0推荐

5浏览

Next.js middleware 权限绕过漏洞-cve-2025-29927分析

Next.js 被世界上一些最大的公司所采用，它通过扩展最新的 React 功能并集成强大的基于 Rust 的 JavaScript 工具来实现最快的构建，使您能够创建全栈 Web 应用程序。 该应用的Middleware（中间件）存在未授权漏洞，当使用 middleware 进行身份验证与授权，可利用该漏洞绕过身份验证。攻击者可以访问后台页面。

• 0
• la0gke 发布于 2025-03-24 23:28

0推荐

3137浏览

[热点]CVE-2025-29927 Next.js 中间件鉴权绕过漏洞分析

Next.js 是一个基于 React 的流行 Web 应用框架，提供服务器端渲染、静态网站生成和集成路由系统等功能。当使用中间件进行身份验证和授权时，Next.js 14.2.25 和 15.2.3 之前的版本存在授权绕过漏洞。

• 0
• Stree 发布于 2025-03-24 21:31

0推荐

2浏览

代码审计新蜂商城管理系统漏洞分析

## 一、cms简介： 新蜂是一套电商系统，包括基础版本(Spring Boot+Thymeleaf)、前后端分离版本(Spring Boot+Vue 3+Element-Plus+Vue-Router 4+Pinia+Vant 4) 、秒杀版本、Go语言版本、微服务...

• 0
• 二蛋 发布于 2025-03-15 21:38

0推荐

6浏览

Apache Tomcat样例目录session操纵漏洞

Apache Tomcat样例目录session操纵漏洞

• 0
• u55589494699834 发布于 2025-03-12 17:45

0推荐

20浏览

Tomcat CVE-2025-24813 源码分析复现

Apache Tomcat 应用程序在启用了servlet的写入功能（默认禁用）、使用Tomcat文件会话持久化、存储机制默认位置且包含可反序列化利用的依赖库时可以上传恶意序列化流，并触发反序列化进行进一步利用，可造成远程命令执行等危害。

• 0
• ph0ebus 发布于 2025-03-11 19:56

10推荐

17637浏览

全网首发！CVE-2025-24813 Tomcat 最新 RCE 分析复现

Tomcat最新RCE（CVE-2025-24813）分析复现

• 4
• jweny 发布于 2025-03-11 17:22

0推荐

8浏览

Horde Groupware Webmail 反序列化漏洞分析

Horde Groupware Webmail是美国Horde公司的一套基于浏览器的企业级通信套件。 Horde Groupware Webmail中存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段，修改网络系统或组件的预期的执行控制流。

• 0
• Stree 发布于 2025-02-28 20:44

2推荐

6055浏览

CNVD-2025-04094 Ollama 未授权访问漏洞

DeepSeek 本地化部署有风险！Ollama 是一个开源的大语言模型（LLM）运行环境和工具集，旨在帮助开发者轻松部署、管理和使用模型（如 DeepSeek 等）。 Ollama 存在未授权访问漏洞，攻击者可以直接访问敏感接口进行读取、下载或删除私有模型文件，或滥用模型推理资源等高危操作。

• 0
• la0gke 发布于 2025-02-28 19:00

1推荐

2921浏览

用友 U8Cloud MeasureQResultAction SQL注入漏洞分析

U8cloud系统MeasureQResultAction接口存在SQL注入漏洞，攻击者未经授权可以访问数据库中的数据，从而盗取用户数据，造成用户信息泄露。

• 0
• chobits 发布于 2025-02-25 08:56

0推荐

7浏览

某CRM-v2023-08版本存在-SQL注入漏洞

某CRM-v2023-08版本存在-SQL注入漏洞

• 0
• cocol 发布于 2025-02-17 09:52

0推荐

11浏览

EMLOG 存在模板文件上传漏洞

EMLOG 存在模板文件上传漏洞

• 0
• cocol 发布于 2025-02-17 09:12

0推荐

3718浏览

CVE-2024-39503 Linux内核netfilter子系统中竞态条件漏洞分析与利用

CVE-2024-39503是Linux内核ip_set子系统中的一个竞态条件漏洞。该漏洞存在于 net/netfilter/ipset/ip_set_list_set.c 模块，由于垃圾回收机制（GC）与网络命名空间清理操作之间的同步缺陷，导致用户态释放后使用（UAF）漏洞。攻击者可利用该漏洞在内核空间实现任意代码执行，最终获取root权限。

• 0
• 吃不饱的崽 发布于 2025-02-02 21:57

0推荐

4785浏览

CVE-2024-52046 Apache mina 反序列化漏洞简单分析

最近披露了一个新的apache下述产品mina的CVE-2024-52046反序列化漏洞，这个产品mina之前没有接触过，好奇心驱使之下准备一下并记录一下学习的过程

• 0
• 鸣蜩十四 发布于 2025-01-22 18:01

0推荐

3浏览

【专刊投稿】从开发者视角看逻辑漏洞和越权

以go的gin后端框架为例子，详细剖析了各种逻辑越权漏洞的成因已经对应防范手段，也为白帽子提供挖掘思路

• 0
• 7ech_N3rd 发布于 2025-01-20 11:59

0推荐

21浏览

Pear Admin Boot2.0.2-后台 loadDictItem接口SQL注入（CVE-2024-6266）

这是一篇新手能快速上手，快速找到成就感的文章

• 0
• 大胡子将军 发布于 2025-01-10 15:42