A42-1Alien-ALR-F800-反序列化RCE 漏洞描述: Alien Technology ALR-F800存在命令注入漏洞 fofa语法: “ALR-F800” 漏洞复现: payload: POST /cmd.php HTTP/1.1 Host: Accept-Ldwk: bG91Z
A41-1Apache-HTTPServer-身份验证绕过 漏洞复现: payload: import requests # Configuration proxy_url = "http://proxy-server.example.com" # Change this to the prox
A40-1Apache-Tomcat-拒绝服务 漏洞复现: payload: import http.client # Configuration host = "target-server" # Change this to the target server address port = 4
A39-2ApacheOFBiz–RCE 漏洞描述: 2024年8月,互联网上披露了Apache OFBiz 授权不当致代码执行漏洞(CVE-2024-38856),该漏洞允许未经身份验证的远程攻击者通过特定的URL绕过安全检测机制执行恶意代码。攻击者可能利用该漏洞来执行恶意操作,包括但不限于获取敏
A37-1ApacheSolr-log-InformationLeakage 漏洞复现: payload: http://ip/lan.html http://ip/export.html http://ip/email.html http://ip/sms.html
A36-1Apache-CloudStack-PermissionAC 漏洞描述: Apache软件基金会发布了一则关于其开源云计算平台Apache CloudStack的严重漏洞(CVE-2024-41107)的安全公告。此漏洞影响安全断言标记语言(SAML)认证机制,可能允许攻击者绕过认证,获得
A35-1Apache-RocketMQ-InformationLeakage 漏洞描述: 受影响版本中存在敏感信息泄露漏洞,未经授权的用户可以在启用身份验证和授权功能的情况下获得敏感信息。拥有普通用户权限的攻击者可以通过特定接口窃取管理员账号和密码从而获得RocketMQ权限。 修复版本中,通过增
A31-1安达通-TPN-2G安全网关-RCE 漏洞描述: 在安达通 TPN-2G 安全网关中发现了一处远程代码执行漏洞,攻击者可以通过admin_getLisence接口直接恶意的表达式执行shell命令,获取服务器权限。 经过分析与研判,该漏洞利用难度低,能够造成远程命令执行,建议尽快修复。 网
A30-1AJ-Report开源数据大屏-RCE 漏洞描述: AJ-Report开源数据大屏 verification;swagger-ui接口存在远程命令执行漏洞,未经身份验证的远程攻击者可以利用此类漏洞执行任意命令,写入后门文件,最终可获取服务器权限。 网站图片: 网络测绘: fofa语法: t
A29-1Apache-Zeppelin-RCE 漏洞描述: Apache Zeppelin 中代码生成控制不当(“代码注入”)漏洞。攻击者可以使用 Shell解释器作为代码生成网关,系统org.apache.zeppelin.shell.ShellInterpreter类直接调用/sh来执行命令,
A25-1ApacheFlink-文件上传 漏洞描述: Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致任意文件读取(CVE-2020-17519)和任意文件写入(CVE-2020-17518)漏洞。 CVE-2020-17518攻击者利用REST API,可以修改HTTP
A23-1ApacheSkyWalking-SQL 漏洞描述: 当Apache SkyWalking使用H2 / MySQL / TiDB作为Apache SkyWalking存储时,通过GraphQL协议查询元数据时,存在SQL注入漏洞,该漏洞允许访问未指定的数据。 Apache SkyWalki
A18-3安美-数字酒店宽带运营系统-任意文件读取 漏洞描述: 安美数字酒店宽带运营系统 weather.php 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态 fofa语法: app=“安美
A22-1Apache-Kafka Connect-JNDI注入 漏洞描述: Kafka Connect是一种用于在Apache Kafka和其他系统之间可扩展且可靠地流式传输数据的工具。它使快速定义将大量数据移入和移出Kafka的连接器变得简单。Kafka Connect可以摄取整个数据库或从所有
A18-2安美-数字酒店宽带运营系统-SQL 漏洞描述: 安美数字酒店宽带运营系统 online_status.php、language.php等接口处存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库权限,进一步利用可导致服务器失陷。 网站图片: 网络测绘: fofa语法: FOFA
A18-1安美-数字酒店宽带运营系统-SQL 漏洞描述: 安美数字酒店宽带运营系统 online_status.php、language.php等接口处存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库权限,进一步利用可导致服务器失陷。 网站图片: 网络测绘: fofa语法: FOFA
A17-1Altenergy-电力系统控制软件-RCE 漏洞描述: Altenergy Power System Control Software C1.2.5版本存在安全漏洞,该系统/set_timezone存在操作系统命令注入漏洞,攻击者可执行任意命令获取服务器权限。 网站图片: 网络测绘: f
A16-3奥威亚-教学视频应用云平台-任意文件上传 fofa语法: body=“/Upload/DomainInfo/MaxAVALogo.png” 漏洞复现: payload: POST /Services/WeikeCutOut/UploadFile.aspx?VideoGuid=/./ HTT
A16-2奥威亚-教学视频应用云平台-任意文件下载 漏洞描述: 奥威亚教育视频云平台是一种教育技术解决方案,致力于提供高质量的在线教育视频服务。该平台为教育机构和教师提供了一个全面的视频管理和交流平台。奥威亚教育视频云平台download存在任意文件下载漏洞,攻击者可通过该漏洞获取服务器敏感信息。
A16-1奥威亚-教学视频应用云平台-文件上传 漏洞描述: 奥威亚教学视频应用云平台 VideoCover.aspx接口处存在任意文件上传漏洞,未经身份验证的攻击者可利用上传后门文件达到获取服务器权限效果。 网站图片: 网络测绘: fofa语法: FOFA:body=“/Upload/DomainI
