C7-2Cacti-RCE 漏洞描述: Cacti项目是一个开源平台,可为用户提供强大且可扩展的操作监控和故障管理框架。在1.2.22版本中存在一处命令注入漏洞,攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。漏洞编号:CVE-2022-46169,漏洞等级:严
C6-2Cellinx-NVT摄像机-任意文件读取 漏洞描述: Cellinx NVT v1.0.6.002b版本存在安全漏洞,该漏洞源于存在本地文件泄露漏洞,攻击者可读取系统密码等敏感信息。 网站图片: 网络测绘: fofa语法: FOFA:body=“local/NVT-string.js”<
C7-1Cacti-SQL 漏洞描述: 该漏洞存在于graph_view.php文件中。默认情况下,访客用户无需身份验证即可访问graph_view.php,在启用情况下使用时会导致SQL注入漏洞。 攻击者可能利用此漏洞执行远程代码或篡夺管理权限。Growth_right_pane_tree函数包含
C6-1Cellinx-NVT摄像机-任意用户创建 漏洞描述: Cellinx NVT 摄像机 UAC.cgi接口处存在任意用户创建漏洞,未经身份认证的攻击者可利用此接口创建管理员账户,登录后台可查看敏感信息,使系统处于极不安全的状态。 网站图片: 网络测绘: fofa语法: FOFA:body=“
C5-1CloudPanel-RCE 漏洞描述: 由于2.3.1 之前的 CloudPanel 具有不安全的文件管理器 cookie 身份验证。未经身份验证的攻击者可以利用此问题在服务器上创建任意文件,创建PHP后门文件可远程代码执行,并且获取服务器权限。 影响版本: CloudPanel >= v
C4-4禅道-InformationLeakage 漏洞描述: 禅道是第一款国产的开源项目管理软件。它集产品管理、项目管理、质量管理、文档管理、 组织管理和事务管理于一体,是一款专业的研发项目管理软件,完整地覆盖了项目管理的核心流程。 禅道管理思想注重实效,功能完备丰富,操作简洁高效,界面美观大方,
C4-3禅道-SQL 漏洞描述: 禅道 11.6 版本中对用户接口调用权限过滤不完善,导致调用接口执行SQL语句导致SQL注入。任意用户登录后台后可调用api-getModel-api-sql模块的方法进行sql查询(空格转换为+绕过过滤)。 影响版本: 禅道11.6 任意账户登录后台 网站图片:
C4-2禅道-文件上传 漏洞描述: 禅道11.6版本中对用户接口调用权限过滤不完善,导致调用接口执行SQL语句导致SQL注入 影响版本: 禅道11.6 网站图片: 网络测绘: fofa语法: body:“禅道” 漏洞复现: 任意用户登录后台使用api-getModel-editor-save-fil
C4-1禅道-任意文件读取 漏洞描述: 禅道11.6版本对用户接口调用权限过滤不完善,存在任意文件读取漏洞。 影响版本: 禅道11.6 任意用户登录后台 网站图片: 网络测绘: fofa语法: body:“禅道” 漏洞复现: payload: http://192.168.110.231/zenta
C3-1Chamilo-学习管理软件-RCE 漏洞描述: Chamilo是一款可用于用户免费下载的学习管理产品,其目的是为了提高来自弱势背景用户对在线课程的可及性。Chamilo由一个名Chamilo协会的非营利组织运行及管理。Chamilo存在命令执行漏洞,恶意攻击者可以通过构造的xml文件任意命
