SecEvery - Vulnerability Warning
2024-12-12
ComfyUI\-Manager是Dr.Lt.Data个人开发者的一款增强 ComfyUI 可用性的扩展程序。其旧版本customnode/install接口存在远程代码执行漏洞,未经授权的远程攻击者可以利用该接口安装任意的python包,攻击者可制作一个含有恶意代码的python包安装到ComfyUI\-Manager所在的服务器中,导致服务器失陷。
2025-03-20
ragflow是一款用于构建和管理 RAG(检索增强生成)应用的工具,其旧版本web\_crawl接口存在一个SSRF漏洞,已获得登录权限的远程攻击者,可以利用该漏洞访问服务器所处的内网环境,或者读取系统内的任意文件,导致敏感信息泄漏,并有可能实现远程代码执行。
2025-03-25
远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码,这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码,从而控制服务器,进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。
2025-03-20
Code\-Projects Blood Bank Management System是Code\-Projects开源的一个血库管理系统。 Code\-Projects Blood Bank Management System 1.0版本存在安全漏洞,该漏洞源于会导致SQL注入。
2025-03-20
Keytop On\-street parking payment system是中国科拓(Keytop)公司的一个停车收费系统。 Keytop On\-street parking payment system 2.7.1版本存在授权问题漏洞,该漏洞源于身份验证不当。