S19-1思福迪-运维安全管理系统-RCE 漏洞描述: 由于思福迪运维安全管理系统 test_qrcode_b路由存在命令执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 网站图片: 网络测绘: fofa语法: ((title=“Logba
S16-1SpringBlade-SpringCloud分布式微服务架构-SQL 漏洞描述: SpringBlade v3.2.0 及之前版本框架后台 export-user 路径存在安全漏洞,攻击者利用该漏洞可通过组件customSqlSegment 进行SQL注入攻击,攻击者可将用户名、密码等敏
S15-1SemCMS-外贸网站商城系统-SQL 漏洞描述: SemCms外贸网站商城系统SEMCMS Function.php中的AID参数存在SQL注入漏洞Q,未经身份认证的攻 击者可通过此漏洞获取数据库权限,深入利用可获取服务器权限 影响版本: SEMCMS v4.8 网站图片: 网络测绘:
S14-3SPON世邦-IP网络对讲广播系统-文件上传 漏洞描述: SPON世邦IP网络对讲广播系统 addscenedata.php、uploadjson.php、my_parser.php等接口处存在任意文件上传漏洞,未经身份验证的攻击者可利用此漏洞上传恶意后门文件,可导致服务器失陷。 网站图片
S14-2SPON世邦-IP网络对讲广播系统-文件上传 漏洞描述: SPON世邦IP网络对讲广播系统 addscenedata.php、uploadjson.php、my_parser.php等接口处存在任意文件上传漏洞,未经身份验证的攻击者可利用此漏洞上传恶意后门文件,可导致服务器失陷 网站图片:
S14-1SPON世邦-IP网络对讲广播系统-文件上传 漏洞描述: SPON世邦IP网络对讲广播系统 addscenedata.php、uploadjson.php、my_parser.php等接口处存在任意文件上传漏洞,未经身份验证的攻击者可利用此漏洞上传恶意后门文件,可导致服务器失陷 网站图片:
S12-1山西牛酷信息科技-NiuShop开源商城系统-SQL 漏洞描述: NiuShop开源商城系统 getShareContents接口处存在SQL注入漏洞,未授权的攻击者可以利用此漏洞获取数据库敏感信息及凭证,进一步利用可获取服务器权限 网站图片: 网络测绘: fofa语法: body=“ni
S13-1SpiderFlow-爬虫平台-RCE 漏洞描述: 网站图片: 网络测绘: fofa语法: app=“SpiderFlow” 漏洞复现: payload: POST /function/save HTTP/1.1 Host: your-ip Accept-Language: zh-CN,z
S11-1SpringActuarot-JolokiaRealm-RCE 漏洞描述: Actuator 是 Spring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。当配置jolokia/list接口,且访问jolokia/l
S10-2普华-PowerPMS-SQL 漏洞描述: 普华-PowerPMS APPGetUser 接口处存在SQL注入漏洞,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。 fofa语法
S10-1上海普华科技发展股份公司-PowerPMS-InformationLeakage 漏洞描述: 上海普华科技发展股份有限公司PowerPMS存在信息泄露漏洞,泄露大量员工信息泄露,包括员工的姓名,所在部门信息,手机号,邮箱,有的还包含QQ号等重要信息。 网站图片: 网络测绘: Hunter
S9-2Smartbi-PermissionAC 漏洞描述: Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等Smart
S9-1Smartbi-PermissionAC 漏洞描述: Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等Smart
S8-2Supabase-SQL 漏洞描述: Supabase是一个开源的Firebase替代品,提供了一系列的后端功能,让你可以更快地构建产品。它使用PostgreSQL作为数据库,支持SQL和RESTful API访问。此外,Supabase提供了完整的认证系统,支持邮箱、手机号、第三方服务等多
S8-1Supabase-SQL 漏洞描述: Supabase是一个开源的Firebase替代品,提供了一系列的后端功能,让你可以更快地构建产品。它使用PostgreSQL作为数据库,支持SQL和RESTful API访问。此外,Supabase提供了完整的认证系统,支持邮箱、手机号、第三方服务等多
S7-1数字通-指尖云平台-智慧政务-SQL 漏洞描述: 中科数字通(北京)科技有限公司全新架构的智慧办公系统,由9大类、50多个主要功能模块构成。旨在为组织单位内部提供全新一代智慧型协同办公系统,数字通指尖云平台-智慧政务存在SQL注入漏洞,可通过SQL注入可获取敏感信息。 网站图片: 网络测绘:
S6-1深信服-行为感知系统-RCE 漏洞描述: 深信服行为感知系统BA(Behavior Awareness System),是深信服上网行为管理的又一大颠覆式创新,它基于上网行为管理的海量上网日志,对用户行为特征进行深度建模分析,不断推出不同场景的行为感知应用,持续挖掘数据价值,帮助组织洞悉行为
S5-1深信服-终端检测响应平台-PermissionAC 漏洞描述: 深信服终端检测响应平台存在任意用户登录漏洞,攻击者通过漏洞可以登录网站后台。 网站图片: 网络测绘: fofa语法: title=“终端检测响应平台” 漏洞复现: 漏洞复现: 执行poc: http://IP:xx/ui/log
S4-1深信服-上网优化管理系统-任意文件读取 漏洞描述: 深信服 SG上网优化管理系统 catjs.php 存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器上的敏感文件 网站图片: 网络测绘: fofa语法: title==“SANGFOR上网优化管理” 漏洞复现: payload: POST
S5-2深信服-终端检测响应平台-RCE 漏洞描述: 深信服终端检测响应平台EDR可通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。 深信服终端监测响应平台(EDR)存在远程命令执行漏洞。 攻击者可通过构造HTTP请求来
