0推荐

21浏览

Vite任意文件读取与分析复现

Vite任意文件读取与分析复现

• 0
• 小小小小白白 发布于 2025-03-28 10:43

0推荐

65浏览

CVE-2025-30208 Vite任意文件读取漏洞深度剖析与自动化检测实践

摘要： 本文详细分析了 Vite 开发服务器任意文件读取漏洞（CVE-2025-30208)的技术原理、影响范围及利用方式。该漏洞允许攻击者通过构造特殊路径（如 `/@fs/etc/passwd?import&raw??`）读取服务器上的任意文件，导致敏感信息泄露（如系统文件、项目配置等）。文章涵盖以下核心内容： 1. 漏洞原理 2. 自动化检测工具 3. 修复方案 关键词：Vite、任意文件读取、CVE-2025-30208、前端安全、漏洞检测

• 0
• Berial 发布于 2025-03-27 19:02

0推荐

21浏览

红队视角：Gitlab已知攻击面与潜在风险

GitLab 历年来曝出过大量安全漏洞，涵盖远程代码执行（RCE）、提权、SSRF、XSS、任意文件读取、CI/CD 注入以及各种逻辑缺陷等。在红队视角下，这些漏洞尤其值得关注，因为它们往往能被利用实现对GitLab服务器或敏感数据的控制。下面按漏洞类型对关键历史 CVE 和研究案例进行分类梳理，并提供漏洞描述、影响版本、触发点、利用方式等细节。

• 0
• interactsh 发布于 2025-03-27 14:23

0推荐

5580浏览

[热点]CVE-2025-30208 Vite开发服务器任意文件读取漏洞分析

Vite 是一款现代化的前端开发构建工具，它提供了快速的开发服务器和高效的构建能力，广泛应用于 Vue.js 项目的开发过程中。Vite 开发服务器在处理特定 URL 请求时，没有对请求的路径进行严格的安全检查和限制，导致攻击者可以绕过保护机制，非法访问项目根目录外的敏感文件

• 0
• 吃不饱的崽 发布于 2025-03-26 23:04

0推荐

20浏览

Next.js middleware 权限绕过漏洞-cve-2025-29927分析

Next.js 被世界上一些最大的公司所采用，它通过扩展最新的 React 功能并集成强大的基于 Rust 的 JavaScript 工具来实现最快的构建，使您能够创建全栈 Web 应用程序。 该应用的Middleware（中间件）存在未授权漏洞，当使用 middleware 进行身份验证与授权，可利用该漏洞绕过身份验证。攻击者可以访问后台页面。

• 0
• la0gke 发布于 2025-03-24 23:28

0推荐

5059浏览

[热点]CVE-2025-29927 Next.js 中间件鉴权绕过漏洞分析

Next.js 是一个基于 React 的流行 Web 应用框架，提供服务器端渲染、静态网站生成和集成路由系统等功能。当使用中间件进行身份验证和授权时，Next.js 14.2.25 和 15.2.3 之前的版本存在授权绕过漏洞。

• 0
• Stree 发布于 2025-03-24 21:31

0推荐

17浏览

代码审计新蜂商城管理系统漏洞分析

## 一、cms简介： 新蜂是一套电商系统，包括基础版本(Spring Boot+Thymeleaf)、前后端分离版本(Spring Boot+Vue 3+Element-Plus+Vue-Router 4+Pinia+Vant 4) 、秒杀版本、Go语言版本、微服务...

• 0
• 二蛋 发布于 2025-03-15 21:38

0推荐

21浏览

Apache Tomcat样例目录session操纵漏洞

Apache Tomcat样例目录session操纵漏洞

• 0
• u55589494699834 发布于 2025-03-12 17:45

0推荐

36浏览

Tomcat CVE-2025-24813 源码分析复现

Apache Tomcat 应用程序在启用了servlet的写入功能（默认禁用）、使用Tomcat文件会话持久化、存储机制默认位置且包含可反序列化利用的依赖库时可以上传恶意序列化流，并触发反序列化进行进一步利用，可造成远程命令执行等危害。

• 0
• ph0ebus 发布于 2025-03-11 19:56

12推荐

26079浏览

全网首发！CVE-2025-24813 Tomcat 最新 RCE 分析复现

Tomcat最新RCE（CVE-2025-24813）分析复现

• 5
• jweny 发布于 2025-03-11 17:22

0推荐

24浏览

Horde Groupware Webmail 反序列化漏洞分析

Horde Groupware Webmail是美国Horde公司的一套基于浏览器的企业级通信套件。 Horde Groupware Webmail中存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段，修改网络系统或组件的预期的执行控制流。

• 0
• Stree 发布于 2025-02-28 20:44

2推荐

8866浏览

CNVD-2025-04094 Ollama 未授权访问漏洞

DeepSeek 本地化部署有风险！Ollama 是一个开源的大语言模型（LLM）运行环境和工具集，旨在帮助开发者轻松部署、管理和使用模型（如 DeepSeek 等）。 Ollama 存在未授权访问漏洞，攻击者可以直接访问敏感接口进行读取、下载或删除私有模型文件，或滥用模型推理资源等高危操作。

• 0
• la0gke 发布于 2025-02-28 19:00

1推荐

4603浏览

用友 U8Cloud MeasureQResultAction SQL注入漏洞分析

U8cloud系统MeasureQResultAction接口存在SQL注入漏洞，攻击者未经授权可以访问数据库中的数据，从而盗取用户数据，造成用户信息泄露。

• 0
• chobits 发布于 2025-02-25 08:56

0推荐

18浏览

某CRM-v2023-08版本存在-SQL注入漏洞

某CRM-v2023-08版本存在-SQL注入漏洞

• 0
• cocol 发布于 2025-02-17 09:52

0推荐

20浏览

EMLOG 存在模板文件上传漏洞

EMLOG 存在模板文件上传漏洞

• 0
• cocol 发布于 2025-02-17 09:12