SecEvery - Vulnerability Warning
2024-11-18
文件上传漏洞发生在应用程序允许用户上传文件的功能中,如果上传功能未能正确地验证和限制上传文件的类型和内容,攻击者可能利用此漏洞上传恶意文件,如包含可执行代码的脚本文件,从而在服务器上执行任意命令,控制或破坏系统。
2024-11-18
SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,从而绕过应用程序的安全措施,直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下,使得攻击者能够获取、修改或删除数据库中的数据,甚至可能执行服务器上的任意代码。
2024-11-18
文件上传漏洞发生在应用程序允许用户上传文件的功能中,如果上传功能未能正确地验证和限制上传文件的类型和内容,攻击者可能利用此漏洞上传恶意文件,如包含可执行代码的脚本文件,从而在服务器上执行任意命令,控制或破坏系统。
2024-11-16
Apache OFBiz 是开源企业资源规划(ERP)系统和电子商务框架。 受影响版本中,OFBiz由于使用freemarker对url中的参数进行模板解析时限制不当,攻击者可能通过component://协议访问/webtools/control/ProgramExport等受限制接口,执行恶意groovy代码,获得系统权限。
2024-11-17
Apache HertzBeat 是开源的实时监控工具,支持自定义监控消息通知模板。 在受影响版本中,由于针对消息通知模板的内容存在未限制的反序列化逻辑,具有系统登录权限的攻击者可以利用该漏洞执行任意代码。