0推荐

933浏览

泛微云桥e-Bridge任意文件上传漏洞分析

关于最近爆的泛微云桥e-Bridge文件上传感觉很有意思，这个文件上传是绕过了安全函数对.jsp后缀检测，一个多请求文件上传，通过后一个正常图片的请求覆盖Hash表，回传uploadFile对象实现回传而绕过isSafeFile方法对后缀的检测

0
Harder 发布于 2024-08-08 22:07

0推荐

947浏览

某微云桥e-Bridge addResume 任意文件上传漏洞分析

0
webqs 发布于 2024-08-08 14:06

0推荐

939浏览

海康威视iSecure Center综合安防管理平台认证绕过分析

## 认证绕过依赖项在每一个模块的`cas-client.properties`文件中，都有如下字段的参数配置 \# 不拦截的地址，支持正则表达式，按照组件需求配置 cas.ignore.pattern\=/login,\*.html,...

0
la0gke 发布于 2024-08-07 17:47

0推荐

6325浏览

用友 U8Cloud Actionservlet sQL注入漏洞分析

U8cloud系统MeasureQueryFrameAction接口存在SQL注入漏洞，攻击者未经授权可以访问数据库中的数据，从而盗取用户数据，造成用户信息泄露。

0
la0gke 发布于 2024-08-07 17:07

0推荐

6452浏览

CVE-2024-28255 OpenMetadata远程命令执行漏洞

OpenMetadata远程命令执行漏洞(CVE-2024-28255)

0
买橘子发布于 2024-08-06 20:32

0推荐

5940浏览

CVE-2024-38856 Apache OFBiz Authentication Bypass

自去年CVE-2023-51467爆出后，起初我是不太想再看这个系统了，但年初连续的三个权限绕过相关的CVE编号又让我产生了好奇，随着对三个历史漏洞分析的过程中，我也发现这三个漏洞的影响面其实并没有特别严重，但思路值得学习但随着进一步的深入分析，最终找到了一个新的利用方式

0
Y4tacker 发布于 2024-08-05 22:49

2推荐

14254浏览

蓝凌OA WechatLoginHelper.do SQL注入漏洞复现分析

蓝凌OA的wechatLoginHelper.do接口处存在SQL注入漏洞，攻击者可以利用 SQL 注入漏洞获取数据库中的信息（管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

0
F82 发布于 2024-08-05 21:20

0推荐

12006浏览

帆软 FineReport SQL 注入漏洞

通过分析帆软v10的路由特点,利用asm来获取所有可未授权访问的接口,最后快速定位到该漏洞具体位置

1
yrf2314 发布于 2024-08-05 15:39

0推荐

6821浏览

Spring Cloud Data Flow 漏洞分析（CVE-2024-22263|CVE-2024-37084）

Spring Cloud Data Flow（SCDF）是一个基于微服务的工具包，用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。SCDF中一个核心组件Spring Cloud Skipper负责处理应用程序的部署、升级和回滚等操作。该系统2.11.4版本以下存在任意文件写入漏洞（CVE-2024-22263）和代码执行漏洞（CVE-2024-37084）

1
kakakakaxi 发布于 2024-08-05 11:49

0推荐

959浏览

海康威视IP网络对讲系统前台文件上传

该系统上传文件接口没有做权限限制导致任意文件上传该系统/upload/upload.html页面存在未授权访问，且没有对上传的文件做任何限制导致前台任意文件上传，进一步丢失服务器权限

0
魔魔发布于 2024-08-05 10:50

2推荐

7237浏览

积木报表AviatorScript代码注入RCE分析

积木报表软件存在AviatorScript代码注入RCE漏洞。使用接口/jmreport/save处在text中写入AviatorScript表达式。访问/jmreport/show触发AviatorScript解析从而导致命令执行。

3
Yu9 发布于 2024-08-04 18:34

0推荐

952浏览

OpenMetadata远程命令执行漏洞(CVE-2024-28255)

0
买橘子发布于 2024-08-03 15:33

2推荐

6018浏览

CVE-2024-32002 Git clone远程命令执行

当用户使用管理员权限执行git clone —recursive 克隆一个恶意仓库时，git中存在的漏洞会触发远程代码执行攻击者可以创建恶意的仓库，诱导使用git的用户clone，从而在客户端执行任意的系统命令

0
鼠标猴子爱吃香蕉发布于 2024-08-03 15:02

0推荐

7271浏览

海康威视综合安防管理平台clusters页面文件上传漏洞

1
买橘子发布于 2024-08-03 12:13

1推荐

5880浏览

悦库企业网盘 userlogin.html SQL注入漏洞

悦库企业网盘是一款专为满足企业文件管理，协同办公、文件共享需求而设计的私有部署安全、简单的企业文件管理系统。登录框接口`/user/login/.html`处存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库的数据，还可以写入木马，控制服务器。 ## 二、影响版本

0
la0gke 发布于 2024-08-02 17:17

泛微云桥e-Bridge任意文件上传漏洞分析

某微云桥e-Bridge addResume 任意文件上传漏洞分析

海康威视iSecure Center综合安防管理平台认证绕过分析

用友 U8Cloud Actionservlet sQL注入漏洞分析

CVE-2024-28255 OpenMetadata远程命令执行漏洞

CVE-2024-38856 Apache OFBiz Authentication Bypass

蓝凌OA WechatLoginHelper.do SQL注入漏洞复现分析

帆软 FineReport SQL 注入漏洞

Spring Cloud Data Flow 漏洞分析（CVE-2024-22263|CVE-2024-37084）

海康威视IP网络对讲系统前台文件上传

积木报表AviatorScript代码注入RCE分析

OpenMetadata远程命令执行漏洞(CVE-2024-28255)

CVE-2024-32002 Git clone远程命令执行

海康威视综合安防管理平台clusters页面文件上传漏洞

悦库企业网盘 userlogin.html SQL注入漏洞

相关标签

推荐用户