P6-1PandoraFMS-监控软件-文件上传 漏洞描述: PandoraFMS upload_head_image.php 接口处存在未授权文件上传漏洞,攻击者可上传恶意木马获取服务器权限。 网站图片: 网络测绘: fofa语法: FOFA:app=“PANDORAFMS-产品” 漏洞复现: p
P5-2平升-电子水库监测管理平台-SQL 漏洞描述: 唐山平升电子水库监管平台GetRecordsByTableNameAndColumns接口处存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。 网站图片: fofa语法: body=“js/PSExt
P5-1平升-电子水库监测管理平台-SQL 漏洞描述: 唐山平升电子水库监管平台GetAllRechargeRecordsBySIMCardId接口处存在SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,从而盗取用户数据,造成用户信息泄露。 网站图片: 网络测绘: fofa语法: FOFA:“j
P4-1PrestaShop-网上购物系统-SQL 漏洞描述: 在 PrestaShop 的部分主题中使用Leo Custom Ajax拓展,Leo Custom Ajax模块中可以在/modules/leocustomajax/leoajax.php中使用多个 GET 参数(cat_list、pr
P3-6Panalog-日志审计系统-SQL 漏洞描述: Panabit /Maintain/sprog_upstatus.php 接口处的 id 参数存在 SQL 注入漏洞,可导致数据库信息泄露从而获取敏感信息,甚至可能被攻击者进一步利用造成更大危害。 fofa语法: body=“Maintain
P3-5Panalog-日志审计系统-RCE 漏洞描述: Panalog日志审计系统 sy_query.php接口处存在远程命令执行漏洞,攻击者可执行任意命令,接管服务器权限。 网站图片: 网络测绘: fofa语法: FOFA:app=“Panabit-Panalog” && port=“8012”
P3-4Panalog-日志审计系统-SQL 漏洞描述: 攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 网站图片: 网络测绘: fofa语法: app=“Panabit-Panalog” && port=“8012” 漏洞复现:
P3-3Panalog-日志审计系统-RCE 漏洞描述: Panalog日志审计系统 sessiptbl.php接口处存在远程命令执行漏洞,攻击者可执行任意命令,接管服务器权限。 影响版本: version <= MARS r10p1Free 网站图片: 网络测绘: fofa语法: FOFA:
P3-2Panalog-日志审计系统-RCE 漏洞描述: Panalog日志审计系统 libres_syn_delete.php接口处存在远程命令执行漏洞,攻击者可执行任意命令,接管服务器权限。 影响版本: version <= MARS r10p1Free 网站图片:
P3-1Panalog-日志审计系统-RCE 漏洞描述: panalog为北京派网软件有限公司,一款流量分析,日志分析管理的一款软件。存在任意用户创建漏洞和后台命令执行漏洞,可先通过任意用户创建,然后进行后台命令执行,获取服务器权限。 网站图片: 网络测绘: Hunter 语法: hunterapp
P2-2PigCMS-小猪CMS-文件上传 漏洞描述: PigCms(又称小猪CMS)是一个基于php+mysql的多用户微信营销系统,是国内使用较多、功能强大、性能稳定的多用户微信营销系统。PigCms存在一处前台任意文件上传漏洞,攻击者可以通过该漏洞进行任意文件上传,从而获取网站权限。 网站图片
P1-1PHP-RCE 漏洞描述: PHP 8.1.0-dev 版本在2021年3月28日被植入后门,但是后门很快被发现并清除。当服务器存在该后门时,攻击者可以通过发送User-Agentt头来执行任意代码。 影响版本: PHP/8.1.0-dev 网站图片: 网络测绘: fofa语法: fofa"
P2-1PigCMS-小猪CMS-SQL 漏洞描述: PigCms(又称小猪CMS)是一个基于php+mysql的多用户微信营销系统,是国内使用较多、功能强大、性能稳定的多用户微信营销系统。PigCms存在一处前台SQL注入漏洞,攻击者可以通过该漏洞获取数据库敏感信息。 网站图片: 网络测绘: Hu
O9-1Oracle-JDEdwards-PermissionAC 漏洞描述: Oracle JDEdwards EnterpriseOne Tools未授权获取管理员密码泄漏 fofa语法: shodan:port:8999 product:“Oracle WebLogic Server” 漏洞复
O8-1OpenMetadata-RCE 漏洞描述: OpenMetadata存在安全漏洞,该漏洞源于当请求的路径包含任何排除的端点时,过滤器将返回而不验证 JWT。导致未经身份验证的远程攻击者可以利用该漏洞远程命令执行,获取服务器权限。 影响版本: version < 1.2.4 网站图片:
O7-1O2OA-RCE 漏洞描述: O2OA是一个基于 J2EE 分布式架构,集成移动办公、智能办公,支持私有化部署,自适应负载能力的,能够很大程度上节约企业软件开发成本,基于AGPL协议开放源代码的企业信息化系统需求定制开发平台解决方案。通过/x_program_center/jaxrs/inv
O6-1Oracle-E-BusinessSuite软件-文件上传 漏洞描述: Oracle E-Business Suite 的 Oracle Web Applications Desktop Integrator 接口BneViewerXMLService处存在任意文件上传漏洞,未经身份验证的攻
O5-1OneBlog-Java博客-反序列化RCE 漏洞描述: OneBlog v2.2.2 及之前的版本存在 shiro 反序列化漏洞,该漏洞源于软件存在硬编码的 shiro-key,攻击者可利用该 key 生成恶意的序列化数据,在服务器上执行任意代码,执行系统命令、或打入内存马等,获取服务器权
O4-1OfficeWEB365-Office文档在线预览-文件上传 漏洞描述: OfficeWeb365是西安大西信息科技有限公司开发的,专注于Office文档在线预览及PDF文档在线预览云服务,包括Microsoft Word文档在线预览、Excel表格在线预览、Powerpoint演示文档在线
O3-1Openfire-PermissionAC 漏洞描述: Openfire是免费的、开源的、基于可拓展通讯和表示协议(XMPP)、采用Java编程语言开发的实时协作服务器。Openfire安装和使用都非常简单,并利用Web进行管理。单台服务器甚至可支持上万并发用户。Openfire的管理控制台
