A35-1Apache-RocketMQ-InformationLeakage 漏洞描述: 受影响版本中存在敏感信息泄露漏洞,未经授权的用户可以在启用身份验证和授权功能的情况下获得敏感信息。拥有普通用户权限的攻击者可以通过特定接口窃取管理员账号和密码从而获得RocketMQ权限。 修复版本中,通过增
A31-1安达通-TPN-2G安全网关-RCE 漏洞描述: 在安达通 TPN-2G 安全网关中发现了一处远程代码执行漏洞,攻击者可以通过admin_getLisence接口直接恶意的表达式执行shell命令,获取服务器权限。 经过分析与研判,该漏洞利用难度低,能够造成远程命令执行,建议尽快修复。 网
A30-1AJ-Report开源数据大屏-RCE 漏洞描述: AJ-Report开源数据大屏 verification;swagger-ui接口存在远程命令执行漏洞,未经身份验证的远程攻击者可以利用此类漏洞执行任意命令,写入后门文件,最终可获取服务器权限。 网站图片: 网络测绘: fofa语法: t
A29-1Apache-Zeppelin-RCE 漏洞描述: Apache Zeppelin 中代码生成控制不当(“代码注入”)漏洞。攻击者可以使用 Shell解释器作为代码生成网关,系统org.apache.zeppelin.shell.ShellInterpreter类直接调用/sh来执行命令,
A25-1ApacheFlink-文件上传 漏洞描述: Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致任意文件读取(CVE-2020-17519)和任意文件写入(CVE-2020-17518)漏洞。 CVE-2020-17518攻击者利用REST API,可以修改HTTP
A23-1ApacheSkyWalking-SQL 漏洞描述: 当Apache SkyWalking使用H2 / MySQL / TiDB作为Apache SkyWalking存储时,通过GraphQL协议查询元数据时,存在SQL注入漏洞,该漏洞允许访问未指定的数据。 Apache SkyWalki
A18-3安美-数字酒店宽带运营系统-任意文件读取 漏洞描述: 安美数字酒店宽带运营系统 weather.php 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态 fofa语法: app=“安美
A22-1Apache-Kafka Connect-JNDI注入 漏洞描述: Kafka Connect是一种用于在Apache Kafka和其他系统之间可扩展且可靠地流式传输数据的工具。它使快速定义将大量数据移入和移出Kafka的连接器变得简单。Kafka Connect可以摄取整个数据库或从所有
A18-2安美-数字酒店宽带运营系统-SQL 漏洞描述: 安美数字酒店宽带运营系统 online_status.php、language.php等接口处存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库权限,进一步利用可导致服务器失陷。 网站图片: 网络测绘: fofa语法: FOFA
A18-1安美-数字酒店宽带运营系统-SQL 漏洞描述: 安美数字酒店宽带运营系统 online_status.php、language.php等接口处存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库权限,进一步利用可导致服务器失陷。 网站图片: 网络测绘: fofa语法: FOFA
