S36-1上讯-信息InforCube运维审计系统-RCE 网站图片: fofa语法 body=“default/getloginhtml” 漏洞复现: payload: POST /emailapply/RepeatSend HTTP/1.1 Content-Type: application/x
S35-1叁体-佳会视频会议-任意文件读取 漏洞描述: 叁体-佳会视频会议 attachment 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 影响版本: version <= 3.9.
S34-1山东聚恒-聚恒中台系统-SQL 漏洞描述: 聚恒中台系统 data.ashx 接口处存在SQL注入漏洞,未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息(例如管理员后台密码、站点用户个人信息)之外,攻击者甚至可以在高权限下向服务器写入命令,进一步获取服务器系统权限。 网站图
S33-1SpringBlade-分布式微服务架构-SQL 漏洞描述: SpringBlade 后台框架 /api/blade-system/tenant/list 路径存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在
S31-1SolarWinds-Serv-U-目录遍历 漏洞描述: 2024年6月,Serv-U 官方 SolarWinds 发布了新补丁,修复了一处目录遍历致文件读取漏洞(CVE-2024-28995)。经分析,该漏洞可以通过特定的路径请求来未授权访问系统文件,进而可能导致敏感信息泄露。该漏洞无前
S30-1上海亘岩-契约锁电子签章平台-RCE 漏洞描述: 契约锁电子签章平台 /captcha/%2e%2e/template/html/add 接口处存在远程代码执行漏洞,未经身份验证的攻击者可通过tomcat对路径参数解析不正当的特性绕过权限认证在目标执行恶意代码,获取服务器权限。经过分析和研
S29-1ShokoServer-服务器软件-任意文件读取 漏洞描述: ShokoServer /api/Image/withpath/接口处存在任意文件读取漏洞,未经身份验证得攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 影
S28-1上海华测-华测监测预警系统-SQL 漏洞描述: 华测监测预警系统2.2 UserEdit.aspx 接口处存在SQL注入漏洞,未经身份验证的远程攻击者可利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。 网站
S27-1上海鹏达-学分制系统-SQL 漏洞描述: 学分制系统 GetCalendarContentById、GetCurrentCalendar等实例处存在SQL注入漏洞,未经身份验证的远程攻击者可利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,
S26-2申瓯通信-在线录音管理系统-FileRead 漏洞描述: 申瓯通信在线录音管理系统 download 接口处任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片: fofa语法: ti
