分类: 漏洞整理 | 吗喽の小屋

文章分类
内网渗透 5 基础 11 蓝队 2 编程 4 渗透 1 无线 1 工具 6 逆向 1 漏洞整理 14
                            
                            网络与安全设备漏洞
                        
IOTACTIACTI 视频监控 images 任意文件读取漏洞漏洞描述ACTI 视频监控 存在任意文件读取漏洞
漏洞影响ACTI摄像头
网络测绘app=”ACTi-视频监控”
漏洞复现登录页面如下

使用Burp抓包
/images/.
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            编程语言及脚本工具漏洞
                        
编程语言bashCVE-2014-6271Bash Shellshock 破壳漏洞（CVE-2014-6271）编译运行：
docker compose up -d

服务启动后，有两个页面http://your-ip:8080/vict
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            管理系统漏洞
                        
企业级软件与服务1Panel1Panel loadfile 后台文件读取漏洞漏洞描述1Panel 后台存在任意文件读取漏洞，攻击者通过漏洞可以获取服务器中的敏感信息文件
漏洞影响1Panel
网络测绘“1Panel”
漏洞复现登陆页面

                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            服务器设备漏洞
                        
网络设备与工具dnsdns-zone-transferDNS域传送漏洞DNS协议支持使用axfr类型的记录进行区域传送，用来解决主从同步的问题。如果管理员在配置DNS服务器的时候没有限制允许获取记录的来源，将会导致DNS域传送漏洞。
参考
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            文件处理与管理工具漏洞
                        
文件处理与管理aria2rceAria2 任意文件写入漏洞Aria2是一个命令行下轻量级、多协议、多来源的下载工具（支持 HTTP/HTTPS、FTP、BitTorrent、Metalink），内建XML-RPC和JSON-RPC接口。在
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            数据库及工具漏洞
                        
数据库及管理工具adminerCVE-2021-21311Adminer ElasticSearch 和 ClickHouse 错误页面SSRF漏洞（CVE-2021-21311）Adminer是一个PHP编写的开源数据库管理工具，支持M
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            数据处理与可视化工具漏洞
                        
数据处理与可视化airflowCVE-2020-11978Apache Airflow 示例dag中的命令注入（CVE-2020-11978）Apache Airflow是一款开源的，分布式任务调度框架。在其1.10.10版本及以前的示例
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            服务器设备漏洞
                        
容器化与云服务Go-fastdfsGetClientIp 未授权访问漏洞漏洞描述Go-fastdfs GetClientIp方法存在XFF头绕过漏洞，攻击者通过漏洞可以未授权调用接口，获取配置文件等敏感信息
漏洞影响Go-fastdfs 
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            Web框架漏洞
                        
Web框架Apache-OFBizApache OFBiz RMI反序列化漏洞 CVE-2021-26295漏洞描述OFBiz是基于Java的Web框架，包括实体引擎，服务引擎和基于小部件的UI。
近日，Apache OFBiz官方发布安
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            Web服务器与中间件漏洞
                        
web服务器与中间件Apache-activemqCVE-2015-5254ActiveMQ 反序列化漏洞（CVE-2015-5254）Apache ActiveMQ是美国阿帕奇（Apache）软件基金会所研发的一套开源的消息中间件，它支
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            OA漏洞
                        
OAO2OAO2OA invoke 后台远程命令执行漏洞 CNVD-2020-18740漏洞描述O2OA是一款开源免费的企业及团队办公平台，提供门户管理、流程管理、信息管理、数据管理四大平台,集工作汇报、项目协作、移动OA、文档分享、流程
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            DevOps工具漏洞
                        
DevOpsApache-SkyWalkingCVE-2020-9483Apache SkyWalking graphql SQL注入漏洞漏洞描述腾讯安全威胁情报中心监测到Apache SkyWalking发布更新，修复了一个SQL注入漏
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            CMS漏洞
                        
CMSAspCMSAspCMS commentList.asp SQL注入漏洞漏洞描述AspCMS commentList.asp 存在SQL注入漏洞，攻击者通过漏洞可以获取管理员md5的密码
漏洞影响AspCMS
网络测绘app=”AS
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            漏洞整理
                        
                            2024
                        
以下漏洞均来源于互联网
泛微泛微Ecology任意文件写入

漏洞类型
涉及版本
利用路径
处置建议
情报获取时间
0day/1day/nday

RCE
8.0（10.65以下）9.0（10.62以下）
未知
使用/securit
                            
                                2024-08-14
                            
                                    漏洞整理
                                
                            HVV