LeouMaster - 博客园

2024年5月25日

Gradio存在任意文件读取漏洞(CVE-2024-1561)

摘要：漏洞描述该漏洞是Gradio应用中的一个高危漏洞，其出现在'component_server'端点，允许攻击者调用'Component'类的任意方法，并利用'Block'类的'move_resource_to_block_cache()'方法在文件系统上复制任意文件到临时目录，随后可将其检索。这是阅读全文

posted @ 2024-05-25 19:30 LeouMaster 阅读(926) 评论(0) 推荐(0)

2024年5月19日

MajorDoMo-thumb.php未授权RCE漏洞复现

摘要：漏洞描述： thumb.php主要用于MajorDoMo中的缩略图生成，这个文件处理外部输入时未正确验证用户输入，攻击者可以利用该处执行恶意代码 Fofa: app="MajordomoSL" POC: GET /modules/thumb/thumb.php?url=cnRzcDovL2EK&de 阅读全文

posted @ 2024-05-19 16:44 LeouMaster 阅读(158) 评论(0) 推荐(0)

JEEVMS仓库管理系统任意文件读取漏洞

摘要：漏洞描述该漏洞由于系统未能正确实施或执行对文件的访问控制权限控制，允许未经授权的用户访问或读取文件，并且应用程序未能对用户输入进行适当验证，攻击者可以构造特殊的输入，如路径遍历攻击读取系统文件内容，导致信息泄露 Fofa: body="plug-in/lhgDialog/lhgdialog.min 阅读全文

posted @ 2024-05-19 15:43 LeouMaster 阅读(174) 评论(0) 推荐(0)

F-logic_DataCube3存在SQL注入漏洞(CVE-2024-31750)

摘要：漏洞描述该漏洞是一个影响F-logic DataCube3 v1.0的SQL注入漏洞，这个漏洞源于'req_id'参数的用户输入没有得到适当的清理或过滤。通过在'req_id'参数中注入恶意的SQL代码，远程攻击者可以执行任意SQL命令，从而可能访问、修改或删除数据库中的敏感信息 Fofa： ti 阅读全文

posted @ 2024-05-19 10:35 LeouMaster 阅读(278) 评论(0) 推荐(0)

CERIO-DT系列路由器Save.cgi接口存在命令执行漏洞

摘要：漏洞描述：由于未经过过滤和适当限制的情况下，传入的参数直接用于构建并执行系统命令，攻击者通过将恶意命令注入到"Save.cgi"接口的请求参数中可以执行任意命令。 Fofa: title="DT-100G-N" || title="DT-300N" || title="DT-100G" || ti 阅读全文

posted @ 2024-05-19 10:34 LeouMaster 阅读(181) 评论(0) 推荐(0)

AJ-Report开源数据大屏存在远程命令执行漏洞

摘要：漏洞描述：该平台可以通过post方式在validationRules参数对应值中进行命令执行，可以获得服务器权限，登陆管理后台接管大屏。如果被不法分子利用，书写反动标语，危害后果十分严重 Fofa: title="AJ-Report" POC: POST /dataSetParam/verific 阅读全文

posted @ 2024-05-19 10:34 LeouMaster 阅读(396) 评论(0) 推荐(0)

2024年5月16日

CrushFTP服务器端模板注入

摘要：漏洞描述由于CrushFTP存在服务器端模板注入漏洞，未经身份验证的远程攻击者可以逃避虚拟文件系统（VFS）沙箱，绕过身份验证获得管理访问权限，泄露敏感信息或执行代码。 Fofa: server="CrushFTP" || header="/WebInterface/login.html" || 阅读全文

posted @ 2024-05-16 22:16 LeouMaster 阅读(187) 评论(0) 推荐(0)

2024年5月15日

Apache Zeppelin 命令执行漏洞复现

摘要：漏洞描述攻击者可以使用Shell解释器作为代码生成网关，系统org.apache.zppelin.shell.Shellnterpreter类直接调用/sh来执行命令，没有进行过滤，导致RCE漏洞。 Fofa: app="APACHE-Zeppelin" 漏洞复现：在fofa中搜索资产，共有12 阅读全文

posted @ 2024-05-15 21:13 LeouMaster 阅读(252) 评论(0) 推荐(0)

Adobe ColdFusion 任意文件读取漏洞

摘要：漏洞描述由于Adobe ColdFusion的访问控制不当，未经身份认证的远程攻击者可以构造恶意请求读取目标服务器上的任意文件，泄露敏感信息。 Fofa: app="Adobe-ColdFusion" && title=="Error Occurred While Processing Reque 阅读全文

posted @ 2024-05-15 21:12 LeouMaster 阅读(73) 评论(0) 推荐(0)

2024年5月14日

Mura CMS processAsyncObject SQL注入漏洞

摘要：漏洞描述该漏洞允许攻击者在某些API请求中注入恶意SQL代码，来访问或修改数据库信息，甚至可能获得对系统的完全控制，主要危害包括未授权访问敏感数据以及可能对系统完整性造成的损害 Fofa: body="Powered by Mura CMS" POC POST /index.cfm/_api/js 阅读全文

posted @ 2024-05-14 22:48 LeouMaster 阅读(194) 评论(0) 推荐(0)

LeouMaster的博客

安全小菜鸡-安服仔一枚

公告