.Rain.
黑色世界唯有东方的曙光。
展开
-
【漏洞复现】脸爱云一脸通智慧平台-信息泄露-addOperators
脸爱云一脸通智慧平台是一项整合了人脸识别技术和智能化解决方案的综合性平台。通过脸部识别技术,该平台可以实现识别和管理个体身份,为各种场景提供便捷的身份验证和管理功能。同时,结合了智能化的算法和平台支持,脸爱云一脸通智慧平台能够在安防、门禁、考勤等领域发挥重要作用,提升管理效率和安全性。脸爱云一脸通智慧平台接口处存在信息泄露漏洞,恶意攻击者可能利用该漏洞读取服务器上的敏感文件,例如账号密码等。原创 2024-07-10 16:07:28 · 21 阅读 · 0 评论 -
【漏洞复现】瑞友天翼应用虚拟化系统-SQL注入-index.php
瑞友天翼虚拟化系统是一种基于虚拟化技术的系统,旨在提高硬件资源利用率和灵活性,降低成本,提高效率,适用于各种规模的企业和组织。瑞友天翼应用虚拟化系统index.php接口处存在SQL注入漏洞导致程RCE,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。原创 2024-07-05 10:22:18 · 44 阅读 · 0 评论 -
【漏洞复现】WordPress Automati插件-SQL注入-ccsv.php(CVE-2024-27956)
wordpress是一种自由和开放源代码的内容管理系统,基于php和mysql,使用wordpress,用户可以很容易地创建和维护个人或商业网站、博客、电子商务网站或应用程序,而无需深入了解编程语言或数据库管理。WordPress Automati插件 ccsv.php接口处存在 SQL注入漏洞**,**恶意攻击者可能会利用该漏洞执行恶意SQL语句,查看用户名密码等,造成信息泄露,最终可能会导致服务器失陷。影响版本。原创 2024-06-20 16:58:55 · 43 阅读 · 0 评论 -
【漏洞复现】Wordpress AI Engine插件-任意文件上传-Upload
wordpress是一种自由和开放源代码的内容管理系统,基于php和mysql,使用wordpress,用户可以很容易地创建和维护个人或商业网站、博客、电子商务网站或应用程序,而无需深入了解编程语言或数据库管理。Wordpress saveconfiguration接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。原创 2024-06-20 16:23:48 · 44 阅读 · 0 评论 -
【漏洞复现】电信网关配置管理系统-文件上传-upload
电信网关配置管理系统是一个用于管理和配置电信网络中网关设备的软件系统。它可以帮助网络管理员实现对网关设备的远程监控、配置、升级和故障排除等功能,从而确保网络的正常运行和高效性能。电信网关配置管理系统某接口处存在任意文件上传,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。原创 2024-05-31 08:47:48 · 184 阅读 · 0 评论 -
【漏洞复现】短视频矩阵营销系统-任意文件上传-upload.php
短视频矩阵营销系统是一种基于短视频平台的营销策略,旨在通过在多个短视频平台上发布内容,以及利用各平台的用户群体和算法推荐机制,来实现产品或品牌的推广和营销。短视频矩阵营销系统 upload.php接口处存在任意文件上传,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。原创 2024-05-24 08:59:48 · 70 阅读 · 0 评论 -
【漏洞复现】短视频矩阵营销系统-任意文件上传-usersit_add
短视频矩阵营销系统是一种基于短视频平台的营销策略,旨在通过在多个短视频平台上发布内容,以及利用各平台的用户群体和算法推荐机制,来实现产品或品牌的推广和营销。短视频矩阵营销系统usersit_add接口处存在任意文件上传,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。原创 2024-05-24 08:58:44 · 48 阅读 · 0 评论 -
【漏洞复现】大华-智能物联综合管理平台-默认口令-token
浙江大华技术股份有限公司智能物联综合管理平台是一款基于物联网技术的综合性管理平台,旨在为企业和用户提供智能化、便捷化的物联网解决方案。该平台整合了大华技术在视频监控、数据采集、数据分析等方面的核心技术,实现了对各类物联网设备的统一管理和控制,提高了企业的运营效率和管理水平。智能物联综合管理平台存在默认密码漏洞,通过默认用户名密码可以访问后台。原创 2024-05-24 08:50:01 · 223 阅读 · 0 评论 -
【漏洞复现】快普M6-SQL注入-MediaUpload
快普M6是快普出产的一款财务管理软件。以协同办公系统作为基础平台,除传统常用的OA功能外,有强大的工作流引擎、预警平台和整合平台的基础功能。在标准化应用基础上充分结合IT行业的管理特性,采用B/S多层技术架构将会造成信息孤岛的协同办公、进销存财务、客户服务等三大业务系统完全整合在一个平台上,实现了平台所有跨系统跨模块数据信息之间的共享和关联,并能和手机、固定电话、语音设备等与系统进行实时交互。快普M6 MediaUpload 接口存在SQL注入漏洞。原创 2024-04-02 07:45:00 · 459 阅读 · 0 评论 -
【漏洞复现】手机卡号推广商城-SQL注入-login
手机卡号推广商城是一个在线平台,提供手机卡号销售、号码推广、套餐介绍、安全保障和售后服务等功能,满足用户对手机卡号的需求,为用户提供便利的服务体验。手机卡号推广商城 login.php接口处存在 SQL 注入漏洞,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。原创 2024-05-15 09:03:10 · 24 阅读 · 0 评论 -
【漏洞复现】普元EOS Platform-RCE漏洞-eos
Primeton EOS Platform是普元信息技术股份有限公司推出的一款集成了低代码开发、微服务应用、开发运维一体化等功能的企业级应用开发平台。它帮助企业实现软件开发、运维一体化管理,提升IT运营效率和业务响应速度。普元EOS Platform eos.jmx接口处存在RCE漏洞,恶意攻击者可能利用此漏洞执行恶意命令,获取服务器敏感信息,最终可能导致服务器失陷。原创 2024-05-15 09:09:02 · 200 阅读 · 0 评论 -
【漏洞复现】F-logic-DataCube3-SQL注入-getting_index_data(CVE-2024-31750)
F-logic-DataCube3是一款用于光伏发电系统的紧凑型终端测量系统。F-logic-DataCube3 getting_index_data 接口处存在SQL注入漏洞,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。原创 2024-05-05 12:58:29 · 56 阅读 · 0 评论 -
【漏洞复现】可视化融合指挥调度平台-文件上传-uploadImg
可视化融合指挥调度平台以标准SIP协议为核心,提供强大的调度、广播、视频、报警、预案、电子地图等功能模块,可实现多级架构管理,满足不同行业调度需求。可视化融合指挥调度平台 uploadImg 接口处存在任意文件上传漏洞,未经身份验证的攻击者可利用此漏洞上传恶意后门文件,导致服务器权限被控。原创 2024-05-05 12:54:25 · 80 阅读 · 0 评论 -
【漏洞复现】用友NC-任意文件上传-uploadFile
用友NC是北京用友软件股份有限公司(简称“用友”)开发的一款企业管理软件,支持财务会计、人力资源、供应链、生产制造、客户关系管理等多个业务领域,涵盖了企业核心业务及管理流程。用友NC是基于B/S架构的软件系统,提供基于云计算、SaaS模式、本地部署等多种部署方式,广泛应用于国内外众多中小型企业和大型企业。用友NC允许攻击者通过uploadFile接口构造特定的请求包进行任意文件上传。该漏洞使得攻击者可以在受影响的系统上上传恶意文件,潜在风险包括远程执行恶意代码、访问敏感数据,以及其他危险操作。原创 2024-05-05 12:38:09 · 198 阅读 · 0 评论 -
【漏洞复现】WIFISKY-7层流控路由器-命令执行-confirm
WIFISKY-7层流控路由器是深圳市领空技术有限公司(简称“领空技术")的一款产品,深圳市领空技术有限公司是扎根深圳辐射的网络通讯设备供应商,致力于网络通讯设备产品的研究与开发。WIFISKY 7层流控路由器 confirm 接口存在一个命令执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。原创 2024-05-05 12:41:49 · 61 阅读 · 0 评论 -
【漏洞复现】IP-guard-文件读取-getdatarecord
IP-guard是一款通用的内网安全软件。它运用系统管理思想,充分利用操作审计,权限管控,文档加密等技术手段,全面解决信息安全、应用效率、系统管理三项内网安全难题。借助IP-guard,企业能够有效地防范信息外泄,保护信息资产安全;营造健康安全的网络环境,提升工作效率的,合理分配网络资源;IT人员还能够轻松进行系统维护,保证系统运行时刻处于巅峰状态,促进业务快速发展IP-guard getdatarecord 接口存在文件读取漏洞。攻击者可以通过发送特定的POST请求,利用该漏洞获取系统敏感文件。原创 2024-05-05 12:35:25 · 33 阅读 · 0 评论 -
【漏洞复现】用友-U8C-反序列化-ServletCommander
用友U8Cloud是用友网络科技股份有限公司(简称“用友网络”)推出的一款云端企业管理软件。用友U8Cloud提供了全面的企业管理功能,包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等。支持多种业务模式,适用于不同行业和企业规模的需求,帮助企业实现数字化转型和云端化管理。用友U8Cloud ServletCommander 接口存反序列化漏洞,攻击者可能通过操纵序列化的数据,引发未经授权的代码执行,从而危及应用程序的安全性。原创 2024-05-05 12:33:11 · 115 阅读 · 0 评论 -
【漏洞复现】用友-U8C-反序列化-TableInputOperServlet
用友U8Cloud是用友网络科技股份有限公司(简称“用友网络”)推出的一款云端企业管理软件。用友U8Cloud提供了全面的企业管理功能,包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等。支持多种业务模式,适用于不同行业和企业规模的需求,帮助企业实现数字化转型和云端化管理。用友U8Cloud TableInputOperServlet 接口存反序列化漏洞,攻击者可能通过操纵序列化的数据,引发未经授权的代码执行,从而危及应用程序的安全性。原创 2024-04-23 09:32:28 · 231 阅读 · 0 评论 -
【漏洞复现】用友-U8C-反序列化-LoginVideoServlet
用友U8Cloud是用友网络科技股份有限公司(简称“用友网络”)推出的一款云端企业管理软件。用友U8Cloud提供了全面的企业管理功能,包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等。支持多种业务模式,适用于不同行业和企业规模的需求,帮助企业实现数字化转型和云端化管理。用友U8Cloud LoginVideoServlet 接口存反序列化漏洞,攻击者可能通过操纵序列化的数据,引发未经授权的代码执行,从而危及应用程序的安全性。原创 2024-04-23 09:30:32 · 93 阅读 · 0 评论 -
【漏洞复现】用友-U8C-反序列化-login2-LoginVideoServlet
用友U8Cloud是用友网络科技股份有限公司(简称“用友网络”)推出的一款云端企业管理软件。用友U8Cloud提供了全面的企业管理功能,包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等。支持多种业务模式,适用于不同行业和企业规模的需求,帮助企业实现数字化转型和云端化管理。用友U8Cloud LoginVideoServlet 接口存反序列化漏洞,攻击者可能通过操纵序列化的数据,引发未经授权的代码执行,从而危及应用程序的安全性。原创 2024-04-23 09:26:21 · 96 阅读 · 0 评论 -
【漏洞复现】西软云XMS-XXE-getresponseasync
西软云XMS是基于云平台数据中心开发的支持多酒店、多语言、多平台的酒店管理系统。致力于以新一代云架构为国内四,五星级中高端酒店提供灵活、高度整合酒店业务,助力酒店智能转型升级。西软云XMS getresponseasync 接口存在一处XML外部实体(XXE)漏洞。攻击者通过精心构造的XML文件可能导致系统解析敏感信息,从而获取敏感数据或执行潜在的攻击。原创 2024-04-23 09:24:49 · 223 阅读 · 0 评论 -
【漏洞复现】用友-U8C-反序列化-FileManageServlet
用友U8Cloud是用友网络科技股份有限公司(简称“用友网络”)推出的一款云端企业管理软件。用友U8Cloud提供了全面的企业管理功能,包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等。支持多种业务模式,适用于不同行业和企业规模的需求,帮助企业实现数字化转型和云端化管理。用友U8C FileManageServlet接口存在反序列化漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。原创 2024-04-19 13:13:45 · 90 阅读 · 0 评论 -
【漏洞复现】用友-U8C-反序列化-ClientRequestDispatch
用友U8Cloud是用友网络科技股份有限公司(简称“用友网络”)推出的一款云端企业管理软件。用友U8Cloud提供了全面的企业管理功能,包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等。支持多种业务模式,适用于不同行业和企业规模的需求,帮助企业实现数字化转型和云端化管理。用友U8C ClientRequestDispatch接口存在反序列化漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。原创 2024-04-19 13:12:48 · 132 阅读 · 0 评论 -
【漏洞复现】用友-U8C-反序列化-CacheInvokeServlet
用友U8Cloud是用友网络科技股份有限公司(简称“用友网络”)推出的一款云端企业管理软件。用友U8Cloud提供了全面的企业管理功能,包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等。支持多种业务模式,适用于不同行业和企业规模的需求,帮助企业实现数字化转型和云端化管理。用友U8C CacheInvokeServlet接口存在反序列化漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。原创 2024-04-19 13:11:57 · 115 阅读 · 0 评论 -
【漏洞复现】Saber企业级开发平台-SQL注入-list
受益于企业级前端应用开发平台 EDP ,它为项目管理、包管理、调试、构建、代码生成、代码检测、单元测试等各个环节提供解决方案,具备完善的工程化支持。Saber企业级开发平台 list 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。原创 2024-04-19 13:10:54 · 1314 阅读 · 1 评论 -
【漏洞复现】用友-U8-CRM-文件上传-swfupload
用友U8-CRM是一款由用友软件开发的客户关系管理(CRM)系统。它是基于用友U8企业管理软件平台开发的,旨在帮助企业有效管理和维护与客户之间的关系。该系统提供了一系列功能,包括客户信息管理、销售机会跟踪、市场营销活动管理、客户服务支持等。通过使用用友U8-CRM,企业可以更好地了解客户需求,提高销售效率,增强客户满意度,并实现更好的客户关系管理。用友U8-CRM swfupload接口存在任意文件上传漏洞。原创 2024-04-19 13:09:25 · 139 阅读 · 0 评论 -
【漏洞复现】用友NC-Cloud-反序列化-ConfigResourceServlet
NC Cloud是用友公司推出的大型企业数字化平台。支持公有云、混合云、专属云的灵活部署模式。NC Cloud完全基于云原生架构,技术先进、性能稳定、自主安全可控,支撑大中型以及超大型集团企业N层多site混合云部署方案,支持整个系统高可用、弹性扩展、双/多活,以及快速灾备恢复能力等。用友-NC-Cloud ConfigResourceServlet 接口存在反序列化漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。原创 2024-04-11 15:50:51 · 185 阅读 · 0 评论 -
【漏洞复现】易宝OA-SQL注入-getStockInRequestPrintDetail
易宝OA系统是一种专门为企业和机构的日常办公工作提供服务的综合性软件平台,具有信息管理、 流程管理 、知识管理(档案和业务管理)、协同办公等多种功能。易宝OA系统 getStockInRequestPrintDetail 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。原创 2024-04-09 09:12:56 · 96 阅读 · 0 评论 -
【漏洞复现】浙大恩特CRM-SQL注入-RegulatePriceAction
杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司,隶属浙江大学国家大学科技园,立足于中国外向型企业的管理软件系统的设计,研发和咨询服务。浙大恩特客户资源管理系统 RegulatePriceAction 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。原创 2024-04-09 07:15:00 · 200 阅读 · 0 评论 -
【漏洞复现】金和OA-C6-命令执行-GetSqlData
金和OA协同办公管理系统软件(简称金和OA),本着简单、适用、高效的原则,贴合企事业单位的实际需求,实行通用化、标准化、智能化、人性化的产品设计,充分体现企事业单位规范管理、提高办公效率的核心思想,为用户提供一整套标准的办公自动化解决方案,以帮助企事业单位迅速建立便捷规范的办公环境。金和OA协同办公管理系统 GetSqlData 接口存在一个命令执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。原创 2024-04-08 08:00:00 · 237 阅读 · 1 评论 -
【漏洞复现】金和OA-C6-SQL注入-MailTemplates
金和OA协同办公管理系统软件(简称金和OA),本着简单、适用、高效的原则,贴合企事业单位的实际需求,实行通用化、标准化、智能化、人性化的产品设计,充分体现企事业单位规范管理、提高办公效率的核心思想,为用户提供一整套标准的办公自动化解决方案,以帮助企事业单位迅速建立便捷规范的办公环境。金和OA协同办公管理系统 MailTemplates 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。原创 2024-04-08 06:15:00 · 97 阅读 · 0 评论 -
【漏洞复现】指挥调度平台-文件上传-zx-upload
福建科立讯通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度和管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、维护人员和工作任务等。用户可以通过该平台发送指令、调度人员、分配任务,并即时获取现场反馈和报告。福建科立讯通信指挥调度平台 zx/upload 接口处存在文件上传漏洞。攻击者可以通过构特殊的数据包上传恶意代码文件到系统,从而带来严重安全威胁。原创 2024-04-07 09:38:53 · 243 阅读 · 0 评论 -
【漏洞复现】指挥调度平台-文件上传-task-uploadfile
福建科立讯通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度和管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、维护人员和工作任务等。用户可以通过该平台发送指令、调度人员、分配任务,并即时获取现场反馈和报告。福建科立讯通信指挥调度平台 task/uploadfile 接口处存在文件上传漏洞。攻击者可以通过构特殊的数据包上传恶意代码文件到系统,从而带来严重安全威胁。原创 2024-04-07 09:36:58 · 59 阅读 · 0 评论 -
【漏洞复现】用友时空-KSOA-SQL注入-QueryService
用友时空KSOA是建立在SOA理念指导下研发的新一代产品,是根据流通企业前沿的IT需求推出的统一的IT基础架构,它可以让流通企业各个时期建立的IT系统之间彼此轻松对话,帮助流通企业保护原有的IT投资,简化IT管理,提升竞争能力,确保企业整体的战略目标以及创新活动的实现。用友时空KSOA QueryService 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。原创 2024-04-02 06:30:00 · 85 阅读 · 0 评论 -
【漏洞复现】西软云XMS-反序列化-FoxLookupInvoker
西软云XMS是基于云平台数据中心开发的支持多酒店、多语言、多平台的酒店管理系统。致力于以新一代云架构为国内四,五星级中高端酒店提供灵活、高度整合酒店业务,助力酒店智能转型升级。西软云XMS FoxLookupInvoker 接口存在一处反序列化漏洞。攻击者可能通过操纵序列化的数据,引发未经授权的代码执行,从而危及应用程序的安全性。原创 2024-04-01 15:51:08 · 202 阅读 · 3 评论 -
【漏洞复现】用友-U8C-FileServlet-文件读取
用友U8Cloud是用友网络科技股份有限公司(简称“用友网络”)推出的一款云端企业管理软件。用友U8Cloud提供了全面的企业管理功能,包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等。支持多种业务模式,适用于不同行业和企业规模的需求,帮助企业实现数字化转型和云端化管理。用友U8C-FileServlet接口存在一个任意文件读取漏洞,攻击者可以通过构造精心设计的请求,成功利用漏洞读取服务器上的任意文件,包括敏感系统文件和应用程序配置文件等。原创 2024-04-01 09:39:06 · 167 阅读 · 0 评论 -
【漏洞复现】用友-U8C-MeasureQueryByToolAction SQL注入(XVE-2024-4628)
用友U8Cloud是用友网络科技股份有限公司(简称“用友网络”)推出的一款云端企业管理软件。用友U8Cloud提供了全面的企业管理功能,包括财务管理、人力资源管理、供应链管理、采购管理、销售管理等。支持多种业务模式,适用于不同行业和企业规模的需求,帮助企业实现数字化转型和云端化管理。用友U8C接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。原创 2024-04-01 09:45:17 · 166 阅读 · 0 评论 -
【漏洞复现】WordPress-Automatic-Plugin任意文件读取(CVE-2024-27954)
wordpress是一种自由和开放源代码的内容管理系统,基于php和mysql,使用wordpress,用户可以很容易地创建和维护个人或商业网站、博客、电子商务网站或应用程序,而无需深入了解编程语言或数据库管理。WordPress存在一个任意文件读取漏洞,攻击者可以通过构造精心设计的请求,成功利用漏洞读取服务器上的任意文件,包括敏感系统文件和应用程序配置文件等。通过利用此漏洞,攻击者可能获得系统内的敏感信息,导致潜在的信息泄露风险。原创 2024-04-01 10:31:58 · 76 阅读 · 0 评论 -
【漏洞复现】泛微-eoffice10-laravel-反序列化
E-Office是泛微旗下标准协同办公平台,本着简洁易用、高效智能的原则,致力于为企业打造移动互联的无纸化、数字化办公平台。该漏洞主要是由与系统使用的laravel框架存在反序列化漏洞,从而通过构造特殊的数据包,达到命令执行。原创 2024-03-29 14:26:03 · 371 阅读 · 0 评论 -
【漏洞复现】浙大恩特客户资源管理系统-Quotegask_editAction-sql注入
杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,是一家专注于外贸客户资源管理及订单管理产品及服务的综合性公司,隶属浙江大学国家大学科技园,立足于中国外向型企业的管理软件系统的设计,研发和咨询服务。浙大恩特客户资源管理系统 FollowAction 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。原创 2024-03-29 08:45:00 · 80 阅读 · 0 评论