2026-04-03 11:30 UTC+8
跳转 
大华智慧园区管理平台存在任意文件下载漏洞,影响其附件下载接口,由于文件路径参数未正确校验,攻击者可构造请求读取服务器上的任意文件,如 /etc/passwd,导致敏感信息泄露。
2026-04-02 18:30 UTC+8
跳转 
CVE-2021-24762 是 WordPress Perfect Survey 插件 1.5.1 版本中的 SQL 注入漏洞,未授权攻击者可通过构造特定请求参数从 wp_users 表中提取用户名、邮箱和密码哈希等敏感信息。
2026-04-02 18:30 UTC+8
跳转 
CVE-2021-24762 是 WordPress Perfect Survey 插件 1.5.1 版本中的 SQL 注入漏洞,未授权攻击者可通过构造特定请求参数从 wp_users 表提取用户名、邮箱和密码哈希等敏感信息。
2026-04-02 15:00 UTC+8
跳转 
大华ICC智能物联综合管理平台存在Fastjson反序列化远程命令执行漏洞,攻击者可构造恶意JSON请求触发反序列化执行任意命令。
2026-04-02 03:00 UTC+8
跳转 
这是Windows系统中的持久化漏洞,利用HKCU\Environment\UserInitMprLogonScript注册表值,攻击者可在用户登录时自动执行恶意载荷,无需管理员权限,仅影响当前用户。
2026-04-01 16:30 UTC+8
跳转 
ThinkPHP 框架存在多个远程代码执行漏洞,包括版本 2.x、3.0、5.0.1、5.0.10、5.0.22、5.1.29 等,问题涉及 's' 参数处理不当、控制器名未正确验证或模板赋值方法可控,导致攻击者可执行任意代码。
2026-04-01 04:00 UTC+8
跳转 
该内容涉及利用 Windows 注册表机制实现持久化攻击的漏洞,包括通过 Run/RunOnce 键、Active Setup 和 WSL 在系统启动或用户登录时执行恶意载荷,属于权限维持类漏洞,攻击者可借此在受感染系统上长期驻留并执行任意代码。
2026-04-01 00:30 UTC+8
跳转 
CVE-2026-28289 是 FreeScout <= 1.8.206 中的未授权远程代码执行漏洞,问题出在 sanitizeUploadedFileName() 函数处理文件名时存在 TOCTOU 条件,允许通过邮件附件上传 .htaccess 文件并利用 Apache 的 SetHandler 指令执行任意 PHP 代码。
2026-03-31 21:30 UTC+8
跳转 
这是 Windows 系统中的持久化漏洞,通过修改注册表项(如 Run 或 RunOnce)在系统启动或用户登录时执行恶意载荷,属于权限维持技术,可导致系统被长期控制。
2026-03-31 21:00 UTC+8
跳转 
CVE-2025-50286 是 Grav CMS 中的远程代码执行漏洞,影响 1.1.x 至 1.7.x 版本及 Admin Plugin v1.2.x 至 v1.10.x,攻击者可通过管理员身份在 Direct Install 功能中上传恶意插件 ZIP 文件,导致任意 PHP 代码执行。
2026-03-31 20:30 UTC+8
跳转 
该漏洞涉及HTTP PUT和DELETE方法配置不当,允许攻击者上传任意文件或删除服务器文件,可能导致任意文件上传、远程代码执行、网站篡改或内容修改。
2026-03-31 17:00 UTC+8
跳转 
CVE-2019-2729 是 Oracle Weblogic Server 组件中的反序列化远程代码执行漏洞,影响 wls9_async_response.war 和 wls-wsat 组件,攻击者可发送恶意 HTTP 请求绕过补丁实现远程代码执行,从而获取服务器权限。
2026-03-28 01:00 UTC+8
跳转 
这是通用HTTP命令执行漏洞,影响存在用户输入直接传递到系统执行函数的Web应用,如硬件设备或实验室靶场,攻击者可通过构造HTTP请求执行任意操作系统命令。
2026-03-27 19:30 UTC+8
跳转 
CVE-2010-20103 是 ProFTPD 1.3.3c 中的后门命令执行漏洞,攻击者可通过发送特定命令触发后门执行任意代码。CVE-2011-2523 是 VSFTPD 2.3.4 中的后门命令执行漏洞,攻击者可通过特定用户名登录触发后门在端口 6200 上获取 shell 执行命令。
2026-03-27 19:30 UTC+8
跳转 
CVE-2010-1587 是 Apache ActiveMQ 5.3.1 和 5.3.2 在 Windows 系统中的目录遍历漏洞,问题出在 Jetty ResourceHandler 未正确校验路径,允许未授权攻击者读取目标主机的任意文件。CVE-2015-5531 是 ElasticSearch 1.6.1 之前版本的目录遍历漏洞,存在于 Snapshot API 中,允许未授权攻击者以 JVM 进程权限读取系统任意文件。Drupal Views 模块 6.x-2.11 及更早版本存在信息泄露漏洞,其用户字段的自动完成回调未正确授权,可导致用户名枚举,辅助密码猜测攻击。
2026-03-26 23:00 UTC+8
跳转 
CVE-2011-2523 是 VSFTPD v2.3.4 中的恶意后门命令执行漏洞,攻击者可通过特殊用户名触发后门,在端口 6200 上执行任意命令。CVE-2010-2075 是 UnrealIRCD 3.2.8.1 中的后门命令执行漏洞,攻击者发送特定 IRC 命令可执行任意代码。CVE-2005-2877 和 CVE-2004-1037 是 TWiki 中的命令执行漏洞,分别影响历史功能和搜索功能,通过 rev 或 search 参数注入 shell 元字符可执行系统命令。
2026-03-26 20:00 UTC+8
跳转 
该内容涉及在PNG文件中注入PHP负载的技术,通过修改PNG的PLTE、tEXt等区块或直接附加代码,可在图像处理过程中执行恶意代码,属于文件上传或图像处理漏洞的利用方法,可能导致远程命令执行。
1