处理，希望各位大佬理解，菜鸡一枚，勿喷/(ㄒoㄒ)/~~

0
PumpkinBridge 发布于 2024-10-17 10:04

0推荐

67浏览

某孚盟云文件读取漏洞1day分析过程

孚盟云文件读取漏洞分析漏洞描述孚盟云产品通过云模式为用户提供信息化管理服务，使异地办公更加高效便捷，并大幅降低中小企业的信息化建设成本。中小企业可以以较小的投入，享受与大型企业相...

0
cocol 发布于 2024-10-17 09:46

0推荐

55浏览

记一次某CMS审计

某次挖掘src的时候遇到到了该系统，网上关于这个系统的漏洞信息不是很多，由于是开源的CMS系统，就去官网下载了一套最新版尝试审计，关键部分可能会进行模糊处理，主要是分享一下自己代码审计的过程，希望各位大佬理解，勿喷/(ㄒoㄒ)/~~，文章同时会涉及一些比较基础的漏洞原理和方法，方便各大读者理解

0
PumpkinBridge 发布于 2024-10-12 14:12

0推荐

50浏览

记一次某CMS审计过程

一开始心血来潮想审计PHP系统，于是网上找了找一些开源比较知名的系统，于是找到了某CMS最新版，通过观察最近好像没出过什么大洞，于是想审计一下，跟随之前大佬挖漏洞的思路，尝试挖掘一下最新版的漏洞。其中会涉及到一些漏洞基础原理，关键部分会进行模糊处理，希望各位大佬理解，菜鸡一枚，勿喷/(ㄒoㄒ)/~~

0
PumpkinBridge 发布于 2024-10-12 13:57

3推荐

14374浏览

信呼OA办公系统最新漏洞--uploadAction 存在SQL注入

信呼OA办公系统是一个开源的在线办公系统。信呼OA办公系统uploadAction存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息

1
xiao1star 发布于 2024-10-10 19:48

1推荐

11721浏览

Apache HertzBeat反序列化

Apache HertzBeat 是开源的实时监控工具，受影响版本中未对用户可控的 Yaml 文件有效过滤，经过身份验证的攻击者可构造恶意 Yaml 文件远程执行任意代码。

0
买橘子发布于 2024-10-09 21:31

1推荐

51浏览

CNVD-2024-38103 jpress文件上传漏洞分析及复现

本文分析了JPress框架Windows部署下最新文件上传漏洞的原理，以及对漏洞进行复现

0
lazy_forever 发布于 2024-10-06 00:39

某次代码审计从0day变Nday的路程（漏洞分析）

Jenkins Remoting 任意文件读取漏洞(CVE-2024-43044) 复现

CVE-2024-3431漏洞分析及突破 500 字符限制

CVE-2024-45216 Apache Solr 身份验证绕过漏洞简析

Ruby-SAML 、OmniAuth-SAML Bypass(CVE-2024-45409)

CVE-2024-38821-Spring Security 静态资源权限绕过漏洞分析复现

某小学智慧校园信息管理系统文件上传漏洞分析和SQL漏洞(1day)分析

Grafana Post-Auth DuckDB SQL 注入（文件读取）