INITCMS v6.2.17 - Stored Cross-Site Scripting INITCMS v6.2.17 存在存储型跨站脚本（XSS）漏洞，攻击者可通过保存恶意菜单项注入脚本代码。... 2025-9-10 19:59:59 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com initcms windows locale

Sales Syntax CMS - Stored Cross-Site Scripting Sales Syntax CMS v3.7.0 存在存储型跨站脚本（XSS）漏洞，攻击者可通过 POST 请求中的 comment 参数注入恶意脚本，在 "Edit Canned Responses" 标签处触发攻击。... 2025-9-10 19:59:47 | 阅读: 15 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com salessyntax windows php 3ealert 22https

GeoVision ASManager Windows Application 6.1.2.0 Remote Code Execution GeoVision ASManager 6.1.2.0及以下版本存在远程代码执行漏洞，攻击者通过“通知设置”功能可执行任意命令并完全控制服务器。需具备网络访问权限及管理通知设置的账户权限。该漏洞可能导致敏感数据泄露、后门植入及内部网络横向移动等风险。... 2025-9-4 21:36:53 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com geovision dragown remote github 26264

WordPress Plugin WP Publications < = 1.2 - Admin+ Stored XSS WordPress插件WP Publications（<=1.2）存在存储型XSS漏洞。由于未对文件名进行转义，管理员可注入JS代码。此漏洞绕过unfiltered_html限制，在管理面板执行恶意脚本，可能导致权限提升或数据窃取。建议更新插件或禁用以修复问题。... 2025-9-4 21:36:33 | 阅读: 12 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com wp wordpress 11605 wpscan

BarbarBaba 1.0 time-based blind sql injection BarbarBaba 1.0 存在时间盲注 SQL 注入漏洞，攻击者可通过 username 参数注入时间盲注 SQL 代码，利用 sqlmap 工具进行测试，导致 MySQL 数据库响应延迟，并成功恢复 information_schema 和 barber_baba 数据库。... 2025-9-4 21:36:22 | 阅读: 10 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com php resumed barbarbaba username sqlmap

DITRP INDIA - Sql Injection DITRP INDIA公司的网站存在SQL注入漏洞，影响多个站点。攻击者可通过修改URL参数执行SQL查询，获取敏感信息。该漏洞已被研究人员Behrouz Mansoori发现并公开。... 2025-8-28 11:20:19 | 阅读: 15 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com mansoori 20union behrouz 20select blogdetails

Ultimate Member WordPress Plugin 2.6.6 Privilege Escalation WordPress插件Ultimate Member 2.6.6存在权限提升漏洞，攻击者通过未过滤的`wp_capabilities`参数注册账户并获取管理员权限。... 2025-8-28 11:18:51 | 阅读: 18 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com username wp wpnonce wordpress soup

Ghost CMS 5.59.1 Arbitrary File Read 该漏洞存在于Ghost CMS 5.59.1之前的版本中，允许经过身份验证的用户上传符号链接文件，从而读取主机上的任意文件。攻击者可利用此漏洞访问受限目录外的敏感文件。已发布修复版本以解决此问题。... 2025-8-28 11:18:21 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com username 40028 python3 zipfile

WordPress WP Reactions Box Plugin 1.0 - SQL Injection WordPress WP Reactions Box插件1.0版本存在未认证SQL注入漏洞，影响`hkp_reactions_votes`函数中的`postID`参数。攻击者可通过构造恶意请求利用此漏洞提取数据库信息或控制网站。修复建议包括输入过滤和添加验证令牌。... 2025-8-28 11:17:20 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com 20as reactions postid hkp wp

DOS Baby POP3 Server 1.04 这篇文章展示了如何利用Python脚本对Baby POP3 Server 1.04进行拒绝服务攻击。通过发送大量数据导致服务器崩溃。... 2025-8-28 11:16:57 | 阅读: 15 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com baby pop3 jkcode windows

WIX.com / market app Cross-site scripting (reflected) WIX.com/market应用存在反射型跨站脚本（XSS）漏洞，攻击者可通过构造特定查询参数注入恶意脚本，导致高风险安全问题。... 2025-8-28 11:16:21 | 阅读: 14 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com wix 1755591144 eq7ab patreon

EasyApp Limited - Multiple Vulnerabilities EasyApp Limited 存在多个安全漏洞，包括 PHP 对象注入（CWE-502）、静态令牌绕过（CWE-798）以及未认证的任意文件上传、删除和暴露问题。此外还存在 HTML JS 重定向缺陷、IP 地址欺骗风险、弱加密、无 CSRF/XSS/SQLi 防护等问题。... 2025-8-23 19:29:59 | 阅读: 21 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com php admin2 easyapp userimg

MSSQL Database Privilege Elevation From ALTER ANY LOGIN To SYSADMIN MSSQL数据库存在一个特权提升漏洞，允许拥有"ALTER ANY LOGIN"权限的用户通过修改具有"IMPERSONATE ANY LOGIN"权限的账户密码来获取SYSADMIN角色。此漏洞影响SQL Server 2016至2022版本，并已被微软的安全更新修复。... 2025-8-20 19:35:54 | 阅读: 12 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com test1 database sysadmin impersonate test2

RiteCMS 3.0.0 Reflected Cross Site Scripting RiteCMS 3.0.0 存在反射型 XSS 漏洞，攻击者可通过 `main_menu/edit_section` 参数注入恶意脚本，导致凭证窃取、钓鱼或控制浏览器会话。修复建议包括输入验证、输出编码和实施 CSP 策略。... 2025-8-20 19:35:16 | 阅读: 11 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com ritecms github mp4 payload

Tenda AC20 16.03.08.12 Command Injection 这篇文章揭示了Tenda AC20路由器版本16.03.08.12中的一个命令注入漏洞（CVE-2025-9090），攻击者可通过/goform/telnet端点发送特制的POST请求执行任意命令，可能导致远程代码执行或系统控制。... 2025-8-20 19:34:42 | 阅读: 14 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com 31m setopt curlopt 34m 35m

Microsoft Edge Renderer Process (Mojo IPC) Sandbox Escape 微软Windows 11 Pro中的Mojo IPC子系统存在沙盒逃逸漏洞（CVE-2025-2783），恶意渲染进程可利用特定IPC消息逃逸沙盒并提升权限，可能导致系统完全被控制。... 2025-8-16 21:16:19 | 阅读: 20 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com microsoft payload malicious python simulation

Upload.am 1.0.0 WordPress Plugin - Multiple Vulnerabilities WordPress插件Upload.am 1.0.0存在多个高危漏洞，包括未经授权的设置修改和敏感信息泄露。攻击者可利用这些漏洞提升权限、获取敏感配置信息（如API令牌、邮件服务器凭据）及控制网站设置。... 2025-8-16 21:14:14 | 阅读: 21 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com wp wordpress sanitize php unslash

WordPress Upload.am 1.0.0 Setting Modification / Information Disclosure Upload.am 1.0.0 WordPress插件存在多个漏洞，包括未经授权的设置修改（CVSS 8.1）和敏感信息泄露（CVSS 6.5）。攻击者可通过AJAX接口篡改WordPress配置或获取敏感数据，如API令牌、管理员邮箱及站点URL。... 2025-8-13 21:54:53 | 阅读: 18 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com wp wordpress sanitize php unslash

Wazuh Server Remote Code Execution Wazuh服务器存在远程代码执行漏洞（CVE-2025-24016），源于不安全反序列化。攻击者通过API注入恶意数据触发异常，执行任意Python代码。影响版本为4.4.0至4.9.1，可通过被入侵仪表盘或代理利用。... 2025-8-13 21:53:51 | 阅读: 18 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com wazuh remote unhandled payload optstring

PivotX 3.0.0 RC 3 Remote Code Execution PivotX 3.0.0 RC 3远程代码执行漏洞允许攻击者通过修改服务器文件实现代码注入。... 2025-8-13 21:52:49 | 阅读: 18 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com php pivotx payload remote username