16推荐

33739浏览

全网首发！CVE-2025-24813 Tomcat 最新 RCE 分析复现

Tomcat最新RCE（CVE-2025-24813）分析复现

• 9
• jweny 发布于 2025-03-11 17:22

0推荐

56浏览

Horde Groupware Webmail 反序列化漏洞分析

Horde Groupware Webmail是美国Horde公司的一套基于浏览器的企业级通信套件。 Horde Groupware Webmail中存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段，修改网络系统或组件的预期的执行控制流。

• 0
• Stree 发布于 2025-02-28 20:44

2推荐

12304浏览

CNVD-2025-04094 Ollama 未授权访问漏洞

DeepSeek 本地化部署有风险！Ollama 是一个开源的大语言模型（LLM）运行环境和工具集，旨在帮助开发者轻松部署、管理和使用模型（如 DeepSeek 等）。 Ollama 存在未授权访问漏洞，攻击者可以直接访问敏感接口进行读取、下载或删除私有模型文件，或滥用模型推理资源等高危操作。

• 1
• la0gke 发布于 2025-02-28 19:00

1推荐

6616浏览

用友 U8Cloud MeasureQResultAction SQL注入漏洞分析

U8cloud系统MeasureQResultAction接口存在SQL注入漏洞，攻击者未经授权可以访问数据库中的数据，从而盗取用户数据，造成用户信息泄露。

• 0
• chobits 发布于 2025-02-25 08:56

0推荐

48浏览

某CRM-v2023-08版本存在-SQL注入漏洞

某CRM-v2023-08版本存在-SQL注入漏洞

• 0
• cocol 发布于 2025-02-17 09:52

0推荐

54浏览

EMLOG 存在模板文件上传漏洞

EMLOG 存在模板文件上传漏洞

• 0
• cocol 发布于 2025-02-17 09:12

0推荐

6663浏览

CVE-2024-39503 Linux内核netfilter子系统中竞态条件漏洞分析与利用

CVE-2024-39503是Linux内核ip_set子系统中的一个竞态条件漏洞。该漏洞存在于 net/netfilter/ipset/ip_set_list_set.c 模块，由于垃圾回收机制（GC）与网络命名空间清理操作之间的同步缺陷，导致用户态释放后使用（UAF）漏洞。攻击者可利用该漏洞在内核空间实现任意代码执行，最终获取root权限。

• 0
• 吃不饱的崽 发布于 2025-02-02 21:57

0推荐

7953浏览

CVE-2024-52046 Apache mina 反序列化漏洞简单分析

最近披露了一个新的apache下述产品mina的CVE-2024-52046反序列化漏洞，这个产品mina之前没有接触过，好奇心驱使之下准备一下并记录一下学习的过程

• 0
• 鸣蜩十四 发布于 2025-01-22 18:01

0推荐

44浏览

【专刊投稿】从开发者视角看逻辑漏洞和越权

以go的gin后端框架为例子，详细剖析了各种逻辑越权漏洞的成因已经对应防范手段，也为白帽子提供挖掘思路

• 0
• 7ech_N3rd 发布于 2025-01-20 11:59

0推荐

64浏览

Pear Admin Boot2.0.2-后台 loadDictItem接口SQL注入（CVE-2024-6266）

这是一篇新手能快速上手，快速找到成就感的文章

• 0
• 大胡子将军 发布于 2025-01-10 15:42

2推荐

13633浏览

禅道20.2版本以下SQL注入到RCE漏洞分析

禅道20.2版本以下在个性化设置功能上存在一个未授权sql注入，这注入通过堆叠注入到数据库zt_config表中，将添加后台管理员到zt_user和注入命令执行的定时任务到zt_queue表中，最终实现未授权RCE的效果。

• 0
• 0aspir1ng0 发布于 2025-01-03 15:12

0推荐

72浏览

【专刊投稿】CVE-2024-11349漏洞分析

wordpress的主题 AdForest <= 5.1.6 - 登录验证绕过

• 0
• ddddhm111 发布于 2025-01-02 03:57

0推荐

65浏览

CVE-2024-33752 emlog pro后台插件任意文件上传 漏洞分析

CVE-2024-33752 是一个在 emlog pro 2.3.0 和 2.3.2 版本中存在的任意文件上传漏洞。该漏洞允许远程攻击者通过发送特殊请求来上传恶意文件，造成任意代码执行漏洞。

• 0
• 吃不饱的崽 发布于 2024-12-27 18:30

1推荐

9495浏览

Apache Tomcat 条件竞争致远程代码执行漏洞（CVE-2024-50379）

Apache Tomcat的默认servlet在处理文件上传时的TOCTOU条件竞争问题。当默认servlet被配置为允许写入（即readonly初始化参数被设置为非默认值false），在不区分大小写的文件系统上，攻击者可以利用并发读取和上传同一个文件的机会，绕过Tomcat的大小写敏感性检查，导致上传的文件被错误地当作JSP文件处理，从而可能触发远程代码执行。

• 2
• 菜鸡小z 发布于 2024-12-23 02:58

0推荐

8781浏览

高版本jdk下jndi攻击案例 apache-hertzbeat CVE-2024-45505

今年我在补天白帽大会分享了我和springkill的研究成果《JNDI新攻击面探索》，这里以apache-hertzbeat CVE-2024-45505做一个列子，详细分析高版本jdk下的jndi利用。

• 0
• Unam4 发布于 2024-12-19 23:24