VHDX Corruption Proof-of-Concept (PoC) read file error: read notes: is a directory... 2025-7-24 19:41:3 | 阅读: 47 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com vhdx corruption 49683 corrupted windows

Office Macro Callback PoC (For Authorized Security Testing Only) 该文章介绍了一个针对Microsoft Office宏的安全漏洞（CVE-2025-49702），提供了一个用于授权安全测试的PoC工具包。该工具包包含一个带有宏的Word文档和一个HTTP服务器，用于在文档打开时触发HTTP回调并记录受害者信息。文章还提供了缓解建议，如阻止默认宏和监控异常流量。... 2025-7-24 19:40:32 | 阅读: 36 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com docm microsoft 49702 github

Remote Mouse 3.303 Remote Code Execution Remote Mouse 3.303 存在未认证远程代码执行漏洞，攻击者可通过伪造 TCP 包模拟键盘输入，在目标系统上打开终端并执行任意命令，导致系统完全被控制。... 2025-7-21 21:32:10 | 阅读: 25 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com remote 303 mouse payload noe

Intelbras RX 1500 2.2.9 / RX 3000 1.0.11 IDOR / XSS Intelbras RX 1500 2.2.9 和 RX 3000 1.0.11 路由器的 web 管理界面存在多个安全漏洞，包括 XSS 和直接未认证访问问题。这些漏洞可能导致攻击者获取管理权限、下载日志文件和配置文件，并控制路由器功能。修复建议包括加强输入过滤和访问控制。... 2025-7-21 21:31:23 | 阅读: 26 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com hnap1 envelope network

LiveHelperChat < =4.61 - Stored Cross Site Scripting (XSS) LiveHelperChat <=4.61 存在多个存储型跨站脚本（XSS）漏洞，允许攻击者通过注入恶意 JavaScript 代码（如 `<img src="x" onerror="prompt(1);">`）在不同字段（如 Telegram Bot Username、Operator Surname 等）中触发 XSS 攻击。这些漏洞影响管理员或其他高权限用户，在其查看或编辑相关设置时执行恶意代码。... 2025-7-21 21:30:10 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com github payload manojkumar

Wifi Mouse version 1.9.0.8 - Remote Code Execution 文章揭示了WiFi Mouse 1.9.0.8版本中的远程代码执行漏洞，攻击者可通过TCP端口1978模拟键盘输入实现未授权访问和反向shell控制。... 2025-7-21 21:29:28 | 阅读: 19 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com mouse windows x0a bas remote

Microsoft Edge XSS Filter Bypass PoC 微软Edge XSS过滤器绕过PoC允许攻击者注入恶意脚本窃取用户数据（如cookies、IP地址、地理位置）并通过图像请求发送到攻击者服务器。漏洞被评为中等严重性。... 2025-7-21 21:28:44 | 阅读: 19 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com collector timezone referrer bypass

BarbarBaba-1.0 Copyright 2025-Multiple-SQLi BarbarBaba-1.0软件存在SQL注入漏洞，攻击者可通过`username`参数提交恶意payload，利用MySQL的load_file函数读取外部文件，造成高危安全风险。... 2025-7-21 21:28:26 | 阅读: 13 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com payload username mayurik barbarbaba

NodeJS 24.x Path Traversal 这篇文章提供了一个针对Node.js 24.x版本中路径遍历漏洞（CVE-2025-27210）的PoC脚本。该脚本通过构造恶意路径并利用Windows保留设备文件名（如AUX），绕过Node.js的路径规范化处理机制，实现对受限文件的访问。用户可通过命令行指定目标URL、目标文件及HTTP方法（GET或POST），脚本会发送恶意请求并返回结果状态和内容。... 2025-7-17 20:34:24 | 阅读: 32 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com malicious windows precise 27210 nodejs

Sudo 1.9.17 Host Option Elevation of Privilege Sudo 1.9.17中发现一个权限提升漏洞（CVE-2025-32462），利用host选项可绕过本地权限限制，在本地执行远程规则允许的命令。修复版本为1.9.17p1。... 2025-7-17 20:32:9 | 阅读: 33 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com lowpriv prod nopasswd remote 1001

PX4 Military UAV Autopilot 1.12.3 Denial of Service (DoS) PX4 Military UAV Autopilot 1.12.3中发现一个堆栈溢出漏洞（CVE-2025-5640），通过处理畸形的MAVLink TRAJECTORY_REPRESENTATION_WAYPOINTS消息触发。攻击者可发送特制数据包导致autopilot崩溃，影响无人机运行。... 2025-7-17 20:32:1 | 阅读: 31 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com px4 autopilot payload mavlink military

Roundcube 1.6.10 Remote Code Execution (RCE) Roundcube 1.6.10 存在远程代码执行漏洞（RCE），通过未验证的 `_from` 参数导致 PHP 对象反序列化问题。攻击者可利用此漏洞执行任意系统命令。... 2025-7-17 20:31:40 | 阅读: 28 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com payload serialized roundcube remote

Remote Mouse 4.601 Unauthenticated Remote System Control Remote Mouse 4.601 存在未认证远程控制漏洞，攻击者可通过 UDP 1978 端口发送特定数据包强制目标系统关机、重启或注销。... 2025-7-15 21:17:24 | 阅读: 60 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com payload remote mpr 601 windows

jsbin-web app - XSS Reflected jsbin-web应用存在反射型XSS漏洞，允许攻击者通过注入恶意脚本窃取敏感信息或发起其他攻击。... 2025-7-15 21:16:22 | 阅读: 12 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com jsbin ascnsrsgac 2592000 github

ISPConfig language_edit.php PHP Code Injection 该文章描述了一个针对ISPConfig语言编辑器的PHP代码注入漏洞（CVE-2023-46818），允许管理员通过language_edit.php注入任意PHP代码。模块支持自动检测和启用相关权限，并利用base64编码的payload进行攻击。... 2025-7-12 21:7:29 | 阅读: 14 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com php langedit payload ispconfig username

Events Manager < = 7.0.3 - Unauthenticated SQL Injection via orderby Parameter WordPress Events Manager插件（版本≤7.0.3）存在未认证SQL注入漏洞（CVE-2025-6970），攻击者可通过`orderby`参数注入SQL代码提取敏感数据。该漏洞源于用户输入未充分转义且SQL查询准备不足。CVSS评分为7.5（高危）。... 2025-7-12 21:6:16 | 阅读: 30 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com sqlmap orderby injection payload 3275

File Provider < = 1.2.3 - Unauthenticated SQL Injection File Provider插件（<=1.2.3）存在未认证SQL注入漏洞，攻击者可通过`fileId`参数注入SQL代码，窃取数据库敏感信息。CVSS评分7.5（高危），利用该漏洞可获取数据库信息。... 2025-7-12 21:5:8 | 阅读: 33 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com injection sqlmap php fileid wp

SAP NetWeaver S/4HANA ABAP Code Execution SAP NetWeaver S/4HANA中发现高危漏洞（CVSS 8.4），允许通过WRITE_AND_CALL_DBPROG函数模块执行任意ABAP代码。攻击者需具备执行本地功能模块权限（如S_DEVELOP/ACTVT=16）。尽管SAP认为此非安全漏洞且无补丁可用，但实际环境中授权配置不当可能导致系统被完全控制。建议严格审查用户权限并限制敏感功能访问。... 2025-7-12 21:4:10 | 阅读: 22 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com nullfaktor security developer ddic actvt

C-Based Automated Login Analyzer with CSRF Token Extraction for SSO bmi.ir Systems 该文章介绍了一个基于C语言的概念验证工具，用于自动化登录到受CSRF保护的SSO系统（如bmi.ir）。该工具通过模拟浏览器头信息、处理cookies并使用正则表达式提取反伪造令牌来实现会话模拟。它利用libcurl库执行GET、POST请求和身份验证状态管理，并旨在用于安全研究和渗透测试SSO实现。... 2025-7-11 21:17:5 | 阅读: 16 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com curlopt setopt slist sso bmi

Discourse 3.2.x Anonymous Cache Poisoning Discourse 3.2.x 存在匿名缓存中毒漏洞（CVE-2024-47773），允许攻击者通过多次XHR请求毒化缓存，影响匿名用户并导致响应缺少预加载数据。修复建议为升级或禁用匿名缓存。... 2025-7-11 21:16:20 | 阅读: 25 | 收藏 | CXSECURITY Database RSS Feed - CXSecurity.com - cxsecurity.com poisoning discourse anonymous preloaded poisoned