blankunbeaten - 博客园

2021年9月

摘要： Spring WebFlow 远程代码执行漏洞 Spring WebFlow 远程代码执行漏洞（CVE-2017-4971） Spring WebFlow 是一个适用于开发基于流程的应用程序的框架（如购物逻辑），可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中，如果我们控阅读全文

posted @ 2021-09-29 10:04 blankunbeaten 阅读(303) 评论(0) 推荐(0)

2021年8月

Spring Security OAuth2 远程命令执行漏洞

摘要： Spring Security OAuth2 远程命令执行漏洞 Spring Security OAuth2 远程命令执行漏洞（CVE-2016-4977） Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。在其使用 whitelabel views 阅读全文

posted @ 2021-08-13 11:02 blankunbeaten 阅读(378) 评论(0) 推荐(0)

2021年7月

ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞

摘要： ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞 ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞 ThinkPHP是一款运用极广的PHP开发框架。其版本5中，由于没有正确处理控制器名，导致在网站没有开启强制路由的情况下（即默认情况下）可以执行任意方法，从而导致远程命阅读全文

posted @ 2021-07-26 13:46 blankunbeaten 阅读(465) 评论(1) 推荐(0)

ThinkPHP 2.x 任意代码执行漏洞

摘要： ThinkPHP 2.x 任意代码执行漏洞 ThinkPHP 2.x 任意代码执行漏洞 ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由： $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\ 阅读全文

posted @ 2021-07-16 09:23 blankunbeaten 阅读(99) 评论(0) 推荐(0)

ECShop 2.x/3.x SQL注入/任意代码执行漏洞

摘要： ECShop 2.x/3.x SQL注入/任意代码执行漏洞 ECShop 2.x/3.x SQL注入/任意代码执行漏洞 ECShop是一款B2C独立网店系统，适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。其2017年及以前的版本中，存在一处S 阅读全文

posted @ 2021-07-13 13:06 blankunbeaten 阅读(581) 评论(0) 推荐(0)

Laravel Ignition 2.5.1 代码执行漏洞

摘要： Laravel Ignition 2.5.1 代码执行漏洞 Laravel Ignition 2.5.1 代码执行漏洞（CVE-2021-3129） Laravel是一个由Taylor Otwell所创建，免费的开源 PHP Web 框架。在开发模式下，Laravel使用了Ignition提供的错误阅读全文

posted @ 2021-07-09 14:01 blankunbeaten 阅读(1124) 评论(0) 推荐(0)

kyxscms框架命令执行

摘要： kyxscms框架命令执行 kyxscms框架命令执行（CNVD-2021-16864） KYXSCMS提供一个轻量级小说网站解决方案，基于ThinkPHP5.1+MySQL的技术开发。 KYXSCMS,灵活，方便，人性化设计简单易用是最大的特色，是快速架设小说类网站首选，只需5分钟即可建立一个海量阅读全文

posted @ 2021-07-07 11:23 blankunbeaten 阅读(533) 评论(0) 推荐(0)

Flask（Jinja2）服务端模板注入漏洞

摘要： Flask（Jinja2）服务端模板注入漏洞 Flask（Jinja2）服务端模板注入漏洞 Flask 是一个 web 框架。也就是说 Flask 为你提供工具，库和技术来允许你构建一个 web 应用程序。这个 wdb 应用程序可以使一些 web 页面、博客、wiki、基于 web 的日历应用或阅读全文

posted @ 2021-07-05 16:43 blankunbeaten 阅读(255) 评论(0) 推荐(0)

Wordpress 4.6 任意命令执行漏洞

摘要： Wordpress 4.6 任意命令执行漏洞 Wordpress 4.6 任意命令执行漏洞（PwnScriptum）当WordPress 使用 PHPMailer 组件向用户发送邮件。攻击者在找回密码时会使用PHPmailer发送重置密码的邮件,利用substr(字符串截取函数)、$run(系统调阅读全文

posted @ 2021-07-02 15:37 blankunbeaten 阅读(4087) 评论(0) 推荐(0)

2021年5月

S2-007 远程代码执行漏洞

摘要： S2-007 远程代码执行漏洞 S2-007 远程代码执行漏洞当配置了验证规则，类型转换出错时，进行了错误的字符串拼接，进而造成了OGNL语句的执行。漏洞环境我们先下载环境，在github有别人直接搭建好的docker环境我们直接拿来用即可 git clone git://github.com 阅读全文

posted @ 2021-05-30 21:56 blankunbeaten 阅读(345) 评论(0) 推荐(0)

公告