禅道20.2版本以下SQL注入到RCE漏洞分析

禅道20.2版本以下在个性化设置功能上存在一个未授权sql注入，这注入通过堆叠注入到数据库zt_config表中，将添加后台管理员到zt_user和注入命令执行的定时任务到zt_queue表中，最终实现未授权RCE的效果。

• 0
• 0aspir1ng0 发布于 2025-01-03 15:12

【专刊投稿】CVE-2024-11349漏洞分析

wordpress的主题 AdForest <= 5.1.6 - 登录验证绕过

• 0
• ddddhm111 发布于 2025-01-02 03:57

CVE-2024-33752 emlog pro后台插件任意文件上传 漏洞分析

CVE-2024-33752 是一个在 emlog pro 2.3.0 和 2.3.2 版本中存在的任意文件上传漏洞。该漏洞允许远程攻击者通过发送特殊请求来上传恶意文件，造成任意代码执行漏洞。

• 0
• 吃不饱的崽 发布于 2024-12-27 18:30

Apache Tomcat 条件竞争致远程代码执行漏洞（CVE-2024-50379）

Apache Tomcat的默认servlet在处理文件上传时的TOCTOU条件竞争问题。当默认servlet被配置为允许写入（即readonly初始化参数被设置为非默认值false），在不区分大小写的文件系统上，攻击者可以利用并发读取和上传同一个文件的机会，绕过Tomcat的大小写敏感性检查，导致上传的文件被错误地当作JSP文件处理，从而可能触发远程代码执行。

• 2
• 菜鸡小z 发布于 2024-12-23 02:58

高版本jdk下jndi攻击案例 apache-hertzbeat CVE-2024-45505

今年我在补天白帽大会分享了我和springkill的研究成果《JNDI新攻击面探索》，这里以apache-hertzbeat CVE-2024-45505做一个列子，详细分析高版本jdk下的jndi利用。

• 0
• Unam4 发布于 2024-12-19 23:24

禅道CMS开源版存在SQL注入漏洞

禅道cms开源版存在sql注入漏洞

• 0
• Datch 发布于 2024-12-18 22:40

CVE-2023-0562-银行储物柜管理系统-SQL注入

CVE-2023-0562 是一个针对银行储物柜管理系统的SQL注入漏洞。该漏洞影响了储物柜管理系统中处理用户输入的部分，攻击者可以利用此漏洞未经授权地访问数据库中的敏感信息，甚至修改或删除数据。

• 0
• zhoufish 发布于 2024-12-18 18:22

Google Android存在零宽字符过滤逻辑漏洞

漏洞简介：通过令宽字符可以对没有权限的目录进行增删改查等从操作 影响版本：Android15及以下版本 漏洞复现：因Android13开始 谷歌限制了用户访问Android/data目录，这里以该目录进行复现和...

• 0
• Datch 发布于 2024-12-18 16:07

CVE-2024-42327：Zabbix SQL注入漏洞分析

Zabbix 是一款开源的网络监控和报警系统，用于监视网络设备、服务器和应用程序的性能和可用性。 Zabbix SQL注入漏洞(CVE-2024-42327)，攻击者可以通过API接口，向 user.get API端点发送恶意构造的请求，注入SQL代码，以实现权限提升、数据泄露或系统入侵。

• 0
• ph0ebus 发布于 2024-12-16 21:18

CyberPanel认证绕过及远程命令执行漏洞分析与复现(CVE-2024-51378)

CyberPanel是一个基于OpenLiteSpeed的开源Web控制面板，它提供了一个用户友好的界面，用于管理网站、电子邮件、数据库和FTP账户等。然而，近期奇安信CERT监测到了一个严重的安全漏洞，该漏洞允许未授权的攻击者通过/dns/getresetstatus 和 /ftp/getresetstatus接口执行任意命令，从而获取服务器权限。

• 0
• huyifu 发布于 2024-12-14 17:22

忽略忽略忽略

CyberPanel是一个基于OpenLiteSpeed的开源Web控制面板，它提供了一个用户友好的界面，用于管理网站、电子邮件、数据库和FTP账户等。然而，近期奇安信CERT监测到了一个严重的安全漏洞，该漏洞允许未授权的攻击者通过/dns/getresetstatus 和 /ftp/getresetstatus接口执行任意命令，从而获取服务器权限。

• 0
• huyifu 发布于 2024-12-14 17:22

忽略忽略忽略忽略忽略

• 0
• huyifu 发布于 2024-12-14 17:21

CVE-2024-41010 linux内核中网络调度相关的net/sched部分存在释放后使用漏洞 漏洞利用分析

该漏洞存在于 Linux 内核的流量控制和调度部分。通过特定的操作，攻击者能够触发 UAF（Use-After-Free）漏洞。攻击者可以通过合理的构造条件，在内核内存中写入任意数据，从而造成系统崩溃或进一步的安全威胁。

• 0
• 吃不饱的崽 发布于 2024-12-14 00:28

CVE-2023-1313-cockpit<=2.4.1任意文件上传漏洞

cockpit在2.4.1版本之前存在任意文件上传漏洞

• 1
• zhoufish 发布于 2024-12-13 15:54

gomarkdown漏洞CVE-2024-44337--使用go-fuzz模糊测试引擎进行go项目漏洞

本文将探讨如何利用模糊测试工具go-fuzz，成功发现并分析了gomarkdown项目中的一个重要漏洞，即CVE-2024-44337。该漏洞涉及输入处理不当，能够被恶意攻击者利用，造成程序崩溃或拒绝服务。

• 0
• Brinmon 发布于 2024-12-11 21:43