1推荐

44浏览

Vite任意文件读取漏洞CVE-202

Vite任意文件读取漏洞CVE-202

• 0
• youkill 发布于 2025-04-03 14:59

0推荐

43浏览

XXShop文件上传漏洞修复与绕过思考

漏洞库披露XXShop存在任意文件上传漏洞，XXShop在版本1.1.6中发现了一个严重漏洞。该漏洞影响文件/api/Common/uploadFile的某些未知处理过程。由于参数文件操作不当，导致上传不受限制，攻击者可构造恶意请求上传webshell，执行任意命令,在官方进行修复后的绕过思考。

• 0
• NoneSec 发布于 2025-04-03 11:06

1推荐

10809浏览

IngressNightmare CVE-2025-1974 RCE漏洞复现（超详细）

近期，Ingress-Nginx爆出CVSS评分高达9.8的CVE-2025-1974 RCE漏洞，该漏洞可以和IngressNightmare系列漏洞中的其他模板注入漏洞一起使用达成RCE，本文对其中的3种漏洞组合进行了复现和原理分析。

• 1
• Dubito 发布于 2025-04-01 11:31

0推荐

5865浏览

CVE-2024-56325: Apache Pinot Authentication bypass 漏洞分析

Apache Pinot 是一个实时分布式的 OLAP 数据存储和分析系统。使用它实现低延迟可伸缩的实时分析。Pinot 从离线数据源（包括 Hadoop 和各类文件）和在线数据源（如 Kafka）中攫取数据进行分析。 Apache Pinot 存在身份认证绕过漏洞。如果路径不包含 / 且包含 . 则不需要身份验证。

• 1
• ph0ebus 发布于 2025-03-31 14:52

0推荐

39浏览

Vite任意文件读取与分析复现

Vite任意文件读取与分析复现

• 0
• 小小小小白白 发布于 2025-03-28 10:43

0推荐

86浏览

CVE-2025-30208 Vite任意文件读取漏洞深度剖析与自动化检测实践

摘要： 本文详细分析了 Vite 开发服务器任意文件读取漏洞（CVE-2025-30208)的技术原理、影响范围及利用方式。该漏洞允许攻击者通过构造特殊路径（如 `/@fs/etc/passwd?import&raw??`）读取服务器上的任意文件，导致敏感信息泄露（如系统文件、项目配置等）。文章涵盖以下核心内容： 1. 漏洞原理 2. 自动化检测工具 3. 修复方案 关键词：Vite、任意文件读取、CVE-2025-30208、前端安全、漏洞检测

• 0
• Berial 发布于 2025-03-27 19:02

0推荐

46浏览

红队视角：Gitlab已知攻击面与潜在风险

GitLab 历年来曝出过大量安全漏洞，涵盖远程代码执行（RCE）、提权、SSRF、XSS、任意文件读取、CI/CD 注入以及各种逻辑缺陷等。在红队视角下，这些漏洞尤其值得关注，因为它们往往能被利用实现对GitLab服务器或敏感数据的控制。下面按漏洞类型对关键历史 CVE 和研究案例进行分类梳理，并提供漏洞描述、影响版本、触发点、利用方式等细节。

• 0
• interactsh 发布于 2025-03-27 14:23

0推荐

6924浏览

[热点]CVE-2025-30208 Vite开发服务器任意文件读取漏洞分析

Vite 是一款现代化的前端开发构建工具，它提供了快速的开发服务器和高效的构建能力，广泛应用于 Vue.js 项目的开发过程中。Vite 开发服务器在处理特定 URL 请求时，没有对请求的路径进行严格的安全检查和限制，导致攻击者可以绕过保护机制，非法访问项目根目录外的敏感文件

• 0
• 吃不饱的崽 发布于 2025-03-26 23:04

0推荐

41浏览

Next.js middleware 权限绕过漏洞-cve-2025-29927分析

Next.js 被世界上一些最大的公司所采用，它通过扩展最新的 React 功能并集成强大的基于 Rust 的 JavaScript 工具来实现最快的构建，使您能够创建全栈 Web 应用程序。 该应用的Middleware（中间件）存在未授权漏洞，当使用 middleware 进行身份验证与授权，可利用该漏洞绕过身份验证。攻击者可以访问后台页面。

• 0
• la0gke 发布于 2025-03-24 23:28

0推荐

6420浏览

[热点]CVE-2025-29927 Next.js 中间件鉴权绕过漏洞分析

Next.js 是一个基于 React 的流行 Web 应用框架，提供服务器端渲染、静态网站生成和集成路由系统等功能。当使用中间件进行身份验证和授权时，Next.js 14.2.25 和 15.2.3 之前的版本存在授权绕过漏洞。

• 0
• Stree 发布于 2025-03-24 21:31

0推荐

40浏览

代码审计新蜂商城管理系统漏洞分析

## 一、cms简介： 新蜂是一套电商系统，包括基础版本(Spring Boot+Thymeleaf)、前后端分离版本(Spring Boot+Vue 3+Element-Plus+Vue-Router 4+Pinia+Vant 4) 、秒杀版本、Go语言版本、微服务...

• 0
• 二蛋 发布于 2025-03-15 21:38

0推荐

41浏览

Apache Tomcat样例目录session操纵漏洞

Apache Tomcat样例目录session操纵漏洞

• 0
• u55589494699834 发布于 2025-03-12 17:45

0推荐

57浏览

Tomcat CVE-2025-24813 源码分析复现

Apache Tomcat 应用程序在启用了servlet的写入功能（默认禁用）、使用Tomcat文件会话持久化、存储机制默认位置且包含可反序列化利用的依赖库时可以上传恶意序列化流，并触发反序列化进行进一步利用，可造成远程命令执行等危害。

• 0
• ph0ebus 发布于 2025-03-11 19:56

13推荐

31082浏览

全网首发！CVE-2025-24813 Tomcat 最新 RCE 分析复现

Tomcat最新RCE（CVE-2025-24813）分析复现

• 5
• jweny 发布于 2025-03-11 17:22

0推荐

43浏览

Horde Groupware Webmail 反序列化漏洞分析

Horde Groupware Webmail是美国Horde公司的一套基于浏览器的企业级通信套件。 Horde Groupware Webmail中存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段，修改网络系统或组件的预期的执行控制流。

• 0
• Stree 发布于 2025-02-28 20:44