F28-2方天云-智慧平台系统-任意文件上传 漏洞描述: 方天云智慧平台系统 Upload.ashx 接口处存在任意文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 fofa语法: body=“AjaxMethods.as
F28-1方天云-智慧平台系统-SQL fofa语法: body=“AjaxMethods.asmx/GetCompanyItem” 漏洞复现: payload: POST /AjaxMethods.asmx/GetCompanyItem HTTP/1.1 Host: User-Agent: Mo
F27-1飞讯云-云WMS仓库管理系统-SQL 漏洞描述: 飞讯云-WMS /MyDown/MyImportData 接口处存在前台SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中
F26-1飞讯云–SQL 漏洞复现: payload: GET /MyDown/MyImportData?opeid=' WAITFOR DELAY '0:0:5'-- AtpN HTTP/1.1 Host: ip
F22-2方正-畅享全媒体新闻采编系统-InformationLeakage 漏洞描述: 方正全媒体采编系统存在syn.do信息泄露漏洞,攻击者可以查看到平台中所有用户的用户名。 fofa语法: app=“FOUNDER-全媒体采编系统” 漏洞复现: payload: GET /newsedit/a
F21-1富通天下-ERP系统-文件上传 漏洞描述: 某外贸ERP UploadEmailAttr接口处存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 网站图片: 网络测绘: fofa语法: body=“/Conten
F19-1Fortinet-FortiNAC-RCE 漏洞描述: FortiNAC keyUpload 脚本中存在路径遍历漏洞,未经身份认证的远程攻击者可利用此漏洞向目标系统写入任意内容,最终可在目标系统上以 Root 权限执行任意代码。 影响版本: FortiNAC 9.4.0 Fort
F17-1帆软-FineReport-反序列化RCE 漏洞描述: 帆软FineReport、FineBI 存在反序列化漏洞,攻击者可向 /webroot/decision/remote/design/channel 接口发送精心构造的反序列化数据,在目标服务器上执行任意代码,获取服务器权限。 影响版
F16-1F22-服装管理软件系统-文件上传 漏洞描述: F22服装管理软件系统UploadHandler.ashx接口处存在任意文件上传漏洞,未经身份认证的攻击者可以通过此漏洞上传恶意后门文件控制服务器。 网站图片: 网络测绘: fofa语法: FOFA:body=“F22WEB登陆” 漏洞复现:
F15-1FHadmin-快速开发平台-反序列化RCE 漏洞描述: FH Admin CMS 存在 shiro 反序列化漏洞,该漏洞源于软件存在硬编码的 shiro-key,攻击者可利用该 key 生成恶意的序列化数据,在服务器上执行任意代码,执行系统命令、或打入内存马等,获取服务器权限。 网站图片
F14-2泛微-云桥E-Bridge-SQL 漏洞复现: payload: POST /services/HrmService HTTP/1.1 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64;
F14-1泛微-云桥E-Bridge-SQL 漏洞描述: 由于泛微-云桥e-Bridge平台 /taste/addTaste接口处存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库权限,获取用户密码等重要凭据,使系统处于极不安全状态。 影响版本: version <= v9.5 202
F13-1FreeRDP-任意文件读取 漏洞描述: FreeRDP WebConnect Url 接口处存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片: 网络测绘: fofa语法: FOFA:bo
F12-1仿蓝奏云网盘-SQL 漏洞描述: 仿蓝奏云网盘 /file/list接口处存在SQL注入漏洞,登录后台的攻击者可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。 网站图片: 网络测
F11-1FLIR-AX8热成像仪-RCE 漏洞描述: FLIR-AX8是美国菲力尔公司(Teledyne FLIR)旗下的一款工业红外热像仪AX8,英文名为Teledyne FLIR AX8 thermal sensor cameras。菲力尔公司专注于设计、开发、生产、营销和推广用于增强态势感知
F10-3孚盟云-CRM系统-SQL 漏洞描述: 由于孚盟云 AjaxMethod.ashx、AjaxSendDingdingMessage.ashx等接口未对用户传入的参数进行合理的校验和过滤,导致传入的参数直接携带到数据库执行,导致SQL注入漏洞,未经身份验证的攻击者可通过此漏洞获取数据库权限,
F10-2孚盟云-CRM系统-SQL 漏洞描述: 由于孚盟云 AjaxMethod.ashx、AjaxSendDingdingMessage.ashx等接口未对用户传入的参数进行合理的校验和过滤,导致传入的参数直接携带到数据库执行,导致SQL注入漏洞,未经身份验证的攻击者可通过此漏洞获取数据库权限,
F10-1孚盟云-CRM系统-SQL 漏洞描述: 孚盟与阿里强强联手将最受青睐的经典C系列产品打造成全新的孚盟云产品,让用户可以用云模式实现信息化管理,让用户的异地办公更加流畅,大大降低中小企业在信息化上成本,用最小的投入享受大型企业级别的信息化服务,使中小企业在网络硬件环境、内部贸易过程管理与快速
