J10-8JeecgBoot-企业级低代码平台-JNDI注入 漏洞复现: payload: POST /jeecg-boot/jmreport/save?previousPage=xxx&jmLink=YWFhfHxiYmI=&token=123 HTTP/1.1 Host: User-Agent
J10-7JeecgBoot-企业级低代码平台-XSS 漏洞复现: payload: GET /userController.do?%3CsCrIpT%3Ealert(document.domain)%3C/sCrIpT%3E HTTP/1.1 Host: {{Hostname}} User-Age
J10-5JeecgBoot-企业级低代码平台-RCE 漏洞描述: Jeecg Boot jmreport/queryFieldBySql接口存在Freemarker 模板注入漏洞,攻击者可以通过操纵应用程序的模板引擎来执行恶意代码或获取敏感信息。这种漏洞可能会导致整个应用程序被入侵,造成严重的安全
J10-7JeecgBoot-企业级低代码平台-文件上传 漏洞描述: JEECG(J2EE Code Generation) 是开源的代码生成平台,目前官方已停止维护。由于 /api 接口鉴权时未过滤路径遍历,攻击者可构造包含 / 的url绕过鉴权。攻击者可构造恶意请求利用 commonContro
J10-4JeecgBoot-企业级低代码平台-RCE 漏洞描述: JeecgBoot 的 jeecg-boot/jmreport/testConnection 未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的 http 请
J10-3JeecgBoot-企业级低代码平台-RCE 漏洞描述: Jeecg(J2EE Code Generation) 是开源的代码生成平台,目前官方已停止维护。Jeecg4.0及之前版本中,由于 /api 接口鉴权时未过滤路径遍历,攻击者可构造包含 / 的url绕过鉴权。并且内部有使用fast
J10-2JeecgBoot-企业级低代码平台-RCE 漏洞描述: Jeecg Boot jmreport/loadTableData接口存在FreeMarker SSTI注入漏洞,攻击者可以通过操纵应用程序的模板引擎来执行恶意代码或获取敏感信息。这种漏洞可能会导致整个应用程序被入侵,造成严重的安全
J10-1JeecgBoot-企业级低代码平台-SQL 漏洞描述: JeecgBoot是一款基于BPM的低代码平台,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发。jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全
J9-1金蝶-全产品-任意文件读取 漏洞描述: 金蝶所有引用prism框架的产品全版本存在任意文件读取漏洞 影响版本: 目前金蝶所有引用prism框架的产品全版本 网站图片: 网络测绘: Hunter 语法: hunterheader=“prism_anonymous”||web.title=“We
J8-14金蝶-云星空-SQL 漏洞复现: payload: /K3Cloud/Kingdee.BOS.ServiceFacade.ServicesStub.Account.AccountService.GetDataCenterList.common.kdsvc
J8-13金蝶-云星空-RCE 漏洞描述: 由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默认80
J8-12金蝶-云星空-任意文件读取 漏洞描述: 金蝶云星空V7.X、V8.X所有私有云和混合云版本存在一个通用漏洞,攻击者可利用此漏洞获取服务器上的任意文件,包括数据库凭据、API密钥、配置文件等,从而获取系统权限和敏感信息 影响版本: 金蝶云星空 网站图片: 网络测绘: fofa语法: titl
J8-11金蝶-云星空-文件上传 漏洞描述: 金蝶云星空管理中心ScpSupRegHandler接口存在任意文件上传漏洞。攻击者可在无需登录的情况下利用此漏洞上传任意文件 影响版本: 金蝶云星空企业版私有云 企业版私有云(订阅) 标准版私有云(订阅) 版本<=V8.1 网站图片: 网络测绘: fof
J8-10金蝶-云星空-反序列化RCE 漏洞描述: 由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(
J8-9金蝶-云星空-反序列化RCE 漏洞描述: 由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默
J8-8金蝶-云星空-RCE 漏洞描述: 由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默认800
J8-7金蝶-云星空-RCE 漏洞描述: 由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默认800
J8-4金蝶-云星空-任意文件读取 漏洞描述: 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:财
J8-5金蝶-云星空-RCE 漏洞描述: 由于金蝶云星空数据通信默认采用的是二进制数据格式,需要进行序列化与反序列化,在此过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。该漏洞不仅存在于金蝶云星空管理中心(默认800
J8-3金蝶-云星空-反序列化RCE 漏洞描述: 金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云·星空聚焦多组织,多利润中心的大中型企业,以 “开放、标准、社交”三大特性为数字经济时代的企业提供开放的 ERP 云平台。服务涵盖:
