- 博客(87)
- 收藏
- 关注
RSS订阅原创 WordPress 未授权任意文件读取(CVE-2025-2294)
Kubio AI Page Builder 是 WordPress 平台上一款基于人工智能的现代化建站工具,专为无代码用户和开发者设计。该插件深度融合 AI 生成技术,提供拖拽式可视化编辑器,支持智能布局建议、实时内容生成和自动化设计优化,用户可通过自然语言指令快速生成响应式网页、区块模板和动态内容。
2025-03-31 17:30:31
27
原创 用友UFIDA NC pkevalset存在SQL注入漏洞(DVB-2025-9012)
用友UFIDA NC是一款面向大型企业集团的高端ERP产品,具备强大的功能和广泛的应用领域。它基于B/S架构,支持多语言、多币种、多国家的应用,能够满足不同企业在全球化经营中的需求。用友UFIDA NC覆盖了财务会计、人力资源、供应链、生产制造、销售物流等企业核心业务领域,提供自动化工作流程、数据采集、移动应用、BI报表、分析等功能。通过用友NC,企业能够迅速建立业务管理、信息共享和协同办公的平台,提升管理效率和降低成本。
2025-03-31 11:28:02
30
原创 ipTIME未授权访问漏洞(CVE-2024-54763\CVE-2024-54764)
ipTIME A2004是一款功能全面的路由器,它集高性能、稳定性和易用性于一体,专为现代家庭和办公室网络需求而设计,提供快速的网络连接和广泛的覆盖范围,确保用户能够享受流畅无阻的在线体验。
2025-03-31 09:54:00
19
原创 宏景人力资源管理系统 searchCreatPlanList.do SQL注入漏洞(CNVD-2025-6953)
宏景人力资源管理系统是一款专业、高效的一体化HR管理平台,涵盖组织架构、招聘管理、员工档案、考勤薪资、绩效培训等核心模块,通过智能化流程与数据分析助力企业实现人力资源数字化转型升级。系统支持云端/本地部署,提供灵活配置与移动端应用,有效提升管理效率、降低人力成本,满足中大型企业复杂管理需求,同时确保数据安全与合规性。
2025-03-31 09:04:00
222
原创 锐捷EWEB路由器 timeout.php任意文件读取漏洞代码审计(DVB-2025-9003)
锐捷EWEB路由器是锐捷网络推出的企业级Web管理路由器,专为中小企业和分支机构设计,提供高性能路由、安全防护和便捷的Web管理功能。它支持多WAN接入、智能负载均衡和VPN连接,具备防火墙、流量控制及行为管理等安全特性,同时通过直观的Web界面简化配置与运维,满足企业高效、稳定、安全的网络接入需求。
2025-03-28 15:52:30
95
原创 FOXCMS黔狐内容管理系统index存在代码注入漏洞(DVB-2025-9013)
FOXCMS(黔狐内容管理系统) 是一款基于PHP+MySQL开发的开源CMS系统,主要面向企业网站、个人博客及中小型门户站点,以简单易用、模块化设计和SEO友好为特点。该系统提供文章、产品、图库等常见内容管理功能,支持模板定制与插件扩展,但近年来官方更新缓慢,存在已知安全风险(如SQL注入、文件上传漏洞等),建议使用时加强安全配置或选择活跃维护的替代方案。
2025-03-28 08:57:14
113
原创 科拓全智能停车收费系统T_SellFrom.aspx存在SQL注入漏洞(DVB-2025-9011)
科拓全智能停车收费系统是一款集车牌识别、电子支付、车位引导等功能于一体的智能化停车管理平台,通过物联网技术和云计算实现无人值守停车管理,支持微信/支付宝等移动支付方式,具备车位状态实时监测、停车费自动结算、数据统计分析等核心功能,广泛应用于商业综合体、住宅小区和公共停车场,有效提升停车管理效率和用户体验,但其部分版本存在的安全漏洞(如T_SellFrom.aspx页面的SQL注入问题)可能被恶意利用,需及时升级修复以确保系统安全性。
2025-03-27 17:09:01
152
原创 Vite 存在任意文件读取漏洞(CVE-2025-30208)
Vite 是一个面向现代 Web 开发的轻量级前端构建工具,由 Vue.js 作者尤雨溪团队打造。它基于原生 ES 模块(ESM)提供极速的开发服务器启动和热更新,利用浏览器原生支持的特性实现按需编译,无需打包,显著提升开发效率。生产环境则通过 Rollup 进行高效构建,支持 TypeScript、JSX、CSS 预处理器等主流工具链,同时提供丰富的插件生态。Vite 以"快"为核心,重新定义了前端开发体验,尤其适合单页应用(SPA)、库工具等场景。
2025-03-27 09:18:38
472
原创 usdtAdmin收款管理系统get_trc20存在前台任意文件写入漏洞代码审计(DVB-2025-8993)
USTDAdmin接口的send功能点存在SQL注入漏洞,攻击者可通过构造恶意请求参数(如用户输入未过滤的单引号或特殊符号)注入任意SQL指令,导致数据库信息泄露、数据篡改或权限提升。该漏洞源于未对用户输入进行严格参数化处理或过滤,建议使用预编译语句(PreparedStatement)或白名单校验进行修复。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。versionsss的值进行base64解码后写入在文件中,且是一个php文件,变量名和写入值都是通过数据包变量获取的。
2025-03-26 14:36:12
31
原创 狮子鱼CMS file存在SQL注入漏洞(DVB-2025-8984)
仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
2025-03-26 14:21:23
159
原创 PigCMS接口ShowDetail存在SQL注入漏洞(DVB-2025-8995)
PigCms(又称小猪CMS)是一个基于php+mysql的多用户微信营销系统,是国内使用较多、功能强大、性能稳定的多用户微信营销系统。PigCms存在一处前台SQL注入漏洞,攻击者可以通过该漏洞获取数据库敏感信息。仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
2025-03-26 13:55:36
88
原创 录音管理系统接口index存在任意文件读取漏洞(DVB-2025-9007)
在线录音管理系统index存在任意文件读取漏洞,攻击者可以通过此漏洞读取任意系统文件,通过可以用来配合图片木马,控制整个网站服务器权限,从而威胁系统数据安全并可能获取服务器控制权限。该漏洞源于系统未对用户输入的文件路径进行严格校验,建议及时修补以避免潜在安全风险。仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
2025-03-26 12:04:42
325
原创 WordPress WooCommerce 本地文件包含漏洞(CVE-2025-1661)
HUSKY – WooCommerce 插件是为 WordPress 网站设计的,特别是针对使用 WooCommerce 插件的电子商务站点。该插件旨在增强和优化用户在 WooCommerce 平台上的购物体验,通过提供一系列高级功能和定制选项,帮助提升网站性能、增加销售并简化后台管理。HUSKY 通过集成先进的库存管理、订单处理自动化、产品展示优化等功能,使得商家能够更加高效地运营其在线商店,同时为顾客提供流畅、直观的购物界面。
2025-03-25 10:29:54
157
原创 Next.js 中间件鉴权绕过漏洞 (CVE-2025-29927)
Next.js 中间件(Middleware)是一种在请求完成前拦截并处理路由的轻量级机制,它运行在Edge Runtime(边缘运行时)环境中,允许开发者通过编写代码逻辑(如身份验证、路由重定向、Header修改等)在页面渲染前动态控制请求流程。中间件文件通常命名为并放置在项目根目录或特定路径下,基于请求的路径()和上下文(如Cookies、Headers)执行逻辑,支持条件路由、A/B测试、服务端逻辑前置等场景,同时保持边缘计算的高性能低延迟特性。
2025-03-25 09:33:51
294
原创 锐捷EWEB路由器 timeout.php任意文件上传漏洞代码审计(DVB-2025-9003)
锐捷EWEB路由器是锐捷网络推出的企业级Web管理路由器,专为中小企业和分支机构设计,提供高性能路由、安全防护和便捷的Web管理功能。它支持多WAN接入、智能负载均衡和VPN连接,具备防火墙、流量控制及行为管理等安全特性,同时通过直观的Web界面简化配置与运维,满足企业高效、稳定、安全的网络接入需求。
2025-03-25 09:29:36
453
原创 Cloudlog系统接口 get_qsos_grouped未授权存在SQL注入漏洞(DVB-2025-8983)
Cloudlog 是一个自托管的 PHP 应用程序,可让您在任何地方记录您的业余无线电联系人。使用PHP和MySQL构建的基于Web的业余无线电记录应用程序支持从HF到微波的一般站记录任务。
2025-03-25 09:00:45
28
原创 USTDAdmin接口send存在SQL注入漏洞(DVB-2025-8993)
USDTAdmin是一款专为数字货币交易而设计的高效管理工具,旨在帮助用户便捷地进行USDT收款和管理。该系统提供直观的用户界面,允许用户实时监控交易状态、生成收款二维码以及查看交易历史记录。此外,USDTAdmin还具备安全性高、操作简便的特点,通过多重验证机制保障资金安全,适合个人用户和商户使用。无论是在线支付还是线下交易,USDTAdmin都能为用户提供灵活、高效的收款解决方案。
2025-03-24 16:16:01
120
原创 BigAnt接口uploadMultipleFile存在文件上传漏洞代码审计(DVB-2025-9001)
仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
2025-03-24 15:46:59
108
原创 EKing-管理易接口 FileDownload.ihtm 存在任意文件读取漏洞(DVB-2025-8972)
EKing-管理易是一款专为广告制品制作企业量身定制的管理软件产品,由广州易凯软件技术有限公司开发,管理易基于久经考验的JAVA企业版技术研发,汇聚了数百家行业用户的管理精髓,旨在帮助广告装饰、有机工艺、展览展示、有机丝印、喷绘写真等广告标识制作企业实现规范化、科学化管理,提升运营效率,降低运营成本。
2025-03-23 14:23:41
138
原创 万户协同办公平台ezOffice DocumentHistory sql注入(DVB-2025-8978)
万户协同办公平台是一款面向企业和组织的高效办公协作工具,旨在提升团队沟通、任务管理和文档协作的效率。该平台集成了即时通讯、项目管理、文件共享、日程安排等功能,支持多端同步和实时协作,帮助团队成员打破时间和空间的限制,实现无缝协同办公。万户协同办公平台注重用户体验和数据安全,提供灵活的权限管理和定制化配置,适用于各类企业规模与行业需求,助力企业实现数字化转型和智能化办公。
2025-03-23 14:16:34
36
原创 EnGenius无线网络 usbinteract.cgi 路径存在远程命令执行漏洞(DVB-2021-3160)
EnGenius是一家专注于无线网络解决方案的品牌,提供高性能的企业级无线接入点、交换机、网络管理和物联网设备等产品。其产品以稳定性、可扩展性和安全性著称,广泛应用于企业、教育、医疗、酒店等多个行业,满足不同规模的网络需求。EnGenius致力于为用户提供可靠的网络连接和智能化的管理体验,帮助构建高效、安全的无线网络环境。
2025-03-23 09:46:53
99
原创 天闻数媒名师工作室系统 fileTempDownload 存在文件读取漏洞(DVB-2025-8998)
天闻数媒名师工作室系统是一个专为教育领域设计的数字化平台,旨在汇聚优秀教师资源,促进教学经验分享与专业成长。该系统通过线上协作、资源共享、课程开发等功能,帮助名师团队高效开展教研活动,提升教学质量。教师可以在平台上创建个性化工作室,发布教学案例、微课视频等资源,并与同行互动交流,推动教育创新与优质教育资源的广泛传播。
2025-03-22 21:21:46
142
原创 三汇SMG 网关管理软件 9-12ping.php 命令执行漏洞(CVE-2025-1448)
三汇SMG网关管理软件是一款功能强大的通信网关管理工具,专为企业级通信系统设计,支持多种协议转换和异构网络互联。该软件提供高效的语音、数据、传真等业务的集成管理,能够实现PBX、IMS、PSTN等系统的无缝对接,确保通信的稳定性和灵活性。其直观的管理界面和丰富的监控功能,便于管理员实时掌握网关状态、诊断故障并进行性能优化。三汇SMG网关管理软件以其高可靠性、易用性和扩展性,广泛应用于金融、政府、医疗等行业,是企业构建高效通信网络的理想选择。
2025-03-21 15:59:36
118
原创 Secnet安网 智能AC管理系统存在弱口令漏洞(DVB-2025-8982)
Secnet安网智能AC管理系统是一款专为无线网络环境设计的高效管理工具,旨在为企业、学校、酒店等场所提供智能化的无线网络接入控制与管理解决方案。该系统通过集中化的管理平台,支持对多台无线接入点(AP)的统一配置、监控和优化,实现网络资源的智能分配、用户接入的安全认证以及流量的精细化管理。其强大的数据分析功能可实时监控网络状态,快速定位并解决网络故障,同时提供灵活的权限管理和访客网络功能,确保网络安全性与用户体验的平衡。Secnet安网智能AC管理系统是构建高效、稳定、安全无线网络的理想选择。
2025-03-21 15:17:12
111
1
原创 用友U8CRM eventsetlist 存在SQL注入漏洞(DVB-2025-8955)
用友U8CRM是用友软件推出的一款面向中小企业的客户关系管理(CRM)系统,旨在帮助企业实现客户资源的有效管理和销售流程的优化。它集成了客户管理、销售管理、市场营销、服务管理等功能模块,支持企业从线索获取、商机跟进到合同签订的全流程管理。通过数据分析和业务流程自动化,U8CRM能够提升销售团队的工作效率,增强客户满意度,助力企业实现精准营销和业绩增长。其灵活的系统架构和与用友U8+ ERP的无缝集成,使其成为中小企业数字化转型的理想选择。
2025-03-21 14:32:39
157
原创 万户协同办公平台ezOffice selectCommentField 存在 SQL 注入漏洞(DVB-2025-8941)
万户协同办公平台是一款面向企业和组织的高效办公协作工具,旨在提升团队沟通、任务管理和文档协作的效率。该平台集成了即时通讯、项目管理、文件共享、日程安排等功能,支持多端同步和实时协作,帮助团队成员打破时间和空间的限制,实现无缝协同办公。万户协同办公平台注重用户体验和数据安全,提供灵活的权限管理和定制化配置,适用于各类企业规模与行业需求,助力企业实现数字化转型和智能化办公。
2025-03-20 14:21:46
533
原创 深澜计费管理系统 down-load 任意文件读取(DVB-2025-8854)
深澜计费管理系统是一款专为高校、企业及社区等场景设计的高效、灵活的计费与网络管理解决方案。该系统支持多种计费模式,如流量计费、时长计费及套餐计费,能够满足不同用户的多样化需求。深澜计费管理系统具备强大的用户管理、实时监控、账单统计和自助服务功能,帮助管理员轻松实现网络资源的精细化管理和计费策略的灵活配置。同时,系统支持高并发处理,确保在复杂网络环境下的稳定运行,为用户提供安全、可靠的网络使用体验。
2025-03-20 14:09:46
32
原创 时空智友企业信息管理系统 updater.getStudioFile 任意文件读取漏洞(DVB-2025-8892)
时空智友企业流程化管控系统是一款专为企业设计的智能化管理工具,旨在通过流程自动化和数据集成提升企业的运营效率和管理水平。该系统涵盖了企业资源规划(ERP)、客户关系管理(CRM)、供应链管理(SCM)等多个核心业务模块,支持定制化流程设计,以适应不同企业的特定需求。时空智友系统以其强大的数据处理能力、用户友好的操作界面和灵活的配置选项,帮助企业实现业务流程的标准化、自动化和优化,从而降低成本、提高决策质量和市场响应速度。
2025-03-20 13:53:36
210
原创 某智慧医养服务平台UpLoaderAction存在任意文件上传漏洞附任意文件删除漏洞(DVB-2025-8967)
广西金中软件集团有限公司前身成立于1999年,隶属于广西电信下的三产公司金中信息产业有限公司,是一家集软件开发、网站建设、网络工程、系统集成和维护服务、通信增值业务和ISP运营服务于一体的高科技IT企业。广西金中软件集团有限公司智慧医养服务平台Uploads存在任意文件上传漏洞,攻击者可通过该漏洞获取服务器权限。
2025-03-19 15:03:37
95
原创 某智慧医养服务平台Uploads存在任意文件上传漏洞(DVB-2025-8968)
广西金中软件集团有限公司前身成立于1999年,隶属于广西电信下的三产公司金中信息产业有限公司,是一家集软件开发、网站建设、网络工程、系统集成和维护服务、通信增值业务和ISP运营服务于一体的高科技IT企业。广西金中软件集团有限公司智慧医养服务平台Uploads存在任意文件上传漏洞,攻击者可通过该漏洞获取服务器权限。
2025-03-19 14:40:18
109
原创 Cloudlog系统接口 get_qsos未授权存在SQL注入漏洞代码审计(DVB-2025-8963)
Cloudlog 是一个自托管的 PHP 应用程序,可让您在任何地方记录您的业余无线电联系人。使用PHP和MySQL构建的基于Web的业余无线电记录应用程序支持从HF到微波的一般站记录任务。
2025-03-19 09:47:38
112
原创 Cloudlog系统接口 search_log未授权存在SQL注入漏洞代码审计(DVB-2025-8964)
Cloudlog 是一个自托管的 PHP 应用程序,可让您在任何地方记录您的业余无线电联系人。使用PHP和MySQL构建的基于Web的业余无线电记录应用程序支持从HF到微波的一般站记录任务。
2025-03-19 08:58:42
156
原创 CRMEB任意文件下载漏洞代码审计(CVE-2024-52726)
CRMEB是一款基于ThinkPHP框架开发的开源商城系统,专为中小企业和个人提供高效、灵活的电商解决方案。系统集成了商品管理、订单处理、会员管理、营销工具、数据统计等核心功能,支持多端适配(PC、H5、小程序、APP),帮助用户快速搭建个性化的线上商城。CRMEB以开源免费、代码透明、易于二次开发为特点,同时提供丰富的插件和模板,满足不同行业的电商需求。其强大的营销功能(如拼团、秒杀、优惠券等)和详细的数据分析工具,助力商家提升运营效率和用户转化率,是构建电商平台的理想选择。
2025-03-16 08:10:33
77
原创 HJ-HRMS系统uploadLogo存在任意文件上传漏洞(DVB-2025-8957)
宏景人力资源管理系统(HJ-HRMS)是一款专业的人力资源管理软件,致力于为企业提供全面的人力资源数字化解决方案。系统涵盖招聘管理、员工档案、考勤管理、薪酬福利、绩效评估、培训发展等核心模块,支持企业实现人力资源全流程的自动化与智能化管理。宏景系统以灵活配置、高效协同、数据安全为特点,能够满足不同规模企业的个性化需求,帮助企业优化人力资源管理流程,提升员工工作效率,降低运营成本,助力企业实现人力资源的战略价值。
2025-03-14 10:36:16
191
原创 Cloudlog电台日志系统get_station_info存在SQL注入漏洞代码审计(DVB-2025-8956)
Cloudlog 是一个自托管的 PHP 应用程序,可让您在任何地方记录您的业余无线电联系人。使用PHP和MySQL构建的基于Web的业余无线电记录应用程序支持从HF到微波的一般站记录任务。
2025-03-13 23:24:46
101
原创 广州某商业租赁管理系统存在信息泄露漏洞(CNVD-2025-03578)
竞优(广州)信息技术有限公司的商业租赁管理系统是一款专为商业地产管理设计的综合性软件解决方案。该系统集租赁管理、合同跟踪、财务收支、客户服务和运营分析于一体,通过高效的数据处理和智能分析功能,帮助物业管理者和业主优化租赁流程,提升资产收益。系统的用户友好界面和强大的自定义功能,确保了不同规模商业地产项目的个性化需求得到满足,是提升商业地产管理效率和市场竞争力的理想工具。
2025-03-13 14:20:15
47
原创 Smart Time Plus smarttimeplus-MySQLConnection SQL注入漏洞(CVE-2024-53544)
Smart Time Plus是一款智能时间管理工具,它集成了先进的时间跟踪技术和直观的用户界面,旨在帮助个人和团队高效规划、追踪和分析工作时间。该产品能够自动记录任务耗时,提供详尽的时间分配报告,并通过智能提醒和日程优化功能,助力用户提升工作效率,实现工作与生活的平衡。无论是自由职业者还是企业团队,Smart Time Plus都能成为您时间管理的得力助手。
2025-03-13 09:35:03
112
原创 RG2000存在弱口令漏洞(DVB-2025-8952)
拓普泰尔RG2000是一款高性能、多功能的工业级路由器,专为满足复杂工业环境中的通信需求而设计。它支持多种网络协议和接口,具备强大的数据处理能力和稳定的网络连接,适用于智能制造、能源、交通等领域的远程监控和数据传输。RG2000还具备高防护等级和宽温工作能力,确保在恶劣环境下依然可靠运行,是企业实现工业物联网(IIoT)和数字化转型的理想选择。
2025-03-13 09:20:28
156
原创 用友U8CRM biztype.php sql注入漏洞(DVB-2025-8944)
用友U8CRM是一款专注于客户关系管理的软件产品,旨在帮助企业提升客户管理效率、优化销售流程并增强客户满意度。它集成了客户信息管理、销售机会跟踪、市场营销自动化、服务管理等功能模块,支持企业全面掌握客户动态,实现精准营销和个性化服务。通过数据分析和报表工具,U8CRM还能为企业提供决策支持,助力企业实现客户资源的深度挖掘与高效利用,推动业务增长。
2025-03-12 17:29:35
206
原创 电子文档安全管理系统 V6.0 resources/backup存在任意文件下载漏洞(DVB-2025-8794)
济南上邦电子科技有限公司的电子文档安全管理系统是一款专为企业设计的文档保护解决方案,旨在确保敏感信息的安全性和可控性。该系统通过加密、权限管理、水印、操作审计等功能,有效防止文档的非法访问、复制、打印和传播。支持多种文件格式,适用于各类企业环境,帮助企业实现文档的全生命周期管理,提升数据安全性和合规性。
2025-03-12 08:57:55
209
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人