- 博客(9)
- 收藏
- 关注
RSS订阅原创 CentreStack 反序列化漏洞 (CVE-2025-30406)
该应用程序在 IIS web.config 文件中使用了硬编码或保护不当的 machineKey,而该文件负责保护 ASP.NET ViewState 数据。” 如果攻击者获取或预测了 machineKey,他们就可以伪造能够通过完整性检查的 ViewState 有效载荷。在某些情况下,这可能会导致 ViewState 反序列化攻击,从而可能导致 Web 服务器上的远程代码执行 (RCE)
2025-04-25 09:30:46
222
1
原创 Langflow 小于1.3.0之前存在rce漏洞 CVE-2025-3248
Langflow是用于构建和部署 AI 驱动的代理和工作流的强大工具。它为开发人员提供了可视化创作体验和内置 API 服务器,该服务器将每个代理转变为 API 终端节点,该终端节点可以集成到基于任何框架或堆栈构建的应用程序中。Langflow 随附电池,支持所有主要的 LLM、矢量数据库和不断增长的 AI 工具库。
2025-04-11 16:22:21
321
原创 Vite 任意文件读取漏洞分析复现 CVE-2025-30208
Vite是前端开发工具提供商,在6.2.3、6.1.2、6.0.12、5.4.15和4.5.10之前的版本中存在漏洞。'@fs ‘拒绝访问Vite服务允许列表之外的文件。添加’?生的??‘或者’?进口和原料??'到URL绕过此限制并返回文件内容(如果存在)。存在此绕过是因为尾随分隔符,例如“?”在多个地方被删除,但不在查询字符串regex中考虑。任意文件的内容都可以返回到浏览器。只有将Vite dev服务器显式暴露给网络(使用“–Host”或“server. Host”配置选项)的应用程序才会受到影响。
2025-03-27 22:12:14
1982
原创 安克医疗急救办公管理系统-后台任意文件上传
珠海市安克电子技术有限公司成立于1992年,专业从事急救信息化系统集成与软件开发,是国内领先的院前急救信息系统供应商。在北京、合肥、西安设有研发中心,在全国设有分支机构和服务网点20个,具有ISO9000等质量体系、高新技术企业、软件企业、信息系统集成等多项认证资质,珠海市安克电子技术有限公司医疗急救管理系统存在SQL注入漏洞。
2025-03-18 20:54:34
385
原创 安克电子技术有限公司医疗急救管理系统 Service存在SQL注入漏洞
珠海市安克电子技术有限公司成立于1992年,专业从事急救信息化系统集成与软件开发,是国内领先的院前急救信息系统供应商。在北京、合肥、西安设有研发中心,在全国设有分支机构和服务网点20个,具有ISO9000等质量体系、高新技术企业、软件企业、信息系统集成等多项认证资质,珠海市安克电子技术有限公司医疗急救管理系统存在SQL注入漏洞。
2025-03-18 20:51:53
265
原创 Synway SMG网关管理软件 9-12ping.php 远程代码执行漏洞(CVE-2025-1448)
在Synway SMG网关管理软件(版本至2025年2月4日)中发现了一个严重漏洞。该漏洞影响某些未知的文件处理过程,特别是名为“9-12ping.php”的文件。由于参数“retry”的处理不当,导致[命令注入]问题,攻击者可以通过远程发起攻击。
2025-03-18 20:23:22
267
原创 ChatGPTNextWeb 未授权访问
项目地址:ChatGPTNextWeb/NextChat: ✨ Light and Fast AI Assistant. Support: Web | iOS | MacOS | Android | Linux | Windows三、网络测绘:未授权数据包
2025-03-17 21:59:00
354
原创 用友NC NCC文件服务器配置管理 FsConsoleService SQL注入漏洞
用友NC是由用友公司开发的一套面向大型企业和集团型企业的管理软件产品系列。这一系列产品基于全球最新的互联网技术、云计算技术和移动应用技术,旨在帮助企业创新管理模式、引领商业变革。用友NC、NC Cloud uap.pub.fs.console.FsConsoleService 接口存在[SQL注入漏洞,攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。
2025-03-17 21:55:53
344
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人