J26-1极简云-网络验证系统-任意文件读取 漏洞描述: 极简云验证 download.php 接口处存在文件读取漏洞,未经身份验证的攻击者可以利用此漏洞读取系统内部配置文件,数据库账号密码等敏感信息,使系统处于极不安全的状态。 影响版本: 极简云-网络验证系统 网站图片: 网络测绘: fofa语法
J22-1捷诚-管理信息系统-SQL 漏洞描述: 捷诚管理信息系统CWSFinanceCommon.asmx接口存在[SQL注入漏洞](https://so.csdn.net/so/search?q=SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E&spm=1001.2
J27-1JooLun-微信商城Plus多店版-弱口令 漏洞描述: JooLun微信商城 Plus多店版在设计上存在多个管理员默认口令为弱密码,攻击者可通过该漏洞获取web管理员权限。 影响版本: 全版本 网站图片: 网络测绘: fofa语法: FOFA:icon_hash=“19543743
J21-1JeeSpringCloud-互联网云快速开发平台-文件上传 漏洞描述: JeeSpringCloud 是一款免费开源的 Java 互联网云快速开发平台。JeeSpringCloud 访问 /static/uploadify/uploadFile.jsp 可上传任意文件,并可通过 uplo
J20-1Junos-网络操作系统-文件上传 漏洞描述: Junos webauth_operation.php接口处存在文件上传漏洞,未经身份认证的攻击者可利用 Junos 操作系统的 J-Web 服务 /webauth_operation.php 路由上传 php webshell,通过 ?PH
J19-1金石-工程项目管理系统-SQL 漏洞描述: 金石工程项目[管理系统](https://so.csdn.net/so/search?q=%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F&spm=1001.2101.3001.7020)TianBaoJiLu.aspx接
J18-6建文-工程项目管理软件-任意文件读取 漏洞复现: payload: POST /Common/DownLoad2.aspx HTTP/1.1 Host: Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla
J18-5建文-工程项目管理软件-任意文件上传 fofa语法: body=“PM2项目管理系统BS版增强工具.zip” 漏洞复现: 访问漏洞url抓包 payload: 效果图: 上传压缩包 payload: 效果图: payload: POST /FlowChartDefine/ExcelIn.a
J18-4建文-工程项目管理软件-SQL 漏洞描述: 建文工程管理系统/SysFrame4/Desktop.ashx 存在SQL注入漏洞 漏洞复现: payload: POST /SysFrame4/Desktop.ashx HTTP/1.1 Host: Content-Type: applica
J18-3建文-工程项目管理软件-SQL 漏洞描述: 建文工程管理系统 /AppInterface/Business/BusinessManger.ashx 存在SQL注入漏洞。 漏洞复现: payload: POST /AppInterface/Business/BusinessManger.as
J18-2建文-工程项目管理软件-SQL 漏洞描述: 建文工程项目管理软件BusinessManger.ashx、Desktop.ashx等接口处存在SQL注入漏洞,攻击者可通过该漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获
J17-6金蝶-Apusic应用服务器-目录遍历 漏洞描述: 由于金蝶Apusic应用服务器 /admin/protected/selector/server_file/files、/admin/protected/selector/server_file/folders 等接口没有进行校验和过滤,
J18-1建文-工程项目管理软件-SQL 漏洞描述: 建文工程项目管理软件BusinessManger.ashx、Desktop.ashx等接口处存在SQL注入漏洞,攻击者可通过该漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获
J17-3金蝶-Apusic应用服务器-JNDI注入 漏洞描述: 由于金蝶Apusic应用服务器权限验证不当,导致攻击者可以向createDataSource接口执行JNDI注入,造成远程代码执行。利用该漏洞需低版本JDK且需要服务器上有数据库驱动。 影响版本: 金蝶Apusic应用服务器 <= V
J17-2金蝶-Apusic应用服务器-文件上传 漏洞描述: 金蝶Apusic应用服务器 deployApp 接口存在任意文件上传漏洞,攻击者可通过双斜杠绕过鉴权并上传恶意压缩包接管服务器权限。 影响版本: 金蝶Apusic应用服务器 <= V9.0 SP7 不受影响版本 金蝶Apusic应用服务器
J17-1金蝶-Apusic应用服务器-JNDI注入 漏洞描述: 由于金蝶Apusic应用服务器权限验证不当,导致攻击者可以向loadTree接口执行JNDI注入,造成远程代码执行漏洞。利用该漏洞需低版本JDK。(漏洞比较旧,8月份补丁已出,金蝶EAS也存在类似漏洞,只是路径不一样) 影响版本: 金
J16-3金蝶-EAS-文件上传 漏洞描述: 金蝶 EAS 及 EAS Cloud 在 uploadLogo.action 接口处存在文件上传漏洞,未经身份认证的攻击者可以利用文件上传漏洞执行恶意代码、写入后门、从而可能导致服务器受到攻击并被控制。 影响版本: EAS 8.0、EAS 8.1、EAS
J16-5金蝶-EAS-任意文件上传 漏洞描述: 金蝶 EAS 及 EAS Cloud 在 uploadLogo.action 接口处存在文件上传漏洞,未经身份认证的攻击者可以利用文件上传漏洞执行恶意代码、写入后门、从而可能导致服务器受到攻击并被控制。 影响版本: EAS 8.0、EAS 8.1、E
J16-2金蝶-EAS-JNDI注入 漏洞描述: 金蝶 EAS及EAS Cloud appmonitor/protect/jndi/loadTree 路径 jndiName 参数存在JNDI注入漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。 影响
J16-1金蝶-EAS-任意文件读取 漏洞描述: 金蝶EAS pdfviewlocal接口处存在任意文件读取漏洞,未经身份验证的攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 影响版本: 金蝶-EAS 网站图片: 网络测绘: f
