A17-1Altenergy-电力系统控制软件-RCE 漏洞描述: Altenergy Power System Control Software C1.2.5版本存在安全漏洞,该系统/set_timezone存在操作系统命令注入漏洞,攻击者可执行任意命令获取服务器权限。 网站图片: 网络测绘: f
A16-3奥威亚-教学视频应用云平台-任意文件上传 fofa语法: body=“/Upload/DomainInfo/MaxAVALogo.png” 漏洞复现: payload: POST /Services/WeikeCutOut/UploadFile.aspx?VideoGuid=/./ HTT
A16-2奥威亚-教学视频应用云平台-任意文件下载 漏洞描述: 奥威亚教育视频云平台是一种教育技术解决方案,致力于提供高质量的在线教育视频服务。该平台为教育机构和教师提供了一个全面的视频管理和交流平台。奥威亚教育视频云平台download存在任意文件下载漏洞,攻击者可通过该漏洞获取服务器敏感信息。
A16-1奥威亚-教学视频应用云平台-文件上传 漏洞描述: 奥威亚教学视频应用云平台 VideoCover.aspx接口处存在任意文件上传漏洞,未经身份验证的攻击者可利用上传后门文件达到获取服务器权限效果。 网站图片: 网络测绘: fofa语法: FOFA:body=“/Upload/DomainI
A15-1Arris-VAP2500-RCE 漏洞描述: Arris VAP2500 list_mac_address接口处命令执行漏洞,未授权的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器 网站图片: 网络测绘: fofa语法: FOFA:body=
A14-4ApacheOFBiz-电子商务平台-RCE 漏洞描述: Apache OFBiz 18.12.14之前版本存在命令执行漏洞,该漏洞源于org.apache.ofbiz.webapp.control.ControlFilter类对路径(请求URL中的特殊字符(如 ;、%2e)限制不当导致攻
A14-3AdobeCommerce-电子商务平台-XXE 漏洞描述: 2024年6月,Adobe官方披露CVE-2024-34102 Magento estimate-shipping-methods XXE漏洞,攻击者可在无需登陆的情况下构造恶意请求利用XXE读取文件,或者结合CVE-2024-
A14-2ApacheOFBiz-电子商务平台-RCE 漏洞描述: 2020年,为修复 CVE-2020-9496 增加权限校验,存在绕过。2021年,增加 Filter 用于拦截 XML-RPC 中的恶意请求,存在绕过。2023年四月,彻底删除 xmlrpc handler 以避免同类型的漏洞产生
A14-1ApacheOFBiz-电子商务平台-RCE 漏洞描述: 该系统的身份验证机制存在缺陷,可能允许未授权用户通过绕过标准登录流程来获取后台访问权限。此外,在处理特定数据输入时,攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行groovy代码,导致远程代码执行 影响版本: Apach
A13-1Aria2-WebUI控制台-任意文件读取 漏洞描述: Aria2 WebUI控制台存在目录遍历漏洞,未授权的攻击者可通过/目录遍历读取任意系统文件,导致系统敏感信息泄露,使系统处于极不安全的状态。 网站图片: 网络测绘: fofa语法: FOFA:app=“Aria2-WebUI” 漏洞
