分享
扫一扫
超级会员免费看
Byp0ss403小号
喜欢漏洞收集的你一定不要错过:https://pc.fenchuan8.com/#/index?forum=101997&yqm=DHL4E
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
Nest框架@nestjs/devtools-integration包远程代码执行漏洞(CVE-2025-54782)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。原创 2025-08-05 22:54:57 · 12 阅读 · 0 评论 -
White Star Software Protop 4.4.2-2024-11-27目录遍历漏洞允许未认证远程读取任意文件(CVE-2025-44177)
White Star Software的Protop是一款高效的网络监控和数据分析工具,旨在帮助企业实时监测其IT基础设施的性能和安全性。Protop提供全面的网络流量分析、设备监控和故障排除功能,能够快速识别和解决潜在问题。其用户友好的界面和强大的报告功能使得IT管理员能够轻松地获取关键信息,从而优化网络性能和提升系统可靠性。同时,Protop支持集成多种协议和平台,满足不同企业的需求,为企业的数字化转型提供坚实保障。原创 2025-08-04 09:18:06 · 17 阅读 · 0 评论 -
EasyCVR 视频管理平台getbaseconfig 存在信息泄露(CVE-2025-1595)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。原创 2025-08-01 10:54:28 · 24 阅读 · 0 评论 -
灵当CRM yunzhijiaApi.php 存在SQL注入漏洞(CVE-2025-8345)
灵当CRM是一款专为中小企业打造的智能客户关系管理工具,由上海灵当信息科技有限公司开发并运营。广泛应用于金融、教育、医疗、T服务、房地产等多个行业领域,帮助企业实现客户个性化管理需求,提升企业竞争力。无论是新客户开拓、老客户维护,还是销售过程管理、服务管理等方面,灵当CRM都能提供全面、高效的解决方案。是一款功能全面、用户友好、支持定制化、数据分析强大且价格合理的CRM软件,是中小型企业实现销售、服务、财务一体化管理的理想选择。原创 2025-07-31 14:49:02 · 52 阅读 · 0 评论 -
Akamai CloudTest before 60 2025.06.02 XXE注入导致文件包含漏洞(CVE-2025-49493)
Akamai CloudTest 是一款云端负载与性能测试解决方案,用于模拟大规模用户流量以评估Web应用、API及基础设施的稳定性和扩展性。该产品通过全球分布式测试节点生成真实流量,帮助客户识别性能瓶颈、优化响应速度并验证高可用性,支持自定义测试场景、实时监控和详细分析报告,适用于电商、金融等行业的关键业务压力测试与容量规划。原创 2025-07-30 22:59:13 · 40 阅读 · 0 评论 -
致远OA wpsAssistServlet存在任意文件上传漏洞(CVE-2025-34040)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。原创 2025-07-30 14:34:27 · 430 阅读 · 0 评论 -
WordPress WPBookit插件任意文件上传漏洞(CVE-2025-6058)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。原创 2025-07-25 14:46:41 · 109 阅读 · 0 评论 -
Letta 0.7.12 远程代码执行漏洞(CVE-2025-51482)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。原创 2025-07-24 09:19:21 · 315 阅读 · 0 评论 -
用友UFIDA ERP-NC 5.0 多接口存在跨站脚本漏洞(CVE-2025-2709)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。原创 2025-07-22 14:46:14 · 152 阅读 · 0 评论 -
WordPress The Events Manager插件时间型SQL注入漏洞(CVE-2025-6970)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。原创 2025-07-22 14:12:59 · 45 阅读 · 0 评论 -
DNN平台因恶意交互导致NTLM哈希泄露漏洞(CVE-2025-52488)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。前言:我们建立了一个更多,更全的。每日追踪最新的安全漏洞。原创 2025-07-18 10:15:24 · 194 阅读 · 0 评论 -
Sawtooth Lighthouse Studio模板注入漏洞允许未认证远程命令执行(CVE-2025-34300)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。前言:我们建立了一个更多,更全的。每日追踪最新的安全漏洞,追中25HW情报。原创 2025-07-18 09:39:17 · 502 阅读 · 0 评论 -
LaRecipe 2.8.1前版本存在服务器端模板注入漏洞可致远程代码执行(CVE-2025-53833)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。前言:我们建立了一个更多,更全的。每日追踪最新的安全漏洞,追中25HW情报。原创 2025-07-17 09:15:09 · 91 阅读 · 0 评论 -
Fortinet FortiWeb SQL注入漏洞(CVE-2025-25257)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。前言:我们建立了一个更多,更全的。每日追踪最新的安全漏洞,追中25HW情报。原创 2025-07-16 09:54:48 · 175 阅读 · 0 评论 -
GeoServer REST API安全绕过漏洞(CVE-2025-27505)
GeoServer 是一款开源的 Java 服务器软件,专为共享、处理和编辑地理空间数据而设计。它遵循开放地理空间联盟(OGC)标准,支持 Web 地图服务(WMS)、Web 要素服务(WFS)、Web 覆盖服务(WCS)等协议,能够高效发布和管理来自多种数据源(如 PostGIS、Shapefile、Oracle Spatial 等)的地图数据。原创 2025-07-16 09:33:53 · 237 阅读 · 0 评论 -
金和OA C6 DelTemp.aspx 存在XML实体注入漏洞(CVE-2025-7523)
金和OA协同办公管理系统C6软件共有20多个应用模块,160多个应用子模块,涉及的企业管理业务包括协同办公管理、人力资源管理、项目管理、客户关系管理、企业目标管理、费用管理等多个业务范围,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支撑企业发展。金和OA C6 DelTemp.aspx 存在XML实体注入漏洞,该接口会导致 xml 外部实体引用,攻击可以远程发起,实现任意文件读取。body="JHSoft.Web.AddMenu" || app="金和网络-金和OA"原创 2025-07-16 09:18:02 · 380 阅读 · 0 评论 -
WordPress Ads Pro Plugin本地文件包含漏洞(CVE-2025-4380)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。前言:我们建立了一个更多,更全的。每日追踪最新的安全漏洞,追中25HW情报。原创 2025-07-12 08:27:02 · 88 阅读 · 0 评论 -
某友NC getFormItem/doPost 存在SQL注入漏洞(CNVD-2025-06710)
用友NC(也称用友NC6或NCC)是用友网络科技股份有限公司开发的一款企业级管理软件,旨在为企业提供全方位的管理服务。主要面向大型企业和集团公司,提供全面的财务和业务管理解决方案,助力企业实现数字化转型和高效管理。采用J2EE架构和先进开放的集团级开发平台UAP,融合了云计算技术、移动应用技术等最新互联网技术,形成了集团管控8大领域15大行业68个细分行业的解决方案。凭借其全面的功能、强大的集成能力和高度的可定制化,成为许多大型企业和集团公司进行财务和业务管理的首选工具。原创 2025-07-09 09:17:52 · 125 阅读 · 0 评论 -
某当CRM XlsFileUpload存在任意文件上传(CNVD-2025-10982)
灵当CRM是一款专为中小企业打造的智能客户关系管理工具,由上海灵当信息科技有限公司开发并运营。广泛应用于金融、教育、医疗、T服务、房地产等多个行业领域,帮助企业实现客户个性化管理需求,提升企业竞争力。无论是新客户开拓、老客户维护,还是销售过程管理、服务管理等方面,灵当CRM都能提供全面、高效的解决方案。是一款功能全面、用户友好、支持定制化、数据分析强大且价格合理的CRM软件,是中小型企业实现销售、服务、财务一体化管理的理想选择。原创 2025-07-07 07:09:39 · 179 阅读 · 0 评论 -
Wing FTP 服务器 远程代码执行漏洞(CVE-2025-47812)
Wing FTP Server 是一款功能强大且安全的跨平台 FTP 服务器软件,支持 Windows、Linux 和 macOS 系统。它提供 FTP、FTPS、SFTP、HTTP 和 HTTPS 等多种文件传输协议,并具备高性能传输引擎、虚拟目录、用户权限管理、实时日志监控等功能。该软件适用于企业文件共享、网站管理及自动化数据传输等场景,支持集群部署和负载均衡,具有高可靠性和可扩展性。同时,Wing FTP 还提供 Web 客户端和移动端支持,便于远程文件管理。原创 2025-07-05 13:49:48 · 129 阅读 · 0 评论 -
MailEnable v10之前版本XSS漏洞(CVE-2025-44148)
MailEnable 是一款面向企业和服务提供商的邮件服务器软件,支持 Windows 平台,提供完整的邮件服务解决方案,包括 SMTP、POP3、IMAP、Webmail 以及日历、通讯录等协作功能。其企业版支持高可用集群、垃圾邮件过滤(集成 SpamAssassin)、病毒防护(与 ClamAV 等杀毒引擎整合)及多域名管理,适用于中大规模邮件部署。原创 2025-06-26 11:04:35 · 317 阅读 · 0 评论 -
Lychee路径遍历漏洞导致敏感文件泄露(CVE-2025-50202)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的、网络攻击或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。原创 2025-06-25 16:31:49 · 377 阅读 · 0 评论 -
Pterodactyl未认证任意代码执行漏洞(CVE-2025-49132)
Pterodactyl游戏面板曝路径遍历漏洞(CVE-2023-XXX),影响1.11.11之前版本。攻击者可通过构造恶意请求访问/locales/locale.json接口,利用locale和namespace参数实现未授权任意文件读取,包括配置文件、数据库凭证等敏感数据。漏洞复现显示,通过../../../路径遍历可读取config/app和config/database等关键文件。该漏洞已在1.11.11版本修复,建议用户及时升级。使用WAF可作临时防护措施。本信息仅限授权安全研究使用,严禁非法利用。原创 2025-06-24 09:21:30 · 417 阅读 · 0 评论 -
GeoServer和GeoTools XML外部实体注入漏洞(CVE-2025-30220)
GeoServer 是一款开源的 Java 服务器软件,专为共享、处理和编辑地理空间数据而设计。它遵循开放地理空间联盟(OGC)标准,支持 Web 地图服务(WMS)、Web 要素服务(WFS)、Web 覆盖服务(WCS)等协议,能够高效发布和管理来自多种数据源(如 PostGIS、Shapefile、Oracle Spatial 等)的地图数据。原创 2025-06-23 09:19:17 · 695 阅读 · 0 评论 -
Palo Alto Networks PAN-OS GlobalProtect 反射型跨站脚本漏洞(CVE-2025-0133)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的渗透测试、网络攻击或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。原创 2025-06-19 10:22:41 · 362 阅读 · 0 评论 -
Evertz SVDN 3080ipx-10G Web管理接口任意命令注入及认证绕过漏洞(CVE-2025-4009)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的渗透测试、网络攻击或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。原创 2025-06-18 17:23:29 · 247 阅读 · 0 评论 -
Kafka Connect 存在任意文件读取漏洞(CVE-2025-27817)
Apache Kafka 是一个分布式流处理平台,核心组件包括:Producer(生产者,负责发布消息到Topic)、Broker(服务节点,组成Kafka集群,存储和转发消息)、Topic(消息类别,分多个Partition以实现并行处理)、Consumer(消费者,订阅并消费Topic数据)以及ZooKeeper(早期版本用于集群协调,新版本逐步替换为KRaft协议)。Kafka通过高吞吐、低延迟的特性,支持持久化日志存储和实时流处理,广泛应用于日志聚合、事件溯源和消息队列等场景。原创 2025-06-15 08:34:07 · 583 阅读 · 0 评论 -
DataEase JWT令牌伪造漏洞(CVE-2025-49001)
DataEase是一款开源的数据可视化与分析工具,提供简单易用的拖拽式操作界面,支持快速连接多种数据源(如MySQL、Excel等),并通过丰富的图表模板和交互式仪表板实现数据探索与可视化呈现。其核心优势在于低门槛、高灵活性和社区驱动,适合企业及个人用户高效完成数据整合、分析与决策支持,同时支持私有化部署,保障数据安全。原创 2025-06-10 12:11:41 · 318 阅读 · 0 评论 -
Elber 身份认证绕过漏洞(CVE-2025-0674)
Elber信号监控系统是一种先进的智能化监测平台,专用于实时采集、分析和预警各类工业设备或环境中的信号数据。该系统通过高精度传感器网络、边缘计算和云端协同技术,实现对振动、温度、电流等关键参数的24/7动态监控,结合AI算法自动识别异常模式(如设备磨损、电气故障等),并提供可视化仪表盘、多级告警(短信/邮件/声光)及预测性维护建议。其模块化设计支持定制化扩展,广泛应用于电力、轨道交通、智能制造等领域,显著提升设备可靠性并降低非计划停机风险。原创 2025-06-06 12:03:55 · 216 阅读 · 0 评论 -
Palo Alto Networks Expedition存在命令注入漏洞(CVE-2025-0107)
本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。对于因不当使用本文信息而造成的任何直接或间接后果,作者概不负责。若您发现本文内容涉及侵权或不当信息,请及时联系我们,我们将立即核实并采取必要措施。原创 2025-06-05 10:24:59 · 434 阅读 · 0 评论 -
AstrBot路径遍历漏洞导致敏感信息泄露(CVE-2025-48957)
AstrBot是一款智能自动化机器人助手,专注于提升工作效率和简化日常任务。它通过先进的AI技术实现自然语言交互,支持智能问答、任务管理、数据分析和自动化流程处理,适用于企业办公、客户服务、个人助理等场景。AstrBot具备多平台兼容性,可无缝集成到现有系统中,其学习优化能力还能根据用户习惯持续升级服务,帮助用户更高效地完成重复性工作,释放创造力。原创 2025-06-04 08:43:04 · 453 阅读 · 0 评论 -
vBulletin未认证API方法调用漏洞(CVE-2025-48827)
vBulletin是一款功能强大且广泛使用的商业论坛软件,提供丰富的社区建设工具,支持多用户管理、主题讨论、私人消息、自定义模板和插件扩展,适用于构建各类在线社区平台。其以稳定性、安全性和高度可定制性著称,长期服务于企业、爱好者团体等多样化场景。原创 2025-05-31 10:45:36 · 408 阅读 · 0 评论 -
WordPress SureTriggers插件认证绕过漏洞(CVE-2025-3102)
WordPress SureTriggers 是一款自动化工作流插件,专为简化网站任务而设计。它支持 WordPress 与 1000+ 应用(如 Slack、Google Sheets、Zapier)的无缝集成,通过直观的拖拽界面实现自动化触发和操作,例如自动发送邮件、更新数据库或同步社交媒体。该插件提供条件逻辑、延迟操作和多步骤流程,无需编程即可提升效率,适用于电商订单处理、表单提交响应等场景,是优化网站工作流的强大工具。原创 2025-05-30 09:20:03 · 450 阅读 · 0 评论 -
Meteobridge Web界面命令注入漏洞(CVE-2025-4008)
Meteobridge是一款紧凑高效的天气数据桥接设备,可将专业气象站(如Davis、Fine Offset)的实时监测数据(温度、湿度、风速等)通过本地网络或Wi-Fi传输至互联网,支持Wunderground、Weathercloud等平台,并提供自定义服务器API对接。其低功耗设计(基于TP-Link路由器硬件)和稳定软件系统(Meteobridge OS)实现7×24小时无人值守运行,是个人气象站实现智能化联网的理想解决方案。原创 2025-05-29 13:51:26 · 230 阅读 · 0 评论 -
Invision Community 5.0.0至5.0.7前远程代码执行漏洞(CVE-2025-47916)
Invision Community 是一款功能强大的在线社区平台,提供论坛、内容管理、社交互动和会员系统等一体化解决方案。它支持高度自定义,具备现代化的用户界面和丰富的插件生态,适用于企业、品牌或爱好者构建活跃的在线社区。其核心功能包括实时讨论、内容协作、权限管理和数据分析,帮助用户轻松创建和管理互动性强的数字空间。原创 2025-05-28 09:10:08 · 440 阅读 · 0 评论 -
上讯信息运维管理审计系统imo.php存在命令执行漏洞(CNVD-2025-07703)
SiCAP-运维控制与审计(OMA)从多维度、细粒度的资源授权机制、全过程的操作记录及控制、全方位的操作审计到全操作过程的录像回放,实现了运维过程的“事前预防、事中控制、事后审计”,且支持SSO单点登录与多种运维工具,在简化运维操作、提高工作效率的同时,全面解决运维安全问题,有效提升企业IT运维管理水平。原创 2025-05-27 12:25:23 · 1217 阅读 · 0 评论 -
用友U8 Cloud FileManageServlet任意文件读取(CNVD-2025-07265)
用友U8 Cloud是用友网络推出的云端ERP解决方案,基于成熟的U8+产品架构,为企业提供财务、供应链、生产制造、人力资源等全链条云上管理服务。其采用多租户SaaS模式,支持公有云部署,整合了AI、大数据等新技术,帮助企业实现业财一体化、流程自动化及数据实时分析,尤其适合成长型企业快速实现数字化升级,具备弹性扩展、低成本运维和移动协同等云端优势。原创 2025-05-26 14:02:56 · 245 阅读 · 0 评论 -
WordPress Madara插件存在文件包含漏洞(CVE-2025-4524)
WordPress Madara插件是一款专为漫画、小说类网站设计的高效主题扩展工具,提供丰富的内容展示和管理功能。它支持章节分页、阅读进度跟踪、多种排版样式及付费阅读集成,内置AJAX加载和响应式设计,优化移动端体验。用户可轻松管理作品目录、标签过滤和阅读历史,同时兼容流行插件如WooCommerce和Elementor,是构建垂直内容平台的理想解决方案,兼顾美观性与实用性。原创 2025-05-21 15:55:59 · 408 阅读 · 0 评论 -
Pichome 开源网盘程序index.php 文件读取漏洞(CVE-2025-1743)
Pichome 是一款轻量级开源网盘程序,主打简洁易用与高效存储管理,支持文件上传/下载、在线预览、多用户分权限管理等功能,采用PHP+MySQL开发,可快速部署到私有服务器,提供类似公有云盘的用户体验同时保障数据自主可控。其模块化设计允许二次开发扩展,适合企业内网或个人搭建专属云存储服务,兼顾安全性与可定制化需求。原创 2025-05-20 09:40:54 · 767 阅读 · 0 评论 -
Ivanti Endpoint Manager Mobile (EPMM)存在远程代码执行漏洞(CVE-2025-4427、CVE-2025-4428)
Ivanti Endpoint Manager Mobile(原名MobileIron)是一款企业级移动设备管理(MDM)和移动应用管理(MAM)解决方案,专注于为组织提供安全的移动办公支持。它通过集中化平台管理智能手机、平板等移动终端,支持设备注册、策略配置、应用分发、数据加密及合规性监控,同时提供容器化技术隔离企业数据与个人隐私。原创 2025-05-19 16:30:46 · 450 阅读 · 0 评论