cnvd

CNVD-2018-20024——MetInfo 6.1.2 SQL注入漏洞

0x00漏洞简介metinfo是一个cms6.1.2版本中存在一个sql盲注漏洞0x01漏洞细节与漏洞利用在\app\system\message\web\message.class.php的add函数。get_one这里有个columnid这个地方是传入int类型的参数没有经过单引号的包围所以对于那些不需要使用单引号的注入语句就起不到过滤作用比如and1=2。这个add函数是通过domessag
安徽锋刃科技·2020-07-29 13:41

挖洞神器之XRAY使用初体验

0x01写在前面前几天白嫖了XRAY的高级版,因此试着利用XRAY+AWVS的形式来看看能不能找到CNVD上公布的问题CMS的漏洞。
子曰小玖·2020-07-29 12:43

关于Apache Spark存在远程代码执行漏洞的安全公告

关于ApacheSpark存在远程代码执行漏洞的安全公告安全公告编号:CNTA-2020-0012(CNVD-2020-34445,对应CVE-2020-9480)一、漏洞情况分析ApacheSpark
story-xu·2020-07-27 12:42

DedeCMS V5.7 SP2 后台代码执行漏洞-CNVD-2018-01221

织梦内容管理系统(DedeCms)是一款PHP开源网站管理系统。DeDeCMSV5.7SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。首先我们先去官网下载DedeCMSV5.7SP2下载网址:http://www.dedecms.com/products/dedecms/downloads/源代码版本:DeDeCMSV5.7SP2(UTF
Spaceman-911·2020-07-13 01:58

远程命令执行漏洞

该系统采用ApacheStrutsxwork作为网站应用框架,且此框架对应版本存在远程代码执行漏洞(CNVD-2013-09777,对应CVE-2013-2251),攻击者可以利用漏洞取得网站服务器主机远程控制权
crabdave·2020-07-11 04:48

谁是大安全赛道的下一个创新“实力派”?ISC创新独角兽沙盒大赛招募正式启动...

根据国家信息安全漏洞共享平台CNVD披露的数据
ITValue·2020-07-09 18:21

嵌入式 Tomcat AJP 协议对 SpringBoot 应用的影响

前言2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的ApacheTomcat文件包含漏洞。
架构荟萃·2020-07-08 06:53

[代码审计]Mini CMS V1.1

这里说明一下,因为在代码审计方面还比较菜,只得大面积撒网,找小众的CMS来审计学习,所以就写了一个小爬虫,把CNVD上的CMS列表厂商都给抓下来了。
DYBOY·2020-07-07 12:30

CNVD正式上线区块链漏洞子库 推进区块链安全生态建设

近日,国家信息安全漏洞共享平台(CNVD)正式上线区块链漏洞子库CNVD-BC。该子库由国家互联网应急中心运营,当前已收录区块链相关漏洞247个,其中高危漏洞60个,中危漏洞173个,低危漏洞14个。
slivegogo·2020-07-05 12:04

【工控安全】从0~1学习PLC攻击

早在2018年6月,CNVD官网通报了DCCEMAC1100PLC存在任意程序覆盖漏洞,其编号为CNVD-2018-19112。
shuteer_xu·2020-07-05 12:27

weblogic CNVD-C-2019-48814(CVE-2019-2725)

漏洞介绍中国民生银行股份有限公司举办攻防演练发现攻击方采用488140day拿下服务器。漏洞影响Weblogic10.3.6.0Weblogic12.1.3.0Weblogic12.2.1.2Weblogic12.2.1.3复现过程1.确认漏洞存在http://www.bug1024.cn:17021/_async/AsyncResponseService2.监听自己服务器的9999端口3.反弹s
捡垃圾的小弟弟·2020-07-04 10:37

Tomcat 爆出高危漏洞!

转载自:www.anquanke.com/post/id/199448一、漏洞背景安全公告编号:CNTA-2020-00042020年02月20日,360CERT监测发现国家信息安全漏洞共享平台(CNVD
macrozheng·2020-06-30 15:49

Centos7 内核从3.10升级到4.12过程

近期,国家互联网应急中心漏洞(CNCERT)公告中提到Linuxkernel4个拒绝服务漏洞,对应CNVD-2017-07509、CNVD-2017-07508、CNVD-2017-07507、CNVD
*——*·2020-06-30 09:11

web服务器漏洞-Tomcat AJP协议漏洞分析与利用(转)

.*)的文件包含漏洞,但官方暂未发布安全公告,2020年2月20日,CNVD发布了漏洞公告,对应漏洞编号:CNVD-2020-10487。漏洞是TomcatAJP协议存在缺陷而导致,攻
大广_08_全栈开发·2020-06-30 05:27

【威胁通告】Apache Tomcat 文件包含漏洞(CVE-2020-1938)威胁通告

*版本:1.01漏洞概述2月20日,国家信息安全漏洞共享平台(CNVD)发布了ApacheTomcat
admin-root·2020-06-29 16:23

CNVD-2020-10487(CVE-2020-1938) tomcat ajp协议任意文件读取

可恶tomcat8.0.1下载:https://archive.apache.org/dist/tomcatpoc下载:https://github.com/00theway/Ghostcat-CNVD
心如熊猫·2020-06-29 15:21

白帽子漏洞提交众测平台(网站链接)

spm=5176.8764728.1149155.22.43756af0x255kW国家信息安全漏洞共享平台www.cnvd.org.cn腾讯安全应急响应平台tsrchttp
44749105·2020-06-29 14:42

幽灵猫漏洞复现

漏洞编号:CVE-2020-1938CNVD-2020-10487影响版本:ApacheTomcat=67;更新最新版;漏洞环境搭建://漏洞apache下载root@kali:~#wgethttp:/
曈曚·2020-06-29 14:04

Apache-Tomcat-Ajp漏洞复现幽灵猫

0x01漏洞编号CVE-2020-1938CNVD-2020-104870x02漏洞说明Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的
php00py·2020-06-29 10:02

泛微OA WorkflowCenterTreeData接口注入复现(仅限oracle数据库)

背景2019年10月10日CNVD发布了泛微e-cologyOA系统存在SQL注入漏洞。
破壳野生喵·2020-06-29 10:24

CNVD-C-2019-48814 WebLogic wls9-async 反序列化漏洞

0x01漏洞介绍中国民生银行红蓝对抗演习时,红队使用这个0day,拿下防守方的服务器该漏洞存在于wls9-async组件,这个组件主要作用是异步通讯服务,攻击者可以向/—async/AsyncResponseSerce路径下传入构造好的恶意XML格式的数据,传入的数据在服务器端反序列化,执行1其中的恶意代码,从而可以getshell。序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反
weixin_42140534·2020-06-29 03:37

D-Link service.cgi远程命令执行漏洞复现

1月17日,CNVD公开了D-LinkDIR615/645/815service.cgi远程命令执行漏洞(CNVD-2018-01084)。
weixin_34311757·2020-06-28 16:57

致远OA-A8协同管理软件无需登录getshell漏洞

CNVD《关于致远OA-A8系统存在远程命令执行漏洞的安全公告》:https://www.cnvd.org.cn/webinfo/show/5095该系统的漏洞点在于致远OA-A8系统的Servlet接口暴露
丑心疼·2020-06-27 22:21

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)

作者:i春秋作家——F0rmat0×01前言今天翻了下CNVD,看到了一个MIPCMS的远程代码执行漏洞,然后就去官网下载了这个版本的源码研究了下。
weixin_30474613·2020-06-27 20:34

BIND DNS拒绝服务漏洞 CVE-2016-2776修复

漏洞的详细信息可见如下链接:http://www.cnvd.org.cn/flaw/show/CNVD-2016-08216http://cve.mitre.org/cgi-bin/cvename.cgi
weixin_30418341·2020-06-27 19:14

Tomcat文件包含漏洞:CNVD-2020-10487(简介/验证/利用/修复)

漏洞简介Tomcat服务器是一个免费的开放源代码的Web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP程序的首选。由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件(webapps目录)。影响范围ApacheTomcat6A
ATpiu·2020-06-27 11:13

关于对Apache Tomcat 文件包含高危漏洞 开展安全加固的预警通报

据国家网络与信息安全信息通报中心监测发现,ApacheTomcat存在文件包含高危漏洞(CVE-2020-1938,对应CNVD-2020-10487)。
fr33m4n·2020-06-26 20:42

【通告更新】Apache Tomcat服务器文件包含漏洞安全风险通告第三次更新

近日,奇安信CERT监测到CNVD发布了漏洞公告,对应CNVD漏洞编号:CNVD-2020-10487、CVE漏洞编号:CVE-2020-1938。
奇安信代码卫士·2020-06-26 13:03

Tomcat 爆出高危漏洞!

全宇宙只有不到4%的人关注了精品课你真是个特别的人1漏洞背景2020年02月20日,360CERT监测发现国家信息安全漏洞共享平台(CNVD)收录了CNVD-2020-10487ApacheTomcat
无双.·2020-06-26 11:04

漏洞都是怎么编号的CVE/CAN/BUGTRAQ/CNCVE/CNVD/CNNVD

在一些文章和报道中经常提到安全漏洞CVE-1999-1046这种CVE开头的漏洞编号,这篇文章将常见的漏洞ID的表示方法做下介绍:1、以CVE开头,如CVE-1999-1046这种CVE的英文全称是“CommonVulnerabilities&Exposures”公共漏洞和暴露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助
aletero·2020-06-26 06:49

CMS漏洞复现

dedeCMS(CNVD-2018-01221)类型:php类cms系统:dedecms、帝国cms、php168、phpcms、cmstop、discuz、phpwind等asp类cms系统:zblog
南吕十七·2020-06-26 03:05

openssl heartbleed 心血漏洞

最近想搞cnvd都魔怔了,发现自己越来越痴呆了。在合天做实验做到了这个,该漏洞的大多数解释在openssl的百科解释里面有:https://baike.sogou.com/v7856201.htm?
H9_dawn·2020-06-26 02:07

【复现】CNVD-2020-10487-Tomcat-Ajp-lfi

受影响版本ApacheTomcat6ApacheTomcat7x配置ajp配置中的secretRequired跟secret属性来限制认证官方下载最新版
令狐东菱·2020-06-25 23:55

CVE2020-1938漏洞复现

0x00漏洞介绍2020年1月6日,国家信息安全漏洞共享平台(CNVD)发布了ApacheTom
水中煮鱼冒气·2020-06-25 22:28

Apache Tomcat 存在文件包含漏洞的安全公告

安全公告编号:CNTA-2020-00042020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的ApacheTomcat文件包含漏洞(CNVD-2020-10487
任错错·2020-06-25 10:00

python爬取工控行业漏洞心得

这个任务也是最近需要用到工控行业系统漏洞才去做的,然而爬取的时候可以说CNVD有着各种各样的反爬措施,以下是我的几点心得:①CNVD需要cookies才能使用requests.get访问到。
tiezhuLee·2020-06-25 10:29

关于Apache Tomcat存在文件包含漏洞的整改方法

安全公告编号:CNTA-2020-00042020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的ApacheTomcat文件包含漏洞(CNVD-2020-10487
story-xu·2020-06-25 05:24

Tomcat文件漏洞问题及处理方式

2月21日,据国家信息安全漏洞共享平台公开的漏洞公告中发现ApacheTomcat文件包含漏洞CNVD-2020-10487(对应CVE-2020-1938),ApacheTomcat服务器中被发现存在文件包含漏洞
Doubletree_lin·2020-06-25 03:59

CSRF实例 && 代码审计查找csrf讲解

前言CSRF感觉似乎很不值钱的样子,我前几天审计出了3个后台存储xss+csrf然后cnvd跟我说不收csrf和后台存储xss,自此后台我从不找xss和csrf但是毕竟作为目前毕竟出名流行的一个漏洞,还是讲解一下
YoungBoy啊啊啊·2020-06-24 12:03

[原创]K8Cscan插件之Weblogic CVE-2019-2725 GetShell Exploit(内网渗透/支持批量/可跨网段)

https://www.cnblogs.com/k8gege/p/10519321.htmlWeblogicScan插件K8CscanMoudleWeblogicScan&Exploit目前仅支持漏洞编号CNVD-C
k8gege·2020-06-24 00:17

Tomcat高危漏洞修复说明(CNTA-2020-0004)

一、漏洞详情漏洞报告:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487漏洞代码分析:https://mp.weixin.qq.com/s/SWKbpOHCyK7ZPc6AokaHGw
-影子-·2020-06-23 23:53

泛微e-cology远程代码执行漏洞CNVD-2019-32204

0x00简介泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台,e-cology是一个数字化的企业应用环境,真正让公司所有的信息都在一个平台上管理,解决信息孤岛问题。e-cology平台以移动互联下的组织社交化转型需求为导向,采用轻前端重后端的设计思路,在前端面向用户提供个
北境L·2020-06-23 05:15

tomcat-CNVD-2020-10487-漏洞处理

2020年02月20日,360CERT监测发现国家信息安全漏洞共享平台(CNVD)收录了CNVD-2020-10487ApacheTomcat文件包含漏洞Tomcat是由Apache软件基金会属下Jakarta
【weixin-sjk6070】·2020-06-22 23:57

[CNVD-2020-10487/CVE-2020-1938]: Tomcat AJP协议漏洞

环境搭建下载存在漏洞版本8.5.50:https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.50/bin/apache-tomcat-8.5.50.zip查看默认conf/server.xml文件中开启了这个Connector。启动一下。调试在IDEA中配合源码的8.5.50分支调试:gitclonehttps://github.com/apac
caiqiiqi·2020-06-22 19:03

锐捷路由器漏洞分析

0x00前言今早看到关于锐捷路由器漏洞CNVD-2018-06947被披露POC,对于POC进行复现后,继续挖掘路由器漏洞。0x01复现通过测试发现POC只能执行VERSION,也就是查看版本。
banghengxun2661·2020-06-22 17:30

Spring boot web项目关于Apache Tomcat存在文件包含漏洞(CVE-2020-1938)的整改方法

背景2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的ApacheTomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)
luowuhui。·2020-06-22 16:13

黑客经常逛的网站

漏洞提交网站(报酬丰厚):https://www.vulbox.com/user漏洞发现网站:https://www.freebuf.com/国内的主要包括:CNNVD:中国国家漏洞库(中国国家信息安全漏洞库)CNVD
代码不多程序员·2020-06-22 16:23

tomcat漏洞的问题

tomcat漏洞的问题对于非容器化部署的项目,建议直接关闭ajp协议的方式处理对于容器化部署的,直接升级版本研发口这边我已经通知了2月20日,国家信息安全漏洞共享平台(CNVD)发布了一则关于ApacheTomcat
清风明月一壶酒·2020-06-22 14:26

CVE-2020-1938/CNVD-2020-10487:Apache Tomcat 远程执行代码漏洞

背景Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照SunMicrosystems提供的技术规范,实现了对Servlet和JavaServerPage(JSP)的支持。ApacheTomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。此漏洞为文件包含漏洞,
anlalu233·2020-06-22 14:37

[渗透]CVE-2020-1938/CNVD-2020-10487:Apache Tomcat AJP连接器远程执行代码漏洞

受影响版本ApacheTomcat6ApacheTomcat7x配置ajp配置中的secretRequired跟secret属性来限制认证官方下载最新版下载地址:https://tomcat.apache.org/download-70.cgihttps://tomcat.apache.org/download-80.cgihttps://tomcat.apache.org/download-90
alex_bean·2020-06-22 13:13
上一页 3 4 5 6 7 8 9 10 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他