J20-1Junos-网络操作系统-文件上传 漏洞描述: Junos webauth_operation.php接口处存在文件上传漏洞,未经身份认证的攻击者可利用 Junos 操作系统的 J-Web 服务 /webauth_operation.php 路由上传 php webshell,通过 ?PH
J19-1金石-工程项目管理系统-SQL 漏洞描述: 金石工程项目[管理系统](https://so.csdn.net/so/search?q=%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F&spm=1001.2101.3001.7020)TianBaoJiLu.aspx接
J18-6建文-工程项目管理软件-任意文件读取 漏洞复现: payload: POST /Common/DownLoad2.aspx HTTP/1.1 Host: Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla
J18-5建文-工程项目管理软件-任意文件上传 fofa语法: body=“PM2项目管理系统BS版增强工具.zip” 漏洞复现: 访问漏洞url抓包 payload: 效果图: 上传压缩包 payload: 效果图: payload: POST /FlowChartDefine/ExcelIn.a
J18-4建文-工程项目管理软件-SQL 漏洞描述: 建文工程管理系统/SysFrame4/Desktop.ashx 存在SQL注入漏洞 漏洞复现: payload: POST /SysFrame4/Desktop.ashx HTTP/1.1 Host: Content-Type: applica
J18-3建文-工程项目管理软件-SQL 漏洞描述: 建文工程管理系统 /AppInterface/Business/BusinessManger.ashx 存在SQL注入漏洞。 漏洞复现: payload: POST /AppInterface/Business/BusinessManger.as
J18-2建文-工程项目管理软件-SQL 漏洞描述: 建文工程项目管理软件BusinessManger.ashx、Desktop.ashx等接口处存在SQL注入漏洞,攻击者可通过该漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获
J17-6金蝶-Apusic应用服务器-目录遍历 漏洞描述: 由于金蝶Apusic应用服务器 /admin/protected/selector/server_file/files、/admin/protected/selector/server_file/folders 等接口没有进行校验和过滤,
J18-1建文-工程项目管理软件-SQL 漏洞描述: 建文工程项目管理软件BusinessManger.ashx、Desktop.ashx等接口处存在SQL注入漏洞,攻击者可通过该漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获
J17-3金蝶-Apusic应用服务器-JNDI注入 漏洞描述: 由于金蝶Apusic应用服务器权限验证不当,导致攻击者可以向createDataSource接口执行JNDI注入,造成远程代码执行。利用该漏洞需低版本JDK且需要服务器上有数据库驱动。 影响版本: 金蝶Apusic应用服务器 <= V
J17-2金蝶-Apusic应用服务器-文件上传 漏洞描述: 金蝶Apusic应用服务器 deployApp 接口存在任意文件上传漏洞,攻击者可通过双斜杠绕过鉴权并上传恶意压缩包接管服务器权限。 影响版本: 金蝶Apusic应用服务器 <= V9.0 SP7 不受影响版本 金蝶Apusic应用服务器
J17-1金蝶-Apusic应用服务器-JNDI注入 漏洞描述: 由于金蝶Apusic应用服务器权限验证不当,导致攻击者可以向loadTree接口执行JNDI注入,造成远程代码执行漏洞。利用该漏洞需低版本JDK。(漏洞比较旧,8月份补丁已出,金蝶EAS也存在类似漏洞,只是路径不一样) 影响版本: 金
J16-3金蝶-EAS-文件上传 漏洞描述: 金蝶 EAS 及 EAS Cloud 在 uploadLogo.action 接口处存在文件上传漏洞,未经身份认证的攻击者可以利用文件上传漏洞执行恶意代码、写入后门、从而可能导致服务器受到攻击并被控制。 影响版本: EAS 8.0、EAS 8.1、EAS
J16-5金蝶-EAS-任意文件上传 漏洞描述: 金蝶 EAS 及 EAS Cloud 在 uploadLogo.action 接口处存在文件上传漏洞,未经身份认证的攻击者可以利用文件上传漏洞执行恶意代码、写入后门、从而可能导致服务器受到攻击并被控制。 影响版本: EAS 8.0、EAS 8.1、E
J16-2金蝶-EAS-JNDI注入 漏洞描述: 金蝶 EAS及EAS Cloud appmonitor/protect/jndi/loadTree 路径 jndiName 参数存在JNDI注入漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。 影响
J16-1金蝶-EAS-任意文件读取 漏洞描述: 金蝶EAS pdfviewlocal接口处存在任意文件读取漏洞,未经身份验证的攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 影响版本: 金蝶-EAS 网站图片: 网络测绘: f
J15-1金盘-移动图书馆系统-RCE 漏洞描述: 金盘移动图书馆系统 doUpload.jsp接口处存在文件上传漏洞,未经身份验证的攻击者可以利用此漏洞上传webshell,执行恶意代码指令,导致服务器失陷。 影响版本: 金盘-移动图书馆系统 网站图片: 网络测绘: fofa语法: FOFA:ap
J13-1jQuery-任意文件读取 漏洞描述: jQuery是一个快速、简洁的JavaScript框架,是继Prototype之后又一个优秀的JavaScript代码库(框架)于2006年1月由John Resig发布。jQuery设计的宗旨是“write Less,Do More”,即倡导写更少
J12-1JumpServer-开源堡垒机-PermissionAC 漏洞描述: JumpServer开源堡垒机是一款运维安全审计系统产品,提供身份验证、授权控制、账号管理、安全审计等功能支持,帮助企业快速构建运维安全审计能力。JumpServer开源堡垒机通过企业版或者软硬件一体机的方式,向企业级
J11-1金盘-微信管理平台-PermissionAC 漏洞描述: 金盘 微信管理平台 getsysteminfo接口存在未授权访问漏洞,攻击者通过漏洞可以获取账号密码信息,获取后台管理员权限。 影响版本: 金盘微信管理平台<3.3.1 网站图片: 网络测绘: Hunter 语法: hunterwe
