[webapps] NEWS-BUZZ News Management System 1.0 - SQL Injection NEWS-BUZZ新闻管理系统存在SQL注入漏洞，攻击者可通过登录页面利用username参数注入恶意代码。... 2025-4-11 00:0:0 | 阅读: 11 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com php buzz injection username attacker

[webapps] Roundcube Webmail 1.6.6 - Stored Cross Site Scripting (XSS) Roundcube 邮件客户端版本 1.5.6 之前及 1.6 至 1.6.6 存在存储型 XSS 漏洞（CVE-2024-37383），允许攻击者通过恶意邮件注入 JavaScript 代码，窃取用户邮箱内容并发送至攻击者服务器。... 2025-4-11 00:0:0 | 阅读: 3 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com roundcube 37383 webmail client pagecount

[webapps] CyberPanel 2.3.6 - Remote Code Execution (RCE) CyberPanel v2.3.5至v2.3.7版本中发现未授权远程代码执行漏洞（RCE），攻击者可通过特定接口注入恶意命令。该漏洞由Luka Petrovic披露，并提供PoC代码和详细分析。... 2025-4-11 00:0:0 | 阅读: 3 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com client cyberpanel refr4g cyan github

[webapps] LearnPress WordPress LMS Plugin 4.2.7 - SQL Injection LearnPress WordPress插件（≤4.2.7）存在未认证SQL注入漏洞，通过API中的c_only_fields参数可触发，可能导致数据泄露和系统控制。... 2025-4-11 00:0:0 | 阅读: 9 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com learnpress injection wp wordpress database

[webapps] MagnusSolution magnusbilling 7.3.0 - Command Injection MagnusBilling 6.x和7.x版本存在未认证远程命令注入漏洞（CVE-2023-30258），攻击者可通过构造特定URL执行系统命令。... 2025-4-11 00:0:0 | 阅读: 4 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com injection icepay github

[hardware] ABB Cylon FLXeon 9.3.4 - System Logs Information Disclosure ABB FLXeon控制器存在漏洞，允许经过身份验证的攻击者通过系统日志页面获取敏感信息，包括OpenSSL密码和证书数据。此漏洞可能导致通信解密、身份冒充或进一步系统入侵。... 2025-4-11 00:0:0 | 阅读: 4 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com 5810 certs aam bacnet abb

[webapps] Nagios Log Server 2024R1.3.1 - API Key Exposure Nagios Log Server 2024R1.3.1版本存在API密钥泄露漏洞，允许任何拥有有效API令牌的用户获取所有用户账户及其明文API密钥，包括管理员凭证。此漏洞可能导致用户枚举、权限提升及系统完全被攻破。... 2025-4-11 00:0:0 | 阅读: 1 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com nagios 2024r1 changelog devadmin apikey

[webapps] RosarioSIS 7.6 - SQL Injection RosarioSIS 7.6版本及以下存在未认证SQL注入漏洞，攻击者通过PortalPollsNotes.fnc.php中的votes参数构造恶意请求即可利用该漏洞进行攻击。... 2025-4-11 00:0:0 | 阅读: 2 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com votes rosariosis fnc poll

[webapps] GetSimpleCMS 3.3.16 - Remote Code Execution (RCE) GetSimpleCMS < 3.3.16 存在远程代码执行漏洞，攻击者可通过上传恶意 PHAR 文件至 `admin/upload.php` 实现代码执行。利用时需创建包含恶意脚本的 PHAR 文件并上传至目标站点，默认配置下由于未限制 PHAR 文件类型，服务器会解析并执行其中内容。... 2025-4-11 00:0:0 | 阅读: 3 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com php blacklist 0000000 github

[webapps] Gnuboard5 5.3.2.8 - SQL Injection Gnuboard5 5.3.2.8 存在 SQL 注入漏洞，攻击者可通过 `table_prefix` 参数构造恶意输入，如 `12`; select sleep(5)# 或 `' OR 1=1--` 实现攻击。该漏洞已被报告并分配 CVE 编号 CVE-2020-18662。... 2025-4-11 00:0:0 | 阅读: 2 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com gnuboard gnuboard5 github php injection

[hardware] ABB Cylon FLXeon 9.3.4 - Remote Code Execution (RCE) ABB Cylon FLXeon BACnet 控制器存在漏洞，允许经过身份验证的攻击者通过修改密码接口注入任意系统命令。该漏洞影响多个系列设备及固件版本 <=9.3.4。... 2025-4-11 00:0:0 | 阅读: 18 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com bacnet abb flxeon 48841 cylon

[webapps] WebFileSys 2.31.0 - Directory Path Traversal WebFileSys 2.31.0 存在目录路径遍历漏洞，攻击者可通过 `relPath` 参数构造恶意请求访问受限目录，CVE-2024-53586。... 2025-4-11 00:0:0 | 阅读: 5 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com webfilesys relpath macintosh thongudom trailers

[hardware] ABB Cylon FLXeon 9.3.4 - WebSocket Command Spawning ABB Cylon FLXeon BACnet控制器存在未认证WebSocket漏洞，允许攻击者执行tcpdump命令捕获网络流量，导致资源耗尽、拒绝服务和数据外泄。影响版本为9.3.4及以下。... 2025-4-11 00:0:0 | 阅读: 2 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com x22 x3a x72 x2c bacnet

[hardware] Netman 204 - Remote command without authentication Netman 204设备存在远程命令执行漏洞，攻击者无需认证即可通过特定路径访问UPS面板并执行关键操作如重启或关闭设备。... 2025-4-11 00:0:0 | 阅读: 1 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com eurek username netman irms

[hardware] ABB Cylon Aspect 3.08.02 - PHP Session Fixation ABB Cylon Aspect 3.08.02 存在 PHP 会话固定漏洞，攻击者可利用反射型 XSS 注入请求，迫使用户采用预设会话 ID。该漏洞影响 NEXUS、MATRIX-2 系列及 ASPECT 企业版和工作室版等产品。... 2025-4-11 00:0:0 | 阅读: 11 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com php aspect abb zeroscience lighttpd

[webapps] CMU CERT/CC VINCE 2.0.6 - Stored XSS Carnegie Mellon University的VINCE 2.0.6及以下版本存在存储型XSS漏洞，攻击者可通过'content'参数注入恶意代码，在用户浏览器中执行。... 2025-4-11 00:0:0 | 阅读: 3 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com vince zsl marquee 5917 zeroscience

[webapps] Feng Office 3.11.1.2 - SQL Injection 该文章描述了FengOffice 3.11.1.2版本中存在盲SQL注入漏洞，攻击者可通过登录应用并利用"dim"参数进行注入攻击。使用sqlmap工具可自动化 exploitation 过程，并成功识别后端数据库为MySQL 5.7.37版本。... 2025-4-10 00:0:0 | 阅读: 2 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com injection fingerprint dim sqlmap workspaces

[webapps] flatCore 1.5.5 - Arbitrary File Upload 该漏洞允许攻击者通过flatCore CMS的管理面板上传任意PHP文件，并在服务器上执行恶意代码。攻击者需登录管理员账户并利用CSRF令牌绕过限制，在特定目录中上传后门文件以实现远程代码执行。... 2025-4-10 00:0:0 | 阅读: 8 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com php flatcore acp malicious

[webapps] AquilaCMS 1.409.20 - Remote Command Execution (RCE) 该文章披露了AquilaCMS 1.409.20版本中的远程命令执行漏洞（CVE-2024-48572/CVE-2024-48573），允许攻击者通过枚举用户邮箱、重置密码并上传恶意插件，在未授权情况下实现远程代码执行。... 2025-4-10 00:0:0 | 阅读: 5 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com unescape bytesio zipfile aquilacms writestr

[webapps] Typecho 1.3.0 - Stored Cross-Site Scripting (XSS) 该文章介绍了一个针对Typecho 1.3.0版本的存储型跨站脚本（XSS）漏洞（CVE-2024-35540），允许攻击者通过注入恶意脚本控制用户会话或执行任意代码，并提供了一个Go语言的exploit工具来演示攻击过程。... 2025-4-10 00:0:0 | 阅读: 16 | 收藏 | Exploit-DB.com RSS Feed - www.exploit-db.com formdata php typecho editurl payload