热门框架/组件/服务漏洞的描述/利用/修复
框架/组件 | 漏洞名 | 研究 |
---|---|---|
apache solr | Apache solr velocity模板注入(CVE-2019-17558) | |
Apache Solr远程命令执行(CVE-2017-12629) | ||
solr未授权访问 | ||
Apache solr 远程命令执行漏洞(CVE-2019-0193) | ||
solr 任意文件读取漏洞(CVE-2021-27905) | ||
fastjson | fastjson1.2.24 | √ |
fastjson1.2.41 | √ | |
fastjson1.2.42 | √ | |
fastjson1.2.43 | √ | |
fastjson1.2.47 mapping绕过 | √ | |
fastjson1.2.68 期望类绕过 | √ | |
log4j | log4j RCE | √ |
shiro | Apache shiro反序列化漏洞(CVE-2016-4437) | |
shiro认证绕过以及利用 (CVE-2020-13933) | ||
Apache flink | Apache Flink任意文件读取(CVE-2020-17519) | |
apache flink web 未授权创建任务 | ||
flink 任意文件上传(CVE-2020-17518) | ||
jenkins | jenkins远程代码执行漏洞(CVE-2019-1003000) | |
jenkins远程代码执行漏洞(CVE-2017-1000353) | ||
jenkins 远程命令执行漏洞(CVE-2018-1000861) | ||
jenkins权限不严导致命令执行 | ||
配置文件路径改动导致获取管理员权限CVE-2018-1999001 | ||
CVE-2018-1999002 jenkins任意文件读取 | ||
Apache dubbo | Apache dubbo 反序列化漏洞(CVE-2020-1948) | |
Dubbo弱口令漏洞 | ||
spring cloud | SpringCloud Config目录遍历漏洞(CVE-2019-3799) | |
Spring Cloud Config 目录穿越漏洞 (CVE-2020-5405) | ||
Spring Cloud Config 目录穿越漏洞 (CVE-2020-5410) | ||
Spring Cloud Gateway 远程代码执行 | ||
Spring cloud function Spel表达式注入 | ||
Spring Cloud Eureka 未授权访问 | ||
spring | spring boot actuator未授权访问 | |
spring swagger-ui接口未授权访问 | ||
Spring Data Commons 远程命令执行漏洞(CVE-2018-1273) | √ | |
Spring Security OAuth RCE (CVE-2016-4977) | ||
Spring Boot H2 JNDI注入漏洞复现 | ||
Springlogview任意文件读写(CVE-2021-21234) | ||
Spring rce CVE-2022-22965 | ||
zabbix | Zabbix Server trapper命令注入漏洞(CVE-2020-11800) | |
Zabbix监控系统未授权访问 CVE-2019-17382 | ||
SMB | Eternalblue永恒之蓝(MS17-010) | |
smbghost远程命令执行(CVE-2020-0796) | ||
tomcat | TOMCAT AJP文件包含漏洞扫描(CVE-2020-1938) | √ |
Tomcat example 应用信息泄漏漏洞 | ||
Tomcat 文件上传漏洞(CVE-2017-12615) | ||
es | ElasticSearch目录遍历漏洞(CVE-2015-3337) | |
elasticsearch 代码执行 (CVE-2015-1427) | ||
struts2 | Struts s2-001 | |
Struts s2-045 | ||
Struts s2-046 远程代码执行漏洞(CVE-2017-5638) | ||
couch | CouchDB epmd RCE(CVE-2022-24706) | |
CouchDB未授权访问 | ||
Resin | Resin 任意文件读取 | |
Resin远程目录遍历漏洞 | ||
javamelody | javamelody XML外部实体注入(CVE-2018-15531) | |
thinkphp5 | thinkphp5远程代码执行 | |
php-fpm | php-fpm未授权访问 | |
phpstudy | phpstudy后门 | |
php | php zerodium 命令执行漏洞 | |
vsftpd | vsftpd-v2.3.4 后门 | |
Apache APISIX | Apache APISIX Dashboard 身份验证绕过漏洞(CVE-2021-45232) | |
向日葵 | 向日葵命令执行 | |
confluence | Confluence远程代码执行漏洞(CVE-2021-26084) | |
Atlassian Confluence RCE漏洞(CVE-2022-26134) | ||
h3c_imc | h3c_imc远程命令执行漏洞 | |
Dell EMC | Dell EMC iDRAC漏洞(CVE-2018-1207) | |
gitlab | GitLab 远程命令执行漏洞复现(CVE-2021-22205) | √ |
yapi | Yapi任意账户注册漏洞 | |
Hashicorp | Hashicorp Consul Service API远程命令执行漏洞 | |
grafana | Grafana默认弱口令扫描 | |
Grafana 未授权任意文件读取 | ||
Grafana未授权访问 | ||
zk | zookeeper未授权访问 | |
zk默认弱口令访问 | ||
Nexus | Nexus Repository Manager3远程命令执行(CVE-2020-10199) | |
Nexus Repository Manager3远程命令执行(CVE-2020-10240) | ||
Nexus Repository Manager3远程命令执行(CVE-2019-7238) | ||
Apache druid | Apache druid未授权命令执行漏洞复现 CVE-2021-25646 | |
druid监控未授权访问 | ||
mongo | mongo弱口令扫描 | |
mongodb未授权(rest_api) | ||
mongo-express 远程代码执行漏洞复现(CVE-2019-10758) | ||
XXL-JOB | XXL-JOB 反序列化漏洞 | |
XXL-JOB executor未授权访问漏洞 | ||
uwsgi | uWSGI任意文件读取(cve-2018-7490) | |
VMware | VMware vCenter SSRF+任意文件读取 | |
VM vcenter 远程命令执行漏洞(CVE-2021-21972) | ||
Vmware VCenter任意文件读取漏洞.py | ||
F5 BIG-IP | F5 BIG-IP 远程命令执行(CVE-2020-5902) | |
harbor | Harbor-任意管理员注册漏洞(CVE-2019-16097) | |
drupal | drupal 代码执行 (CVE-2018-7600) | |
Nostromo | Nostromo 远程命令执行(CVE-2019-16278) | |
Node.js | Node.js调试模式对外 | |
xdebug | xdebug调试模式对外 | |
Apache ShenYu | Apache ShenYu JWT认证缺陷绕过漏洞 (CVE-2021-37580) | |
Apache FreeMarker | Apache FreeMarker模板FusionAuth远程代码执行漏洞 CVE-2020-7799 | |
(CVE-2020-7799) Apache FreeMarker模板FusionAuth远程代码执行漏洞 | ||
用友 | 用友ERP-NC 存在目录遍历和任意文件读取漏洞 | |
用友NC6.5 FileReceiveServlet任意文件上传 | ||
用友NC BeanShell RCE | ||
Cisco ASAFTD | Cisco ASAFTD 任意文件读取漏洞(CVE-2020-3452) | |
蓝凌OA | 蓝凌OA前台任意文件读取 | |
Alibaba Nacos | Alibaba Nacos权限认证绕过漏洞 | |
apache http server | ApacheHTTPServer路径遍历与命令执行CVE-2021-42013 | |
apache任意文件读取(CVE-2021-41773) | ||
SaltStack | CVE-2020-16846: SaltStack SSH 远程代码执行漏洞 | |
锐捷 EWEB | 锐捷 EWEB Gateway 远程代码执行漏洞 | |
Opentsdb | Opentsdb远程代码执行漏洞(CVE-2020-35476) | |
jquery | jquery 前台任意文件下载 | |
ruby | ruby路径穿越漏洞(CVE-2019-5418) | |
jdwp | jdwp未授权访问 | |
celery | celery flower未授权访问 | |
influxdb | Influxdb 未授权访问 | |
jupyter Notebook | Jupyter Notebook未授权访问漏洞 | |
prometheus | prometheus未授权访问 | |
Hikvision | Hikvision 未授权访问CVE-2017-7921 | |
ldap | LDAP未授权 | |
samba | samba未授权访问 | |
memcached | memcached未授权访问 | |
jboss | jboss未授权访问 | |
spark | spark_rest_api 未授权访问 | |
NFS | NFS未授权访问漏洞 | |
Proftpd | Proftpd未授权文件复制漏洞(CVE-2015-3306) | |
activemq | activemq未授权访问 | |
doker | docker remote_api 未授权访问 | |
Docker Registry 未授权访问漏洞 |