K1-1科荣-AIO-RCE 漏洞描述: 科荣AIO UtilServlet 接口处存远程代码执行漏洞,未经身份验证的攻击者可通过该漏洞远程执行恶意代码,写入后门文件,可获取服务器权限。 影响版本: 科荣-AIO 网站图片: 网络测绘: fofa语法: 钟馗之眼:“changeAccount('80
J38-1金和-C6协同管理平台-SQL 漏洞复现: payload: GET /C6/JHSoft.Web.WorkFlat/DBModules.aspx/?interfaceID=1;WAITFOR+DELAY+'0:0:5'-- HTTP/1.1 Host: 123.57.26.236 Use
J36-3捷顺-智能终端操作平台-InformationLeakage 漏洞描述: JieLink+智能终端操作平台ParkOutRecord接口处存在敏感信息泄露漏洞,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失 漏洞复现: payload: GET
J36-2捷顺-智能终端操作平台-InformationLeakage 漏洞描述: JieLink+智能终端操作平台ParkCommon接口处存在敏感信息泄露漏洞,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。 漏洞复现: payload: GET /R
J36-1捷顺-智能终端操作平台-InformationLeakage 漏洞描述: JieLink+智能终端操作平台/report/ParkChargeRecord/GetDataList接口处存在敏感信息泄露漏洞,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏
J35-2Journyx-项目管理软件-XXE fofa语法: “Journyx” 漏洞复现: payload: POST /jtcgi/soap_cgi.pyc HTTP/1.1 Host: Accept: */* Content-Type: application/x-www-form-url
J35-1Journyx-项目管理软件-XXE 漏洞描述: Journyx项目管理软件 soap_cgi.pyc 接口存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。 fofa语法: body=“Journyx” 漏洞复现: p
J34-1金万维-云联应用系统接入平台-RCE 漏洞描述: 金万维-云联应用系统接入平台 GNRemote.dll接口存在远程命令执行漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 网站图片: fofa语法: title=“
J33-1金慧-综合管理信息系统-SQL 漏洞描述: 由于金慧-综合管理信息系统 LoginBegin.aspx(登录接口处)没有对外部输入的SQL语句进行严格的校验和过滤,直接带入数据库执行,导致未经身份验证的远程攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户
J31-1金山-V8终端安全系统-RCE 漏洞描述: 金山 V8 终端安全系统 pdf_maker.php 存在命令执行漏洞,由于没有过滤危险字符,导致构造特殊字符即可进行命令拼接执行任意命令。 影响版本: 金山 V8 终端安全系统 漏洞复现: payload这里传入base64加密的拼接命令即可执
J30-2金斗云-HKMP智慧商业软件-SQL 漏洞复现: payload: POST /admin/configApp/queryPrintTemplate HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gec
J30-1金斗云-HKMP智慧商业软件-PermissionAC 漏洞描述: 金斗云 HKMP智慧商业软件 /admin/user/add 接口存在任意用户创建漏洞,未经身份验证的远程攻击者可以利用此漏洞创建管理员账户,从而接管系统后台,造成信息泄露,导致系统处于极不安全的状态。 网站图片: fof
J29-3JEPaaS-低代码平台-SQL 漏洞描述: JEPaaS 低代码平台 accessToTeanantInfo 接口处存在SQL注入漏洞,未经身份验证的远程攻击者可利用内部默认的key参数绕过权限认证进行注入,获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限
J29-2JEPaaS-低代码平台-任意文件上传 漏洞描述: JEPaaS 低代码平台 document/file 接口处存在文件上传漏洞,未经身份验证的远程攻击者可利用内部默认的key参数绕过权限认证上传任意文件,在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 网
J29-1JEPaaS-低代码平台-SQL 漏洞描述: JEPaaS 低代码平台 j_spring_security_check 接口处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向
J23-1金山-终端安全系统V9.0-SQL 漏洞描述: 金山终端安全系统V9.0 /inter/update_software_info_v2.php页面存在[sql注入漏洞](https://so.csdn.net/so/search?q=sql%E6%B3%A8%E5%85%A5%E6%BC%
J26-1极简云-网络验证系统-任意文件读取 漏洞描述: 极简云验证 download.php 接口处存在文件读取漏洞,未经身份验证的攻击者可以利用此漏洞读取系统内部配置文件,数据库账号密码等敏感信息,使系统处于极不安全的状态。 影响版本: 极简云-网络验证系统 网站图片: 网络测绘: fofa语法
J22-1捷诚-管理信息系统-SQL 漏洞描述: 捷诚管理信息系统CWSFinanceCommon.asmx接口存在[SQL注入漏洞](https://so.csdn.net/so/search?q=SQL%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E&spm=1001.2
J27-1JooLun-微信商城Plus多店版-弱口令 漏洞描述: JooLun微信商城 Plus多店版在设计上存在多个管理员默认口令为弱密码,攻击者可通过该漏洞获取web管理员权限。 影响版本: 全版本 网站图片: 网络测绘: fofa语法: FOFA:icon_hash=“19543743
J21-1JeeSpringCloud-互联网云快速开发平台-文件上传 漏洞描述: JeeSpringCloud 是一款免费开源的 Java 互联网云快速开发平台。JeeSpringCloud 访问 /static/uploadify/uploadFile.jsp 可上传任意文件,并可通过 uplo
