深圳市捷顺科技实业股份有限公司JieLink+智能终端操作平台存在SQL注入漏

# 关于深圳市捷顺科技实业股份有限公司JieLink+智能终端操作平台存在SQL注入漏洞的情况通报 ## 一、漏洞简介 JieLink+智能终端操作平台存在前台SQL注入漏洞，攻击者可以在未经身份验证情况下...

• 0
• WLwl 发布于 2024-08-02 02:29

用友NC complainbilldetail SQL注入漏洞

用友NC是用友网络科技股份有限公司开发的一款大型企业数字化平台。它主要用于企业的财务核算、成本管理、资金管理、固定资产管理、应收应付管理等方面的工作，致力于帮助企业建立科学的财务管理体系，提高财务核算的准确性和效率。 用友NC 存在SQL注入漏洞，未授权的攻击者可以通过该漏洞获取数据库敏感信息。

• 0
• la0gke 发布于 2024-07-31 22:24

CVE-2024-36412 SuiteCRM未授权sql注入分析

SuiteCRM是一个开源的客户关系管理(CRM)软件应用程序。在版本7.14.4和8.6.1之前存在未授权SQL注入漏洞，本文对CVE-2024-36412这个漏洞进行复现和分析，以及注入点的特殊性做了解释。

• 1
• xpjoker 发布于 2024-07-31 20:34

Laravel 11.x 反序列化链分析

Laravel 是用 PHP 编写的开源 Web 应用程序框架。Laravel发布了一个反序列化漏洞，分析过程参考https://gitee.com/Q16G/laravel_bug/blob/master/laravelBug.md，分析过后尝试寻找其他的利用链，最终找到两条利用链

• 2
• kakakakaxi 发布于 2024-07-31 18:04

海康综合安防 installation远程命令执行

app="HIKVISION-iSecure-Center" 漏洞点位于 `/webapps/center/WEB-INF/lib/hik-icd-installmanager-1.3.0-SNAPSHOT.jar!/com/hikvision/installmanager/controller/deployment...

• 0
• 用户102514019 发布于 2024-07-30 23:31

海康综合安防 installation远程命令执行

• 0
• 用户102514019 发布于 2024-07-30 23:30

ThinkPHP v5.0.24 反序列化漏洞

简单跟一下tp5的链子吧

• 0
• P4tt0n 发布于 2024-07-29 21:48

联奕统一身份认证任意登录-漏洞分析

联奕科技股份有限公司隶属于北京华宇软件股份有限公司，属于“国家高新技术企业”、“国家规划布局内重点软件企业”及“国家信息技术服务标准工作组全权成员单位（ITSS）”，具有“信息系统集成及服务二级资质”、“CCRC信息安全服务集成二级资质”、“计算机信息系统安全服务一级资质” 身份认证管理系统作为数字化校园的安全认证及授权中心，可构建一个完整统一、高效稳定、安全可靠的集中身份管理和身份认证平台。

• 0
• 鬼魅 发布于 2024-07-25 17:35

某远OA后台RCE constDef.do命令执行漏洞分析

某远OA constDef.do命令执行漏洞分析学习。

• 0
• fany 发布于 2024-07-25 16:14

泛微ecology WorkPlanService SQL注入

# 泛微OA WorkPlanService SQL注入 ## 漏洞简介 攻击者利用此漏洞可以执行任意SQL命令，包括但不限于或者数据库中的用户名密码等。 ## 测绘语句 fofa：app="泛微-OA（e-cology）&q...

• 0
• zhizhuo 发布于 2024-07-23 16:13

UI for Apache Kafka 远程代码执行漏洞

UI for Apache Kafka 是 Provectus 开源的针对 Apache Kafka 的一款管理界面。kafka-ui 0.4.0版本至0.7.1版本存在安全漏洞，第一个漏洞可执行任意的 Groovy 脚本，第二个漏洞可通过滥用 Kafka UI 连接到恶意 JMX 服务器来利用，从而通过不安全的反序列化导致 RCE。UI for Apache Kafka 默认情况下没有开启认证授权。

• 1
• Stree 发布于 2024-07-23 11:05

NACOS GITHUB 0day漏洞分析与利用

nacos 是一个开源的微服务发现、管理、配置平台， /nacos/v1/cs/ops/data/removal 接口可以未授权访问，此接口可以执行用户上传文件的任意SQL语句，导致RCE漏洞。

• 0
• mtcz91 发布于 2024-07-23 00:49

ngrinder漏洞分析 （CVE-2024-28211|28212|28213）

nGrinder是一个压力测试平台，能够同时执行脚本创建、测试执行、监控和结果报告生成器。 nGrinder 3.5.9之前版本存在安全漏洞，漏洞源于允许接受未经身份验证用户的序列化Java对象，可能允许远程攻击者通过不安全的Java对象反序列化执行任意代码。

• 0
• kakakakaxi 发布于 2024-07-22 21:25

CVE-2024-36401 GeoServer远程代码执行

GeoServer调用的GeoTools库API，在解析特性类型的属性/属性名称时，以不安全的方式将它们传递给commons-jxpath库，当解析XPath表达式时可以执行任意代码。

• 0
• Stree 发布于 2024-07-22 21:02

CVE-2024-36104Apache OFBiz 最新Grovvy代码执行漏洞

爆出了CVE-2024-36104这个漏洞，实际上CVE-2024-32113和新爆出的CVE-2024-36104应该都是基于webtools/control/ProgramExport这个接口所产生的漏洞，该接口用于后台执行groovy代码，攻击者可以通过恶意的groovy代码实现任意命令执行

• 0
• kakakakaxi 发布于 2024-07-22 20:16