- 博客(36)
- 收藏
- 关注
RSS订阅原创 [春秋云镜]CVE-2014-4577
春秋云镜CVE-2014-4577wordpress插件 wp-amasin-the-amazon-affiliate-shop < 0.97 存在路径穿越漏洞,使得可以读取任意文件。
2022-12-09 17:32:35
1077
1
原创 [春秋云镜]CVE-2020-26042
春秋云镜CVE-2020-26042Hoosk CMS v1.8.0 install/index.php 存在sql注入漏洞
2022-12-08 18:40:30
908
原创 [春秋云镜]CVE-2020-26048
CuppaCMS是一套内容管理系统(CMS)。 CuppaCMS 2019-11-12之前版本存在安全漏洞,攻击者可利用该漏洞在图像扩展内上传恶意文件,通过使用文件管理器提供的重命名函数的自定义请求,可以将图像扩展修改为PHP,从而导致远程任意代码执行。
2022-12-08 18:07:44
1274
原创 [春秋云镜]CVE-2021-32682
春秋云镜CVE-2021-32682elFinder 是一个开源的 web 文件管理器,使用 jQuery UI 用 JavaScript 编写。Creation 的灵感来自于 Mac OS X 操作系统中使用的 Finder 程序的简单性和便利性。 其低版本中存在命令注入
2022-12-05 21:24:37
4781
原创 [春秋云镜]CVE-2022-22733
春秋云镜CVE-2022-22733Apache ShardingSphere ElasticJob-UI由于返回 token 中包含了管理员密码,攻击者可利用该漏洞在授权的情况下,构造恶意数据执行权限绕过攻击,最终获取服务器最高权限。
2022-12-04 19:58:28
6444
原创 [春秋云镜]CVE-2022-24112
春秋云镜CVE-2022-24112Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache APISIX中存在远程代码执行漏洞,该漏洞源于产品的batch-requests插件未对用户的批处理请求进行有效限制。攻击者可通过该漏洞绕过Admin API的IP限制,容易导致远程代码执行。
2022-12-04 19:36:33
6216
2
原创 [春秋云镜]CVE-2022-23043
CVE-2022-23043Zenario CMS 9.2 文件上传漏洞,攻击者可上传webshell执行任意命令。登陆信息:admin/adminqwe12
2022-12-04 15:24:28
6173
原创 [春秋云镜]CVE-2022-2073
春秋云镜CVE-2022-2073Grav CMS 可以通过 Twig 来进行页面的渲染,使用了不安全的配置可以达到远程代码执行的效果,影响最新版 v1.7.34 以下的版本
2022-12-03 21:09:49
5517
原创 [春秋云镜]CVE-2021-32305
春秋云镜CVE-2021-32305WebSVN是一个基于Web的Subversion Repository浏览器,可以查看文件或文件夹的日志,查看文件的变化列表等。其search.php?search= 参数下过滤不严谨导致RCE。
2022-12-03 18:14:37
6698
原创 [春秋云镜]CVE-2020-19960,CVE-2020-19961
zz cms 2019 GETSHELL 春秋靶场CVE-2020-19960.CVE-2020-19961通关
2022-12-03 15:50:14
6141
原创 [春秋云镜]CVE-2020-13933
春秋云镜CVE-2020-13933Apahce Shiro 由于处理身份验证请求时出错 存在 权限绕过漏洞,远程攻击者可以发送特制的HTTP请求,绕过身份验证过程并获得对应用程序的未授权访问。
2022-12-03 14:29:08
6145
原创 [春秋云镜]CVE-2019-9042
Sitemagic CMS v4.4 index.php?SMExt=SMFiles 存在任意文件上传漏洞,攻击者可上传恶意代码执行系统命令
2022-12-03 13:44:51
5499
原创 [春秋云镜]CVE-2018-20604
春秋云镜CVE-2018-20604雷风影视CMS是一款采用PHP基于THINKPHP3.2.3框架开发,适合各类视频、影视网站的影视内容管理程序,该CMS存在缺陷,可以通过 admin.php?s=/Template/edit/path/*web*..*..*..*..*1.txt 的方式读取任意文件。
2022-12-02 19:21:09
5457
原创 [春秋云镜]CVE-2018-16509
春秋云镜CVE-2018-16509GhostScript 的安全沙箱可以被绕过,通过构造恶意的图片内容,将可以造成命令执行、文件读取、文件删除等漏洞。 Python 中处理图片的模块 PIL(Pillow),因为其内部调用了 GhostScript 而受到 CVE-2018-16509的影响
2022-12-02 14:55:00
5435
原创 [春秋云镜]CVE-2018-1273
[春秋云镜]CVE-2018-1273Spring Data是一个用于简化数据库访问,并支持云服务的开源框架,Spring Data Commons是Spring Data下所有子项目共享的基础框架。Spring Data Commons 在2.0.5及以前版本中,存在一处SpEL表达式注入漏洞,攻击者可以注入恶意SpEL表达式以执行任意命令。
2022-12-02 14:01:56
5466
原创 [春秋云镜]CVE-2018-1000533
gitlist是一款使用PHP开发的图形化git仓库查看工具。在其0.6.0版本中,存在一处命令参数注入问题,可以导致远程命令执行漏洞
2022-12-01 23:23:05
5745
原创 [春秋云镜]CVE-2017-1000480
春秋云镜CVE-2017-10004803.1.32 之前的 Smarty 3 在未清理模板名称的自定义资源上调用 fetch() 或 display() 函数时容易受到 PHP 代码注入的影响。
2022-12-01 20:07:26
5204
原创 [春秋云镜]CVE-2021-41402
flatCore-CMS v2.0.8 存在后台任意代码执行漏洞 [春秋云镜]CVE-2021-41402靶场
2022-12-01 19:17:46
5813
4
原创 [春秋云镜]CVE-2014-3529
[春秋云镜]CVE-2014-3529 Apache POI 3.10.1 之前的 OPC SAX 设置允许远程攻击者通过 OpenXML 文件读取任意文件,该文件包含与 XML 外部实体 (XXE) 问题相关的 XML 外部实体声明和实体引用。
2022-11-30 20:10:36
2935
1
原创 [春秋云镜]CVE-2014-3704
[春秋云镜]CVE-2014-3704Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由由内容管理系统和PHP开发框架共同构成,在GPL2.0及更新协议下发布。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。 Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。
2022-11-30 19:15:33
1072
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人