X9-1XXL-Job-任务调度平台-PermissionAC 漏洞描述: XXL-JOB 默认配置下,用于调度通讯的 accessToken 不是随机生成的,而是使用 application.properties 配置文件中的默认值。在实际使用中如果没有修改默认值,攻击者可利用此绕过认证调用 ex
X8-3海洋-CMS-SQL 漏洞描述: 海洋CMS影视管理系统 /js/player/dmplayer/dmku/ 接口存在SQL注入漏洞,未经授权攻击者可通过该漏洞获取数据库敏感信息,进一步利用可获取服务器权限,导致网站处于极度不安全状态。 影响版本: SeaCMS 12.9 网站图片: fof
X8-4海洋-CMS-RCE 漏洞描述: SeaCMS 12.9存在远程代码执行漏洞。该漏洞是由于admin_smtp.php将用户输入的数据未经处理直接拼接写入weixin.php造成的,允许经过身份验证的攻击者利用该漏洞执行任意命令并获取系统权限。 fofa语法: app=“海洋CMS” 漏洞复
X8-2海洋-CMS-RCE 漏洞描述: 海洋CMS admin_notify.php 接口处存在远程代码执行漏洞,经过身份验证的远程攻击者可利用该漏洞执行任意代码,写入后门文件,进而控制整个web服务器。 影响版本: SeaCMS 12.9 网站图片: 漏洞复现: payload: POST /S
X8-1行云海-CMS-SQL 漏洞描述: 行云海cms中ThinkPHP在处理order by排序时可利用key构造SQL语句进行注入,LtController.class.php中发现传入了orderby未进行过滤导致sql注入。攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理
X7-1XETUX软件-RCE 漏洞描述: XETUX 存在代码执行漏洞,攻击者可通过 dynamiccontent.properties.xhtml 执行任意代码获取服务器权限。 网站图片: 网络测绘: fofa语法: FOFA:title=“@XETUX” && title=“XPO
X6-1先锋-WEB燃气收费系统-文件上传 漏洞描述: 先锋WEB燃气收费系统/AjaxService/Upload.aspx接口处存在文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 网站图片: 网络测绘: fofa语法
X5-5XMall-开源商城-SQL 漏洞描述: XMall 开源商城 /item/list、/item/listSearch、/sys/log、/order/list、/member/list 、/member/list/remove等多处接口存在SQL注入漏洞,未经身份验证的攻击者可以利用 SQ
X5-6XMall-开源商城-SQL 漏洞描述: XMall 开源商城 /item/list、/item/listSearch、/sys/log、/order/list、/member/list 、/member/list/remove等多处接口存在SQL注入漏洞,未经身份验证的攻击者可以利用 SQ
X5-4XMall-开源商城-SQL 漏洞描述: XMall 开源商城 /item/list、/item/listSearch、/sys/log、/order/list、/member/list 、/member/list/remove等多处接口存在SQL注入漏洞,未经身份验证的攻击者可以利用 SQ
