http://wechat.doonsec.com/Mzk0NzUyNTk1NQ.xmlThe latest security articles about WeChat official accountzh-CNMon, 19 Jan 2026 11:44:03 GMTPyRSS2Gen-1.1.0http://blogs.law.harvard.edu/tech/rsshttp://wechat.doonsec.com/http://wechat.doonsec.com/static/front/img/doonsec_bak3.pnghttps://mp.weixin.qq.com/s/_nOsFiJOiTwF7Z0A02J0fQMPET (Multi-Protocol Exploitation Toolkit) 是一款专业的多协议安全测试工具，基于 Wails 框架构建的现代化桌面应用。它提供了对 25+ 种主流服务协议的连接测试、未授权访问检测、弱口令检测和漏洞利用能力，是安全研究人员和渗透测试工程师的得力助手。浅梦安全浅梦安全2026-01-18T11:16:04https://mp.weixin.qq.com/s/kCozPK-s-c8O2-oiiDMoKgLightx 是一款轻量级、高效率的网络安全扫描工具，专为企业安全建设者和渗透测试工程师设计。它集成了端口扫描、服务识别、Web指纹识别、漏洞扫描和弱口令检测等功能，提供全面的安全评估能力，并覆盖多数两高一弱场景。浅梦安全浅梦安全2026-01-04T08:00:26https://mp.weixin.qq.com/s/E7MG7wu8qwi4jEilgSzZhwLogTrawl 是一个基于 Wails v2 框架开发的现代化桌面日志分析工具，提供强大的日志查看、搜索、过滤和分析功能。浅梦安全浅梦安全2025-08-20T08:00:29https://mp.weixin.qq.com/s/eaxl3-3XD9-YLSollxUglA【漏洞复现|含POC】HW期间用友系列漏洞整理浅梦安全浅梦安全2024-09-09T08:00:26https://mp.weixin.qq.com/s/JEIujRpKv-lrn8BniEWMkA用友U8 Cloud 提供企业级云ERP整体解决方案。用友U8 Cloud RepAddToTaskAction存在sql注入，恶意攻击者可能会向数据库发送构造的恶意SQL查询语句，以获取数据库敏感信息、修改数据或者执行其他恶意操作。浅梦安全浅梦安全2024-09-06T08:01:43https://mp.weixin.qq.com/s/WHMQiGYKPKjde09qZekPRA【漏洞复现|含POC】HW期间某某通漏洞整理浅梦安全浅梦安全2024-09-05T08:00:52https://mp.weixin.qq.com/s/0E5ltWpclJL1QwE9P_qXMQ【红队武器库】VulToolsKit一把梭漏洞利用工具合集V1.1浅梦安全浅梦安全2024-09-04T08:03:02https://mp.weixin.qq.com/s/9DuFFTIGeJf1cBNVM-cy3g用友TurboCRM客户关系管理系统reservationcomplete.php接口存在sql注入漏洞恶意攻击者可能会向数据库发送构造的恶意SQL查询语句，以获取数据库敏感信息、修改数据或者执行其他恶意操作。浅梦安全浅梦安全2024-09-03T08:00:38https://mp.weixin.qq.com/s/RhzOX6WRJBfnylpjJMcDkA【漏洞复现|含POC】HW期间某康安防漏洞整理\\x0d\\x0a免责声明❝「此公众号所分享的网络安全知识、信息及工具皆来源互联网公开收集整理，仅供学习和研究使用，请勿用于非法浅梦安全浅梦安全2024-09-02T08:00:18https://mp.weixin.qq.com/s/ZcZv8_2utE7mrq7WYSx9IQ免责声明❝「此公众号所分享的网络安全知识、信息及工具皆来源互联网公开收集整理，仅供学习和研究使用，请勿用于非法浅梦安全浅梦安全2024-08-31T08:00:47https://mp.weixin.qq.com/s/YF1PdxrPHOp2zS6xqODORA免责声明❝「此公众号所分享的网络安全知识、信息及工具皆来源互联网公开收集整理，仅供学习和研究使用，请勿用于非法浅梦安全浅梦安全2024-08-30T08:00:10【2024HVV漏洞情报|第四期】含绝大部分漏洞POC浅梦安全浅梦安全2024-08-19T08:00:17https://mp.weixin.qq.com/s/nhV4YsBralkcQu_JtFrDnw关于三方输入法绕过Windows锁屏机制获取system权限简单分析（三方输入法替windows背锅，并有人以此来钓鱼）浅梦安全浅梦安全2024-08-02T09:39:02https://mp.weixin.qq.com/s/W56zS7zqog2JeOMyk0DUww【漏洞情报|复现成功】搜狗输入法简单绕过Windows锁屏机制获取system权限浅梦安全浅梦安全2024-08-01T17:38:08https://mp.weixin.qq.com/s/5_nGRxO9vTtNm5wkeR1fXg免责声明❝「此公众号所分享的网络安全知识、信息及工具皆来源互联网公开收集整理，仅供学习和研究使用，请勿用于非法浅梦安全浅梦安全2024-07-29T08:00:15https://mp.weixin.qq.com/s/BUpLRHuiwS2Inh5XZc6NWg【2024HVV漏洞情报|第一期】含部分POC免责声明❝「此公众号所分享的网络安全知识、信息及工具皆来源互联网公开收集整理，仅供学习和研究使用，请勿用于非法浅梦安全浅梦安全2024-07-23T23:58:45https://mp.weixin.qq.com/s/oP0a0WWmevNX8NCqvBGzEg由于蓝凌OA代码功能模块设计缺陷问题，攻击者可以利用文件复制的方式，将后台脚本功能模块文件复制到无需权限认证的目录下，导致未经过身份认证的攻击者利用后台脚本执行模块，远程命令执行，写入后门文件并获取服务器权限。浅梦安全浅梦安全2024-07-22T08:01:48https://mp.weixin.qq.com/s/PiNMtiGsHcRAyo2eboeKDQ致远分析云是北京致远互联专门为企业数字化转型升级而打造的一站式数据分析平台，旨在帮助企业实现数字化转型升级。其存在任意文件读取漏洞，未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件，获取敏感信息。浅梦安全浅梦安全2024-07-22T08:01:48https://mp.weixin.qq.com/s/tDhahEF-Iu4ot8KIsU7XBg通天星CMSV6车载定位监控平台其`disable`存在SQL注入，恶意攻击者利用此漏洞向服务器写入恶意的后门文件，从而获取服务器权限。浅梦安全浅梦安全2024-07-21T13:11:29https://mp.weixin.qq.com/s/GnMCduRlCZGf20zhkrt_fgServiceNow是一家提供企业级云计算服务的公司，旨在帮助组织简化和自动化业务流程。其Jelly模板和Glide表达式存在注入漏洞，未经身份验证的攻击者可以通过构造恶意请求来利用这些漏洞，从而实现远程代码执行。浅梦安全浅梦安全2024-07-19T08:00:18https://mp.weixin.qq.com/s/lrOHdXMoAhwqX2TLyFZEBw用友NCCloud其`blobRefClassSearch`接口存在反序列化漏洞,恶意攻击者能直接利用其执行命令,获取服务器权限.浅梦安全浅梦安全2024-07-18T08:01:05https://mp.weixin.qq.com/s/PDE80T_ehvWWr5I47LNvawE-Cology OA协同商务系统WorkflowServiceXml`接口存在sql注入，恶意攻击者可能会向数据库发送构造的恶意SQL查询语句，以获取数据库敏感信息、修改数据或者执行其他恶意操作，还有可能直接通过sql注入获取服务器权限。浅梦安全浅梦安全2024-07-17T08:01:02https://mp.weixin.qq.com/s/25oujdn7Bg2a8vaVEjpF_w【漏洞复现|0day含POC】NACOS RCE浅梦安全浅梦安全2024-07-16T08:00:23https://mp.weixin.qq.com/s/ieqLXL64ddLO-AUHBtctgwCailsoft企业管理系统是一套集成了多种功能的软件系统，旨在帮助企业提高管理效率和运营效益。cailsoft企业管理系统`GetExcellTemperature`接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。浅梦安全浅梦安全2024-07-15T08:00:36https://mp.weixin.qq.com/s/gCU_fIbcszFKHu45UE_gXA天融信上网行为管理系统`static_convert`接口`blocks`参数存在任意命令执行漏洞。攻击者可以通过漏洞执行任意命令从而获取服务器权限，对服务器造成极大的安全隐患。浅梦安全浅梦安全2024-07-14T08:45:09https://mp.weixin.qq.com/s/frfUiXUCNP7NJGIlKxMngw免责声明❝「此公众号所分享的网络安全知识、信息及工具皆来源互联网公开收集整理，仅供学习和研究使用，请勿用于非法浅梦安全浅梦安全2024-07-13T08:01:13https://mp.weixin.qq.com/s/QNqEQhQdpx4QRjuaIEVwXQ免责声明❝「此公众号所分享的网络安全知识、信息及工具皆来源互联网公开收集整理，仅供学习和研究使用，请勿用于非法浅梦安全浅梦安全2024-07-11T23:59:40https://mp.weixin.qq.com/s/Pk4iCFpCNZYWvtSRLPwaew宏景HCM人力资源信息管理系统`LoadOtherTreeServlet`接口处对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。浅梦安全浅梦安全2024-07-10T08:00:46https://mp.weixin.qq.com/s/BkIFUE4BZzaWM1pHyxm1kwSplunk Enterprise`messaging`接口存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）等等浅梦安全浅梦安全2024-07-08T08:00:37https://mp.weixin.qq.com/s/T4I9lHAThDEhEBjhMVzI9Q宏景HCM人力资源信息管理系统`getSdutyTree`接口处对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。浅梦安全浅梦安全2024-07-07T08:01:31https://mp.weixin.qq.com/s/3tHDGiJsUn793nOL9DizgQ用友U8 Cloud 提供企业级云ERP整体解决方案，全面支持多组织业务协同，实现企业互联网资源连接。用友U8 Cloud smartweb2showRPCLoadingTip.d 接口处存在XML实体，攻击者可通过该漏洞获取敏感文件信息。浅梦安全浅梦安全2024-07-06T08:01:06https://mp.weixin.qq.com/s/MmwikyWB-f8c98qYLedWlArocus系统旨在利用人工智能、高清视频、大数据和自动驾驶技术，帮助商用车减少交通事故和货物丢失，提高企业或车队的运营效率。其`Download`接口存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件等等浅梦安全浅梦安全2024-07-05T08:00:18https://mp.weixin.qq.com/s/Yew6DNmwEF_sRwKSj7zZqg时空智友ERP`uploadStudioFile`接口存在任意文件上传漏洞，攻击者可通过该漏洞上传任意文件到服务器上，包括木马后门文件，导从而获取服务器权限。浅梦安全浅梦安全2024-07-04T08:03:18https://mp.weixin.qq.com/s/Cm8CjHTBJ84mZOwoX1oi7QGeoServer 是一个开源服务允许用户共享和编辑地理空间数据。在版本 2.23.6、2.24.4 和 2.25.2 之前多个 OGC 请求参数允许未经身份验证的用户通过针对默认 GeoServer 安装的特制输入进行远程代码执行 RCE浅梦安全浅梦安全2024-07-03T08:00:58https://mp.weixin.qq.com/s/hRrGptq76MgGkur-jm1W1Q科立讯通信指挥调度管理平台其`uploadgps`接口存在sql注入，恶意攻击者可能会向数据库发送构造的恶意SQL查询语句，以获取数据库敏感信息、修改数据或者执行其他恶意操作，还有可能直接通过sql注入获取服务器权限。浅梦安全浅梦安全2024-07-02T08:00:39https://mp.weixin.qq.com/s/5MtuHR6v_BmI-5xDSbFRbw在基于 glibc 的 Linux 系统中的 OpenSSH 服务器 （sshd） 中发现了一个远程未经身份验证的代码执行 （RCE） 漏洞浅梦安全浅梦安全2024-07-02T08:00:39https://mp.weixin.qq.com/s/BfvgJTWkX20RGjB9vEZiQw免责声明❝「此公众号所分享的网络安全知识、信息及工具皆来源互联网公开收集整理，仅供学习和研究使用，请勿用于非法浅梦安全浅梦安全2024-07-01T08:00:30https://mp.weixin.qq.com/s/rLtfiLRl90wqlOdklSVRrA免责声明❝「此公众号所分享的网络安全知识、信息及工具皆来源互联网公开收集整理，仅供学习和研究使用，请勿用于非法浅梦安全浅梦安全2024-07-01T08:00:30https://mp.weixin.qq.com/s/O6rT8TKwij_3ddbyeWtf9A致远互联FE协作办公平台。其codeMoreWidget.jsp接口处存在SQL注入漏洞,恶意攻击者可能会向数据库发送构造的恶意SQL查询语句，以获取数据库敏感信息、修改数据或者执行其他恶意操作，还有可能直接通过sql注入获取服务器权限。浅梦安全浅梦安全2024-06-30T08:00:18https://mp.weixin.qq.com/s/YYIfGSmi5KNaWi9wuWUGKQ碧海威L7多款网络产品是一系列由碧海威公司推出的网络产品。碧海威 L7多款产品`confirm`、`jumper`存在命令执行漏洞，导致恶意攻击者可以执行命令获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。浅梦安全浅梦安全2024-06-29T08:00:58https://mp.weixin.qq.com/s/UdT3DuJ7iLYD3DCJA5NOPw【红队武器库|漏洞利用工具】2024HVV准备均收集来源于Github（包含海康威视、大华等等一把梭）浅梦安全浅梦安全2024-06-28T08:02:09https://mp.weixin.qq.com/s/ui1o3oGnh1UG1iCcmiyXwQUFIDA NC`ELTextFile.load.d`存在任意文件读取漏洞，未授权攻击者可以利用其读取f服务器、网站配置文件等敏感信息。浅梦安全浅梦安全2024-06-27T08:00:08https://mp.weixin.qq.com/s/RUpJ5sxQClK73rO5UJ4YWQ极企智能办公路由是指在办公网络中实现智能化、自动化和高效化的路由系统。其`jumper`接口存在远程命令执行漏洞，导致恶意攻击者可以执行命令获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。浅梦安全浅梦安全2024-06-26T08:00:39https://mp.weixin.qq.com/s/QGOgqVz8Da0RI_uJAfTnZw通天星CMSV6车载定位监控平台pointManage存在SQL注入，恶意攻击者利用此漏洞向服务器写入恶意的后门文件，从而获取服务器权限。浅梦安全浅梦安全2024-06-25T08:00:20https://mp.weixin.qq.com/s/5wlOiowOrtmsMEoAKxFAuQ锐捷统一上网行为管理与审计系统`naborTable/static_convert.php`接口存在远程命令执行漏洞，导致恶意攻击者可以执行命令获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。浅梦安全浅梦安全2024-06-24T08:00:47https://mp.weixin.qq.com/s/XGtD3V4Z7Lw6BcGi8quFIQ华测监测预警系统其`UserEdit`接口SQL注入漏洞。恶意攻击者可能会向数据库发送构造的恶意SQL查询语句，以获取数据库敏感信息、修改数据或者执行其他恶意操作，还有可能直接通过sql注入获取服务器权限。浅梦安全浅梦安全2024-06-23T08:01:06https://mp.weixin.qq.com/s/yJRAdBtfz_au2kRrBHU3hQ真内控国产化平台是基于国产可控技术开发的内部控制管理咨询及信息化服务平台。其preview接口存在任意文件读取漏洞，未授权攻击者可以利用其读取f服务器、网站配置文件等敏感信息。浅梦安全浅梦安全2024-06-22T08:00:19https://mp.weixin.qq.com/s/ENjLGqf0_yyvfXpUnE_urQFastAdmin是一个免费开源的后台管理框架，基于ThinkPHP5.1框架开发而成，具有功能全面、界面美观、易于上手的特点。lang存在任意文件读取漏洞，未授权攻击者可以利用其读取网站配置文件等敏感信息。浅梦安全浅梦安全2024-06-21T08:03:10https://mp.weixin.qq.com/s/GkefqlGFOL9gLg-fJHXdsQ致远互联FE协作办公平台ncsubjass.jsp接口处存在SQL注入漏洞,恶意攻击者可能会向数据库发送构造的恶意SQL查询语句，以获取数据库敏感信息、修改数据或者执行其他恶意操作，还有可能直接通过sql注入获取服务器权限。浅梦安全浅梦安全2024-06-20T08:03:31https://mp.weixin.qq.com/s/jqw-D8If0OGpGnFdTe5T1wSolarWinds Serv-UFTP服务存在目录遍历导致任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件，例如数据库配置文件、系统配置文件等。浅梦安全浅梦安全2024-06-18T08:39:51https://mp.weixin.qq.com/s/Q04ry98EidOcdiOCZn27UA用友NC`uploadControl/uploadFile`接口存在任意文件上传漏洞，导致恶意攻击者可以上传恶意后门、木马等，从而获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。浅梦安全浅梦安全2024-06-17T08:11:54https://mp.weixin.qq.com/s/JfAzCFD8fCjkA-YS3Cifrw用友UFIDA NC`oacoSchedulerEvents/isAgentLimit`接口存在SQL注入漏洞。恶意攻击者可能会向数据库发送构造的恶意SQL查询语句，以获取数据库敏感信息、修改数据或者执行其他恶意操作。浅梦安全浅梦安全2024-06-17T08:11:54https://mp.weixin.qq.com/s/9hn_cA-4QWtfLJhl97uQkA电信网关配置管理系统是一个用于管理和配置电信网关设备的软件系统。其`del_file`接口存在命令执行漏洞，导致恶意攻击者可以执行命令上传恶意后门、木马等，从而获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。浅梦安全浅梦安全2024-06-16T10:32:22https://mp.weixin.qq.com/s/24m9OZ_6nxYWnmUb7o8X7g飞企互联-FE企业运营管理平台`treeXml.jsp`接口存在sql注入，恶意攻击者可能会向数据库发送构造的恶意SQL查询语句，以获取数据库敏感信息、修改数据或者执行其他恶意操作，还有可能直接通过sql注入获取服务器权限。浅梦安全浅梦安全2024-06-15T08:00:31https://mp.weixin.qq.com/s/oCZn05Q_TDROZK9vZlyVoA飞企互联-FE企业运营管理平台`uploadAttachmentServlet`存在文件上传漏洞，导致恶意攻击者可以上传恶意后门、木马等，从而获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。浅梦安全浅梦安全2024-06-15T08:00:31https://mp.weixin.qq.com/s/KwuX3BJoQv3X-IpSKKcC1AI doc view 在线文档预览是一个用于查看、编辑、管理文档的工具。其`qJvqhFt.json`接口存在任意文件读取，未授权攻击者可以利用其读取网站配置文件等敏感信息。浅梦安全浅梦安全2024-06-14T08:03:18https://mp.weixin.qq.com/s/NgysJFLtf-tGfo6SDzfHxQRejetto HTTP文件服务器是一个轻量级的HTTP服务器软件，它允许用户在本地计算机上快速搭建一个文件共享服务。其 2.x系列 存在远程代码执行漏洞，攻击者可在无需登陆的情况下利用模板注入执行任意代码，从而控制服服务器。浅梦安全浅梦安全2024-06-13T08:00:36https://mp.weixin.qq.com/s/FH4dYy-4_JNi9wdpytb0Kw海康威视综合安防管理平台`applyAutoLoginTicket`接口存在远程命令执行，未授权攻击者可直接利用其执行系统命令，获取服务器权限。浅梦安全浅梦安全2024-06-12T08:01:02https://mp.weixin.qq.com/s/iezqVb6VcxIaPKHtEjUrNQ锐捷校园网自助服务系统是一个供校园内学生和教职工自助管理网络服务的系统。其`login_judge.jsf`接口存在任意文件读取漏洞，未授权攻击者可以利用其读取网站配置文件等敏感信息。浅梦安全浅梦安全2024-06-11T08:11:38https://mp.weixin.qq.com/s/yZeoFAuJF8puEoDcQ_a8bwPHP 在设计时忽略 Windows 中对字符转换的Best-Fit 特性，攻击者可构造恶意请求绕过 CVE-2012-1823 补丁，从而可在无需登陆的情况下执行任意PHP代码。浅梦安全浅梦安全2024-06-09T08:08:42https://mp.weixin.qq.com/s/rvkMFCVw0TU8sWc6G9kcHA大华DSS数字监控系统其`user_edit.action`存在敏感信息泄露，未授权攻击者能直接获取系统system用户的加密密文，通过解密获取明文密码，从而进入系统，获取web权限。浅梦安全浅梦安全2024-06-08T08:03:19https://mp.weixin.qq.com/s/4XqUoUOm-dXQtjEZlZFuVgUFIDA NC`pagesServlet`接口存在SQL注入漏洞。恶意攻击者可能会向数据库发送构造的恶意SQL查询语句，以获取数据库敏感信息、修改数据或者执行其他恶意操作，还有可能直接通过sql注入获取服务器权限。浅梦安全浅梦安全2024-06-07T08:02:17https://mp.weixin.qq.com/s/qIZp4wsyrFnHw4ZmcDc1Uw\\x26gt; 用友NC是由用友公司开发的一套面向大型企业和集团型企业的管理软件产品系列。其`downCourseWare`接口存在任意文件读取漏洞，未授权攻击者可以利用其读取网站配置文件等敏感信息。浅梦安全浅梦安全2024-06-07T08:02:17https://mp.weixin.qq.com/s/zIfHp6vXcCbgAWELDmuR7w宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件，旨在帮助企事业单位构建高绩效组织，推动组织健康成长，提升组织软实力。\\x0d\\x0a\\x0d\\x0a其`openFile`接口存在任意文件读取漏洞，未授权攻击者可以利用其读取网站配置文件等敏感信息。浅梦安全浅梦安全2024-06-06T08:02:50https://mp.weixin.qq.com/s/GQ7yUaUA9ECtr1sCMgMs9w智邦国际ERP系统`GetPersonalSealData`接口`userId`参数处对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。浅梦安全浅梦安全2024-06-06T08:02:50https://mp.weixin.qq.com/s/IpvXBLG40WKDXhbAOF-_FgSpringBlade是一个基于Spring Cloud微服务技术的开发平台，提供了一套完整的微服务架构解决方案，其`tenant/list`接口存在SQL注入漏洞，未经身份验证的攻击者可以利用此漏洞获取数据库敏感信息。浅梦安全浅梦安全2024-06-05T08:00:25https://mp.weixin.qq.com/s/IIl5DzuKszQxcno3vDDvIg电信网关配置管理系统rewrite接口存在文件上传漏洞，导致恶意攻击者可以上传恶意后门、木马等，从而获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。浅梦安全浅梦安全2024-06-05T08:00:25https://mp.weixin.qq.com/s/FwTJKGXj_IPZ-pdvat4_Sg宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件，其`pos_dept_post`接口处对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。浅梦安全浅梦安全2024-06-04T08:00:45https://mp.weixin.qq.com/s/etimDi_3lVMCfv5iwzkjkg海康威视综合安防管理平台是一套“集成化”、“智能化”的平台,其`download`接口存在任意文件读取漏洞，未授权攻击者可以利用其读取网站配置文件等敏感信息浅梦安全浅梦安全2024-06-03T08:00:30https://mp.weixin.qq.com/s/MaSphR30WuiVZh9p4_8xqw金蝶云星空是一款云端企业资源管理（ERP）软件，为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。其包含User接口存在反序列化漏洞，未授权攻击者可以直接利用此漏洞执行系统命令，获取服务器权限。浅梦安全浅梦安全2024-06-01T09:00:11https://mp.weixin.qq.com/s/wN5g3v9GJaFcg4_mm7Zuug用友GRP-U8系统/u8qx/sqcxIndex.jsp接口存在SQL注入漏洞。恶意攻击者可能会向数据库发送构造的恶意SQL查询语句，以获取数据库敏感信息、修改数据或者执行其他恶意操作，还有可能直接通过sql注入获取服务器权限。浅梦安全浅梦安全2024-05-31T08:01:34https://mp.weixin.qq.com/s/S66a0rrNEwvPqPmG2Dl21A万户协同办公平台 ezEIP`success.aspx`接口存在反序列化漏洞，未授权攻击者可以直接利用此漏洞执行系统命令，获取服务器权限。浅梦安全浅梦安全2024-05-30T08:00:56https://mp.weixin.qq.com/s/nu-_Xa1Cdt72iUGPquHgFg方正全媒体采编系统binary.do接口的`pTableName`参数对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。浅梦安全浅梦安全2024-05-29T08:01:07https://mp.weixin.qq.com/s/hdGGED7pc8sKvhWiE1D_jQ亿赛通电子文档安全管理系统JLockSeniorDao.findByLockName.dwr接口的param0参数处对传入的数据没有预编译和充足的校验，导致该接口存在SQL注入漏洞，未授权的攻击者可获取数据库敏感信息。浅梦安全浅梦安全2024-05-29T08:01:07https://mp.weixin.qq.com/s/BY_C4uJJsonW5SafUsamkg电信网关配置管理系统rewrite接口存在文件上传漏洞，导致恶意攻击者可以上传恶意后门、木马等，从而获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。浅梦安全浅梦安全2024-05-28T08:00:17https://mp.weixin.qq.com/s/d3F_xDxA86PUIs7Qu0I3vQMETACRM软件anothervalue接口存在远程代码执行漏洞，可被恶意攻击者利用执行任意命令，进而控制服务器系统。浅梦安全浅梦安全2024-05-27T08:00:26https://mp.weixin.qq.com/s/qr7nUbw6gzsIpvq4zA0JjAVulnhub靶机渗透学习——DC-4\\x0d\\x0a网站登录暴力破解（hydra、burp）\\x0d\\x0a命令执行反弹 shell\\x0d\\x0ahydra-ssh 爆破\\x0d\\x0ateehee 提权浅梦安全浅梦安全2024-05-27T08:00:26https://mp.weixin.qq.com/s/r6_lF0WxVLvEqmcW0DMj6wZLMediaKit存在目录遍历漏洞，未授权攻击者可以根据此漏洞遍历服务器敏感文件，可能导致视频敏感信息泄露浅梦安全浅梦安全2024-05-26T10:00:19https://mp.weixin.qq.com/s/kz4kJlOSPPfDRnvf-2sVTwSonatype Nexus Repository 3 \\x26lt; 3.68.1版本存在路径遍历漏洞(CVE-2024-4956)，未经身份认证的远程攻击者通过构造特殊的请求可以下载读取远程目标系统上的任意文件，对机密性造成很高的影响。浅梦安全浅梦安全2024-05-25T08:00:14https://mp.weixin.qq.com/s/nm39kIHPLE_hhSJKFcBUvw宏景HCM人力资源信息管理系统OutputCode接口存在任意文件读取漏洞，未授权攻击者可以利用其读取网站配置文件等敏感信息浅梦安全浅梦安全2024-05-25T08:00:14https://mp.weixin.qq.com/s/IQW8XVEd02hPoa1c4fMHvw用友U8 CRM系统uploadfile.php接口存在任意文件上传漏洞，导致恶意攻击者可以上传恶意后门、木马等，从而获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。浅梦安全浅梦安全2024-05-24T08:30:36https://mp.weixin.qq.com/s/HQd3hLf6Yw5B6K2l95n2dgH3C网络管理系统`file_name`参数存在任意文件读取漏洞，未授权攻击者可以利用其读取网站配置文件等敏感信息。浅梦安全浅梦安全2024-05-24T08:30:36https://mp.weixin.qq.com/s/Q49tkW_LNFmiwtMgaRku9g泛微e-cology是一款由泛微网络科技开发的协同管理平台，支持人力资源、财务、行政等多功能管理和移动办公解决方案。其resourceservlet接口存在任意文件读取漏洞，未授权攻击者可以利用其读取网站配置文件等敏感信息。浅梦安全浅梦安全2024-05-23T08:00:08https://mp.weixin.qq.com/s/RKyj9OlIeijeScuoXBgqvA免责声明❝「此公众号所分享的网络安全知识、信息及工具仅供学习和研究使用，不得用于非法活动。浅梦安全浅梦安全2024-05-22T08:01:59https://mp.weixin.qq.com/s/vUP2I3S4I36FtFXtBydBWQ免责声明❝「此公众号所分享的网络安全知识、信息及工具仅供学习和研究使用，不得用于非法活动。浅梦安全浅梦安全2024-05-21T06:00:54https://mp.weixin.qq.com/s/8sGSDGqmWXq6WwDoYssN9g免责声明❝「此公众号所分享的网络安全知识、信息及工具仅供学习和研究使用，不得用于非法活动。浅梦安全浅梦安全2024-05-20T08:00:40https://mp.weixin.qq.com/s/5or3keZWO7huxejv1BKE7Q【漏洞复现|含POC】用友GRP-U8 dialog_moreUser_check.jsp SQL注入漏洞浅梦安全浅梦安全2024-05-19T08:00:24https://mp.weixin.qq.com/s/EWy59UjJ3VPQItFa3enXQA免责声明❝「此公众号所分享的网络安全知识、信息及工具仅供学习和研究使用，不得用于非法活动。浅梦安全浅梦安全2024-05-18T08:00:10https://mp.weixin.qq.com/s/6fODf_4ww358P2muS90AoA【漏洞复现|含POC】号卡极团分销管理系统 ue_serve.php 任意文件上传浅梦安全浅梦安全2024-05-17T08:00:17https://mp.weixin.qq.com/s/2EcoXVa6PDqe1Fc-cY8n9QVulnhub靶机渗透学习——DC-2：wpscan工具使用（wordpress 靶场以及实际中非常常见）；rbash 逃逸并提权（vi 进入 /bin/sh, 更改环境变量）；学会 git 提权浅梦安全浅梦安全2024-05-16T08:00:30https://mp.weixin.qq.com/s/k05r-OeR4m8dTDcqrPEo3AMetasploit的EXP使用；drupal 7的漏洞；通过配置文件获取数据库账号；数据库更新密码；SUID 提权——find浅梦安全浅梦安全2024-05-15T08:00:14