任意文件写入 | CN-SEC 中文网

安全漏洞

Python标准库tarfile模块存在任意文件写入高危漏洞，PoC已公开

安全研究人员发现Python标准库中的tarfile模块存在高危漏洞（CVE-2025-4517，CVSS评分9.4）。该漏洞允许攻击者通过特制的tar压缩包实现任意文件写入（Arbitrary Fi...

06月24日15 views评论

阅读全文

安全文章

【$10,000】Arc 浏览器：UXSS+本地文件窃取+任意文件写入，路径穿越直通RCE！

在 Arc 浏览器公布了其漏洞赏金计划后，国外白帽小哥便开始了他的漏洞挖掘之旅，首先他利用逆向技能查看了浏览器的二进制文件：很快便发现了一些有趣的端点：在浏览器中打开 URL：这是...

06月24日10 views评论

阅读全文

安全文章

只需写个 .pyc 文件？Python 任意文件写入也能打 RCE！

概述在Web安全领域，存在一类称为"任意文件写入"(Arbitrary File Write，AFW)的漏洞，攻击者可以利用此漏洞在服务器上创建或覆盖文件，从而可能导致远程代码执行(Remote Co...

05月01日37 views评论

阅读全文

安全文章

GitHack任意文件写入漏洞预警与修复方案

前言最近几天，关注的lijiejie大佬的GitHack项目提交了commit[1]，Change Log写着Fix abitrary file write vulnerability。GitHac...

02月16日17 views评论

阅读全文

安全新闻

网安原创文章推荐【2025/1/17】

2025-01-17 微信公众号精选安全技术文章总览洞见网安 2025-01-17 0x1 pikachu漏洞靶场通关手册（万字图文解析）泷羽Sec-Blanks 2025-01-17 23:25:3...

02月11日30 views评论

阅读全文

kkFileView漏洞不出网任意文件写入利用

利用版本4.2.0 <= kkFileView <= 4.4.0-beta使用两种方式注入注入内存马1、覆盖uno.py注入内存马路径可能需要更改"/opt/libreoffice6.0"...

02月08日安全文章63 views评论

阅读全文

安全文章

在受限的 Rails 应用程序中通过任意文件写入实现 RCE

介绍最近，我们遇到了一种情况，需要利用在受限环境中运行的 Rails 应用程序中的任意文件写入漏洞。该应用程序是通过 Dockerfile 部署的，该 Dockerfile 对可以写入的目录施加了限制...

01月26日20 views评论

阅读全文

安全漏洞

金蝶EAS任意文件写入漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述金蝶EAS是金蝶软件公司推出的一套企业级应用软件套件，旨在帮助企业实现全面的管理和业务流程优化。0x03 漏洞详情漏洞类型：文件上传影响：...

11月20日74 views评论

阅读全文

安全文章

如何将 Node.js 应用程序中的文件写入提升为 RCE

基础设施加固确实能增强应用程序抵御攻击的能力。这些安全措施提高了攻击者的门槛,使漏洞利用变得更加困难。但是,我们不能把它当作解决一切问题的银弹,因为执着的攻击者仍然可以利用源代码中的漏洞实现突破。在这...

11月05日30 views评论

阅读全文

安全开发

为什么代码安全在已加固环境中仍然重要

Why Code Security Matters - Even in Hardened Environments基础设施的强化使应用程序对攻击更加具有韧性。这些措施提高了攻击者的门槛，使得利用漏洞变...

11月03日32 views评论

阅读全文

利用 procfs 实现只读环境下的任意写到RCE

任意文件写入漏洞在开发过程中，如果没有对用户输入进行足够的限制或校验，很容易引入任意文件写入漏洞。这个问题通常出现在允许用户上传文件或提交内容并将其写入服务器时。如果开发者直接使用用户提供的文件名或路...

10月16日安全文章28 views评论

阅读全文

代码审计

致远oa表单导入任意文件写入漏洞分析

环境搭建 1 2 链接：https://pan.baidu.com/s/1d9BgbCkV82WG1TCwXvmMDA?pwd=h7kz 提取码：h7kz （1）安装mysql数据库（针对A8版本）。...

10月13日41 views评论

阅读全文

在线咨询

微信