J35-1Journyx-项目管理软件-XXE 漏洞描述: Journyx项目管理软件 soap_cgi.pyc 接口存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。 fofa语法: body=“Journyx” 漏洞复现: p
J34-1金万维-云联应用系统接入平台-RCE 漏洞描述: 金万维-云联应用系统接入平台 GNRemote.dll接口存在远程命令执行漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 网站图片: fofa语法: title=“
J33-1金慧-综合管理信息系统-SQL 漏洞描述: 由于金慧-综合管理信息系统 LoginBegin.aspx(登录接口处)没有对外部输入的SQL语句进行严格的校验和过滤,直接带入数据库执行,导致未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户
J31-1金山-V8终端安全系统-RCE 漏洞描述: 金山 V8 终端安全系统 pdf_maker.php 存在命令执行漏洞,由于没有过滤危险字符,导致构造特殊字符即可进行命令拼接执行任意命令。 影响版本: 金山 V8 终端安全系统 漏洞复现: payload这里传入base64加密的拼接命令即可执
J30-2金斗云-HKMP智慧商业软件-SQL 漏洞复现: payload: POST /admin/configApp/queryPrintTemplate HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gec
J30-1金斗云-HKMP智慧商业软件-PermissionAC 漏洞描述: 金斗云 HKMP智慧商业软件 /admin/user/add 接口存在任意用户创建漏洞,未经身份验证的远程攻击者可以利用此漏洞创建管理员账户,从而接管系统后台,造成信息泄露,导致系统处于极不安全的状态。 网站图片: fof
J29-3JEPaaS-低代码平台-SQL 漏洞描述: JEPaaS 低代码平台 accessToTeanantInfo 接口处存在SQL注入漏洞,未经身份验证的远程攻击者可利用内部默认的key参数绕过权限认证进行注入,获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限
J29-2JEPaaS-低代码平台-任意文件上传 漏洞描述: JEPaaS 低代码平台 document/file 接口处存在文件上传漏洞,未经身份验证的远程攻击者可利用内部默认的key参数绕过权限认证上传任意文件,在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 网
J29-1JEPaaS-低代码平台-SQL 漏洞描述: JEPaaS 低代码平台 j_spring_security_check 接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向
J23-1金山-终端安全系统V9.0-SQL 漏洞描述: 金山终端安全系统V9.0 /inter/update_software_info_v2.php页面存在[sql注入漏洞](https://so.csdn.net/so/search?q=sql%E6%B3%A8%E5%85%A5%E6%BC%
