NUUO NVRmini2 设备身份验证绕过漏洞(CVE-2022-23227)

NUUO NVRMini2是中国台湾NUUO公司的一款小型网络硬盘录像机设备。 NUUO NVRmini2存在安全漏洞，该漏洞允许未经身份验证的攻击者上传加密的 TAR 存档，由于缺少 handle\_import\_user.php 身份验证，可滥用该存档添加任意用户。

思科路由器弱口令漏洞

弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码，导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限，进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。

Spring Framework 特定条件下目录遍历漏洞

Spring框架是 Java 平台的一个开源的全栈应用程序框架和控制反转容器实现。2024年10月，Spring官方发布公告披露 CVE\-2024\-38819 Spring Framework 特定条件下目录遍历漏洞。该漏洞类似CVE\-2024\-38816，当Spring通过WebMvc.fn或者WebFlux.fn对外提供静态文件时，攻击者可构造恶意请求遍历读取系统上的文件。 影响范围 Spring Framework 5.3.0 \- 5.3.40 Spring Framework 6.0.0 \- 6.0.24 Spring Framework 6.1.0 \- 6.1.13 其他更老或者官方已不支持的版本

海康威视综合安防管理平台 applyST 远程代码执行漏洞

远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服务器，进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。

Cyber​​Panel 操作系统命令注入漏洞(CVE-2024-53376)

2.3.8 之前的 Cyber​​Panel 允许远程经过身份验证的用户通过 phpSelection 字段中的 shell 元字符对 website/submitWebsiteCreation URI 执行任意命令。