【漏洞复现】华望云 会议管理平台 useractionlist 后台SQL注入漏洞

于 2024-11-02 08:45:00 发布
阅读量3 收藏
点赞数
分类专栏: 漏洞复现 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41924764/article/details/142815438
版权

免责声明:

        本文旨在提供有关特定漏洞的信息,以帮助用户了解潜在风险。发布此信息旨在促进网络安全意识和技术进步,并非出于恶意。读者应理解,利用本文提到的漏洞或进行相关测试可能违反法律或服务协议。未经授权访问系统、网络或应用程序可能导致法律责任或严重后果。作者对读者基于本文内容的行为不承担责任。读者在使用信息时必须遵守适用法律法规和服务协议,独自承担所有风险和责任。如有侵权,请联系删除。

漏洞描述

        华望云 会议管理平台 useractionlist 接口存在一个 SQL 注入漏洞,通过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来获取对数据库的完全控制权,从而查看、修改甚至删除数据库中的数据,严重威胁系统的安全性。

网络空间测绘

Fofa

title="华望云会议管理平台"

了解本专栏 订阅专栏 解锁全文 超级会员免费看
0x0000001
关注
专栏目录
订阅专栏
漏洞复现】赛蓝企业管理系统 GetImportDetailJson SQL注入漏洞
alert['Hello World']
09-19 154
赛蓝企业管理系统 GetImportDetailJson 接口存在SQL注入漏洞,攻击者通过SQL注入可以获取服务器数据库敏感信息
赛蓝企业管理系统 多处 任意文件读取漏洞复现
0xSec
07-09 888
赛蓝企业管理系统 DownloadBuilder 、ReadTxtLog、GetJSFile、GetCssFile等多处接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
CVE-2019-8660 iMessage 漏洞复现
十年磨一剑,霜刃未曾试!
08-22 2169
CVE-2019-8660 iMessage 漏洞复现 近期谷歌的研究人员披露了 5 个 iOS 中安全漏洞,并公布了 POC(Proof of concept),攻击者利用这些漏洞可以通过 iMessage 发送精心设计的消息来攻击 iOS 设备,这些漏洞不需要和任何用户交互,只要目标机 iMessage 信息接收成功即可触发漏洞。 CVE-2019-8660、 CVE-2019-8662、 C...
赛蓝企业管理系统 GetExcellTemperature SQL注入漏洞复现
0xSec
07-11 929
赛蓝企业管理系统 GetExcellTemperature 接口处SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
赛蓝企业管理系统GetJSFile存在任意文件读取漏洞
xiaokp7的博客
07-24 142
赛蓝企业管理系统GetJSFile存在任意文件读取漏洞,攻击者可通过该漏洞获取敏感信息。
漏洞复现】Saber企业级开发平台-SQL注入-list
知黑而守白
04-19 1586
受益于企业级前端应用开发平台 EDP ,它为项目管理、包管理、调试、构建、代码生成、代码检测、单元测试等各个环节提供解决方案,具备完善的工程化支持。Saber企业级开发平台 list 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
大华智慧园区综合管理平台SQL注入漏洞复现
0xSec
08-10 2448
大华智慧园区综合管理平台未对用户的输入进行有效的过滤,直接将其拼接进了SQL查询语句中,导致系统出现SQL注入漏洞。远程未授权攻击者可利用此漏洞获取敏感信息,进一步利用可能获取目标系统权限。
广联达-Linkworks 协同办公管理平台 多处SQL注入漏洞复现
0xSec
12-14 1614
广联达-Linkworks协同办公管理平台 GetUserByEmployeeCode、GetUserByUserCode、EmailAccountOrgUserService.asmx、DataExchange.ashx等接口处存在SQL注入漏洞,未经身份认证的攻击者可获取用户名密码等敏感信息。
JeePlus快速开发平台 多处 SQL注入漏洞复现
0xSec
02-07 1177
JeePlus快速开发平台resetPassword、registerUser等接口处存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
赛蓝企业管理系统DownloadBuilder接口任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
07-11 486
赛蓝企业管理系统DownloadBuilder接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
泛微最新漏洞汇总----实时更新!!!
yggcwhat
07-31 6490
泛微最新漏洞汇总
E-message越权访问
梦里明明有六趣,觉后空空无大千
07-17 1313
只有劳动才可能使人在生活中强大。不论什么人,最终还是要崇尚那些能用双手创造生活的劳动者。
泛微E-Office文件漏洞的修复代码
最新发布
weaverhn的博客
10-25 374
【代码】泛微E-Office文件漏洞的修复代码。
HW漏洞威胁情报第一天|HW情报
weixin_43167326的博客
07-24 445
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!蓝凌EKP存在sys_ui_component远程命令执行漏洞亿赛通数据泄露防护(DLP)系统NoticeAjax接口存在SQL注入漏洞天问物业ERP系统AreaAvatarDownLoad存在任意文件读取漏洞
HW漏洞威胁情报第三天|HW情报
weixin_43167326的博客
07-25 645
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!天问物业ERP系统ContractDownLoad存在任意文件读取漏洞。猎鹰安全(金山)终端安全系统V9 远程代码执行漏洞。启明星辰天清汉马vpn存在任意文件读取漏洞。赛蓝企业管理系统存在任意文件上传漏洞
MessageSolution 邮件归档系统EEA 信息泄露(CNVD-2021-10543)
MD@@nr丫卡uer
03-30 669
0x01 前言 MessageSolution是企业电子邮件归档软件的开发商。MessageSolution企业邮件归档管理系统EEA存在信息泄露漏洞。 0x02 漏洞影响 攻击者可利用漏洞获取Windows服务器administrator hash与web账号密码等敏感信息。 0x03 fofa查询语句 title="MessageSolution Enterprise Email Archiving (EEA)" 0x04 漏洞复现 访问网站页面如图 payload http://ip/authe
漏洞预警】泛微e-cology OA系统远程代码执行漏洞及其复现
热门推荐
Summer's blog
05-13 1万+
目录 0x00前言 0x01漏洞描述 0x02漏洞复现 0x03漏洞POC 0x04影响范围 0x05漏洞防护 0x06免责声明 0x00前言 2019年9月19日,泛微e-cology OA系统自带BeanShell组件被爆出存在远程代码执行漏洞。攻击者通过调用BeanShell组件中未授权访问的问题接口可直接在目标服务器上执行任意命令,目前该漏洞安全补丁已发布,请使用泛...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0x0000001

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值