C2-1ConnectWise ScreenConnect-远程桌面软件-RCE 漏洞描述: ConnectWise ScreenConnect低于23.9.8 版本的产品中,SetupWizard.aspx接口处存在身份验证漏洞,未经授权攻击者可以利用此漏洞注册账户,并登陆到产品后台进行一系列操作
C1-2ChatGPT-SSRF 漏洞描述: ChatGPT个人专用版 pictureproxy.php 接口处存在服务器请求伪造漏洞,由于接口处没有对url参数进行校验,攻击者可以通过url参数注入任意URL让应用发出任意请求,导致系统处于极不安全状态。 漏洞代码 <?php if (isset(
C1-1ChatGPT-SSRFXSS漏洞 影响版本: 2024年3月,互联网上披露CVE-2023-49785 ChatGPT-Next-Web SSRF/XSS 漏洞,未经身份验证的攻击者可利用此漏洞构造恶意请求获取系统内部敏感信息及配置文件,造成信息泄露。CVE-2023-49785 网站图
B15-1北京星网锐捷网络技术有限公司-乐享智能运维管理平台-SQL 漏洞描述: POST /auth-ui/v1/api/user/token/getToken HTTP/1.1 account=admin');SELECT PG_SLEEP(5)–&password=6e0f9e14344c54
B14-1BladeX-企业级开发平台-SQL 漏洞描述: BladeX企业级开发平台 usual/list 存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
B13-1北京派网软件有限公司-Panabit-Panalog大数据日志审计系统-SQL 漏洞复现: payload: GET /Maintain/sprog_upstatus.php?status=1&id=1%20and%20updatexml(1,concat(0x7e,user()),0)&
B11-1百易云-资产管理运营系统-任意文件上传 漏洞描述: 百易云资产管理运营系统 comfileup.php 接口存在文件上传漏洞,未经身份验证的攻击者通过漏洞上传恶意后门文件,执行任意代码,从而获取到服务器权限。 fofa语法: body=“不要着急,点此” 漏洞复现: payload: PO
B9-1碧海威-L7云路由无线运营版-RCE 漏洞描述: 碧海威L7 confirm.php、jumper.php接口处存在RCE漏洞,恶意攻击者可能利用此漏洞执行恶意命令,获取服务器敏感信息,最终可能导致服务器失陷。 影响版本: 碧海威科技-L7 网站图片: fofa语法: app=“碧海威科技-
B7-1百为-智能流控路由器-RCE 漏洞描述: 百为智能流控路由器 /goform/webRead/open 路由的 ?path 参数存在有回显的命令注入漏洞,未经身份认证的攻击者可以利用此漏洞执行任意指令,获取服务器权限。 网站图片: 网络测绘: fofa语法: FOFA:app=“BYTEVA
B6-1Bifrost-PermisssionAC 漏洞描述: Bifrost 中间件 X-Requested-With 存在身份认证绕过漏洞,未经身份认证的攻击者可未授权创建管理员权限账号,可通过删除请求头实现身份认证绕过,获取环境内配置各种数据库账户密码。 网站图片: 网络测绘: fofa语法:
