01漏洞描述电信网关配置管理系统/manager/newtpl/del_file.php 接口存在命令执行漏洞,未经身份验证的远程攻击者可以利用此漏洞执行任意代码,从而获取服务器权限 0...
MingSoft MCMS任意文件上传漏洞(CVE-2024-22567)
漏洞描述:MingSoft MCMS是中国铭飞(MingSoft)公司的一个完整开源的J2ee系统,MingSoft MCMS 5.3.5版本存在任意文件上传漏洞,攻击者可以通过精心设计的POST请求...
Spring Cloud Contract信息泄露漏洞(CVE-2024-22236)
漏洞描述: Spring Cloud是美国Spring团队的一款基于Spring Boot实现的微服务框架。 Spring Cloud Contract 4.1.0版本、4.0.0至4.0.5之前版本...
Fastadmin框架lang接口存在任意文件读取漏洞-(漏洞复现系列)
免责声明:1.禁止未授权的渗透测试2.该文章仅供学习参考,切勿拿去尝试3.此文所提供的信息而造成的任何后果及损失,均由使用者本人负责4.一切后果与文章作者无关5.文章所涉及的全部漏洞,均是被公开的一....
【漏洞预警】springboot-manager任意文件上传漏洞(CVE-2024-24059)
漏洞描述:springboot-manager是个人开发者的一个基于SpringBoot + Thymeleaf + Layui + Apache Shiro + Redis + Mybatis Pl...
【漏洞预警】ClickHouse信息暴露漏洞(CVE-2024-23689)
漏洞描述:ClickHouse是ClickHouse公司的用于实时应用程序和分析的速度最快、资源效率最高的开源数据库,ClichHouse存在信息暴露漏洞,攻击者可利用该漏洞通过客户端异常日志获取对客...
Zyxel NAS 未授权文件上传限制不当可致远程代码执行
漏洞描述: Zyxel NAS326和NAS542设备中的CGI 程序file_upload-cgi中存在远程代码执行漏洞,未经身份验证的威胁者可通过将恶意设计的配置文件上传到易受攻击的设备导致执行任...
2024 HW前需要关注的高危漏洞清单
NOTICE 盘点 ▶▶▶ 1.前言 当前,在规模较大和重要性较高的网络攻防演练中,对于蓝队(防守方),在演练中遇到红队(攻击方)0day的机会还是相当大的,...
【漏洞预警】MyBatis Plus<=3.5.6 存在SQL注入漏洞CVE-2024-35548
漏洞描述:MyBatis Plus是MyBatis的增强工具,用于简化数据库开发,提高开发效率,受影响版本中,由于UpdateWrapper 类未对用户可控的参数进行过滤导致存在SQL注入漏洞,攻击者...
【漏洞预警】Elasticsearch授权错误漏洞(CVE-2024-23451)
漏洞描述:Elasticsearch是一个基于Lucene库的搜索引擎,Elasticsearch 8.10.0版本、8.13.0之前版本存在授权错误漏洞,具有有效API密钥的攻击者可利用该漏洞读取远...
【漏洞预警】Showdoc 未授权 SQL注入漏洞
漏洞描述:ShowDoc V3.2.5 之前的版本中存在SQL注入漏洞,攻击者可通过此漏洞获取登录登录token并进入后台。进入后台后可结合反序列化漏洞,写入WebShell,从而获取服务器权限。修复...
【漏洞预警】Ampache命令注入漏洞(CVE-2024-1540)
漏洞描述:Ampache是一款基于Web的音频/视频应用程序和文件管理器,Ampache存在命令注入漏洞,该漏洞源于程序未正确中和命令中的特殊元素,攻击者可利用该漏洞执行未经授权的命令,进而修改基本存...
13